(1)

Alla luce delle conclusioni del Consiglio del 12 febbraio 2016 sulla lotta contro il finanziamento del terrorismo, della comunicazione della Commissione al Parlamento europeo e al Consiglio del 2 febbraio 2016 relativa a un piano d’azione per rafforzare la lotta contro il finanziamento del terrorismo e della direttiva (UE) 2017/541 del Parlamento europeo e del Consiglio (2), è opportuno prevedere l’adozione di norme comuni sul commercio con i paesi terzi per garantire la protezione efficace dal commercio illecito di beni culturali e contro la loro perdita o distruzione, la preservazione del patrimonio culturale dell’umanità e la prevenzione del finanziamento del terrorismo e del riciclaggio mediante la vendita ad acquirenti dell’Unione di beni culturali saccheggiati.

(2)

Lo sfruttamento dei popoli e dei territori che può condurre al commercio illecito di beni culturali, in particolare se il commercio illecito ha origine in un contesto di conflitto armato. In questo senso, è opportuno che il presente regolamento tenga conto delle caratteristiche regionali e locali dei popoli e dei territori, piuttosto che del valore di mercato dei beni culturali.

(3)

I beni culturali formano parte del patrimonio culturale e spesso rivestono una notevole importanza culturale, artistica, storica e scientifica. Il patrimonio culturale rappresenta uno degli elementi fondanti della civiltà, anche perché apporta un valore simbolico e costituisce la memoria culturale dell’umanità. Arricchisce la vita culturale di tutti i popoli e li accomuna attraverso la condivisione della memoria, della conoscenza e dello sviluppo della civiltà. Dovrebbe pertanto essere tutelato dall’appropriazione illecita e dal saccheggio. I saccheggi di siti archeologici si sono sempre verificati, ma ora tale fenomeno ha raggiunto proporzioni industriali e, insieme al commercio dei beni culturali riportati alla luce illegalmente, costituisce un grave reato che arreca considerevoli sofferenze a coloro che ne sono colpiti direttamente e indirettamente. Il commercio illecito di beni culturali contribuisce in molti casi all’omogeneizzazione culturale forzata o alla perdita forzata dell’identità culturale, mentre il saccheggio di beni culturali conducono, fra l’altro, alla disgregazione delle culture. Fino a quando sarà possibile dedicarsi a un proficuo commercio di beni culturali riportati alla luce illegalmente e ottenerne un profitto senza rischi significativi, gli scavi e i saccheggi continueranno. A causa del loro valore economico e artistico, i beni culturali hanno una forte domanda sul mercato internazionale. L’assenza di solide misure legislative internazionali e la loro relativa inefficace applicazione fa sì che i beni in questione finiscano nell’economia sommersa. Pertanto, è opportuno che l’Unione vieti l’introduzione nel territorio doganale dell’Unione di beni culturali esportati illecitamente da paesi terzi, segnatamente di beni culturali provenienti da paesi terzi interessati da conflitti armati, in special modo se tali beni culturali sono stati commerciati in modo illecito da organizzazioni terroristiche o criminali di altro tipo. Se è vero che tale divieto generale non dovrebbe comportare controlli sistematici, gli Stati membri dovrebbero nondimeno essere autorizzati a intervenire quando ricevono informazioni relative a spedizioni sospette e adottare tutte le misure appropriate per intercettare i beni culturali esportati illecitamente.

(4)

Alla luce della diversità delle norme applicate negli Stati membri riguardo all’importazione di beni culturali nel territorio doganale dell’Unione, è opportuno adottare misure volte in particolare a garantire che determinate importazioni di beni culturali siano soggette a controlli uniformi al momento della loro entrata nel territorio doganale dell’Unione, sulla base degli attuali processi, regimi e strumenti amministrativi volti a conseguire un’applicazione uniforme del regolamento (UE) n. 952/2013 del Parlamento europeo e del Consiglio (3).

(5)

La protezione dei beni culturali considerati patrimonio nazionale degli Stati membri è già contemplata dal regolamento (CE) n. 116/2009 del Consiglio (4) e dalla direttiva 2014/60/UE del Parlamento europeo e del Consiglio (5). Il presente regolamento non dovrebbe pertanto applicarsi ai beni culturali creati o scoperti nel territorio doganale dell’Unione. È opportuno che le norme comuni introdotte dal presente regolamento disciplinino il trattamento doganale dei beni culturali non unionali che entrano nel territorio doganale dell’Unione. Ai fini del presente regolamento, il pertinente territorio doganale dovrebbe coincidere con il territorio doganale dell’Unione al momento dell’importazione.

(6)

E opportuno che le misure di controllo da adottare in merito alle zone franche e ai cosiddetti «porti franchi» abbiano un ambito di applicazione quanto più ampio possibile in termini di regimi doganali interessati, al fine di evitare che il presente regolamento sia aggirato attraverso il ricorso a tali zone franche, che potrebbero potenzialmente essere utilizzate per la continua proliferazione del commercio di prodotti illegali nell’Unione. È opportuno pertanto che tali misure di controllo non si applichino solo ai beni culturali immessi in libera pratica ma anche ai beni culturali vincolati a un regime doganale speciale. L’ambito di applicazione non dovrebbe tuttavia andare oltre l’obiettivo di impedire ai beni culturali esportati illecitamente di entrare nel territorio doganale dell’Unione. Pertanto, pur applicandosi l’immissione in libera pratica e alcuni regimi doganali speciali a cui possono essere vincolati i beni che entrano nel territorio doganale dell’Unione, è opportuno che le misure di controllo sistematiche non si applichino al transito.

(7)

Molti paesi terzi e la maggior parte degli Stati membri hanno familiarità con le definizioni utilizzate nella convenzione dell’Unesco concernente le misure da adottare per interdire e impedire l’illecita importazione, esportazione e trasferimento di proprietà dei beni culturali, firmata a Parigi il 14 novembre 1970 («convenzione Unesco del 1970») della quale sono parti numerosi Stati membri, e nella convenzione dell’Unidroit sui beni culturali rubati o illecitamente esportati, firmata a Roma il 24 giugno 1995. Per tale ragioni le definizioni utilizzate nel presente regolamento sono basate su tali definizioni.

(8)

È opportuno che la legalità dell’esportazione di beni culturali sia esaminata in primo luogo sulla base delle disposizioni legislative e regolamentari del paese in cui tali beni culturali sono stati creati o scoperti. Tuttavia, per non ostacolare in maniera irragionevole il commercio legittimo, in taluni casi è opportuno che la persona che intende importare beni culturali nel territorio doganale dell’Unione sia eccezionalmente autorizzata a dimostrare piuttosto la lecita esportazione da un diverso paese terzo in cui i beni culturali erano localizzati prima di essere spediti nell’Unione. Tale eccezione dovrebbe applicarsi qualora il paese in cui i beni culturali sono stati creati o scoperti non possa essere determinato in modo attendibile o quando l’esportazione dei beni culturali in questione abbia avuto luogo prima che la convenzione Unesco del 1970 entrasse in vigore, ossia il 24 aprile 1972. Al fine di evitare che il presente regolamento sia aggirato semplicemente mediante la spedizione illegale di beni culturali in un altro paese terzo prima della loro importazione nell’Unione, tali eccezioni dovrebbero essere applicabili qualora i beni culturali si siano trovati in un paese terzo per un periodo superiore a cinque anni per scopi diversi dall’utilizzo temporaneo, dal transito, dalla riesportazione o dal trasbordo. Qualora tali condizioni siano soddisfatte per più di un paese, l’ultimo di questi paesi prima dell’introduzione dei beni culturali nel territorio doganale dell’Unione dovrebbe essere quello pertinente.

(9)

L’articolo 5 della convenzione Unesco del 1970 esorta gli Stati parti ad istituire uno o più servizi nazionali per la protezione dei beni culturali contro l’importazione, l’esportazione e il trasferimento illeciti di proprietà. Tali servizi nazionali dovrebbero essere dotati di personale qualificato e in numero sufficiente al fine di garantire tale protezione in conformità di tale convenzione ed inoltre dovrebbero consentire la necessaria collaborazione attiva tra le autorità competenti degli Stati membri parte di tale convenzione nel settore della sicurezza e nella lotta contro l’importazione illegale di beni culturali, in particolare dalle aree colpite da conflitti armati.

(10)

Al fine di non ostacolare in misura sproporzionata il commercio di beni attraverso la frontiera esterna, è opportuno che il presente regolamento si applichi esclusivamente ai beni culturali che superino un certo limite d’età, che è stabilito dal presente regolamento. Sembra inoltre opportuno stabilire anche una soglia finanziaria per escludere i beni culturali di valore inferiore dall’applicazione delle condizioni e procedure per l’importazione nel territorio doganale dell’Unione. Tali soglie garantiranno che le misure introdotte dal presente regolamento si concentrino sui beni culturali più probabilmente appetiti dai saccheggiatori nelle zone di conflitto, senza escludere altri beni il cui controllo è necessario per assicurare la protezione del patrimonio culturale.

(11)

Il commercio illecito di beni culturali saccheggiati è stato identificato come una possibile fonte di finanziamento del terrorismo e di attività di riciclaggio nel contesto della valutazione sovranazionale dei rischi legati al riciclaggio e al finanziamento del terrorismo che incidono sul mercato interno.

(12)

Poiché talune categorie di beni culturali, segnatamente i reperti archeologici e gli elementi provenienti dai monumenti, sono particolarmente esposte al rischio di saccheggio e distruzione, sembra necessario prevedere un sistema di controllo rafforzato prima che a tali beni sia permesso di entrare nel territorio doganale dell’Unione. È opportuno che tale sistema preveda l’obbligo di presentazione di una licenza d’importazione rilasciata dall’autorità competente di uno Stato membro prima dell’immissione in libera pratica di tali beni culturali nell’Unione o del vincolo degli stessi a un regime doganale speciale diverso dal transito. Le persone che intendano ottenere tale licenza dovrebbero essere in grado di dimostrare l’esportazione lecita dal paese in cui i beni culturali sono stati creati o scoperti mediante gli adeguati documenti giustificativi e di prova, quali certificati di esportazione, titoli di proprietà, fatture, contratti di vendita, documenti assicurativi, documenti di trasporto e perizie. È opportuno che le autorità competenti degli Stati membri decidano, sulla base della completezza e dell’accuratezza delle domande, se rilasciare o no una licenza senza indebito ritardo. Tutte le licenze di importazione dovrebbero essere archiviate in un sistema elettronico.

(13)

Un’icona è una qualsiasi rappresentazione di figure o di eventi religiosi. Essa può essere prodotta con vari materiali e in diverse dimensioni, e può essere sia monumentale che portatile. Nei casi in cui un tempo faceva parte, per esempio, dell’interno di una chiesa, di un monastero, di una cappella, come elemento a sé stante o parte di mobilia architetturale, ad esempio un’iconostasi o un porta icona, l’icona costituisce un elemento fondamentale e inseparabile della vita liturgica e del culto divino, e dovrebbe essere considerata parte integrante di un monumento religioso che sia stato smembrato. L’icona dovrebbe rientrare nella categoria «elementi provenienti dallo smembramento di monumenti artistici o storici o di siti archeologici» elencati nell’allegato, anche qualora il monumento specifico al quale essa apparteneva non sia noto ma sussistano prove che una volta l’icona era parte integrante di un monumento, specie quando presenti segni o elementi attestanti che un tempo faceva parte di un’iconostasi o di un porta icona.

(14)

Tenuto conto della particolare natura dei beni culturali, il ruolo delle autorità doganali è estremamente importante ed esse dovrebbero essere in grado, ove necessario, di richiedere ulteriori informazioni al dichiarante e analizzare i beni culturali sottoponendoli a un esame fisico.

(15)

È opportuno che la persona che intende importare nel territorio doganale dell’Unione categorie di beni culturali per l’importazione delle quali non è richiesta una licenza d’importazione certifichi, mediante una dichiarazione, la legalità dell’esportazione degli stessi dal paese terzo e se ne assuma la responsabilità, nonché fornisca informazioni sufficienti affinché tali beni culturali possano essere identificati dalle autorità doganali. Al fine di agevolare la procedura e per motivi di certezza del diritto è opportuno che le informazioni sui beni culturali siano fornite mediante l’uso di un documento standardizzato. Potrebbe essere utilizzato lo standard dell’Object ID, raccomandato dall’Unesco, per descrivere i beni culturali. Il titolare dei beni dovrebbe registrare tali informazioni in un sistema elettronico, al fine di agevolare l’identificazione da parte delle autorità doganali, consentire un’analisi dei rischi e controlli mirati e in modo da garantire la tracciabilità una volta che i beni culturali sono entrati nel mercato interno.

(16)

Nel contesto dello sportello unico per le dogane, la Commissione dovrebbe essere responsabile dell’istituzione di un sistema elettronico centralizzato per la presentazione delle domande di licenze di importazione e di dichiarazioni dell’importatore, nonché per l’archiviazione e lo scambio di informazioni tra le autorità degli Stati membri, in particolare per quanto riguarda le dichiarazioni dell’importatore e le licenze di importazione.

(17)

Il trattamento dei dati di cui al presente regolamento dovrebbe poter comprendere anche i dati personali e tale trattamento dovrebbe essere effettuato conformemente al diritto dell’Unione. È opportuno che gli Stati membri e la Commissione trattino i dati personali solo per le finalità del presente regolamento o, in circostanze debitamente giustificate, a fini di prevenzione, indagine, accertamento o perseguimento di reati gravi o esecuzione di sanzioni penali, comprese la salvaguardia contro minacce alla sicurezza pubblica e la prevenzione delle stesse. La raccolta, la divulgazione, la trasmissione, la comunicazione e qualunque altro tipo di trattamento dei dati personali rientrante nell’ambito di applicazione del presente regolamento dovrebbero essere soggetti alle prescrizioni dei regolamenti (UE) 2016/679 (6) e (UE) 2018/1725 (7) del Parlamento europeo e del Consiglio. Il trattamento dei dati personali ai fini del presente regolamento dovrebbe tener conto anche del diritto al rispetto della vita privata e familiare riconosciuto all’articolo 8 della convenzione del Consiglio d’Europa per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali, nonché del diritto al rispetto della vita privata e della vita familiare e del diritto alla protezione dei dati di carattere personale riconosciuti, rispettivamente, agli articoli 7 e 8 della Carta dei diritti fondamentali dell’Unione europea.

(18)

I beni culturali che non sono stati creati o scoperti nel territorio doganale dell’Unione ma che sono stati esportati in quanto beni dell’Unione non dovrebbero essere soggetti alla presentazione di una licenza di importazione o di una dichiarazione dell’importatore quando sono reintrodotti in tale territorio in quanto merci in reintroduzione ai sensi del regolamento (UE) n. 952/2013.

(19)

Non dovrebbe essere soggetta alla presentazione di una licenza di importazione o di una dichiarazione dell’importatore nemmeno l’ammissione temporanea di beni culturali a fini formativi, scientifici, di conservazione, di restauro, di esposizione, di digitalizzazione, di spettacolo, di ricerca condotta da istituti accademici o a fini di collaborazione tra musei o enti analoghi.

(20)

Dovrebbe inoltre essere consentito, senza la presentazione di una licenza di importazione. o di una dichiarazione dell’importatore, il deposito di beni culturali provenienti da paesi in cui è in corso un conflitto armato o una catastrofe naturale, con il fine esclusivo di trovare un rifugio sicuro per garantirne la custodia e la conservazione da parte di un’autorità pubblica, o sotto la sua supervisione.

(21)

Al fine di agevolare la presentazione dei beni culturali nell’ambito di fiere d’arte commerciali, una licenza di importazione non dovrebbe essere necessaria qualora i beni culturali siano in regime di ammissione temporanea, ai sensi dell’articolo 250 del regolamento (UE) n. 952/2013, e sia stata fornita una dichiarazione dell’importatore anziché una licenza di importazione. Tuttavia, la presentazione di una licenza di importazione dovrebbe essere necessaria qualora tali beni culturali restino nell’Unione dopo la fiera d’arte.

(22)

Al fine di garantire condizioni uniformi di esecuzione del presente regolamento, è opportuno attribuire alla Commissione competenze di esecuzione affinché adotti modalità dettagliate relative ai beni culturali che sono beni reintrodotti, o all’ammissione temporanea di beni culturali nel territorio doganale dell’Unione e alla loro custodia, ai modelli per le domande di licenza di importazione e ai moduli perle licenze di importazione, ai modelli per le dichiarazioni dell’importatore e i documenti di cui sono corredate, e alle ulteriori norme procedurali riguardanti la presentazione e il trattamento degli stessi. È opportuno inoltre attribuire alla Commissione competenze di esecuzione per l’istituzione di un sistema elettronico per la presentazione delle domande di licenze di importazione e di dichiarazioni dell’importatore e per l’archiviazione e lo scambio di informazioni tra gli Stati membri. È altresì opportuno che tali competenze siano esercitate conformemente al regolamento (UE) n. 182/2011 del Parlamento europeo e del Consiglio (8).

(23)

Al fine di garantire un coordinamento efficace ed evitare la duplicazione degli sforzi nell’organizzare attività di formazione e di sviluppo delle capacità e campagne di sensibilizzazione, nonché di commissionare attività di ricerca pertinenti e lo sviluppo di norme, ove opportuno, la Commissione e gli Stati membri dovrebbero cooperare con organizzazioni e organismi internazionali, quali l’Unesco, Interpol, Europol, l’Organizzazione mondiale delle dogane, l’Istituto internazionale per la conservazione e il restauro dei beni culturali e il Consiglio internazionale dei musei (ICOM).

(24)

È opportuno che informazioni rilevanti sui flussi commerciali di beni culturali siano raccolte per via elettronica e condivise tra gli Stati membri e la Commissione, affinché siano di sostegno all’attuazione efficace del presente regolamento e fungano da base per la sua valutazione futura. Ai fini della trasparenza e del controllo pubblico, è opportuno rendere pubbliche quante più informazioni possibili. I flussi commerciali di beni culturali non possono essere monitorati in modo efficace solo in base al valore o al peso degli stessi. È essenziale raccogliere per via elettronica informazioni sul numero dei pezzi dichiarati. Dal momento che la nomenclatura combinata non specifica alcuna unità di misura supplementare per i beni culturali, è necessario richiedere la dichiarazione del numero di pezzi.

(25)

La strategia e il piano d’azione dell’UE per la gestione dei rischi doganali mirano, tra l’altro, a rafforzare le capacità delle autorità doganali al fine di migliorare la reattività ai rischi nel settore dei beni culturali. È opportuno che si utilizzi il quadro comune in materia di gestione del rischio previsto dal regolamento (UE) n. 952/2013 e che le autorità doganali si scambino le informazioni pertinenti sui rischi.

(26)

Al fine di beneficiare delle competenze delle organizzazioni e degli organismi internazionali attivi nel settore culturale e della loro esperienza per quanto riguarda il commercio illecito di beni culturali, le raccomandazioni e gli orientamenti formulati da tali organizzazioni e organismi dovrebbero essere presi in considerazione nel quadro comune in materia di gestione del rischio al momento di identificare i rischi connessi ai beni culturali. In particolare, le liste rosse pubblicate dall’ICOM dovrebbero fungere da orientamento per individuare quei paesi terzi il cui patrimonio è particolarmente a rischio e gli oggetti esportati da tali paesi che sarebbero più spesso esposti a commercio illecito.

(27)

È necessario istituire campagne di sensibilizzazione rivolte agli acquirenti di beni culturali per quanto riguarda il rischio del commercio illecito e assistere gli operatori del mercato nella loro comprensione e applicazione del presente regolamento. Nella diffusione di tali informazioni gli Stati membri dovrebbero coinvolgere i competenti punti di contatto nazionali e altri servizi di fornitura di tali informazioni.

(28)

La Commissione dovrebbe assicurare che le microimprese e le piccole e medie imprese (PMI) beneficino di un’assistenza tecnica adeguata e dovrebbe agevolare l’informazione delle stesse ai fini dell’efficace attuazione del presente regolamento. Le PMI stabilite nell’Unione che importano beni culturali dovrebbero pertanto beneficiare dei programmi attuali e futuri dell’Unione a sostegno della competitività delle piccole e medie imprese.

(29)

Al fine di incentivare la conformità e scoraggiare l’elusione, gli Stati membri dovrebbero introdurre sanzioni effettive, proporzionate e dissuasive in caso di violazione delle disposizioni del presente regolamento e comunicare tali sanzioni alla Commissione. Le sanzioni introdotte dagli Stati membri contro le violazioni del presente regolamento dovrebbero avere un effetto deterrente equivalente in tutta l’Unione.

(30)

Gli Stati membri dovrebbero assicurare che le autorità doganali e le autorità competenti concordino misure ai sensi dell’articolo 198 del regolamento (UE) n. 952/2013. I dettagli relativi a tali misure dovrebbero essere soggetti al diritto nazionale.

(31)

È opportuno che la Commissione adotti senza indugio norme per l’attuazione del presente regolamento, in particolare norme riguardanti i moduli elettronici standardizzati appropriati da utilizzare per richiedere una licenza di importazione o redigere una dichiarazione dell’importatore, e istituisca il sistema elettronico nel più breve tempo possibile. È opportuno posticipare di conseguenza l’applicazione delle disposizioni relative alle licenze di importazione e alle dichiarazioni dell’importatore.

(32)

Secondo il principio di proporzionalità, è necessario ed appropriato, ai fini del raggiungimento dell’obiettivo fondamentale del presente regolamento, stabilire una disciplina sull’introduzione, le condizioni e le procedure per l’importazione di beni culturali nel territorio doganale dell’Unione. Il presente regolamento si limita a quanto è necessario per conseguire tale obiettivo, in ottemperanza all’articolo 5, paragrafo 4, del trattato sull’Unione europea.

(1)

Le reti e i sistemi informativi e le reti e i servizi di comunicazione elettronica svolgono un ruolo essenziale nella società e sono diventati i pilastri della crescita economica. Le tecnologie dell’informazione e della comunicazione (TIC) sono alla base dei sistemi complessi su cui poggiano le attività quotidiane della società, fanno funzionare le nostre economie in settori essenziali quali la sanità, l’energia, la finanza e i trasporti e, in particolare, contribuiscono al funzionamento del mercato interno.

(2)

L’uso delle reti e dei sistemi informativi da parte di cittadini, organizzazioni e imprese di tutta l’Unione è attualmente molto diffuso. La digitalizzazione e la connettività stanno diventando caratteristiche fondamentali di un numero di prodotti e servizi in costante aumento, e con l’avvento dell’Internet degli oggetti (Internet of Things — IoT) nel prossimo decennio dovrebbero essere disponibile in tutta l’Unione un numero estremamente elevato di dispositivi digitali connessi. Sebbene un numero crescente di dispositivi sia connesso a Internet, la sicurezza e la resilienza non sono sufficientemente integrate nella progettazione, il che rende inadeguata la cibersicurezza. In tale contesto, l’uso limitato della certificazione fa sì che gli utenti individuali, nelle organizzazioni e nelle aziende dispongano di informazioni insufficienti sulle caratteristiche dei prodotti TIC, dei servizi TIC e dei processi TIC in termini di cibersicurezza, il che mina la fiducia nelle soluzioni digitali. La rete e i sistemi informativi sono in grado di aiutarci in tutti gli aspetti della vita e danno impulso alla crescita economica dell’Unione. Sono fondamentali per il raggiungimento del mercato unico digitale.

(3)

L’incremento della digitalizzazione e della connettività comporta maggiori rischi connessi alla cibersicurezza, il che rende la società in generale più vulnerabile alle minacce informatiche e aggrava i pericoli cui sono esposte le persone, comprese quelle vulnerabili come i minori. Al fine di attenuare tali rischi, occorre prendere tutti i provvedimenti necessari per migliorare la cibersicurezza nell’Unione allo scopo di proteggere meglio dalle minacce informatiche le reti e i sistemi informativi, le reti di comunicazione, i prodotti digitali, i servizi e i dispositivi utilizzati da cittadini, organizzazioni e imprese, a partire dalle piccole e medie imprese (PMI), quali definite nella raccomandazione della Commissione 2003/361/CE (4), fino ai gestori delle infrastrutture critiche.

(4)

Mettendo a disposizione del pubblico le informazioni pertinenti, l’Agenzia dell’Unione europea per la cibersicurezza (European Union Agency for Network and Information Security — ENISA), istituita dal regolamento (UE) n. 526/2013 del Parlamento europeo e del Consiglio (5), contribuisce allo sviluppo del settore della cibersicurezza nell’Unione, in particolare le PMI e le start-up. L’ENISA dovrebbe puntare a una cooperazione più stretta con le università e gli istituti di ricerca al fine di contribuire alla riduzione della dipendenza da prodotti e servizi della cibersicurezza provenienti dall’esterno dell’Unione e a rinforzare le filiere all’interno dell’Unione.

(5)

Gli attacchi informatici sono in aumento e la maggiore vulnerabilità alle minacce e agli attacchi informatici di un’economia e di una società connesse impone un rafforzamento delle difese. Tuttavia, mentre gli attacchi informatici avvengono spesso attraverso le frontiere, le competenze in materia di cibersicurezza e autorità incaricate dell’applicazione della legge e le relative risposte politiche sono prevalentemente nazionali. Gli incidenti su vasta scala possono ostacolare la prestazione di servizi essenziali in tutto il territorio dell’Unione. Ciò richiede capacità effettive e coordinate di risposta e di gestione delle crisi a livello di Unione, sulla base di apposite politiche e strumenti di più ampia portata per la solidarietà europea e l’assistenza reciproca. Inoltre, una valutazione periodica dello stato della cibersicurezza e della resilienza nell’Unione, che sia basata su dati affidabili a livello di Unione, e previsioni sistematiche degli sviluppi, delle sfide e delle minacce futuri, a livello di Unione e a livello mondiale, sono importanti per i responsabili delle politiche, il settore e gli utenti.

(6)

Tenuto conto delle maggiori sfide che l’Unione si trova ad affrontare in materia di cibersicurezza, è necessario disporre di una serie completa di misure che si basino su precedenti azioni dell’Unione e promuovano obiettivi sinergici. Tra questi obiettivi figura il rafforzamento ulteriore delle capacità e della preparazione degli Stati membri e delle imprese e il miglioramento della cooperazione, la condivisione di informazioni e il coordinamento tra gli Stati membri e le istituzioni, gli organi e gli organismi dell’Unione. Inoltre, data la natura transfrontaliera delle minacce informatiche, è necessario aumentare le capacità a livello di Unione che potrebbero integrare l’azione degli Stati membri, in particolare nei casi di crisi e incidenti transfrontalieri su vasta scala, pur tenendo conto dell’importanza di mantenere e rafforzare ulteriormente le capacità nazionali di risposta alle minacce informatiche di qualsiasi dimensione.

(7)

Sono inoltre necessari ulteriori sforzi per accrescere la consapevolezza dei cittadini, delle organizzazioni e delle imprese circa le questioni riguardanti la cibersicurezza. In aggiunta, dato che gli incidenti minano la fiducia nei fornitori di servizi digitali e nel mercato unico digitale stesso, soprattutto fra i consumatori, essa dovrebbe essere ulteriormente rafforzata fornendo informazioni in maniera trasparente in merito al livello di sicurezza dei prodotti TIC, dei servizi TIC e dei processi TIC che evidenzi che persino un livello elevato di certificazione della cibersicurezza non può garantire che un prodotto TIC, un servizio TIC o un processo TIC sia completamente sicuro. Un aumento di fiducia può essere agevolato da una certificazione a livello di Unione che preveda requisiti e criteri di valutazione comuni in materia di cibersicurezza validi per tutti i settori e i mercati nazionali.

(8)

La cibersicurezza non costituisce soltanto una questione relativa alla tecnologia, ma anche una in cui il comportamento umano è di pari importanza. Di conseguenza, è opportuno promuovere energicamente l’«igiene informatica», vale a dire semplici misure di routine che, se attuate e svolte regolarmente da cittadini, organizzazioni e imprese, riducono al minimo la loro esposizione a rischi derivanti da minacce informatiche.

(9)

Al fine di rafforzare le strutture della cibersicurezza dell’Unione, è importante mantenere e sviluppare le capacità degli Stati membri di rispondere in modo globale alle minacce informatiche, compresi gli incidenti transfrontalieri.

(10)

Le imprese e i singoli consumatori dovrebbero disporre di informazioni precise sul livello di affidabilità con cui è stata certificata la sicurezza dei loro prodotti TIC, servizi TIC e processi TIC. Allo stesso tempo, nessun prodotto TIC o servizio TIC garantisce completamente la cibersicurezza e bisogna promuovere regole basilari sull’igiene informatica, dando loro la priorità. Alla luce della crescente disponibilità di dispositivi IoT, vi è una serie di misure volontarie che il settore privato può adottare per rafforzare la fiducia nella sicurezza dei prodotti TIC, servizi TIC e processi TIC.

(11)

I moderni prodotti e sistemi TIC spesso integrano e utilizzano una o più tecnologie e componenti terzi quali moduli software, biblioteche o interfacce per programmi applicativi. Tale utilizzo, detto «dipendenza», potrebbe presentare rischi supplementari connessi alla cibersicurezza in quanto le vulnerabilità riscontrate in componenti terzi potrebbero pregiudicare anche la sicurezza dei prodotti TIC, servizi TIC e processi TIC. In molti casi, l’individuazione e la documentazione di tali dipendenze consentono agli utenti finali dei prodotti TIC, servizi TIC e processi TIC di migliorare le loro attività di gestione dei rischi in materia di cibersicurezza ottimizzando, ad esempio, le procedure messe in atto per individuare le vulnerabilità e porvi rimedio.

(12)

Le organizzazioni, i fabbricanti o i fornitori coinvolti nella progettazione e nello sviluppo di prodotti TIC, servizi TIC e processi TIC dovrebbero essere incoraggiati ad attuare misure nelle prime fasi di progettazione e sviluppo per tutelare il più possibile sin dall’inizio la sicurezza di tali prodotti, servizi e processi, in modo che si presuma il verificarsi di attacchi informatici e se ne anticipi e riduca al minimo l’impatto («sicurezza fin dalla progettazione»). La sicurezza dovrebbe essere assicurata in tutto il ciclo di vita del prodotto TIC, servizio TIC o processo TIC, con un’evoluzione costante dei processi di progettazione e sviluppo al fine di ridurre il rischio di danni derivanti da un utilizzo doloso.

(13)

Le imprese, le organizzazioni e il settore pubblico dovrebbero configurare i prodotti TIC, servizi TIC o processi TIC da loro progettati in modo da garantire un livello di sicurezza superiore che dovrebbe consentire al primo utente di ricevere una configurazione predefinita con le impostazioni più sicure possibili («sicurezza predefinita»), riducendo al contempo l’onere in capo agli utenti di dover configurare un prodotto TIC, servizio TIC o processo TIC in modo adeguato. La sicurezza predefinita non dovrebbe necessitare di configurazioni dettagliate né di conoscenze tecniche specifiche o di un comportamento non intuitivo da parte dell’utente, e dovrebbe funzionare in modo semplice e affidabile quando attuata. Qualora, su base puntuale, un’analisi del rischio e dell’usabilità porti a concludere che tali impostazioni predefinite non sono attuabili, gli utenti dovrebbero essere sollecitati a optare per l’impostazione più sicura.

(14)

Il regolamento (CE) n. 460/2004 del Parlamento europeo e del Consiglio (6) ha istituito l’ENISA al fine di contribuire ad assicurare un livello di sicurezza elevato ed efficace delle reti e dell’informazione nell’ambito dell’Unione e di sviluppare una cultura in materia di sicurezza delle reti e dell’informazione a vantaggio dei cittadini, dei consumatori, delle imprese e delle amministrazioni pubbliche. Il regolamento (CE) n. 1007/2008 del Parlamento europeo e del Consiglio (7) ha prorogato il mandato dell’ENISA fino a marzo 2012. Il regolamento (EU) n. 580/2011 del Parlamento europeo e del Consiglio (8) ha prorogato ulteriormente il mandato dell’ENISA fino al 13 settembre 2013. Il regolamento (UE) n. 526/2013 ha prorogato il mandato dell’ENISA fino al 19 giugno 2020.

(15)

L’Unione ha già adottato importanti provvedimenti per garantire la cibersicurezza e accrescere la fiducia nelle tecnologie digitali. Nel 2013 è stata adottata la Strategia dell’Unione europea per la cibersicurezza per orientare la risposta politica dell’Unione alle minacce e ai rischi informatici. Nell’intento di proteggere maggiormente i cittadini online, nel 2016 è stato adottato il primo atto giuridico nel campo della cibersicurezza, vale a dire la direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio (9). La direttiva (UE) 2016/1148 ha stabilito obblighi concernenti le capacità nazionali nel campo della cibersicurezza, ha istituito i primi meccanismi volti a rafforzare la cooperazione strategica e operativa tra gli Stati membri e ha introdotto obblighi riguardanti le misure di sicurezza e le notifiche degli incidenti in tutti i settori che sono di vitale importanza per l’economia e la società, quali l’energia, i trasporti, fornitura e distribuzione di acqua potabile, i servizi bancari, le infrastrutture dei mercati finanziari, la sanità, le infrastrutture digitali e i fornitori di servizi digitali essenziali (motori di ricerca, servizi di cloud computing e mercati online).

All’ENISA è stato attribuito un ruolo fondamentale nel sostegno all’attuazione di tale direttiva. Inoltre, la lotta efficace contro la cibercriminalità è una priorità importante dell’agenda europea sulla sicurezza e contribuisce al conseguimento dell’obiettivo generale di raggiungere un elevato livello di cibersicurezza. Altri atti giuridici, quali il regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio (10) e le direttive 2002/58/CE (11) e (UE) 2018/1972 (12) del Parlamento europeo e del Consiglio, contribuiscono inoltre a un elevato livello di cibersicurezza nel mercato unico digitale.

(16)

Dall’adozione della Strategia dell’Unione europea per la cibersicurezza nel 2013 e dall’ultima revisione del mandato dell’ENISA, il contesto politico generale è cambiato in modo significativo, in quanto il contesto globale è diventato più incerto e meno sicuro. Data la situazione e considerato lo sviluppo positivo del ruolo dell’ENISA quale punto di riferimento per pareri e competenze e facilitatore della cooperazione e dello sviluppo delle capacità, nonché nel quadro della nuova politica dell’Unione in materia di cibersicurezza, è necessario rivedere il mandato dell’ENISA per definirne il ruolo nel mutato ecosistema della cibersicurezza e garantire che contribuisca efficacemente alla risposta dell’Unione alle sfide poste in questo ambito dalla radicale trasformazione del panorama della minaccia informatica, a fronte del quale l’attuale mandato non è sufficiente, come riconosciuto in fase di valutazione dell’ENISA.

(17)

L’ENISA istituita dal presente regolamento dovrebbe succedere all’ENISA istituita con il regolamento (UE) n. 526/2013. L’ENISA dovrebbe svolgere i compiti che le sono conferiti dal presente regolamento e dagli altri atti giuridici dell’Unione nel campo della cibersicurezza, anche fornendo pareri e competenze e fungendo da centro di informazioni e conoscenze dell’Unione. Dovrebbe promuovere lo scambio di buone pratiche tra gli Stati membri e i portatori di interessi del settore privato, fornire suggerimenti strategici alla Commissione e agli Stati membri, fungere da punto di riferimento per iniziative politiche settoriali dell’Unione sulle questioni di cibersicurezza e promuovere la cooperazione operativa, sia tra gli Stati membri sia tra questi ultimi e le istituzioni, gli organi e gli organismi dell’Unione.

(18)

Nel quadro della decisione 2004/97/CE, Euratom adottata di comune accordo dai rappresentanti dei governi degli Stati membri, riuniti a livello di capi di Stato o di governo (13), i rappresentanti degli Stati membri hanno deciso che la sede dell’ENISA sarebbe stata in Grecia, in una città designata dal governo greco. Lo Stato membro ospitante dovrebbe garantire le migliori condizioni possibili per il corretto ed efficace funzionamento dell’ENISA. Per uno svolgimento adeguato ed efficiente dei suoi compiti, per l’assunzione e il trattenimento del personale e per aumentare l’efficacia delle attività di rete, è imprescindibile che l’ENISA sia ubicata in una sede adeguata che garantisca, tra l’altro, collegamenti e infrastrutture di trasporto appropriati per i coniugi e i figli del personale. Le disposizioni necessarie dovrebbero essere fissate in un accordo concluso tra l’ENISA e lo Stato membro ospitante, previa approvazione del consiglio di amministrazione dell’ENISA.

(19)

Tenuto conto dei rischi e delle sfide crescenti in materia di cibersicurezza che l’Unione si trova ad affrontare, le risorse finanziarie e umane destinate all’ENISA dovrebbero essere aumentate per riflettere il potenziamento del suo ruolo e dei suoi compiti, come pure la sua posizione cruciale nell’ecosistema delle organizzazioni che difendono l’ecosistema digitale dell’Unione, consentendo all’ENISA di svolgere efficacemente i compiti che le sono conferiti dal presente regolamento.

(20)

È opportuno che l’ENISA sviluppi e mantenga un elevato livello di competenza e che operi come punto di riferimento generando fiducia nel mercato interno grazie alla propria indipendenza, alla qualità delle consulenze e delle informazioni fornite, alla trasparenza delle procedure e dei metodi operativi come pure alla diligenza nell’esecuzione dei suoi compiti. Nello svolgimento dei suoi compiti l’ENISA dovrebbe sostenere attivamente gli sforzi nazionali e contribuire in modo proattivo agli sforzi dell’Unione, collaborando pienamente con le istituzioni, gli organi e gli organismi dell’Unione e con gli Stati membri, evitando la duplicazione delle attività e promuovendo le sinergie. Inoltre, dovrebbe avvalersi dei contributi e della collaborazione del settore privato e di altri portatori d’interessi. È opportuno stabilire una serie di compiti che definiscano in che modo l’ENISA debba raggiungere i propri obiettivi, lasciandole nel contempo una certa flessibilità di azione.

(21)

Per poter fornire adeguato sostegno alla cooperazione operativa tra gli Stati membri, l’ENISA dovrebbe rafforzare ulteriormente le proprie capacità e abilità tecniche e umane. L’ENISA dovrebbe incrementare il proprio know-how e le proprie capacità. L’ENISA e gli Stati membri, su base volontaria, potrebbero sviluppare programmi per il distacco di esperti nazionali presso l’ENISA, la creazione di pool di esperti e lo scambio di personale.

(22)

L’ENISA dovrebbe assistere la Commissione tramite consulenze, pareri e analisi su tutte le questioni inerenti all’Unione e riguardanti l’elaborazione, l’aggiornamento e la revisione di politiche e normative nel campo della cibersicurezza, nonché i relativi aspetti settoriali al fine di rafforzare la pertinenza delle politiche e normative dell’Unione aventi una dimensione di cibersicurezza e assicurarne la coerenza dell’attuazione a livello nazionale. L’ENISA dovrebbe fungere da punto di riferimento per pareri e competenze sulle iniziative politiche e legislative settoriali dell’Unione che presentano aspetti correlati alla cibersicurezza. L’ENISA dovrebbe informare periodicamente il Parlamento europeo in merito alle sue attività.

(23)

Il nucleo pubblico dell’Internet aperta, vale a dire i suoi protocolli e le sue infrastrutture principali, che costituiscono un bene pubblico globale, consente la funzionalità essenziale di Internet nel suo complesso e ne supporta il normale funzionamento. L’ENISA dovrebbe sostenere la sicurezza del nucleo pubblico dell’Internet aperta e la stabilità del suo funzionamento, compresi, solo a titolo di esempio, i protocolli chiave (in particolare DNS, BGP e IPv6), il funzionamento del sistema dei nomi di dominio (come il funzionamento di tutti i domini di primo livello) e il funzionamento della zona root.

(24)

Il compito di base dell’ENISA è promuovere l’attuazione coerente del pertinente quadro normativo, in particolare l’effettiva attuazione della direttiva (UE) 2016/1148 e degli altri strumenti giuridici pertinenti che presentano aspetti relativi alla cibersicurezza, che è essenziale per rafforzare la ciberresilienza. In considerazione del panorama delle minacce informatiche in rapida evoluzione, è chiaro che gli Stati membri devono essere sostenuti da un approccio trasversale più ampio allo sviluppo della ciberresilienza.

(25)

L’ENISA dovrebbe assistere gli Stati membri e le istituzioni, gli organi e gli organismi dell’Unione nei loro sforzi volti a sviluppare e consolidare le capacità e la preparazione per prevenire e individuare le minacce e gli incidenti e relativi alla sicurezza delle reti e dei sistemi informativi e per reagirvi. In particolare, dovrebbe sostenere lo sviluppo e il potenziamento dei gruppi di intervento per la sicurezza informatica in caso di incidente (computer security incident response teams — «CSIRT») nazionali e dell’Unione previsti dalla direttiva (UE) 2016/1148 perché raggiungano un livello comune elevato di maturità nell’Unione. Le attività svolte dall’ENISA in relazione alle capacità operative degli Stati membri dovrebbero sostenere attivamente le azioni intraprese dagli Stati membri per adempiere agli obblighi derivanti dalla direttiva (UE) 2016/1148 e non dovrebbero pertanto sostituirsi a esse.

(26)

L’ENISA dovrebbe inoltre fornire assistenza nello sviluppo e nell’aggiornamento delle strategie in materia di sicurezza delle reti e dei sistemi informativi a livello di Unione e, su richiesta, a livello di Stati membri, in particolare per quanto riguarda la cibersicurezza, e dovrebbe promuovere la diffusione di tali strategie e seguirne il progresso della loro attuazione. Dovrebbe inoltre contribuire a soddisfare la necessità di formazione e materiale formativo, comprese le necessità degli enti pubblici e, se del caso, in larga misura «formare i formatori», basandosi sul quadro delle competenze digitali per i cittadini al fine di assistere gli Stati membri e le istituzioni, gli organi e gli organismi dell’Unione nello sviluppo di capacità di formazione autonome.

(27)

L’ENISA dovrebbe sostenere gli Stati membri nel campo della sensibilizzazione e dell’istruzione in materia di cibersicurezza facilitando un coordinamento più stretto e lo scambio delle migliori pratiche tra Stati membri. Tale sostegno potrebbe consistere nello sviluppo di una rete di punti di contatto nazionali in materia di istruzione e di una piattaforma di formazione sulla cibersicurezza. La rete di punti di contatto nazionali in materia di istruzione potrebbe operare nel quadro della rete dei funzionari nazionali di collegamento e costituire un punto di partenza per il coordinamento futuro all’interno degli Stati membri.

(28)

L’ENISA dovrebbe assistere il gruppo di cooperazione istituito dalla direttiva (UE) 2016/1148 nell’esecuzione dei suoi compiti, in particolare mettendo a disposizione competenze, fornendo consulenze e agevolando lo scambio di migliori pratiche, tra l’altro per quanto riguarda l’individuazione degli operatori di servizi essenziali da parte degli Stati membri, nonché in relazione alle dipendenze transfrontaliere, riguardo a rischi e incidenti.

(29)

Al fine di promuovere la cooperazione tra il settore pubblico e il settore privato e all’interno di quest’ultimo, in particolare per sostenere la protezione delle infrastrutture critiche, l’ENISA dovrebbe sostenere la condivisione delle informazioni intra e intersettoriale, in particolare nei settori che figurano nell’allegato II della direttiva (UE) 2016/1148, fornendo migliori pratiche e orientamenti sugli strumenti disponibili e sulle procedure, nonché fornendo orientamenti su come affrontare le questioni normative relative alla condivisione delle informazioni, ad esempio agevolando la creazione di centri settoriali di condivisione e di analisi delle informazioni.

(30)

Considerando il potenziale impatto negativo delle vulnerabilità nei prodotti TIC, servizi TIC e processi TIC è in costante aumento, nella riduzione del rischio totale connesso alla cibersicurezza è di considerevole importanza individuare ed eliminare tali vulnerabilità. È comprovato che la cooperazione tra le organizzazioni, i fabbricanti o i fornitori di prodotti TIC, servizi TIC e processi TIC vulnerabili, i membri della comunità di ricerca in materia di cibersicurezza e le autorità che individuano tali vulnerabilità accresce considerevolmente il tasso di individuazione e di eliminazione delle vulnerabilità nei prodotti TIC, servizi TIC e processi TIC. La divulgazione coordinata delle vulnerabilità consiste in un processo strutturato di cooperazione in cui le vulnerabilità sono segnalate al proprietario del sistema informativo, offrendo in tal modo all’organizzazione la possibilità di diagnosticarle ed eliminarle prima che informazioni dettagliate in merito siano comunicate a terze parti o al pubblico. Il processo prevede anche il coordinamento tra la parte che ha individuato le vulnerabilità e l’organizzazione per quanto riguarda la pubblicazione di dette vulnerabilità. Le politiche di gestione della divulgazione coordinata delle vulnerabilità potrebbero svolgere un ruolo importante negli sforzi degli Stati membri tesi a migliorare la cibersicurezza.

(31)

L’ENISA dovrebbe aggregare e analizzare le relazioni nazionali volontariamente condivise dei CSIRT e della squadra di pronto intervento informatico delle istituzioni, degli organi e delle agenzie dell’Unione istituita dall’accordo tra il Parlamento europeo, il Consiglio europeo, il Consiglio dell’Unione europea, la Commissione europea, la Corte di giustizia dell’Unione europea, la Banca centrale europea, la Corte dei conti europea, il Servizio europeo per l’azione esterna, il Comitato economico e sociale europeo, il Comitato europeo delle regioni e la Banca europea per gli investimenti sull’organizzazione e il funzionamento della squadra di pronto intervento informatico delle istituzioni, degli organi e delle agenzie dell’Unione (Computer Emergency Response Team — «CERT-UE») (14) allo scopo di contribuire alla definizione di procedure, lingua e terminologia comuni per lo scambio delle informazioni. In tale contesto l’ENISA dovrebbe coinvolgere il settore privato nell’ambito della direttiva (UE) 2016/1148, che ha gettato le basi per lo scambio volontario di informazioni tecniche a livello operativo, nella rete di gruppi di intervento per la sicurezza informatica in caso di incidente (Computer Security Incident Response Teams — «rete CSIRT») istituita da tale direttiva.

(32)

L’ENISA dovrebbe contribuire a una risposta a livello di Unione in caso di crisi e incidenti transfrontalieri su vasta scala relativi alla cibersicurezza. Tale compito dovrebbe essere espletato questa funzione conformemente al mandato assegnatole ai sensi del presente regolamento e a un approccio da concordarsi tra gli Stati membri nel contesto della raccomandazione (UE) 2017/1584 della Commissione (15) e delle conclusioni del Consiglio del 26 giugno 2018 relative alla risposta coordinata dell’UE agli incidenti e alle crisi di cibersicurezza su vasta scala. Tale compito potrebbe comprendere la raccolta delle informazioni pertinenti e il ruolo di facilitatore tra la rete di CSIRT e la comunità tecnica nonché tra i responsabili decisionali nella gestione delle crisi. Inoltre, l’ENISA dovrebbe sostenere la cooperazione operativa tra gli Stati membri, se richiesto da uno o più Stati membri, nella gestione degli incidenti dal punto di vista tecnico, agevolando gli scambi di soluzioni tecniche tra gli Stati membri e contribuendo alla comunicazione pubblica. L’ENISA dovrebbe sostenere la cooperazione operativa sottoponendo a prova le modalità di tale cooperazione attraverso esercitazioni periodiche di cibersicurezza.

(33)

Nel sostenere la cooperazione operativa, l’ENISA dovrebbe avvalersi delle competenze tecniche e operative disponibili della CERT-UE attraverso una cooperazione strutturata. Tale cooperazione strutturata potrebbe fondarsi sulle competenze dell’ENISA. Se del caso, dovrebbero essere conclusi appositi accordi tra i due soggetti per definire l’attuazione pratica di tale cooperazione ed evitare la duplicazione delle attività.

(34)

Nello svolgere il suo compito di sostegno della cooperazione operativa nell’ambito della rete di CSIRT, l’ENISA dovrebbe essere in grado di assistere gli Stati membri su loro richiesta, ad esempio fornendo consulenza su come migliorare le loro capacità di prevenzione e rilevazione degli incidenti e di risposta agli stessi, agevolando la gestione tecnica di incidenti aventi un impatto rilevante o sostanziale, o assicurando che minacce e incidenti informatici siano analizzati. L’ENISA dovrebbe agevolare la gestione tecnica di incidenti aventi un impatto rilevante o sostanziale, in particolare sostenendo la condivisione volontaria di soluzioni tecniche tra gli Stati membri o producendo informazioni tecniche combinate, quali soluzioni tecniche volontariamente condivise dagli Stati membri. Nella raccomandazione (UE) 2017/1584, la Commissione raccomanda agli Stati membri di cooperare in buona fede e di condividere tra loro e con l’ENISA, senza indebiti ritardi, le informazioni sugli incidenti e le crisi su vasta scala relativi alla cibersicurezza. Tali informazioni aiuterebbero ulteriormente l’ENISA nello svolgimento dei suoi compiti di sostegno alla cooperazione operativa.

(35)

Nell’ambito della costante cooperazione a livello tecnico per sostenere la consapevolezza della situazione dell’Unione, l’ENISA dovrebbe elaborare periodicamente, in stretta cooperazione con gli Stati membri, una relazione approfondita sulla situazione tecnica della cibersicurezza nell’Unione in merito agli incidenti e alle minacce informatici, sulla base delle informazioni pubblicamente disponibili, della propria analisi e delle relazioni condivise dai CSIRT degli Stati membri o dai punti di contatto unici in materia di sicurezza delle reti e dei sistemi informativi («punti di contatto unici») previsti dalla direttiva (UE) 2016/1148, in entrambi i casi su base volontaria, dal Centro europeo per la lotta alla criminalità informatica (European Cybercrime Centre — EC3) presso Europol, dalla CERT-UE e, ove necessario, dal Centro UE di situazione e di intelligence (European Union Intelligence and Situation Centre — EU INTCEN) presso il Servizio europeo per l’azione esterna. Tale relazione dovrebbe essere messa a disposizione del Consiglio, della Commissione, dell’alto rappresentante dell’Unione per gli affari esteri e la politica di sicurezza e della rete di CSIRT.

(36)

Il sostegno dell’ENISA alle indagini tecniche ex post effettuate, su richiesta degli Stati membri interessati, sugli incidenti aventi un impatto rilevante o sostanziale dovrebbe essere incentrato sulla prevenzione degli incidenti futuri. Gli Stati membri interessati dovrebbero fornire le informazioni e l’assistenza necessarie per consentire all’ENISA di sostenere efficacemente l’indagine tecnica ex post.

(37)

Gli Stati membri possono invitare le imprese interessate dall’incidente a collaborare fornendo le informazioni e l’assistenza necessarie all’ENISA, fatto salvo il loro diritto di tutelare le informazioni sensibili sul piano commerciale e le informazioni pertinenti alla pubblica sicurezza.

(38)

Per comprendere meglio le sfide nel campo della cibersicurezza e al fine di fornire consulenza strategica a lungo termine agli Stati membri e alle istituzioni, agli organi e agli organismi dell’Unione, l’ENISA ha bisogno di analizzare i rischi attuali ed emergenti connessi alla cibersicurezza. A tal fine, in cooperazione con gli Stati membri e se del caso con gli istituti di statistica e con altri organismi, l’ENISA dovrebbe raccogliere le informazioni pertinenti pubblicamente disponibili o volontariamente condivise, analizzare le tecnologie emergenti e fornire valutazioni su temi specifici in relazione agli impatti previsti dal punto di vista sociale, giuridico, economico e regolamentare delle innovazioni tecnologiche sulla sicurezza delle reti e dell’informazione, in particolare sulla cibersicurezza. L’ENISA dovrebbe inoltre assistere gli Stati membri e le istituzioni, gli organi e gli organismi dell’Unione nell’individuazione dei rischi emergenti connessi alla cibersicurezza e nella prevenzione degli incidenti attraverso l’analisi di minacce informatiche, vulnerabilità e incidenti.

(39)

Al fine di aumentare la resilienza dell’Unione, l’ENISA dovrebbe sviluppare le competenze nel campo della cibersicurezza delle infrastrutture, in particolare per sostenere i settori di cui all’allegato II della direttiva (UE) 2016/1148 e di quelle utilizzate dai fornitori di servizi digitali elencati nell’allegato III di tale direttiva, fornendo consulenza, emanando orientamenti e scambiando migliori pratiche. Allo scopo di agevolare l’accesso a informazioni meglio strutturate sui rischi connessi alla cibersicurezza e sulle possibili soluzioni, l’ENISA dovrebbe sviluppare e mantenere il «polo d’informazione» dell’Unione, un portale che gli utenti possano utilizzare come sportello unico per accedere alle informazioni sulla cibersicurezza provenienti dalle istituzioni, dagli organi e dagli organismi dell’Unione e nazionali. Facilitare l’accesso a informazioni meglio strutturate sui rischi connessi alla cibersicurezza e sulle possibili misure correttive potrebbe anche aiutare gli Stati membri a rafforzare le loro capacità, ad allineare le loro pratiche migliorando così la loro resilienza generale agli attacchi informatici.

(40)

L’ENISA dovrebbe contribuire a sensibilizzare l’opinione pubblica sui rischi connessi alla cibersicurezza, anche per mezzo di una campagna di sensibilizzazione in tutta l’UE promuovendo l’istruzione, e a fornire orientamenti in materia di buone pratiche per i singoli utenti destinati a cittadini, organizzazioni e imprese. L’ENISA dovrebbe altresì contribuire a promuovere migliori pratiche e soluzioni, igiene informatica e alfabetizzazione informatica comprese, a livello di cittadini, organizzazioni e imprese mediante la raccolta e l’analisi delle informazioni disponibili al pubblico relative agli incidenti di rilievo, come pure mediante l’elaborazione e la pubblicazione di relazioni e orientamenti per cittadini, organizzazioni e imprese, e a migliorare il livello complessivo di preparazione e resilienza di questi. L’ENISA dovrebbe impegnarsi, inoltre, a comunicare ai consumatori le informazioni pertinenti relative ai sistemi di certificazione applicabili, ad esempio fornendo orientamenti e raccomandazioni. L’ENISA dovrebbe inoltre organizzare regolarmente, in linea con il piano d’azione per l’istruzione digitale stabilito nella comunicazione della Commissione del 17 gennaio 2018 e in cooperazione con gli Stati membri e con le istituzioni, gli organi e gli organismi dell’Unione, campagne d’informazione e di sensibilizzazione del pubblico destinate agli utenti finali per promuovere comportamenti online più sicuri da parte degli individui e l’alfabetizzazione digitale, di accrescere la consapevolezza circa le potenziali minacce informatiche, compresa l’attività informatica online, ad esempio phishing, botnet, frodi finanziarie e bancarie, casi di frode di dati, nonché di promuovere consigli di base in materia di autenticazione multifattoriale, patching, cifratura, anonimizzazione e protezione dei dati.

(41)

L’ENISA dovrebbe svolgere un ruolo centrale nell’accelerare la sensibilizzazione degli utenti finali sulla sicurezza dei dispositivi e sull’uso sicuro dei servizi, e dovrebbe promuovere sicurezza e privacy fin dalla progettazione a livello di Unione. Nel perseguire tale obiettivo, l’ENISA dovrebbe utilizzare le migliori pratiche ed esperienze disponibili, in particolare quelle delle istituzioni universitarie e dei ricercatori che si occupano di sicurezza informatica.

(42)

Al fine di sostenere le imprese operanti nel campo della cibersicurezza, come pure gli utilizzatori delle soluzioni di cibersicurezza, l’ENISA dovrebbe sviluppare e mantenere un «osservatorio del mercato» mediante l’esecuzione di analisi periodiche e la diffusione di informazioni sulle principali tendenze del mercato della cibersicurezza, sul versante sia della domanda che dell’offerta.

(43)

L’ENISA dovrebbe contribuire agli sforzi di cooperazione dell’Unione con organizzazioni internazionali come anche nell’ambito dei pertinenti quadri di cooperazione internazionale nel campo della cibersicurezza. In particolare dovrebbe contribuire, se del caso, alla cooperazione con organizzazioni quali l’OCSE, l’OSCE e la NATO. Tale cooperazione potrebbe comprendere, tra l’altro, esercitazioni congiunte di cibersicurezza e il coordinamento congiunto della risposta agli incidenti. Occorre che tali attività si svolgano nel pieno rispetto dei principi di inclusività, reciprocità e autonomia decisionale dell’Unione, fatto salvo il carattere specifico della politica di sicurezza e di difesa di ciascuno Stato membro.

(44)

Per conseguire appieno i propri obiettivi, l’ENISA dovrebbe instaurare rapporti con le autorità di vigilanza dell’Unione e con altre autorità competenti nell’Unione, le istituzioni, gli organi e gli organismi pertinenti dell’Unione, compresi la CERT-UE, l’EC3, l’Agenzia europea per la difesa (AED), l’Agenzia del sistema globale di navigazione via satellite europeo (Agenzia del GNSS europeo), l’organismo dei regolatori europei delle comunicazioni elettroniche (Body of European Regulators for Electronic Communications — BEREC), l’Agenzia europea per la gestione operativa dei sistemi IT su larga scala nello spazio di libertà, sicurezza e giustizia (eu-LISA), la Banca centrale europea (BCE), l’Autorità bancaria europea (ABE), il comitato europeo per la protezione dei dati (European Data Protection Board — EDPB), l’Agenzia per la cooperazione fra i regolatori nazionali dell’energia (Agency for the Cooperation of Energy Regulators — ACER), l’Agenzia europea per la sicurezza aerea (European Union Aviation Safety Agency — EASA) e tutte le agenzie dell’Unione coinvolte nella cibersicurezza. L’ENISA dovrebbe inoltre instaurare rapporti con le autorità competenti in materia di protezione dei dati, al fine di scambiare conoscenze e migliori pratiche e fornire consulenza sugli aspetti della cibersicurezza che potrebbero avere un impatto sulle loro attività. I rappresentanti delle autorità di contrasto e delle autorità preposte alla protezione dei dati nazionali e dell’Unione dovrebbero poter essere rappresentati nel gruppo di consulenza dell’ENISA. Nei contatti con le autorità di contrasto sugli aspetti relativi alla sicurezza delle reti e dell’informazione che possono avere un impatto sull’attività di tali autorità, l’ENISA dovrebbe avvalersi dei canali di informazione e delle reti esistenti.

(45)

Si potrebbero istituire partenariati con le istituzioni universitarie che hanno avviato iniziative di ricerca nei settori interessati e vi dovrebbero essere opportuni canali per il contributo delle organizzazioni dei consumatori e di altre organizzazioni, che dovrebbe essere preso in considerazione.

(46)

L’ENISA, nel suo ruolo di segretariato della rete di CSIRT, dovrebbe sostenere i CSIRT degli Stati membri e la CERT-UE nella cooperazione operativa in relazione a tutte le pertinenti funzioni della rete di CSIRT di cui alla direttiva (UE) 2016/1148. Inoltre, l’ENISA dovrebbe promuovere e sostenere la cooperazione tra i CSIRT interessati in caso di incidenti, attacchi o perturbazioni delle reti o delle infrastrutture della cui gestione o protezione sono responsabili i CSIRT e nei quali siano o possano essere coinvolti almeno due CSIRT, tenendo debitamente conto delle procedure operative standard della rete di CSIRT.

(47)

Al fine di rafforzare la preparazione dell’Unione nel rispondere agli incidenti, l’ENISA dovrebbe organizzare periodicamente esercitazioni di cibersicurezza a livello di Unione e, su loro richiesta, assistere gli Stati membri e le istituzioni, gli organi e gli organismi dell’Unione e nell’organizzazione delle esercitazioni. Ogni due anni dovrebbero essere organizzate esercitazioni globali su vasta scala che comprendano elementi tecnici, operativi o strategici. L’ENISA dovrebbe poter inoltre organizzare periodicamente esercitazioni meno estese con lo stesso obiettivo di rafforzare la preparazione dell’Unione nel rispondere agli incidenti.

(48)

L’ENISA dovrebbe sviluppare ulteriormente e mantenere le proprie competenze in materia di certificazione della cibersicurezza al fine di sostenere la politica dell’Unione in tale campo. L’ENISA dovrebbe basarsi sulle migliori pratiche esistenti e promuovere la diffusione della certificazione della cibersicurezza nell’Unione, anche contribuendo all’istituzione e al mantenimento di un apposito quadro di certificazione a livello di Unione (quadro europeo di certificazione della cibersicurezza) al fine di aumentare la trasparenza dell’affidabilità dei prodotti TIC, servizi TIC e processi TIC in termini di cibersicurezza, rafforzando in tal modo la fiducia nel mercato unico digitale e la sua competitività.

(49)

Strategie efficaci in materia di cibersicurezza dovrebbero essere basate su buoni metodi di valutazione dei rischi, sia nel settore pubblico che in quello privato. I metodi di valutazione dei rischi sono utilizzati a diversi livelli, e non esiste una prassi comune per quanto riguarda le modalità per una loro applicazione efficiente. La promozione e lo sviluppo di migliori pratiche per la valutazione dei rischi e per soluzioni interoperabili per la loro gestione nelle organizzazioni del settore pubblico e del settore privato aumenteranno il livello di cibersicurezza nell’Unione. A tal fine, l’ENISA dovrebbe sostenere la cooperazione tra i portatori di interessi a livello di Unione e facilitare il loro impegno nella definizione e nella diffusione di norme europee e internazionali in materia di gestione dei rischi e di sicurezza misurabile di prodotti, sistemi, reti e servizi elettronici che, insieme ai software, costituiscono le reti e i sistemi informativi.

(50)

L’ENISA dovrebbe incoraggiare gli Stati membri, i fabbricanti o i fornitori prodotti TIC, servizi TIC o processi TIC a innalzare i loro standard di sicurezza generale in modo che tutti gli utenti di Internet possano adottare le misure necessarie a garantire la propria cibersicurezza e incentivarli a farlo. In particolare, i fabbricanti e i fornitori di servizi di prodotti TIC, servizi TIC o processi TIC dovrebbero fornire tutti i necessari aggiornamenti e richiamare, ritirare o riciclare i prodotti TIC, i servizi TIC o i processi TIC non conformi alle norme in materia di cibersicurezza, mentre gli importatori e i distributori dovrebbero garantire che i prodotti TIC, servizi TIC e processi TIC che immettono sul mercato dell’Unione siano conformi ai requisiti applicabili e non presentino rischi per i consumatori dell’Unione.

(51)

In collaborazione con le autorità competenti, l’ENISA dovrebbe poter diffondere informazioni sul livello di cibersicurezza dei prodotti TIC, servizi TIC e processi TIC offerti nel mercato interno e dovrebbe rivolgere avvertimenti ai fabbricanti e ai fornitori di prodotti TIC, servizi TIC o processi TIC imponendo loro di migliorare la sicurezza dei loro prodotti TIC, servizi TIC o processi TIC, ivi inclusa la cibersicurezza.

(52)

L’ENISA dovrebbe tenere pienamente conto delle attività di ricerca, sviluppo e valutazione tecnologica già in atto, in particolare quelle condotte nell’ambito delle varie iniziative di ricerca dell’Unione per fornire consulenza alle istituzioni, agli organi e agli organismi dell’Unione e ove opportuno agli Stati membri, su loro richiesta, sulle esigenze in materia di ricerca e le priorità nel campo della cibersicurezza. Per individuare le esigenze e priorità in materia di ricerca, l’ENISA dovrebbe inoltre consultare i pertinenti gruppi di utenti. Più nello specifico si potrebbe istituire una cooperazione con il Consiglio europeo della ricerca, con l’Istituto europeo di innovazione e tecnologia e con l’Istituto dell’Unione europea per gli studi sulla sicurezza.

(53)

L’ENISA dovrebbe consultare regolarmente le organizzazioni di normazione, in particolare quelle europee, nell’elaborare i sistemi europei di certificazione della cibersicurezza.

(54)

Le minacce informatiche sono un problema globale. È necessaria una più stretta cooperazione internazionale per migliorare le norme di cibersicurezza, anche definendo norme di comportamento, ed è necessaria l’adozione di codici di condotta comuni, l’utilizzo di norme internazionali e la condivisione di informazioni, promuovendo una più celere cooperazione internazionale nel fornire una risposta alle questioni relative alla sicurezza delle reti e dell’informazione nonché un approccio globale comune a tali questioni. A tale scopo l’ENISA dovrebbe sostenere una partecipazione e una cooperazione maggiori dell’Unione con i paesi terzi e le organizzazioni internazionali fornendo le competenze e le analisi necessarie alle istituzioni, agli organi e agli organismi dell’Unione competenti, se del caso.

(55)

L’ENISA dovrebbe essere in grado di rispondere alle richieste specifiche di consulenza e di assistenza inoltrate dagli Stati membri e dalle istituzioni, dagli organi e dagli organismi dell’Unione su materie che rientrano nei suoi obiettivi.

(56)

È ragionevole e raccomandabile applicare taluni principi per la gestione dell’ENISA al fine di conformarsi alla dichiarazione congiunta e nell’approccio comune concordati nel luglio 2012 dal gruppo di lavoro interistituzionale sulle agenzie decentrate dell’Unione, il cui obiettivo è di razionalizzare le attività delle agenzie decentrate e di migliorarne l’efficacia. Le raccomandazioni contenute nella dichiarazione congiunta e nell’approccio comune dovrebbero riflettersi, se del caso, nei programmi di lavoro dell’ENISA, nelle sue valutazioni e nelle sue prassi di informazione e amministrazione.

(57)

Il consiglio di amministrazione, composto dai rappresentanti degli Stati membri e della Commissione, dovrebbe stabilire l’orientamento generale delle operazioni dell’ENISA e garantire che questa svolga i propri compiti conformemente al presente regolamento. Il consiglio di amministrazione dovrebbe godere dei poteri necessari per formare il bilancio, verificare l’esecuzione del bilancio, adottare l’opportuna regolamentazione finanziaria, stabilire procedure di lavoro trasparenti per l’iter decisionale dell’ENISA, adottare il documento unico di programmazione dell’ENISA, adottare il proprio regolamento interno, nominare il direttore esecutivo e decidere in merito all’estensione e alla conclusione del suo mandato.

(58)

Per garantire il funzionamento corretto ed efficace dell’ENISA, la Commissione e gli Stati membri dovrebbero assicurare che le persone da nominare nel consiglio di amministrazione dispongano di competenze professionali e di esperienza adeguate. La Commissione e gli Stati membri dovrebbero inoltre sforzarsi di limitare l’avvicendamento dei loro rispettivi rappresentanti nel consiglio di amministrazione, per assicurarne la continuità dei lavori.

(59)

Il corretto funzionamento dell’ENISA esige che il direttore esecutivo sia nominato in base ai meriti e alle comprovate abilità amministrative e manageriali, nonché alla competenza e all’esperienza acquisita in materia di cibersicurezza. Le funzioni del direttore esecutivo dovrebbero essere svolte in completa indipendenza. Previa consultazione della Commissione, il direttore esecutivo dovrebbe elaborare una proposta di programma di lavoro dell’ENISA e adottare tutte le misure necessarie a garantirne l’adeguata attuazione. Il direttore esecutivo dovrebbe redigere una relazione annuale da trasmettere al consiglio di amministrazione che includa l’attuazione del programma di lavoro annuale dell’ENISA, fornire un progetto di stato di previsione delle entrate e delle spese dell’ENISA e dare esecuzione al bilancio. Inoltre, è opportuno che il direttore esecutivo abbia la possibilità di istituire gruppi di lavoro ad hoc per affrontare questioni specifiche, in particolare di natura scientifica, tecnica, giuridica o socio-economica. Si considera necessaria l’istituzione di un gruppo ad hoc soprattutto per quanto riguarda la preparazione di una specifica proposta di sistema europeo di certificazione della cibersicurezza («proposta di sistema»). Il direttore esecutivo dovrebbe garantire che i membri dei gruppi di lavoro ad hoc siano scelti secondo i più elevati standard di competenza, con l’intento di garantire un equilibrio di genere e un equilibrio adeguato, in base alle questioni specifiche, tra gli amministratori pubblici degli Stati membri, le istituzioni, gli organi e gli organismi dell’Unione e il settore privato, tra cui le imprese, gli utilizzatori e gli esperti del mondo accademico in materia di sicurezza delle reti e dell’informazione.

(60)

Il comitato esecutivo dovrebbe contribuire al funzionamento efficace del consiglio di amministrazione. Nel quadro dei lavori preparatori relativi alle decisioni del consiglio di amministrazione, il comitato esecutivo dovrebbe esaminare dettagliatamente le informazioni pertinenti, valutare le opzioni disponibili e fornire consulenza e soluzioni per la preparazione delle decisioni del consiglio di amministrazione.

(61)

È opportuno che l’ENISA disponga di un gruppo consultivo ENISA come organo consultivo, per garantire un dialogo regolare con il settore privato, le organizzazioni di consumatori e gli altri soggetti interessati. Il gruppo consultivo ENISA, istituito dal consiglio di amministrazione su proposta del direttore esecutivo, dovrebbe concentrarsi sulle questioni rilevanti per i portatori di interessi e sottoporle all’attenzione dell’ENISA. Il gruppo consultivo ENISA dovrebbe essere consultato in particolare in merito al progetto di programma di lavoro annuale dell’ENISA. La composizione del gruppo consultivo ENISA e i compiti assegnatigli dovrebbero garantire un’adeguata rappresentanza dei portatori di interessi nell’ambito del lavoro svolto dall’ENISA.

(62)

È opportuno istituire il gruppo dei portatori di interessi per la certificazione della cibersicurezza al fine di aiutare l’ENISA e la Commissione ad agevolare la consultazione con i pertinenti portatori di interessi. Il gruppo dei portatori di interessi per la certificazione della cibersicurezza dovrebbe essere costituito da membri che rappresentino il settore in proporzione equilibrata, sul versante sia della domanda che dell’offerta di prodotti TIC e servizi TIC, fra cui in particolare le PMI, i fornitori di servizi digitali, gli organismi europei e internazionali di normazione, gli organismi nazionali di accreditamento, le autorità di controllo preposte alla protezione dei dati e gli organismi di valutazione della conformità a norma del regolamento (CE) n. 765/2008 del Parlamento europeo e del Consiglio (16), e le università, nonché le organizzazioni dei consumatori.

(63)

L’ENISA dovrebbe disporre di regole relative alla prevenzione e alla gestione dei conflitti di interessi. L’ENISA dovrebbe inoltre applicare le disposizioni pertinenti dell’Unione in materia di accesso del pubblico ai documenti stabilite dal regolamento (CE) n. 1049/2001 del Parlamento europeo e del Consiglio (17). Il trattamento dei dati personali da parte dell’ENISA dovrebbe avvenire in conformità del regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio (18). È opportuno che l’ENISA si conformi alle disposizioni applicabili alle istituzioni, gli organi e gli organismi dell’Unione e alla legislazione nazionale in materia di gestione delle informazioni, in particolare delle informazioni sensibili non classificate e delle informazioni classificate UE (ICUE).

(64)

Per garantire all’ENISA piena autonomia e indipendenza e consentirle di svolgere compiti aggiuntivi, compresi compiti urgenti imprevisti, è opportuno che sia dotata di un bilancio congruo e autonomo le cui entrate siano essenzialmente costituite da un contributo dell’Unione e da contributi provenienti da paesi terzi che partecipano alle attività dell’ENISA. Un idoneo bilancio è essenziale per garantire che l’ENISA disponga di capacità sufficienti ad adempiere i suoi crescenti compiti e conseguire i suoi obiettivi nella loro totalità. La maggior parte del personale dell’ENISA dovrebbe essere impiegata nell’attuazione operativa del suo mandato. Allo Stato membro ospitante, e a qualsiasi altro Stato membro, dovrebbe essere consentito di contribuire volontariamente al bilancio dell’ENISA. La procedura di bilancio dell’Unione dovrebbe restare applicabile a qualsiasi sovvenzione a carico del bilancio generale dell’Unione. Inoltre, ai fini della trasparenza e della rendicontabilità, la revisione contabile dell’ENISA dovrebbe essere svolta dalla Corte dei conti.

(65)

La certificazione della cibersicurezza riveste un ruolo importante nel rafforzare la sicurezza di prodotti TIC, servizi TIC e processi TIC e nell’accrescere la fiducia negli stessi. Il mercato unico digitale, in particolare l’economia dei dati e l’Internet degli oggetti, possono prosperare solo se i cittadini sono convinti che tali prodotti, servizi e processi offrono un determinato livello di cibersicurezza. Le automobili connesse e automatizzate, i dispositivi medici elettronici, i sistemi di controllo per l’automazione industriale e le reti elettriche intelligenti sono solo alcuni esempi di settori in cui la certificazione è già ampiamente utilizzata o sarà probabilmente utilizzata in un prossimo futuro. La certificazione della cibersicurezza riveste un’importanza fondamentale anche nei settori disciplinati dalla direttiva (UE) 2016/1148.

(66)

Nella comunicazione del 2016 dal titolo «Rafforzare il sistema di resilienza informatica dell’Europa e promuovere la competitività e l’innovazione nel settore della cibersicurezza» la Commissione ha sottolineato la necessità di prodotti e soluzioni di alta qualità, a costi contenuti e interoperabili. L’offerta di prodotti, servizi TIC e processi TIC nel mercato unico resta molto frammentata dal punto di vista geografico. La causa di tale frammentazione va ravvisata nel fatto che il settore della cibersicurezza in Europa si è sviluppato soprattutto in risposta alla domanda pubblica nazionale. Inoltre, l’assenza di soluzioni interoperabili (norme tecniche), di pratiche e di meccanismi di certificazione nell’Unione è un’altra delle lacune che influisce sul mercato unico nel campo della cibersicurezza. Ciò incide negativamente sulla competitività delle imprese europee a livello nazionale, dell’Unione e mondiale. Allo stesso tempo limita la gamma di tecnologie di cibersicurezza valide e utilizzabili a cui cittadini e imprese hanno accesso. Anche nella comunicazione del 2017 sulla revisione intermedia dell’attuazione della strategia per il mercato unico digitale — Un mercato unico digitale connesso per tutti, la Commissione ha evidenziato la necessità di prodotti e sistemi connessi sicuri e ha dichiarato che la creazione di un quadro europeo di sicurezza delle TIC che definisca regole su come organizzare la certificazione della sicurezza delle TIC nell’Unione potrebbe sia preservare la fiducia nei confronti di Internet sia permettere di affrontare l’attuale frammentazione del mercato interno.

(67)

Attualmente la certificazione della cibersicurezza di prodotti TIC, servizi TIC e processi TIC è utilizzata solo in misura limitata. Quando esiste, è disponibile prevalentemente a livello di Stato membro o nell’ambito di sistemi promossi dal settore. In tale contesto, un certificato rilasciato da un’autorità nazionale di certificazione della cibersicurezza non è, in linea di principio, riconosciuto negli altri Stati membri. Le imprese pertanto potrebbero dover certificare i loro prodotti TIC, servizi TIC e processi TIC nei diversi Stati membri in cui operano, ad esempio ai fini della partecipazione a procedure nazionali di aggiudicazione degli appalti, il che aumenta i relativi costi. Inoltre, stanno emergendo nuovi sistemi ma non sembra esservi un approccio coerente e olistico per quanto riguarda le questioni orizzontali relative alla cibersicurezza, ad esempio nel settore dell’Internet degli oggetti. I sistemi esistenti presentano notevoli carenze e differenze in termini di copertura dei prodotti, livelli di affidabilità, criteri sostanziali e utilizzo effettivo, impedendo meccanismi di riconoscimento reciproco nell’Unione.

(68)

Sono stati compiuti sforzi finalizzati a garantire il reciproco riconoscimento dei certificati all’interno dell’Unione. Il loro successo tuttavia è stato solo parziale. L’esempio più importante in tal senso è l’accordo sul reciproco riconoscimento (ARR) del gruppo di alti funzionari competente in materia di sicurezza dei sistemi di informazione (Senior Officials Group — Information Systems Security — SOG-IS). Sebbene rappresenti il più importante modello di cooperazione e di riconoscimento reciproco nel campo della certificazione della sicurezza, il SOG-IS comprende solo alcuni Stati membri. Ciò ha limitato l’efficacia dell’ARR del SOG-IS dal punto di vista del mercato interno.

(69)

È pertanto necessario adottare un approccio comune e definire un quadro europeo di certificazione della cibersicurezza che stabilisca i principali requisiti orizzontali per i sistemi europei di certificazione della cibersicurezza da sviluppare e che consenta di riconoscere e utilizzare i certificati europei di cibersicurezza e le dichiarazioni UE di conformità per i prodotti TIC, i servizi TIC o i processi TIC in tutti gli Stati membri. In questo senso, è essenziale basarsi sui sistemi nazionali e internazionali esistenti, nonché sui sistemi di riconoscimento reciproco, in particolare il SOG-IS, e consentire un’agevole transizione dai sistemi esistenti funzionanti nel loro ambito verso sistemi basati sul nuovo quadro europeo di certificazione della cibersicurezza. Il quadro europeo di certificazione della cibersicurezza dovrebbe avere un duplice obiettivo. In primo luogo dovrebbe contribuire ad aumentare la fiducia nei prodotti TIC, servizi TIC e processi TIC che sono stati certificati in base a detti sistemi europei di certificazione della cibersicurezza. In secondo luogo, dovrebbe evitare il proliferare di sistemi di certificazione nazionali della cibersicurezza confliggenti o sovrapposte e ridurre così i costi per le imprese operanti nel mercato unico digitale. I sistemi europei di certificazione della cibersicurezza dovrebbero essere non discriminatori e basati su norme europee o internazionali, a meno che tali norme non siano inefficaci o inadeguate ai fini del conseguimento dei legittimi obiettivi dell’Unione in tale ambito.

(70)

Il quadro europeo di certificazione della cibersicurezza dovrebbe essere istituito in modo uniforme in tutti gli Stati membri, in modo da evitare la scelta della certificazione più vantaggiosa in base ai diversi livelli di rigore nei vari Stati membri.

(71)

I sistemi europei di certificazione della cibersicurezza dovrebbero essere basati sui sistemi già esistenti a livello nazionale e internazionale e, se necessario, sulle specifiche tecniche di forum e consorzi, partendo dai loro punti di forza attuali e analizzando e correggendo i punti deboli.

(72)

Occorrono soluzioni flessibili di cibersicurezza affinché il settore resti un passo avanti rispetto alle minacce, per cui qualsiasi sistema di certificazione dovrebbe essere ideato in modo tale da evitare il rischio di una rapida obsolescenza.

(73)

La Commissione dovrebbe avere la facoltà di adottare sistemi europei di certificazione della cibersicurezza relativi a gruppi specifici di prodotti, servizi TIC e processi TIC. Tali sistemi dovrebbero essere attuati e supervisionati dalle autorità nazionali di certificazione della cibersicurezza e i certificati rilasciati nel loro ambito dovrebbero essere validi e riconosciuti in tutta l’Unione. I sistemi di certificazione gestiti dal settore o da altre organizzazioni private non dovrebbero rientrare nell’ambito di applicazione del presente regolamento. Tuttavia, gli organismi che li gestiscono dovrebbero poter proporre alla Commissione di considerarli come base per l’approvazione degli stessi come sistema europeo di certificazione della cibersicurezza.

(74)

Le disposizioni del presente regolamento dovrebbero lasciare impregiudicato il diritto dell’Unione che prevede regole specifiche sulla certificazione di prodotti TIC, servizi TIC e processi TIC. In particolare, il regolamento (UE) 2016/679 stabilisce disposizioni per l’istituzione di meccanismi di certificazione nonché di sigilli e marchi di protezione dei dati allo scopo di dimostrare la conformità a detto regolamento dei trattamenti effettuati dai titolari del trattamento e dai responsabili del trattamento. Tali meccanismi di certificazione e sigilli e marchi di protezione dei dati dovrebbero consentire agli interessati di valutare rapidamente il livello di protezione dei dati dei prodotti e dei servizi. Il presente regolamento lascia impregiudicata la certificazione delle operazioni di trattamento dei dati nel quadro del regolamento (UE) 2016/679, anche nel caso in cui tali operazioni siano integrate nei TIC, servizi TIC e processi TIC.

(75)

Lo scopo dei sistemi europei di certificazione della cibersicurezza dovrebbe essere quello di assicurare che i prodotti TIC, servizi TIC e processi TIC certificati nel loro ambito siano conformi a determinati requisiti volti a proteggere la disponibilità, l’autenticità, l’integrità e la riservatezza dei dati conservati, trasmessi o trattati o delle funzioni di o dei servizi offerti da o accessibili tramite tali prodotti, servizi e processi per tutto il loro ciclo di vita. Non è possibile definire dettagliatamente nel presente regolamento i requisiti di cibersicurezza per tutti i prodotti TIC, servizi TIC e processi TIC nel presente regolamento. I prodotti TIC, servizi TIC e processi TIC e le esigenze di cibersicurezza ad essi relative sono talmente diversi che risulta molto difficile formulare requisiti generali in materia di cibersicurezza che siano validi in tutti i casi. È pertanto necessario adottare una nozione ampia e generale di cibersicurezza ai fini della certificazione, che dovrebbe essere integrata da una serie di obiettivi di cibersicurezza specifici da prendere in considerazione al momento della progettazione dei sistemi europei di certificazione della cibersicurezza. Le modalità con cui conseguire tali obiettivi nei prodotti TIC, servizi TIC e processi TIC specifici dovrebbero quindi essere ulteriormente specificate in modo dettagliato per ogni singolo sistema di certificazione adottato dalla Commissione, ad esempio facendo riferimento a norme o specifiche tecniche in assenza di norme appropriate.

(76)

Le specifiche tecniche da usare nei sistemi europei di certificazione della cibersicurezza dovrebbero rispettare i requisiti principi enunciati nell’allegato II del regolamento (UE) n. 1025/2012 del Parlamento europeo e del Consiglio (19). In casi debitamente giustificati, tuttavia, si potrebbe ritenere necessario discostarsi da detti requisiti qualora le specifiche tecniche siano da usare in un sistema europeo di certificazione della cibersicurezza che fa riferimento a un livello di affidabilità elevato. Le motivazioni di tali scostamenti dovrebbero essere rese pubbliche.

(77)

La valutazione della conformità è la procedura volta a valutare se siano stati rispettati i requisiti specifici connessi a un prodotto TIC, servizio TIC o processo TIC. Tale procedura è effettuata da un soggetto terzo indipendente, diverso dal fabbricante o dal fornitore del prodotto TIC, servizio TIC o processo TIC oggetto di valutazione. Il rilascio di un certificato europeo di cibersicurezza è in linea con la procedura di valutazione di un prodotto TIC, servizio TIC o processo TIC. Un certificato europeo di cibersicurezza dovrebbe essere rilasciato qualora la valutazione di un prodotto TIC, servizio TIC o processo TIC dia esito positivo. In funzione del livello di affidabilità, il sistema europeo di certificazione della cibersicurezza dovrebbe specificare se il certificato europeo di cibersicurezza deve essere rilasciato da un organismo pubblico o privato. La valutazione della conformità e la certificazione non possono garantire di per sé la cibersicurezza dei prodotti TIC, servizi TIC e processi TIC certificati. Si tratta piuttosto di procedure e metodologie tecniche volte ad attestare che i prodotti TIC, servizi TIC e processi TIC sono stati testati e che rispettano determinati requisiti di cibersicurezza stabiliti altrove, ad esempio nelle norme tecniche.

(78)

La scelta della certificazione appropriata e dei relativi requisiti di sicurezza da parte degli utenti dei certificati europei di cibersicurezza dovrebbe fondarsi su un’analisi dei rischi associati all’uso di un prodotto TIC, servizio TIC o processo TIC. Conseguentemente, il livello di affidabilità dovrebbe essere commisurato al livello del rischio associato al previsto uso di un prodotto TIC, servizio TIC o processo TIC.

(79)

I sistemi europei di certificazione della cibersicurezza potrebbero prevedere che la valutazione della conformità sia effettuata sotto la sola responsabilità del fabbricante o del fornitore di prodotti TIC, servizi TIC o processi TIC («autovalutazione della conformità»). In tal caso dovrebbe essere sufficiente che il fabbricante o il fornitore di prodotti TIC, servizi TIC o processi TIC effettui direttamente tutti i controlli per garantire che i prodotti TIC, servizi TIC o processi TIC siano conformi al sistema europeo di certificazione della cibersicurezza. L’autovalutazione della conformità dovrebbe essere considerata idonea per prodotti TIC, servizi TIC o processi TIC a bassa complessità che presentano un basso livello di rischio per l’interesse pubblico, ad esempio progettazione e meccanismi di produzione semplici. Inoltre, l’autovalutazione della conformità dovrebbe essere consentita solo per i prodotti TIC, servizi TIC o processi TIC che corrispondono al livello di affidabilità «di base».

(80)

I sistemi europei di certificazione della cibersicurezza potrebbero prevedere sia l’autovalutazione della conformità sia la certificazione di prodotti TIC, servizi TIC e processi TIC. In tale caso, il sistema dovrebbe comprendere mezzi chiari e comprensibili che consentano ai consumatori o altri utenti di distinguere tra i prodotti TIC, servizi TIC o processi TIC riguardo ai quali il fabbricante o fornitore di prodotti TIC, servizi TIC e processi TIC è responsabile della valutazione di prodotti TIC, servizi TIC e processi TIC certificati da terzi.

(81)

I fabbricanti o fornitori di prodotti TIC, servizi TIC o processi TIC che effettuano un’autovalutazione della conformità dovrebbero poter rilasciare e firmare la dichiarazione UE di conformità nell’ambito della procedura di valutazione della conformità. Una dichiarazione UE di conformità è un documento che attesta che un prodotto TIC, servizio TIC o processo TIC specifico è conforme ai requisiti del sistema europeo di certificazione della cibersicurezza. Rilasciando e firmando la dichiarazione UE di conformità, il fabbricante o fornitore di prodotti TIC, servizi TIC o processi TIC si assume la responsabilità della conformità del prodotto TIC, servizio TIC o processo TIC con i requisiti di legge del sistema europeo di certificazione della cibersicurezza. Una copia della dichiarazione UE di conformità dovrebbe essere trasmessa all’autorità nazionale di certificazione della cibersicurezza e all’ENISA.

(82)

I fabbricanti o fornitori di prodotti TIC, servizi TIC o processi TIC dovrebbero mettere a disposizione della competente autorità nazionale di certificazione della cibersicurezza, per un periodo stabilito nel sistema europeo di certificazione della cibersicurezza interessato, la dichiarazione UE di conformità, la documentazione tecnica e tutte le altre informazioni pertinenti relative alla conformità dei prodotti TIC, servizi TIC o processi TIC al pertinente sistema europeo di certificazione della cibersicurezza. La documentazione tecnica dovrebbe precisare i requisiti applicabili nell’ambito del sistema e riguardare la progettazione, la fabbricazione e il funzionamento del prodotto TIC, servizio TIC o processo TIC per quanto rileva ai fini dell’autovalutazione della conformità. La documentazione tecnica dovrebbe essere compilata in modo da permettere di valutare se un prodotto TIC, servizio TIC o processo TIC sia conforme ai requisiti applicabili nell’ambito di tale sistema.

(83)

La governance del quadro europeo di certificazione della cibersicurezza tiene conto della partecipazione degli Stati membri e dell’adeguato coinvolgimento dei portatori di interessi e stabilisce il ruolo della Commissione durante l’intero processo di pianificazione e di proposta, richiesta, preparazione, adozione e revisione dei sistemi europei di certificazione della cibersicurezza.

(84)

È opportuno che la Commissione prepari, con il sostegno del gruppo europeo per la certificazione della cibersicurezza (European Cybersecurity Certification Group — «ECCG») e del gruppo dei portatori di interessi per la certificazione della cibersicurezza e dopo una consultazione ampia e aperta, un programma di lavoro progressivo dell’Unione per i sistemi europei di certificazione della cibersicurezza e lo pubblichi sotto forma di strumento non vincolante. Il programma di lavoro progressivo dell’Unione dovrebbe consistere in un documento strategico atto a consentire al settore, alle autorità nazionali e agli organismi di normazione, in particolare, di prepararsi in anticipo ai futuri sistemi europei di certificazione della sicurezza. Il programma di lavoro progressivo dell’Unione dovrebbe includere una panoramica pluriennale delle richieste di proposte di sistemi che la Commissione intende presentare all’ENISA ai fini della loro preparazione in base a motivi specifici. La Commissione dovrebbe tenere conto del programma di lavoro progressivo dell’Unione nella preparazione del suo programma continuativo per la normazione delle TIC e delle richieste di normazione alle organizzazioni europee di normazione. In considerazione della rapida introduzione e diffusione di nuove tecnologie, dell’emergere di rischi connessi alla cibersicurezza prima sconosciuti e degli sviluppi legislativi e del mercato, è opportuno autorizzare la Commissione o l’ECCG a chiedere all’ENISA di preparare proposte di sistemi che non siano stati previsti nel programma di lavoro progressivo dell’Unione. In siffatti casi, la Commissione e l’ECCG dovrebbero inoltre valutare la necessità di tale richiesta, tenendo conto degli scopi e obiettivi generali del presente regolamento e la necessità di assicurare la continuità per quanto riguarda la pianificazione e l’uso delle risorse da parte dell’ENISA.

A seguito di una simile richiesta, l’ENISA dovrebbe preparare senza indebiti ritardi le proposte di sistemi per prodotti TIC, servizi TIC e processi TIC specifici. La Commissione dovrebbe valutare l’impatto positivo e negativo della sua richiesta sullo specifico mercato interessato, in particolare sulle PMI, sull’innovazione, sugli ostacoli all’accesso a tale mercato e sui costi per gli utenti finali. La Commissione, sulla base dei sistemi preparati dall’ENISA, dovrebbe essere autorizzata ad adottare il sistema europeo di certificazione della cibersicurezza mediante atti di esecuzione. Tenendo conto dell’obiettivo generale e degli obiettivi di sicurezza fissati nel presente regolamento, i sistemi europei di certificazione della cibersicurezza adottati dalla Commissione dovrebbero specificare una serie minima di elementi riguardanti l’oggetto, l’ambito di applicazione e il funzionamento di ogni singolo sistema. Detti elementi dovrebbero includere, tra l’altro, l’ambito di applicazione e l’oggetto della certificazione della cibersicurezza, compresi le categorie di prodotti TIC, servizi TIC e processi TIC, l’indicazione particolareggiata dei requisiti di cibersicurezza, ad esempio con riferimenti a norme o specifiche tecniche, i criteri e i metodi di valutazione specifici e il livello di affidabilità desiderato («di base», «sostanziale» o «elevato»), nonché i livelli di valutazione ove applicabili. L’ENISA dovrebbe poter respingere, in casi debitamente giustificati, una richiesta dell’ECCG. Tali decisioni dovrebbero essere assunte dal consiglio di amministrazione e dovrebbero essere debitamente motivate.

(85)

L’ENISA dovrebbe gestire un sito web che fornisca informazioni sui sistemi europei di certificazione della cibersicurezza e che li pubblicizzi, in cui figurino, tra l’altro, le richieste di preparazione di una proposta di sistema e il riscontro ricevuto nella procedura di consultazione effettuata dall’ENISA durante la fase di preparazione. Il sito web dovrebbe anche fornire informazioni sui certificati europei di cibersicurezza e sulle dichiarazioni UE di conformità rilasciati ai sensi del presente regolamento, incluse le informazioni sulla revoca e sulla scadenza di tali certificati e dichiarazioni. Il sito web dovrebbe inoltre indicare i sistemi nazionali di certificazione della cibersicurezza che sono stati sostituiti da un sistema europeo di certificazione della cibersicurezza.

(86)

Il livello di affidabilità di un sistema europeo di certificazione è la base per la fiducia nel fatto che un prodotto TIC, servizio TIC o processo TIC soddisfi i requisiti di sicurezza di uno specifico sistema europeo di certificazione della cibersicurezza. Allo scopo di garantire la coerenza del quadro europeo di certificazione della cibersicurezza, un sistema europeo di certificazione della cibersicurezza dovrebbe poter specificare i livelli di affidabilità per i certificati europei di cibersicurezza e le dichiarazioni UE di conformità rilasciati nell’ambito di detto sistema. Ciascun certificato europeo di cibersicurezza potrebbe far riferimento a uno dei livelli di affidabilità: «di base», «sostanziale» o «elevato», mentre la dichiarazione UE di conformità potrebbe far riferimento solo al livello di affidabilità «di base». I livelli di affidabilità fornirebbero il rigore e la specificità corrispondenti della valutazione del prodotto TIC, servizio TIC o processo TIC e sarebbero caratterizzati in riferimento alle specifiche tecniche, norme e procedure correlate, tra cui i controlli tecnici, l’obiettivo delle quali è attenuare o prevenire gli incidenti. Ciascun livello di affidabilità dovrebbe essere coerente nei vari settori in cui la certificazione si applica.

(87)

Un sistema europeo di certificazione della cibersicurezza potrebbe precisare vari livelli di valutazione in funzione del rigore e della specificità della metodologia usata. I livelli di valutazione dovrebbero corrispondere a uno dei livelli di affidabilità ed essere associati a un’idonea combinazione di componenti dell’affidabilità. Per tutti i livelli di affidabilità, il prodotto TIC, servizio TIC o processo TIC dovrebbe contenere alcune funzioni sicure, specificate nel sistema, che possono comprendere una configurazione sicura già predisposta in fabbrica, un codice firmato, aggiornamenti sicuri e tecniche utilizzate per ostacolare lo sfruttamento delle vulnerabilità (exploit mitigations) nonché la piena protezione della memoria a impilaggio o della memoria heap. Dette funzioni dovrebbero essere soggette a sviluppo e manutenzione utilizzando approcci allo sviluppo centrati sulla sicurezza e strumenti ad essi associati onde assicurare che meccanismi efficaci di software e di hardware siano inclusi in maniera affidabile.

(88)

Per il livello di affidabilità «di base», la valutazione dovrebbe essere guidata almeno dai seguenti componenti di affidabilità: la valutazione dovrebbe comprendere almeno un riesame della documentazione tecnica del prodotto TIC, servizio TIC o processo TIC da parte dell’organismo di valutazione della conformità. Se la certificazione comprende processi TIC, dovrebbe essere soggetto a riesame tecnico anche il processo usato per la progettazione, lo sviluppo e la manutenzione del prodotto TIC o servizio TIC. Se un sistema europeo di certificazione della cibersicurezza prevede un’autovalutazione della conformità, dovrebbe essere sufficiente che il fabbricante o fornitore di prodotti TIC, servizi TIC o processi TIC abbia effettuato un’autovalutazione della conformità del prodotto TIC, servizio TIC o processo TIC al sistema di certificazione.

(89)

Per il livello di affidabilità «sostanziale», la valutazione, oltre ai requisiti per il livello di affidabilità «di base», dovrebbe essere guidata almeno dalla verifica della conformità delle funzionalità di sicurezza del prodotto TIC, servizio TIC o processo TIC alla documentazione tecnica ad esso relativa.

(90)

Per il livello di affidabilità «elevato», la valutazione, oltre ai criteri requisiti per il livello di affidabilità «sostanziale», dovrebbe essere guidata almeno da un test di efficacia che accerti la resistenza delle funzionalità di sicurezza di un prodotto TIC, servizio TIC o processo TIC nei confronti di complessi ciberattacchi perpetrati da persone che dispongono di abilità e risorse significative.

(91)

Il ricorso alla certificazione europea della cibersicurezza e alle dichiarazioni UE di conformità dovrebbe restare volontario, salvo disposizioni contrarie previste dal diritto dell’Unione o dalla normativa degli Stati membri adottata in conformità del diritto dell’Unione. In mancanza di un diritto dell’Unione armonizzato, gli Stati membri possono adottare regolamentazioni tecniche nazionali in cui sia prevista una certificazione obbligatoria nel quadro di un sistema europeo di certificazione della cibersicurezza in virtù della direttiva (UE) 2015/1535 del Parlamento europeo e del Consiglio (20). Gli Stati membri ricorrono anche alla certificazione europea della cibersicurezza nell’ambito degli appalti pubblici e della direttiva 2014/24/UE del Parlamento europeo e del Consiglio (21).

(92)

In alcuni settori potrebbe essere necessario in futuro imporre specifici requisiti di cibersicurezza e rendere obbligatoria la relativa certificazione in relazione a taluni prodotti TIC, servizi TIC o processi TIC, al fine di aumentare il livello di cibersicurezza nell’Unione. La Commissione dovrebbe vigilare periodicamente sull’impatto dei sistemi europei di certificazione della cibersicurezza adottati sulla disponibilità di prodotti TIC, servizi TIC e processi TIC sicuri nel mercato interno e valutare periodicamente il livello di utilizzo dei sistemi di certificazione da parte dei fabbricanti o fornitori di prodotti TIC, servizi TIC e processi TIC nell’Unione. L’efficacia dei sistemi europei di certificazione della cibersicurezza e l’opportunità di rendere obbligatori sistemi specifici dovrebbero essere valutate alla luce della normativa dell’Unione in materia di cibersicurezza, in particolare la direttiva (UE) 2016/1148, tenendo in considerazione la sicurezza delle reti e dei sistemi informativi utilizzati dagli operatori di servizi essenziali.

(93)

I certificati europei di cibersicurezza e le dichiarazioni UE di conformità dovrebbero aiutare gli utenti finali a compiere scelte consapevoli. I prodotti TIC, servizi TIC e processi TIC che siano stati certificati o per i quali sia stata rilasciata una dichiarazione UE di conformità dovrebbero pertanto essere accompagnati da informazioni strutturate adeguate al livello tecnico atteso nell’utente finale previsto. Tutte queste informazioni dovrebbero essere disponibili online e, ove opportuno, in forma fisica. L’utente finale dovrebbe avere accesso alle informazioni relative al numero di riferimento del sistema di certificazione, al livello di affidabilità, alla descrizione dei rischi connessi alla cibersicurezza associati al prodotto TIC, servizio TIC o processo TIC, e all’autorità o organismo che ha rilasciato il certificato, o dovrebbe poter ottenere una copia del certificato europeo di cibersicurezza. Inoltre, l’utente finale dovrebbe essere informato della politica di assistenza in materia di cibersicurezza —ossia per quanto tempo l’utente finale può aspettarsi di ricevere aggiornamenti o patch per la cibersicurezza — del fabbricante o fornitore di prodotti TIC, servizi TIC e processi TIC. Se del caso, dovrebbero essere forniti orientamenti sulle azioni da compiere o sui parametri che l’utente finale può applicare per mantenere o aumentare la cibersicurezza del prodotto TIC o del servizio TIC e informazioni di contatto del punto di contatto unico a cui fare capo e da cui ricevere assistenza in caso di ciberattacchi (oltre alle segnalazioni automatiche). Tali informazioni dovrebbero essere aggiornate periodicamente e rese disponibili su un sito web che fornisca informazioni sui sistemi europei di certificazione della cibersicurezza.

(94)

Al fine di conseguire gli obiettivi del presente regolamento e di evitare la frammentazione del mercato interno, i sistemi e le procedure nazionali di certificazione della cibersicurezza per i prodotti TIC, servizi TIC o processi TIC contemplati da un sistema europeo di certificazione della cibersicurezza dovrebbero cessare di produrre effetti a decorrere da una data stabilita dalla Commissione mediante atti di esecuzione. Inoltre, gli Stati membri non dovrebbero introdurre nuovi sistemi nazionali di certificazione della cibersicurezza di prodotti TIC, servizi TIC o processi TIC già contemplati da un sistema europeo di certificazione della cibersicurezza in vigore. Non si dovrebbe tuttavia impedire agli Stati membri di adottare o mantenere in vigore sistemi nazionali di certificazione della cibersicurezza per motivi di sicurezza nazionale. Gli Stati membri dovrebbero informare la Commissione e l’ECCG dell’eventuale intenzione di elaborare nuovi sistemi nazionali di certificazione della cibersicurezza. La Commissione e l’ECCG dovrebbero valutare l’impatto dei nuovi sistemi nazionali di certificazione della cibersicurezza sul corretto funzionamento del mercato interno, tenendo conto anche dell’eventuale interesse strategico di richiedere invece un sistema europeo di certificazione della cibersicurezza.

(95)

I sistemi europei di certificazione della cibersicurezza sono volti ad armonizzare nell’Unione le pratiche in tale settore. Devono contribuire ad accrescere il livello di cibersicurezza nell’Unione. La progettazione dei sistemi europei di certificazione della cibersicurezza dovrebbe tener conto delle innovazioni nel campo della cibersicurezza e consentirne lo sviluppo.

(96)

I sistemi europei di certificazione della cibersicurezza dovrebbero tener conto degli attuali metodi di sviluppo di software e hardware e, in particolare, dell’impatto di frequenti aggiornamenti del software e del firmware sui singoli certificati europei di cibersicurezza. I sistemi europei di certificazione della cibersicurezza dovrebbero specificare le condizioni alle quali un aggiornamento possa rendere necessario sottoporre nuovamente a certificazione un prodotto TIC, servizio TIC o processo TIC oppure ridurre l’ambito di applicazione di uno specifico certificato europeo di cibersicurezza, tenuto conto dei possibili effetti negativi dell’aggiornamento sulla conformità ai requisiti di sicurezza del certificato.

(97)

In seguito all’adozione di un sistema europeo di certificazione della cibersicurezza, i fabbricanti o fornitori di prodotti TIC, servizi TIC e processi TIC dovrebbero poter presentare domande di certificazione dei loro prodotti TIC, servizi TIC e processi TIC all’organismo di valutazione della conformità di propria scelta, ovunque nell’Unione. Se soddisfano determinati requisiti stabiliti nel presente regolamento, gli organismi di valutazione della conformità dovrebbero essere accreditati da un organismo nazionale di accreditamento. L’accreditamento dovrebbe essere concesso per un periodo massimo di cinque anni e dovrebbe essere rinnovato alle stesse condizioni, purché l’organismo di valutazione della conformità continui a soddisfare i requisiti. Gli organismi di accreditamento dovrebbero limitare, sospendere o revocare l’accreditamento di un organismo di valutazione della conformità se le condizioni per l’accreditamento non sono state, o non sono più, soddisfatte o se l’organismo di valutazione della conformità viola le disposizioni del presente regolamento.

(98)

Riferimenti nella legislazione nazionale a norme nazionali che non sono più applicabili a seguito dell’entrata in vigore di un sistema europeo di certificazione della cibersicurezza possono costituire una fonte di confusione. Gli Stati membri dovrebbero quindi tener conto dell’adozione di un sistema di certificazione europeo della cibersicurezza nella propria legislazione nazionale.

(99)

Al fine di ottenere norme equivalenti in tutta l’Unione, agevolare il reciproco riconoscimento e promuovere l’accettazione generale dei certificati europei di cibersicurezza e delle dichiarazioni UE di conformità, è necessario istituire un sistema di valutazione inter pares tra le autorità nazionali di certificazione della cibersicurezza. La valutazione inter pares dovrebbe riguardare le procedure per vigilare sulla conformità dei prodotti TIC, servizi TIC e processi TIC con i certificati europei di cibersicurezza, per monitorare gli obblighi dei fabbricanti o fornitori di prodotti TIC, servizi TIC e processi TIC che effettuano l’autovalutazione della conformità, per monitorare gli organismi di valutazione della conformità e l’adeguatezza delle competenze del personale degli organismi che rilasciano certificati di livello di affidabilità «elevato». La Commissione dovrebbe poter stabilire, mediante atti di esecuzione, almeno un piano quinquennale per le valutazioni inter pares e stabilire i criteri e le metodologie di funzionamento del sistema di valutazione inter pares.

(100)

Fatto salvo il sistema generale di valutazione inter pares che tutte le autorità nazionali di certificazione della cibersicurezza devono istituire nell’ambito del quadro europeo di certificazione della cibersicurezza, taluni sistemi di certificazione possono includere un meccanismo di valutazione inter pares per gli organismi che rilasciano certificati europei di cibersicurezza per prodotti TIC, servizi TIC e processi TIC con un livello di affidabilità «elevato» nel quadro di tali sistemi. L’ECCG dovrebbe sostenere l’attuazione di tali meccanismi di valutazione inter pares. Le valutazioni inter pares dovrebbero in particolare valutare se gli organismi interessati svolgono i rispettivi compiti in maniera armonizzata e possono comprendere meccanismi di impugnazione. I risultati delle valutazioni inter pares dovrebbero essere resi pubblici. Gli organismi interessati possono adottare le opportune misure per adeguare le proprie prassi e competenze di conseguenza.

(101)

Gli Stati membri dovrebbero designare una o più autorità nazionale di certificazione della cibersicurezza per vigilare sulla conformità agli obblighi derivanti dal presente regolamento. L’autorità nazionale di certificazione della cibersicurezza può essere un’autorità già esistente o una nuova autorità. Gli Stati membri dovrebbero altresì avere facoltà di designare, previo accordo con un altro Stato membro, una o più autorità nazionali di certificazione della cibersicurezza nel territorio di tale altro Stato membro.

(102)

In particolare, l’autorità nazionale di certificazione della cibersicurezza dovrebbe monitorare e far applicare gli obblighi che incombono ai fabbricanti o ai fornitori di prodotti TIC, servizi TIC o processi TIC stabiliti nel suo territorio in relazione alla dichiarazione UE di conformità, assistere gli organismi nazionali di accreditamento nel monitoraggio e nella vigilanza delle attività degli organismi di valutazione della conformità mettendo a loro disposizione le proprie competenze e pertinenti informazioni, autorizzare gli organismi di valutazione della conformità a svolgere i loro compiti qualora questi soddisfino i requisiti supplementari previsti in un sistema europeo di certificazione della cibersicurezza e monitorare i pertinenti sviluppi nel settore della certificazione della cibersicurezza. Le autorità nazionali di certificazione della cibersicurezza dovrebbero anche trattare i reclami presentati dalle persone fisiche o giuridiche in relazione ai certificati europei di cibersicurezza che sono da loro rilasciati o ai certificati europei di cibersicurezza rilasciati dagli organismi di valutazione della conformità, ove tali certificati indichino un livello di affidabilità «elevato», svolgere le indagini opportune sull’oggetto del reclamo e informare il reclamante dello stato e dell’esito delle indagini entro un termine ragionevole. Le autorità nazionali di certificazione della cibersicurezza dovrebbero inoltre cooperare con le altre autorità nazionali di certificazione della cibersicurezza o con altre autorità pubbliche, anche mediante la condivisione scambio di informazioni sugli eventuali prodotti TIC, servizi TIC o processi TIC non conformi ai requisiti del presente regolamento o a specifici sistemi europei di certificazione della cibersicurezza. La Commissione dovrebbe facilitare tale condivisione di informazioni mettendo a disposizione un sistema di sostegno generale delle informazioni elettroniche, ad esempio il sistema di informazione e comunicazione per la vigilanza del mercato (ICSMS) e il sistema d’informazione rapida sui prodotti non alimentari pericolosi (RAPEX) già impiegati dalle autorità di vigilanza del mercato a norma del regolamento (CE) n. 765/2008.

(103)

Al fine di garantire un’applicazione coerente del quadro europeo di certificazione della cibersicurezza, dovrebbe essere costituito un ECCG costituito dai rappresentanti delle autorità nazionali di certificazione della cibersicurezza o di altre autorità nazionali competenti. I compiti principali dell’ECCG dovrebbero consistere nel consigliare e nell’assistere la Commissione nelle attività volte ad assicurare un’attuazione e un’applicazione coerenti del quadro europeo di certificazione della cibersicurezza, nell’assistere e nel cooperare strettamente con l’ENISA nella preparazione delle proposte di sistemi europei di certificazione della cibersicurezza, in casi debitamente giustificati nell’incaricare l’ENISA di preparare una proposta di sistema, nell’adottare pareri indirizzati all’ENISA in merito alle proposte di sistemi e nell’adottare pareri indirizzati sul mantenimento e la revisione degli attuali sistemi europei di certificazione della cibersicurezza. L’ECCG dovrebbe agevolare lo scambio di buone prassi e di competenze tra le diverse autorità nazionali di certificazione della cibersicurezza responsabili dell’autorizzazione degli organismi di valutazione della conformità e del rilascio dei certificati europei di cibersicurezza.

(104)

Al fine di accrescere la consapevolezza e facilitare l’accettazione dei futuri sistemi europei di cibersicurezza, la Commissione può emanare orientamenti generali o settoriali in materia di cibersicurezza, ad esempio orientamenti sulle buone prassi o sul comportamento responsabile in tale ambito, sottolineando l’effetto positivo dell’utilizzo di prodotti TIC, servizi TIC e processi TIC certificati.

(105)

Allo scopo di agevolare ulteriormente gli scambi e riconoscendo il carattere globale delle catene di fornitura di TIC, l’Unione può concludere, conformemente all’articolo 218 del trattato sul funzionamento dell’Unione europea (TFUE), accordi per il reciproco riconoscimento di certificati europei di cibersicurezza. La Commissione, tenuto conto del parere dell’ENISA e dell’ECCG, può raccomandare l’apertura dei negoziati pertinenti. Ciascun sistema europeo di certificazione della cibersicurezza dovrebbe prevedere condizioni specifiche per tali accordi per il reciproco riconoscimento con i paesi terzi.

(106)

Al fine di garantire condizioni uniformi di esecuzione del presente regolamento, è opportuno attribuire alla Commissione competenze di esecuzione. È altresì opportuno che tali competenze siano esercitate conformemente al regolamento (UE) n. 182/2011 del Parlamento europeo e del Consiglio (22).

(107)

La procedura d’esame dovrebbe essere utilizzata per l’adozione degli atti di esecuzione sui sistemi europei di certificazione della cibersicurezza per i prodotti TIC, i servizi TIC e i processi TIC; per l’adozione degli atti di esecuzione sulle modalità di conduzione delle indagini da parte dell’ENISA; per l’adozione degli atti di esecuzione su un piano di valutazione inter pares delle autorità nazionali di certificazione della cibersicurezza nonché per l’adozione degli atti di esecuzione sulle circostanze, sui formati e sulle procedure delle notifiche degli organismi di valutazione della conformità accreditati da parte delle autorità nazionali di certificazione della cibersicurezza alla Commissione.

(108)

L’operato dell’ENISA dovrebbe essere soggetto a una valutazione periodica e indipendente. La valutazione dovrebbe tenere conto del conseguimento degli obiettivi da parte dell’ENISA, delle sue pratiche di lavoro e della pertinenza dei suoi compiti, in particolare i compiti relativi alla cooperazione operativa a livello di Unione. La valutazione dovrebbe altresì valutare l’impatto, l’efficacia e l’efficienza del quadro europeo di certificazione della cibersicurezza. In caso di riesame, la Commissione dovrebbe valutare come possa essere rafforzato il ruolo dell’ENISA come punto di riferimento per pareri e competenze e dovrebbe anche valutare la possibilità di un ruolo dell’ENISA nel sostenere la valutazione di prodotti TIC, servizi TIC e processi e i servizi TIC di paesi terzi che non rispettano le regole dell’Unione, ove tali prodotti, servizi e processi entrino nell’Unione.

(109)

Poiché gli obiettivi del presente regolamento non possono essere conseguiti in misura sufficiente dagli Stati membri ma, a motivo della loro portata e dei loro effetti, possono essere conseguiti meglio a livello di Unione, quest’ultima può intervenire in base al principio di sussidiarietà sancito dall’articolo 5 del trattato sull’Unione europea (TUE). Il presente regolamento si limita a quanto è necessario per conseguire tali obiettivi in ottemperanza al principio di proporzionalità enunciato nello stesso articolo.

(110)

Il regolamento (UE) n. 526/2013 dovrebbe essere abrogato,

(1)

La presente direttiva ha lo scopo di contribuire al corretto funzionamento del mercato interno mediante il ravvicinamento delle disposizioni legislative, regolamentari e amministrative degli Stati membri in materia di requisiti di accessibilità per determinati prodotti e servizi, in particolare eliminando e prevenendo gli ostacoli alla libera circolazione di determinati prodotti e servizi accessibili derivanti dall’eterogeneità dei requisiti di accessibilità negli Stati membri. Ciò aumenterebbe la disponibilità di prodotti e servizi accessibili nel mercato interno e migliorerebbe l’accessibilità delle pertinenti informazioni.

(2)

La domanda di prodotti e servizi accessibili è elevata e il numero di persone con disabilità dovrebbe, secondo le previsioni, aumentare in modo significativo. Un ambiente in cui i prodotti e i servizi sono più accessibili rende possibile una società più inclusiva e facilita la vita indipendente delle persone con disabilità. In tale contesto, si dovrebbe tenere conto del fatto che nell’Unione la disabilità è più diffusa tra le donne che tra gli uomini.

(3)

La presente direttiva definisce le persone con disabilità in modo conforme alla Convenzione delle Nazioni Unite sui diritti delle persone con disabilità (UNCRPD), adottata il 13 dicembre 2006, di cui l’Unione è parte dal 21 gennaio 2011 e che tutti gli Stati membri hanno ratificato. L’UNCRPD annovera tra le persone con disabilità «quanti hanno minorazioni fisiche, mentali, intellettuali o sensoriali a lungo termine che in interazione con varie barriere possono impedire la loro piena ed effettiva partecipazione nella società su una base di eguaglianza con gli altri». La presente direttiva promuove la piena ed effettiva parità di partecipazione migliorando l’accesso ai prodotti e servizi generici che grazie alla loro progettazione iniziale o al loro successivo adattamento rispondono alle esigenze specifiche delle persone con disabilità.

(4)

Beneficerebbero della presente direttiva anche altre persone con limitazioni funzionali, come le persone anziane, le donne in gravidanza e le persone che viaggiano con bagaglio. Il concetto di «persone con limitazioni funzionali» di cui alla presente direttiva comprende le persone con minorazioni fisiche, mentali, intellettive o sensoriali, con minorazioni connesse con l’età, o altre condizioni connesse alle prestazioni del corpo umano, permanenti o temporanee, che in interazione con varie barriere determinano un accesso limitato ai prodotti e servizi causando una situazione che richiede l’adeguamento di tali prodotti e servizi alle loro esigenze specifiche.

(5)

Le disparità esistenti tra le disposizioni legislative, regolamentari e amministrative degli Stati membri riguardanti l’accessibilità dei prodotti e dei servizi per le persone con disabilità, creano ostacoli alla libera circolazione di prodotti e servizi e falsano la concorrenza effettiva nel mercato interno. Per taluni prodotti e servizi, tali disparità rischiano di aumentare nell’Unione dopo l’entrata in vigore dell’UNCRPD. Gli operatori economici, in particolare le piccole e medie imprese (PMI), risentono in modo particolare di tali ostacoli.

(6)

Le differenze in materia di requisiti nazionali di accessibilità scoraggiano i singoli professionisti, le PMI e le microimprese in particolare dall’avviare iniziative imprenditoriali al di fuori del proprio mercato nazionale. Attualmente, i requisiti di accessibilità nazionali, o anche regionali o locali, predisposti dagli Stati membri differiscono per quanto riguarda sia la copertura sia il livello di dettaglio. Tali differenze incidono negativamente sulla competitività e sulla crescita a causa dei costi aggiuntivi sostenuti per lo sviluppo e la commercializzazione di prodotti e servizi accessibili per ciascun mercato nazionale.

(7)

I consumatori di prodotti e servizi accessibili e di tecnologie assistive devono far fronte a prezzi elevati a causa della scarsa concorrenza tra i fornitori. La frammentazione tra le normative nazionali riduce i vantaggi derivanti dalla condivisione di esperienze con omologhi nazionali e internazionali potrebbe apportare in relazione agli sviluppi sociali e tecnologici.

(8)

Il ravvicinamento delle misure nazionali a livello dell’Unione è pertanto necessario per il corretto funzionamento del mercato interno allo scopo di porre fine alla frammentazione del mercato dei prodotti e dei servizi accessibili, creare economie di scala, agevolare la mobilità e il commercio transfrontalieri e aiutare gli operatori economici a concentrare le risorse sull’innovazione anziché impiegarle per coprire le spese derivanti da una legislazione frammentaria all’interno dell’Unione.

(9)

I vantaggi dell’armonizzazione dei requisiti di accessibilità per il mercato interno sono stati dimostrati dall’applicazione della direttiva 2014/33/UE del Parlamento europeo e del Consiglio (3) relativa agli ascensori del regolamento (CE) n. 661/2009 del Parlamento europeo e del Consiglio (4) riguardante il settore dei trasporti.

(10)

Nella dichiarazione n. 22 sui portatori di handicap allegata al trattato di Amsterdam, la Conferenza dei rappresentanti degli Stati membri ha convenuto che, nell’elaborazione di misure a norma dell’articolo 114 del trattato sul funzionamento dell’Unione europea (TFUE), le istituzioni dell’Unione debbano tenere conto delle esigenze dei portatori di handicap.

(11)

L’obiettivo generale della Commissione del 6 maggio 2015«Una strategia per il mercato unico digitale per l’Europa» è fornire i benefici economici e sociali sostenibili provenienti da un mercato unico digitale connesso, agevolando quindi il commercio e promuovendo l’occupazione nell’Unione. I consumatori dell’Unione non beneficiano ancora pienamente, in termini di prezzi e possibilità di scelta, dei vantaggi che il mercato unico può offrire, in quanto le operazioni transfrontaliere online sono ancora molto limitate. Anche la frammentazione limita la domanda di operazioni transfrontaliere di commercio elettronico. Occorre inoltre un intervento concordato per garantire che le persone con disabilità possano accedere integralmente ai contenuti elettronici, ai servizi di comunicazione elettronica e ai servizi di media audiovisivi. È pertanto necessario armonizzare i requisiti di accessibilità in tutto il mercato unico digitale e garantire che tutti i cittadini dell’Unione possano trarne beneficio, a prescindere dalle loro abilità.

(12)

Da quando l’Unione è divenuta parte della UNCRPD, le disposizioni di tale convenzione sono divenute parte integrante dell’ordinamento giuridico dell’Unione e vincolano le istituzioni dell’Unione e gli Stati membri.

(13)

La UNCRPD dispone che le parti adottino misure adeguate a garantire alle persone con disabilità, su base di uguaglianza con gli altri, l’accesso all’ambiente fisico, ai trasporti, all’informazione e alle comunicazioni, compresi i sistemi e le tecnologie di informazione e comunicazione, e ad altre attrezzature e servizi aperti o forniti al pubblico, sia nelle aree urbane che in quelle rurali. Il comitato delle Nazioni Unite sui diritti delle persone con disabilità ha riscontrato la necessità di creare un quadro legislativo con parametri concreti, applicabili e temporalmente definiti per monitorare la graduale attuazione dell’accessibilità.

(14)

L’UNCRPD invita le parti a intraprendere o promuovere la ricerca e lo sviluppo, nonché a incoraggiare la messa a disposizione e l’uso di nuove tecnologie, tra cui tecnologie dell’informazione e della comunicazione, ausili alla mobilità, dispositivi e tecnologie di sostegno, adatte alle persone con disabilità. L’UNCRPD invita altresì a dare priorità alle tecnologie dai costi più accessibili.

(15)

L’entrata in vigore dell’UNCRPD nell’ordinamento giuridico degli Stati membri comporta la necessità di adottare disposizioni nazionali supplementari sull’accessibilità dei prodotti e dei servizi. In assenza di interventi da parte dell’Unione, tali disposizioni porterebbero a un ulteriore aumento delle disparità fra le disposizioni legislative, regolamentari ed amministrative degli Stati membri.

(16)

È pertanto necessario agevolare l’attuazione dell’UNCRPD nell’Unione prevedendo regole comuni dell’Unione. La presente direttiva contribuisce altresì agli sforzi degli Stati membri volti a rispettare, in modo armonizzato, i rispettivi impegni nazionali e obblighi in materia di accessibilità derivanti dall’UNCRPD.

(17)

La comunicazione della Commissione del 15 novembre 2010«Strategia europea sulla disabilità 2010-2020: un rinnovato impegno per un’Europa senza barriere», in linea con l’UNCRPD e, individua l’accessibilità come uno degli otto ambiti d’azione, la definisce una condizione indispensabile per la partecipazione alla società e mira a garantire l’accessibilità dei prodotti e dei servizi.

(18)

La determinazione dei prodotti e dei servizi che rientrano nell’ambito di applicazione della presente direttiva è basata su un’analisi eseguita durante la preparazione della valutazione d’impatto che ha individuato i prodotti e servizi pertinenti destinati alle persone con disabilità per i quali gli Stati membri hanno adottato o presumibilmente adotteranno requisiti di accessibilità nazionali divergenti che perturbano il funzionamento del mercato interno.

(19)

Al fine di garantire l’accessibilità dei servizi che rientrano nell’ambito di applicazione della presente direttiva, anche i prodotti utilizzati per la prestazione di tali servizi con cui il consumatore interagisce dovrebbero rispettare i requisiti di accessibilità applicabili della presente direttiva.

(20)

Anche se un servizio, o parte di esso, è subappaltato a terzi, non dovrebbe essere compromessa l’accessibilità a tale servizio e i fornitori di servizi dovrebbero rispettare gli obblighi della presente direttiva. I fornitori di servizi dovrebbero inoltre assicurare una formazione appropriata e continua del personale per garantire che esso disponga di una preparazione adeguata sull’utilizzo dei prodotti e dei servizi accessibili. Tale formazione dovrebbe riguardare questioni quali la trasmissione di informazioni, la consulenza e la pubblicità.

(21)

Si dovrebbero introdurre requisiti di accessibilità nel modo meno oneroso possibile per gli operatori economici e gli Stati membri.

(22)

È necessario specificare i requisiti di accessibilità per l’immissione sul mercato di prodotti e servizi che rientrano nell’ambito di applicazione della presente direttiva al fine di garantire la loro libera circolazione nel mercato interno.

(23)

La presente direttiva dovrebbe rendere obbligatori i requisiti funzionali di accessibilità e questi dovrebbero essere stabiliti in termini di obiettivi generali. Tali requisiti dovrebbero essere sufficientemente precisi da creare obblighi giuridicamente vincolanti e sufficientemente dettagliati da consentire di valutare la conformità al fine di garantire il buon funzionamento del mercato interno per i prodotti e i servizi contemplati dalla presente direttiva, nonché lasciare un determinato margine di flessibilità per consentire l’innovazione.

(24)

La presente direttiva contiene una serie di criteri funzionali di prestazione relativi alle modalità di funzionamento di prodotti e servizi. Tali criteri non sono intesi come un’alternativa generale ai requisiti di accessibilità stabiliti dalla presente direttiva, ma dovrebbero essere utilizzati soltanto in circostanze molto specifiche. I suddetti criteri dovrebbero essere applicati a funzioni o caratteristiche specifiche di tali prodotti o servizi, per renderli accessibili, quando i requisiti di accessibilità della presente direttiva non trattano una o più di tali funzioni o caratteristiche specifiche. In aggiunta, nel caso che un requisito di accessibilità contenga requisiti tecnici specifici, e nel prodotto o nel servizio sia fornita una soluzione tecnica alternativa a detti requisiti tecnici, tale soluzione tecnica alternativa dovrebbe essere comunque conforme ai pertinenti requisiti di accessibilità, e dovrebbe produrre un’accessibilità equivalente o maggiore, applicando i pertinenti criteri funzionali di prestazione.

(25)

La presente direttiva dovrebbe applicarsi ai sistemi hardware informatici generici per consumatori. Affinché detti sistemi funzionino in maniera accessibile, anche i loro sistemi operativi dovrebbero essere accessibili. Tali sistemi hardware informatici sono caratterizzati dalla multifunzionalità e dalla capacità di eseguire, con il software adeguato, le operazioni informatiche più comuni richieste dai consumatori e sono destinati ad essere utilizzati dai consumatori. I personal computer, compresi i computer da tavolo (desktop), i notebook, gli smartphone e i tablet, sono esempi di tali sistemi hardware informatici. I computer specializzati incorporati in prodotti elettronici di consumo non costituiscono sistemi hardware informatici generici per consumatori. La presente direttiva non dovrebbe applicarsi, su base individuale, ai singoli componenti con funzioni specifiche in quanto tali, come ad esempio una scheda madre o un chip di memoria, che sono usati o potrebbero essere usati in un tale sistema.

(26)

La presente direttiva dovrebbe inoltre includere i terminali di pagamento, inclusi entrambe i loro hardware e software, e taluni terminali self-service interattivi comprendenti, inclusi entrambe i loro hardware e software, destinati a essere utilizzati per la fornitura di servizi contemplati dalla presente direttiva: ad esempio, gli sportelli automatici; le macchine per l’emissione di biglietti che garantiscono l’accesso a servizi, quali i distributori di titoli di trasporto e le macchine per l’emissione di biglietti per la gestione delle file negli uffici bancari; i terminali per il check-in; e i terminali self-service interattivi per la fornitura di informazioni, compresi gli schermi informativi interattivi.

(27)

Tuttavia, alcuni terminali self-service interattivi per la fornitura di informazioni installati come parti integranti di veicoli, aeromobili, navi o materiale rotabile dovrebbero essere esclusi dall’ambito di applicazione della presente direttiva, in quanto fanno parte di tali veicoli, aeromobili, navi o materiale rotabile che non sono contemplati dalla presente direttiva.

(28)

La presente direttiva dovrebbe inoltre applicarsi ai servizi di comunicazione elettronica, comprese le comunicazioni di emergenza, di cui alla direttiva (UE) 2018/1972 del Parlamento europeo e del Consiglio (5). Attualmente, le misure adottate dagli Stati membri per garantire l’accesso delle persone con disabilità divergono e non sono armonizzate in tutto il mercato interno. Garantire l’applicazione degli stessi requisiti di accessibilità in tutta l’Unione consentirà di realizzare economie di scala agli operatori economici attivi in più di uno Stato membro e agevolerà l’accesso efficace delle persone con disabilità sia nel loro Stato membro che quando viaggiano tra Stati membri. Affinché i servizi di comunicazione elettronica, comprese le comunicazioni di emergenza, siano accessibili, i fornitori dovrebbero fornire, in aggiunta alla comunicazione vocale, il testo in tempo reale e i servizi di conversazione globale qualora offrano un video, garantendo la sincronizzazione di tutti questi strumenti di comunicazione. Oltre ai requisiti della presente direttiva, gli Stati membri dovrebbero, conformemente alla direttiva (UE) 2018/1972, poter individuare un fornitore di servizi di ritrasmissione utilizzabile dalle persone con disabilità.

(29)

La presente direttiva armonizza i requisiti di accessibilità per i servizi di comunicazione elettronica e i relativi prodotti e integra la direttiva (UE) 2018/1972, che stabilisce requisiti in materia di accesso e scelta equivalenti per gli utenti finali con disabilità. La direttiva (UE) 2018/1972 stabilisce anche, nell’ambito degli obblighi di servizio universale, requisiti in materia di accessibilità economica dei servizi di accesso a Internet e di comunicazione vocale, nonché di accessibilità economica e disponibilità delle relative apparecchiature terminali, attrezzature specifiche e servizi per i consumatori con disabilità.

(30)

La presente direttiva dovrebbe altresì contemplare le apparecchiature terminali con capacità informatiche interattive per consumatori, prevedibilmente destinate ad essere utilizzate principalmente per accedere ai servizi di comunicazione elettronica. Ai fini della presente direttiva si dovrebbe ritenere che tali apparecchiature comprendano le apparecchiature utilizzate per l’accesso ai suddetti servizi di comunicazione elettronica come ad esempio un router o un modem.

(31)

Ai fini della presente direttiva, accesso a servizi di media audiovisivi dovrebbe significare che i servizi che forniscono accesso ai contenuti audiovisivi devono essere accessibili, come pure i meccanismi che consentono agli utenti con disabilità di utilizzare le loro tecnologie assistive. I servizi che forniscono accesso a servizi di media audiovisivi potrebbero comprendere siti web, applicazioni online, applicazioni basate su set-top box e scaricabili, servizi per dispositivi mobili, comprese le applicazioni mobili, e relativi lettori multimediali, nonché servizi di televisione connessa. L’accessibilità dei servizi di media audiovisivi è disciplinata dalla direttiva 2010/13/UE del Parlamento europeo e del Consiglio (6), con l’eccezione dell’accessibilità alle guide elettroniche ai programmi (electronic programme guides — EPG) che sono comprese nella definizione di servizi che forniscono accesso a servizi di media audiovisivi a cui si applica la presente direttiva.

(32)

Nell’ambito dei servizi di trasporto passeggeri aerei, su autobus, ferroviari e per vie navigabili, la presente direttiva dovrebbe tra l’altro disciplinare la fornitura di informazioni relative ai servizi di trasporto comprese le informazioni di viaggio in tempo reale tramite siti web, servizi per dispositivi mobili, schermi informativi interattivi e terminali self-service interattivi di cui i passeggeri con disabilità hanno bisogno per viaggiare. Ciò potrebbe includere le informazioni sui prodotti e servizi di trasporto passeggeri offerti dal fornitore di servizi, le informazioni prima del viaggio, le informazioni durante il viaggio e le informazioni fornite quando un servizio subisce una cancellazione o un ritardo alla partenza. Altri elementi d’informazione potrebbero comprendere, ad esempio, informazioni su prezzi e promozioni.

(33)

La presente direttiva dovrebbe disciplinare anche i siti web, i servizi per dispositivi mobili, comprese le applicazioni mobili sviluppate o messe a disposizione da operatori di servizi di trasporto passeggeri rientranti nell’ambito di applicazione della presente direttiva o a loro nome, i servizi di biglietteria elettronica, i biglietti elettronici e i terminali self-service interattivi.

(34)

La definizione dell’ambito di applicazione della presente direttiva per quanto riguarda i servizi di trasporto passeggeri aerei, con autobus, ferroviari e per vie navigabili dovrebbe basarsi sulla legislazione settoriale in vigore in materia di diritti dei passeggeri. Qualora la presente direttiva non si applichi a determinati tipi di servizi di trasporto, gli Stati membri dovrebbero incoraggiare i fornitori di servizi ad applicare i requisiti di accessibilità pertinenti della presente direttiva.

(35)

La direttiva (UE) 2016/2102 del Parlamento europeo e del Consiglio (7) prevede già l’obbligo, per gli enti pubblici che forniscono servizi di trasporto, compresi i servizi di trasporto urbani e extraurbani e dei servizi di trasporto regionale, di rendere accessibili i loro siti web. La presente direttiva prevede esenzioni per le microimprese che forniscono servizi, compresi i servizi di trasporto urbani e extraurbani e dei servizi di trasporto regionale. Inoltre, presente direttiva prevede obblighi finalizzati ad assicurare che i siti web di commercio elettronico siano accessibili. Poiché la presente direttiva reca obblighi per la grande maggioranza dei fornitori di servizi di trasporto privati a rendere accessibili i loro siti web, per quanto riguarda la vendita online dei biglietti, non è necessario introdurre nella presente direttiva ulteriori requisiti per i siti web dei fornitori di servizi di trasporto urbani e extraurbani e dei fornitori di servizi di trasporto regionali.

(36)

Alcuni elementi dei requisiti di accessibilità, in particolare in relazione alla fornitura di informazioni di cui alla presente direttiva, sono già disciplinati dal diritto dell’Unione in vigore nel settore del trasporto passeggeri. Si tratta di elementi del regolamento (CE) n. 261/2004 del Parlamento europeo e del Consiglio (8), del regolamento (CE) n. 1107/2006 del Parlamento europeo e del Consiglio (9), del regolamento (CE) n. 1371/2007 del Parlamento europeo e del Consiglio (10), del regolamento (UE) n. 1177/2010 del Parlamento europeo e del Consiglio (11), e del regolamento (UE) n. 181/2011 del Parlamento europeo e del Consiglio (12). Si tratta inoltre degli atti pertinenti adottati sulla base della direttiva 2008/57/CE del Parlamento europeo e del Consiglio (13). Per ragioni di coerenza normativa, i requisiti di accessibilità fissati dai tali regolamenti e atti dovrebbero continuare ad applicarsi come prima. Tuttavia, i requisiti supplementari della presente direttiva dovrebbero integrare i requisiti esistenti, migliorando il funzionamento del mercato interno nel settore dei trasporti e recando beneficio alle persone con disabilità.

(37)

Alcuni elementi dei servizi di trasporto non dovrebbero rientrare nell’ambito di applicazione della presente direttiva se prestati al di fuori del territorio degli Stati membri, anche se il servizio è destinato al mercato dell’Unione. Per quanto riguarda tali elementi, un operatore di servizi di trasporto passeggeri dovrebbe essere tenuto a garantire la conformità ai requisiti previsti presente direttiva soltanto per la parte del servizio fornita all’interno del territorio dell’Unione. Tuttavia, per quanto riguarda il trasporto aereo, i vettori aerei dell’Unione dovrebbero essere tenuti ad assicurare che i requisiti applicabili di cui alla presente direttiva siano soddisfatti anche nel caso di voli in partenza da un aeroporto situato in un paese terzo e diretti verso un aeroporto situato nel territorio di uno Stato membro. Inoltre, tutti i vettori aerei, compresi quelli che non sono titolari di una licenza rilasciata nell’Unione, dovrebbero essere tenuti ad assicurare che i requisiti applicabili previsti dalla presente direttiva siano soddisfatti nel caso di voli in partenza dal territorio dell’Unione e diretti verso il territorio di un paese terzo.

(38)

Le autorità urbane dovrebbero essere incoraggiate a integrare l’accessibilità senza barriere nei servizi di trasporto urbano nei loro piani di mobilità urbana sostenibile e a pubblicare regolarmente un elenco delle migliori pratiche in materia di accessibilità senza barriere ai trasporti pubblici urbani e alla mobilità.

(39)

Il diritto dell’Unione in materia di servizi bancari e finanziari mira a proteggere e a informare i consumatori di tali servizi in tutta l’Unione ma non include requisiti di accessibilità. Al fine di consentire alle persone con disabilità di utilizzare tali servizi in tutta l’Unione, anche quando sono forniti mediante siti web e servizi per dispositivi mobili, incluse le applicazioni mobili, di prendere decisioni in piena cognizione di causa e sentirsi sicuri di essere protetti adeguatamente su una base di uguaglianza con gli altri consumatori, nonché al fine di garantire condizioni di parità per i fornitori di servizi, la presente direttiva dovrebbe stabilire requisiti di accessibilità comuni per alcuni servizi bancari e finanziari forniti ai consumatori.

(40)

I requisiti di accessibilità adeguati dovrebbero inoltre applicarsi ai metodi di identificazione, alla firma elettronica e ai servizi di pagamento poiché essi sono necessari per concludere transazioni nell’ambito dei servizi bancari per consumatori.

(41)

I file di libri elettronici sono basati su una codificazione elettronica che consente la circolazione e la consultazione di opere dell’ingegno prevalentemente di tipo grafico e testuale. Il grado di precisione di tale codificazione determina l’accessibilità dei file di libri elettronici, in particolare per quanto riguarda la qualificazione dei diversi elementi costitutivi delle opere e la descrizione standardizzata della loro struttura. L’interoperabilità in termini di accessibilità dovrebbe ottimizzare la compatibilità di tali file con i programmi utenti e le tecnologie assistive attuali e future. Le caratteristiche specifiche di volumi speciali come i fumetti, i libri per bambini e i libri d’arte dovrebbero essere prese in considerazione alla luce di a tutti i requisiti di accessibilità applicabili. L’esistenza di requisiti di accessibilità divergenti negli Stati membri renderebbe difficile per gli editori e gli altri operatori economici beneficiare dei vantaggi del mercato interno, potrebbe creare problemi d’interoperabilità con i lettori di libri elettronici (e-reader) e limiterebbe l’accesso per i consumatori con disabilità. Nel contesto dei libri elettronici, il concetto di fornitore di servizi potrebbe includere gli editori e gli altri operatori economici coinvolti nella distribuzione.

È riconosciuto che le persone con disabilità continuano a incontrare ostacoli nell’accesso ai contenuti protetti da diritti d’autore e diritti connessi e che talune misure sono già state adottate per affrontare tale situazione ad esempio mediante l’adozione della direttiva (UE) 2017/1564 del Parlamento europeo e del Consiglio (14) e il regolamento (UE) 2017/1563 del Parlamento europeo e del Consiglio (15), e che in futuro potrebbero essere adottate a tale riguardo ulteriori misure dell’Unione.

(42)

La presente direttiva definisce i servizi di commercio elettronico come servizi forniti a distanza, tramite siti web e applicazioni mobili, per via elettronica e su richiesta individuale di un consumatore, al fine di concludere un contratto di consumo. Ai fini di tale definizione per «a distanza» si intende che il servizio è fornito senza la presenza simultanea delle parti; per «per via elettronica» si intende un servizio inviato all’origine e ricevuto a destinazione mediante mezzi elettronici di trattamento (compresa la compressione digitale) e di memorizzazione di dati, e che è trasmesso, inoltrato e ricevuto in tutti i suoi elementi via cavo, via radio, a mezzo di fibre ottiche o con altri mezzi elettromagnetici; per «su richiesta individuale di un consumatore» si intende che il servizio è fornito su richiesta individuale. Data la crescente importanza dei servizi di commercio elettronico e il loro carattere altamente tecnologico, è importante disporre di requisiti di accessibilità armonizzati.

(43)

Gli obblighi di accessibilità relativi a servizi di commercio elettronico della presente direttiva dovrebbero applicarsi alla vendita online di qualsiasi prodotto o servizio, e dovrebbero pertanto applicarsi anche alla vendita di prodotti o servizi contemplati in quanto tali dalla presente direttiva.

(44)

Le misure relative all’accessibilità della raccolta delle comunicazioni di emergenza dovrebbero essere adottate senza pregiudicare né incidere in alcun modo sull’organizzazione dei servizi di emergenza, che resta di esclusiva competenza degli Stati membri.

(45)

Conformemente alla direttiva (UE) 2018/1972, gli Stati membri devono provvedere affinché gli utenti finali con disabilità abbiano accesso ai servizi di emergenza mediante le comunicazioni di emergenza e in modo equivalente a quelli utilizzati dagli altri utenti finali in conformità del diritto dell’Unione che armonizza i requisiti di accessibilità dei prodotti e dei servizi. La Commissione e le autorità nazionali di regolamentazione o le altre autorità competenti devono adottare misure adeguate per assicurare che gli utenti finali con disabilità, mentre viaggiano in altri Stati membri, possano accedere ai servizi di emergenza su un piano di parità con gli altri utenti finali ove possibile senza alcuna preregistrazione. Tali misure mirano a garantire l’interoperabilità tra gli Stati membri devono basarsi quanto più possibile sulle norme o specifiche europee stabilite conformemente alle disposizioni dell’articolo 39 della direttiva (UE) 2018/1972. Tali misure non impediscono agli Stati membri di adottare ulteriori requisiti al fine di perseguire gli obiettivi di cui a tale direttiva. In alternativa al rispetto dei requisiti di accessibilità stabiliti dalla presente direttiva per quanto riguarda la raccolta delle comunicazioni di emergenza per gli utenti con disabilità, gli Stati membri dovrebbero poter individuare un fornitore terzo di servizi di ritrasmissione utilizzabile dalle persone con disabilità per comunicare con il centro di raccolta delle chiamate di emergenza, fino a che tali centri siano in grado di utilizzare i servizi di comunicazione elettronica tramite protocolli Internet per garantire l’accessibilità della raccolta delle comunicazioni di emergenza. In ogni caso, gli obblighi della presente direttiva non dovrebbero essere intesi nel senso di limitare o ridurre alcun obbligo a beneficio degli utenti finali con disabilità, compreso l’accesso equivalente ai servizi di comunicazione elettronica e ai servizi di emergenza così come gli obblighi di accessibilità di cui alla direttiva (UE) 2018/1972.

(46)

La direttiva (UE) 2016/2102 definisce i requisiti di accessibilità per i siti web e le applicazioni mobili degli enti pubblici, nonché altri aspetti correlati, in particolare i requisiti riguardanti la conformità dei siti web e delle applicazioni mobili interessati. Tuttavia, detta direttiva prevede un elenco specifico di eccezioni. Eccezioni analoghe riguardano la presente direttiva. Alcune attività che hanno luogo attraverso i siti web e le applicazioni mobili degli enti del settore pubblico, come i servizi di trasporto passeggeri o i servizi di commercio elettronico, che rientrano nell’ambito di applicazione della presente direttiva, dovrebbero inoltre essere conformi ai requisiti di accessibilità applicabili della presente direttiva al fine di garantire che la vendita online di prodotti e servizi sia accessibile alle persone con disabilità, a prescindere dal fatto che il venditore sia un operatore economico pubblico o privato. I requisiti di accessibilità della presente direttiva dovrebbero essere allineati ai requisiti della direttiva (UE) 2016/2102, nonostante le differenze, ad esempio, nel monitoraggio, nelle relazioni e nell’attuazione.

(47)

I quattro principi dell’accessibilità dei siti web e delle applicazioni mobili, quali utilizzati nella direttiva (UE) 2016/2102, sono: percepibilità, nel senso che le informazioni e i componenti dell’interfaccia utente devono essere presentabili agli utenti in modalità percepibili; utilizzabilità, nel senso che i componenti e la navigazione dell’interfaccia utente devono essere utilizzabili; comprensibilità, nel senso che le informazioni e il funzionamento dell’interfaccia utente devono essere comprensibili; e solidità, nel senso che i contenuti devono essere abbastanza solidi da poter essere interpretati con sicurezza da una vasta gamma di programmi utente, comprese le tecnologie assistive. Detti principi sono altresì rilevanti per la presente direttiva.

(48)

Gli Stati membri dovrebbero adottare tutte le misure adeguate a garantire che, laddove i prodotti e i servizi disciplinati dalla presente direttiva siano conformi ai requisiti di accessibilità applicabili, la loro libera circolazione nell’Unione non sia impedita per motivi relativi ai requisiti di accessibilità.

(49)

In alcune situazioni, requisiti comuni di accessibilità dell’ambiente costruito agevolerebbero la libera circolazione dei servizi connessi e delle persone con disabilità. La presente direttiva dovrebbe consentire pertanto agli Stati membri di includere l’ambiente costruito utilizzato per fornire i servizi nell’ambito di applicazione della presente direttiva, in modo da garantire la conformità ai requisiti di accessibilità di cui all’allegato III.

(50)

L’accessibilità dovrebbe essere conseguita mediante la soppressione e la prevenzione sistematiche delle barriere, preferibilmente attraverso il principio della progettazione universale o della «progettazione per tutti», che contribuisce a garantire alle persone con disabilità un accesso su base di uguaglianza con gli altri. Secondo l’UNCRPD, con tale approccio si intende la progettazione di prodotti, ambienti, programmi e servizi utilizzabili da tutte le persone, nella misura più estesa possibile, senza il bisogno di adattamenti o di progettazioni specializzate. In linea con l’UNCRPD, la «progettazione universale» non esclude i dispositivi assistivi per particolari gruppi di persone con disabilità, qualora ve ne sia l’esigenza». Inoltre, l’accessibilità non dovrebbe escludere l’applicazione di soluzioni appropriate se richiesto dal diritto nazionale o dell’Unione. I concetti di accessibilità e di progettazione universale dovrebbero essere interpretati in linea con l’osservazione generale n. 2(2014) - articolo 9: Accessibilità, quale redatta dal Comitato sui diritti delle persone con disabilità.

(51)

I prodotti e i servizi rientranti nell’ambito di applicazione della presente direttiva non rientrano automaticamente nell’ambito di applicazione della direttiva 93/42/CEE del Consiglio (16). Tuttavia, alcune tecnologie assistive che sono dispositivi medici potrebbero rientrare nell’ambito di applicazione di tale direttiva.

(52)

Le PMI e le microimprese forniscono lavoro alla maggioranza degli occupati nell’Unione. Esse sono di fondamentale importanza per la crescita futura, ma molto spesso si trovano di fronte a difficoltà e ostacoli nello sviluppo dei loro prodotti o servizi, in particolare nel contesto transfrontaliero. È quindi necessario facilitare il lavoro delle PMI e delle microimprese armonizzando le disposizioni nazionali in materia di accessibilità e mantenendo nel contempo le garanzie necessarie.

(53)

Affinché possano beneficiare della presente direttiva, le microimprese e le PMI devono realmente soddisfare i requisiti della raccomandazione 2003/361/CE della Commissione (17), e della giurisprudenza pertinente, volti a prevenire l’elusione delle sue norme.

(54)

Al fine di garantire la coerenza della legislazione dell’Unione, la presente direttiva dovrebbe basarsi sulla decisione n. 768/2008/CE del Parlamento europeo e del Consiglio (18) in quanto riguarda prodotti già oggetto di altri atti dell’Unione, pur riconoscendo le caratteristiche specifiche dei requisiti di accessibilità della presente direttiva.

(55)

Tutti gli operatori economici che rientrano nell’ambito di applicazione della presente direttiva e che intervengono nella catena di fornitura e distribuzione dovrebbero garantire che siano messi a disposizione sul mercato solo prodotti conformi alla presente direttiva. Lo stesso dovrebbe applicarsi agli operatori economici che forniscono servizi. È necessario ripartire in modo chiaro e proporzionato gli obblighi corrispondenti al ruolo di ciascun operatore economico nel processo di fornitura e distribuzione.

(56)

Gli operatori economici dovrebbero essere responsabili della conformità dei prodotti e dei servizi in relazione al ruolo che rivestono nella catena di fornitura, in modo da garantire un elevato livello di protezione dell’accessibilità e una concorrenza leale sul mercato dell’Unione.

(57)

Gli obblighi della presente direttiva dovrebbero applicarsi indistintamente agli operatori economici del settore pubblico e del settore privato.

(58)

Il fabbricante, che possiede conoscenze dettagliate del processo di progettazione e di produzione, è nella posizione migliore per eseguire la valutazione completa della conformità. Se la responsabilità della conformità dei prodotti incombe al fabbricante, le autorità di vigilanza del mercato dovrebbero svolgere un ruolo essenziale nel verificare se i prodotti messi a disposizione nell’Unione sono fabbricati in conformità del diritto dell’Unione.

(59)

Gli importatori e i distributori dovrebbero essere coinvolti nei compiti di vigilanza del mercato eseguiti dalle autorità nazionali e parteciparvi attivamente, fornendo alle autorità competenti tutte le informazioni necessarie sul prodotto in questione.

(60)

Gli importatori dovrebbero garantire che i prodotti originari di paesi terzi che entrano nel mercato dell’Unione siano conformi alla presente direttiva, e in particolare che i fabbricanti abbiano effettuato adeguate procedure di valutazione della conformità di tali prodotti.

(61)

All’atto dell’immissione di un prodotto sul mercato, gli importatori dovrebbero indicare sul prodotto il loro nome, la loro denominazione commerciale registrata o il loro marchio d’impresa, e l’indirizzo al quale possono essere contattati.

(62)

I distributori dovrebbero garantire che la manipolazione del prodotto non incida negativamente sulla sua conformità ai requisiti di accessibilità della presente direttiva.

(63)

Qualsiasi operatore economico che immetta sul mercato un prodotto con il proprio nome o marchio d’impresa oppure modifichi un prodotto già immesso sul mercato in modo che possa incidere sulla conformità ai requisiti applicabili, dovrebbe esserne considerato il fabbricante e assumere quindi i relativi obblighi.

(64)

Per motivi di proporzionalità, i requisiti di accessibilità dovrebbero applicarsi soltanto nella misura in cui non impongano un onere sproporzionato agli operatori economici interessati o nella misura in cui non richiedano un cambiamento significativo dei prodotti e servizi che comporterebbe una loro modifica sostanziale alla luce della presente direttiva. Dovrebbero tuttavia essere istituiti meccanismi di controllo per verificare la legittimità delle deroghe all’applicabilità dei requisiti di accessibilità.

(65)

La presente direttiva dovrebbe seguire il principio «pensare anzitutto in piccolo» e tenere conto degli oneri amministrativi che le PMI si trovano ad affrontare. Essa dovrebbe fissare norme poco gravose in termini di valutazione della conformità e stabilire clausole di salvaguardia per gli operatori economici, anziché prevedere eccezioni e deroghe generali per tali imprese. Di conseguenza, al momento di stabilire le regole per la selezione e l’attuazione delle procedure di valutazione della conformità più appropriate, bisognerebbe prendere in considerazione la situazione delle PMI e limitare gli obblighi di valutazione della conformità ai requisiti di accessibilità in modo che non impongano un onere sproporzionato per le PMI. Le autorità di vigilanza del mercato dovrebbero inoltre operare in modo proporzionato rispetto alle dimensioni delle imprese e alla limitata natura seriale o non seriale della produzione in questione, senza creare inutili ostacoli alle piccole e medie imprese e senza compromettere la protezione dell’interesse pubblico.

(66)

In casi eccezionali, in cui l’osservanza dei requisiti di accessibilità della presente direttiva impongano un onere sproporzionato per gli operatori economici, questi ultimi dovrebbero essere tenuti a conformarvisi soltanto nella misura in cui non impongano un onere sproporzionato. In tali casi debitamente giustificati, non sarebbe ragionevolmente possibile per un operatore economico applicare pienamente uno o più dei requisiti di accessibilità della presente direttiva. Tuttavia, l’operatore economico dovrebbe rendere quanto più possibile accessibile un servizio o un prodotto rientrante nell’ambito di applicazione della presente direttiva applicando tali requisiti nella misura in cui non impongano un onere sproporzionato. I requisiti di accessibilità che l’operatore economico non ha ritenuto che impongano un onere sproporzionato dovrebbero applicarsi pienamente. Le eccezioni alla conformità a uno o più requisiti di accessibilità dovute all’onere sproporzionato che gli stessi impongono non dovrebbero andare oltre lo stretto necessario, al fine di limitare detto onere per quanto riguarda il particolare prodotto o servizio interessato in ogni singolo caso. Per misure che imporrebbero un onere sproporzionato si dovrebbero intendere le misure che imporrebbero all’operatore economico un onere aggiuntivo eccessivo sotto il profilo organizzativo o finanziario, pur tenendo conto del probabile beneficio che ne deriverebbe per le persone con disabilità in linea con i criteri stabiliti nella presente direttiva. Sulla base di queste considerazioni dovrebbero essere definiti criteri al fine di consentire sia agli operatori economici che alle autorità pertinenti di confrontare le varie situazioni e di valutare l’eventuale esistenza di un onere sproporzionato in modo sistematico. Nel valutare in quale misura i requisiti di accessibilità non possano essere soddisfatti a causa dell’onere sproporzionato che imporrebbero, si dovrebbe tener conto soltanto di motivi legittimi. La mancanza di carattere prioritario, di tempo o di conoscenze non dovrebbe essere considerata un motivo legittimo.

(67)

La valutazione globale del carattere sproporzionato dell’onere dovrebbe essere effettuata avvalendosi dei criteri di cui all’allegato VI. Essa dovrebbe essere documentata dall’operatore economico tenendo conto dei pertinenti criteri. I fornitori di servizi dovrebbero riesaminare la valutazione del carattere sproporzionato dell’onere almeno ogni cinque anni.

(68)

L’operatore economico dovrebbe informare le autorità pertinenti che sono state invocate le disposizioni della presente direttiva relative alla modifica sostanziale e/o all’onere sproporzionato. Solo su richiesta delle autorità pertinenti l’operatore economico dovrebbe fornire una copia della valutazione in cui spiega perché il suo prodotto o servizio non è pienamente accessibile, adducendo la prova del carattere sproporzionato dell’onere o della modifica sostanziale, o di entrambe.

(69)

Se, sulla base della valutazione prescritta, un fornitore di servizi conclude che l’obbligo di assicurare che, tutti i terminali self-service utilizzati per la prestazione dei servizi contemplati dalla presente direttiva siano conformi ai requisiti di accessibilità della presente direttiva, costituirebbe un onere sproporzionato, il fornitore di servizi dovrebbe comunque applicare tali requisiti nella misura in cui non gli impongono un onere sproporzionato. Di conseguenza, i fornitori di servizi dovrebbero valutare la misura in cui un livello minimo di accessibilità di tutti i terminali self-service o un numero limitato di terminali self-service pienamente accessibili permetterebbe loro di evitare che un onere sproporzionato sia loro imposto, e dovrebbe essere loro richiesto di soddisfare i requisiti di accessibilità della presente direttiva solo in tale misura.

(70)

Le microimprese si distinguono da tutte le altre imprese per il fatto di disporre di risorse umane, fatturato annuo o bilancio annuo limitati. Per le microimprese, pertanto, l’onere di soddisfare i requisiti di accessibilità assorbe in generale una quota maggiore delle loro risorse umane e finanziarie rispetto alle altre imprese ed è più probabile che rappresenti una quota sproporzionata dei costi. Una percentuale significativa dei costi sostenuti dalle microimprese deriva dalla compilazione e dall’archiviazione di documenti e registri per dimostrare la propria conformità ai vari requisiti previsti dal diritto dell’Unione. Mentre tutti gli operatori economici contemplati dalla presente direttiva dovrebbero essere in grado di valutare la proporzionalità del rispetto dei requisiti di accessibilità della presente direttiva e dovrebbero conformarsi ad essi solo nella misura in cui non siano sproporzionati, imporre alle microimprese che forniscono servizi di procedere a una siffatta valutazione costituirebbe, di per sé, un onere sproporzionato. I requisiti e gli obblighi della presente direttiva non dovrebbero pertanto applicarsi alle microimprese che forniscono servizi rientranti nell’ambito di applicazione della presente direttiva.

(71)

Al fine di ridurre l’imposizione di oneri amministrativi sproporzionati, è opportuno che la presente direttiva preveda requisiti e obblighi meno rigorosi per le microimprese che trattano prodotti che rientrano nell’ambito di applicazione della presente direttiva.

(72)

Se alcune microimprese sono esenti dagli obblighi della presente direttiva, tutte le microimprese dovrebbero essere incoraggiate a fabbricare, importare o distribuire prodotti e a fornire servizi conformi ai requisiti di accessibilità della presente direttiva al fine di rafforzare la loro competitività e potenziale di crescita nel mercato interno. Gli Stati membri dovrebbero pertanto fornire alle microimprese orientamenti e strumenti per facilitare l’applicazione delle misure nazionali di recepimento della presente direttiva.

(73)

Tutti gli operatori economici, all’atto di immettere o di mettere a disposizione sul mercato prodotti o di fornire servizi sul mercato, dovrebbero agire in modo responsabile e in piena conformità alle prescrizioni giuridiche applicabili.

74)

Per facilitare la valutazione della conformità ai requisiti di accessibilità applicabili è necessario introdurre una presunzione di conformità per i prodotti e i servizi conformi alle norme armonizzate volontarie adottate ai sensi del regolamento (UE) n. 1025/2012 del Parlamento europeo e del Consiglio (19) al fine di formulare specifiche tecniche dettagliate di tali requisiti. La Commissione ha già formulato alle organizzazioni europee di normazione una serie di richieste di normazione in materia di accessibilità, quali i mandati di normazione M/376, M/473 e M/420, che sarebbero rilevanti per la preparazione delle norme armonizzate.

(75)

Il regolamento (UE) n. 1025/2012 prevede una procedura relativa alle obiezioni formali alle norme armonizzate che non sono ritenute conformi ai requisiti della presente direttiva.

(76)

Le norme europee dovrebbero essere orientate al mercato, tenere conto dell’interesse pubblico nonché degli obiettivi strategici chiaramente formulati nella richiesta rivolta dalla Commissione a una o più organizzazioni europee di normazione di elaborare norme armonizzate, e dovrebbero basarsi su un consenso. In mancanza di norme armonizzate e ove necessario ai fini dell’armonizzazione del mercato interno, la Commissione dovrebbe essere in grado di adottare, in determinati casi, atti di esecuzione che stabiliscano specifiche tecniche comuni per i requisiti di accessibilità della presente direttiva. Il ricorso alle specifiche tecniche dovrebbe essere limitato a tali casi. La Commissione dovrebbe poter adottare specifiche tecniche, ad esempio, quando il processo di normazione è bloccato a causa della mancanza di consenso tra le parti interessate o tale situazione crea ritardi ingiustificati nella definizione di una norma armonizzata, ad esempio perché la qualità richiesta non è raggiunta. La Commissione dovrebbe lasciare tempo sufficiente tra l’adozione di una richiesta a una o più organizzazioni europee di normazione di elaborare norme armonizzate e l’adozione di una specifica tecnica relativa allo stesso requisito di accessibilità. La Commissione non dovrebbe poter adottare una specifica tecnica senza avere precedentemente tentato di garantire la copertura dei requisiti di accessibilità da parte del sistema europeo di normazione, tranne nel caso in cui la Commissione possa dimostrare che le specifiche tecniche rispettano i requisiti di cui all’allegato II del regolamento (UE) n. 1025/2012.

(77)

Nell’ottica di istituire nel modo più efficace possibile norme armonizzate e specifiche tecniche che rispettino i requisiti di accessibilità per i prodotti e i servizi della presente direttiva, la Commissione dovrebbe, ove possibile, coinvolgere nel processo le organizzazioni europee di coordinamento che rappresentano le persone con disabilità e tutte le altre parti interessate.

(78)

Per garantire un accesso efficace alle informazioni a fini di vigilanza del mercato, le informazioni necessarie per dichiarare la conformità a tutti gli atti dell’Unione applicabili dovrebbero essere rese disponibili in un’unica dichiarazione UE di conformità. Al fine di ridurre gli oneri amministrativi a carico degli operatori economici, essi dovrebbero poter includere in tale unica dichiarazione UE di conformità tutte le singole dichiarazioni di conformità pertinenti.

(79)

Per la valutazione della conformità dei prodotti, la presente direttiva dovrebbe utilizzare il controllo interno della produzione del «Modulo A», descritto nell’allegato II della decisione n. 768/2008/CE, in quanto consente agli operatori economici di dimostrare e alle autorità competenti di garantire che i prodotti messi a disposizione sul mercato sono conformi ai requisiti di accessibilità senza imporre un onere indebito.

(80)

Nell’effettuare la sorveglianza del mercato dei prodotti e nel verificare la conformità dei servizi, le autorità dovrebbero altresì verificare se le valutazioni di conformità, compresa se del caso la valutazione di un’alterazione essenziale o dell’onere sproporzionato, siano state correttamente effettuate. Le autorità dovrebbero adempiere ai loro obblighi in cooperazione con le persone con disabilità e con le organizzazioni che le rappresentano e che rappresentano i loro interessi.

(81)

Per i servizi, le informazioni necessarie a valutare la conformità ai requisiti di accessibilità della presente direttiva dovrebbero essere fornite nelle condizioni generali o in un documento equivalente, fatta salva la direttiva 2011/83/UE del Parlamento europeo e del Consiglio (20).

(82)

La marcatura CE, che indica la conformità di un prodotto ai requisiti di accessibilità della presente direttiva, è la conseguenza visibile di un processo complessivo che comprende la valutazione della conformità in senso lato. La presente direttiva dovrebbe seguire i principi generali che disciplinano la marcatura CE del regolamento (CE) n. 765/2008, del Parlamento europeo e del Consiglio (21), che pone norme in materia di accreditamento e vigilanza del mercato per quanto riguarda la commercializzazione dei prodotti. Oltre a rendere la dichiarazione di conformità UE, il fabbricante dovrebbe informare i consumatori, in modo efficace sotto il profilo dei costi, sull’accessibilità dei prodotti.

(83)

In conformità del regolamento (CE) n. 765/2008, apponendo la marcatura CE sul prodotto il fabbricante dichiara la conformità del prodotto a tutti i requisiti di accessibilità applicabili e se ne assume la piena responsabilità.

(84)

In conformità della decisione n. 768/2008/CE, gli Stati membri hanno la responsabilità di garantire, per i prodotti, una vigilanza forte ed efficiente del mercato sul proprio territorio e dovrebbero conferire poteri e risorse sufficienti alle proprie autorità di vigilanza del mercato.

(85)

Gli Stati membri dovrebbero verificare la conformità dei servizi agli obblighi della presente direttiva e dare seguito ai reclami o alle relazioni concernenti casi di non conformità al fine di garantire che siano state adottate misure correttive.

(86)

La Commissione potrebbe, se del caso, adottare, in consultazione con le parti interessate, orientamenti non vincolanti volti a sostenere il coordinamento tra le autorità di vigilanza del mercato e le autorità responsabili del controllo della conformità dei servizi. La Commissione e gli Stati membri dovrebbero poter avviare iniziative allo scopo di condividere risorse e conoscenze delle autorità.

(87)

Gli Stati membri dovrebbero essere tenuti a provvedere affinché le autorità di vigilanza del mercato e le autorità responsabili della conformità dei servizi verifichino la conformità degli operatori economici ai criteri di cui all’allegato VI, in conformità dei capi VIII e IX. Gli Stati membri dovrebbero poter designare un organismo specializzato per adempiere agli obblighi delle autorità di vigilanza del mercato o delle autorità responsabili della conformità dei servizi previsti dalla presente direttiva. Gli Stati membri dovrebbero poter decidere che le competenze di tale organismo specializzato debbano essere limitate all’ambito di applicazione della presente direttiva o ad alcune sue parti, fatti salvi gli obblighi degli Stati membri a norma del regolamento (CE) n. 765/2008.

(88)

È opportuno istituire una procedura di salvaguardia da applicare in caso di disaccordo tra Stati membri sulle misure adottate da uno Stato membro, in base alla quale le parti interessate siano informate delle misure di cui è prevista l’adozione in relazione a prodotti non conformi ai requisiti di accessibilità della presente direttiva. La procedura di salvaguardia dovrebbe consentire alle autorità di vigilanza del mercato, in cooperazione con gli operatori economici interessati, di intervenire in una fase più precoce per quanto riguarda tali prodotti.

(89)

Qualora gli Stati membri e la Commissione concordino sul fatto che una misura adottata da uno Stato membro è giustificata, non dovrebbero essere previsti ulteriori interventi della Commissione, ad eccezione dei casi in cui la non conformità possa essere attribuita a carenze di una norma armonizzata o delle specifiche tecniche.

(90)

Le direttive 2014/24/UE (22) e 2014/25/UE (23) del Parlamento europeo e del Consiglio sugli appalti pubblici, che definiscono le procedure di aggiudicazione degli appalti pubblici e concorsi pubblici di progettazione per talune forniture (prodotti), servizi e lavori, stabiliscono che, per tutti gli appalti destinati all’uso da parte di persone fisiche, che si tratti della popolazione o del personale dell’amministrazione aggiudicatrice o dell’ente aggiudicatore, le specifiche tecniche sono elaborate, salvo in casi debitamente giustificati, in modo da tenere conto dei criteri di accessibilità per le persone con disabilità o di una progettazione per tutti gli utenti. Inoltre, tali direttive prevedono che, qualora i requisiti di accessibilità obbligatori siano adottati con un atto giuridico dell’Unione, le specifiche tecniche debbano essere stabilite mediante riferimento ad esse per quanto riguarda l’accessibilità per le persone con disabilità o la progettazione per tutti gli utenti. La presente direttiva dovrebbe stabilire requisiti di accessibilità obbligatori per i prodotti e i servizi da essa contemplati. Per i prodotti e i servizi che non rientrano nell’ambito di applicazione della presente direttiva, i requisiti di accessibilità della stessa non sono vincolanti. Tuttavia, l’utilizzo di tali requisiti di accessibilità per soddisfare i pertinenti obblighi stabiliti in atti dell’Unione diversi dalla presente direttiva faciliterebbe l’attuazione dell’accessibilità e contribuirebbe alla certezza del diritto e al ravvicinamento dei requisiti di accessibilità in tutta l’Unione. Non si dovrebbe impedire alle autorità di stabilire requisiti di accessibilità che vanno oltre quelli di cui all’allegato I della presente direttiva.

(91)

La presente direttiva non dovrebbe modificare la natura obbligatoria o volontaria delle disposizioni in materia di accessibilità in altri atti dell’Unione.

(92)

La presente direttiva dovrebbe applicarsi solo alle procedure di appalto per le quali è stato inviato l’avviso di indizione di gara ovvero, qualora non sia previsto l’avviso di indizione di gara, laddove l’amministrazione aggiudicatrice o l’ente aggiudicatore abbia avviato la procedura di appalto dopo la data di applicazione della presente direttiva.

(93)

Al fine di garantire la corretta applicazione della presente direttiva, è opportuno delegare alla Commissione il potere di adottare atti conformemente all’articolo 290 del TFUE riguardo all’ulteriore precisazione dei requisiti di accessibilità che non possono, per la loro stessa natura, produrre il loro effetto atteso a meno di essere ulteriormente specificati in atti giuridici vincolanti dell’Unione; alla modifica del periodo durante il quale gli operatori economici devono essere in grado di identificare qualsiasi altro operatore economico che ha fornito loro un prodotto o al quale essi hanno fornito un prodotto; e all’ulteriore specificazione dei criteri pertinenti che l’operatore economico deve prendere in considerazione per valutare se la conformità ai requisiti di accessibilità imporrebbe un onere sproporzionato. È di particolare importanza che durante i lavori preparatori la Commissione svolga adeguate consultazioni, anche a livello di esperti, nel rispetto dei principi stabiliti nell’accordo interistituzionale «Legiferare meglio» del 13 aprile 2016 (24). In particolare, al fine di garantire la parità di partecipazione alla preparazione degli atti delegati, il Parlamento europeo e il Consiglio ricevono tutti i documenti contemporaneamente agli esperti degli Stati membri, e i loro esperti hanno sistematicamente accesso alle riunioni dei gruppi di esperti della Commissione incaricati della preparazione di tali atti delegati.

(94)

Al fine di garantire condizioni uniformi di esecuzione della presente direttiva, dovrebbero essere conferite alla Commissione competenze di esecuzione per quanto riguarda le specifiche tecniche. Tali competenze dovrebbero essere esercitate conformemente al regolamento (UE) n. 182/2011 del Parlamento europeo e del Consiglio (25).

(95)

Gli Stati membri dovrebbero garantire che esistano mezzi idonei ed efficaci per assicurare il rispetto delle disposizioni della presente direttiva e dovrebbero stabilire pertanto adeguati meccanismi di controllo, come il controllo a posteriori da parte delle autorità di vigilanza del mercato, al fine di verificare la legittimità della deroga all’applicazione dei requisiti di accessibilità. In sede di esame dei ricorsi riguardanti l’accessibilità, gli Stati membri dovrebbero rispettare il principio generale di buona amministrazione, e in particolare l’obbligo dei funzionari di garantire che sia adottata una decisione su ciascun ricorso entro un termine ragionevole.

(96)

Per agevolare l’attuazione uniforme della presente direttiva, la Commissione dovrebbe istituire un gruppo di lavoro composto dalle pertinenti autorità e parti interessate per facilitare lo scambio di informazioni e di migliori prassi e per fornire consulenza. È opportuno incoraggiare la cooperazione tra le autorità e le parti interessate, comprese le persone con disabilità e le organizzazioni che le rappresentano, tra l’altro per migliorare la coerenza nell’applicazione delle disposizioni della presente direttiva riguardanti i requisiti di accessibilità e per controllare l’attuazione delle sue disposizioni sulla modifica sostanziale e l’onere sproporzionato.

(97)

Visto il quadro normativo esistente in materia di ricorsi nei settori contemplati dalle direttive 2014/24/UE e 2014/25/UE, le disposizioni della presente direttiva relative all’applicazione e alle sanzioni non dovrebbero applicarsi alle procedure di appalto soggette agli obblighi imposti dalla presente direttiva. Tale esclusione lascia impregiudicati gli obblighi degli Stati membri derivanti dai trattati di adottare tutte le misure necessarie per garantire l’applicazione e l’efficacia del diritto dell’Unione.

(98)

Le sanzioni dovrebbero essere adeguate rispetto alla natura delle violazioni e alle circostanze, affinché non fungano da alternativa all’adempimento, da parte degli operatori economici, degli obblighi di rendere accessibili i loro prodotti o servizi.

(99)

Gli Stati membri dovrebbero garantire che, conformemente al diritto dell’Unione in vigore, siano disponibili meccanismi alternativi di risoluzione delle controversie che consentano di risolvere i presunti casi di non conformità alla presente direttiva prima che vengano aditi i tribunali o gli organi amministrativi competenti.

(100)

Conformemente alla dichiarazione politica comune del 28 settembre 2011 degli Stati membri e della Commissione sui documenti esplicativi (26), gli Stati membri si sono impegnati a garantire, in casi giustificati, che la notifica delle loro misure di recepimento sia accompagnata da uno o più documenti che chiariscano il rapporto tra gli elementi costitutivi della direttiva e le parti corrispondenti degli strumenti nazionali di recepimento. Per quanto riguarda la presente direttiva, il legislatore ritiene che la trasmissione di tali documenti sia giustificata.

(101)

Al fine di concedere ai fornitori di servizi un periodo di tempo sufficiente per adeguarsi ai requisiti della presente direttiva, è necessario prevedere un periodo transitorio di cinque anni a decorrere dalla data di applicazione della presente direttiva, durante il quale non occorre che i prodotti utilizzati per la fornitura di un servizio immessi sul mercato prima di tale data siano conformi ai requisiti di accessibilità della presente direttiva, a meno che non siano sostituiti dai fornitori di servizi nel corso del periodo transitorio. Visti il costo e il lungo ciclo di vita dei terminali self-service, è opportuno prevedere che, quando sono utilizzati per la prestazione di servizi, tali terminali possano continuare ad essere utilizzati fino alla fine della loro vita economica, purché non siano sostituiti durante tale periodo, il quale non è superiore a 20 anni.

(102)

I requisiti di accessibilità della presente direttiva dovrebbero applicarsi ai prodotti immessi sul mercato e ai servizi forniti dopo la data di applicazione delle misure nazionali di recepimento della presente direttiva, compresi i prodotti usati e di seconda mano importati da un paese terzo e immessi sul mercato dopo tale data.

(103)

La presente direttiva rispetta i diritti fondamentali e osserva i principi riconosciuti in particolare dalla Carta dei diritti fondamentali dell’Unione europea («Carta»). La presente direttiva mira, in particolare, a garantire il pieno rispetto dei diritti delle persone con disabilità di beneficiare di misure intese a garantirne l’autonomia, l’inserimento sociale e professionale e la partecipazione alla vita della comunità, e intende promuovere l’applicazione degli articoli 21, 25 e 26 della Carta.

(104)

Poiché l’obiettivo della presente direttiva, vale a dire l’eliminazione degli ostacoli alla libera circolazione di determinati prodotti e servizi accessibili al fine di contribuire al corretto funzionamento del mercato interno, non può essere conseguito in misura sufficiente dagli Stati membri in quanto richiede l’armonizzazione di disposizioni diverse attualmente esistenti nei rispettivi ordinamenti giuridici, ma può essere conseguito meglio a livello di Unione, definendo requisiti di accessibilità e disposizioni comuni per il funzionamento del mercato interno, l’Unione può intervenire in base al principio di sussidiarietà sancito dall’articolo 5 del trattato sull’Unione europea. La presente direttiva si limita a quanto è necessario per conseguire tale obiettivo in ottemperanza al principio di proporzionalità enunciato nello stesso articolo,