Procedura : 2017/0225(COD)
Ciclo di vita in Aula
Ciclo del documento : A8-0264/2018

Testi presentati :

A8-0264/2018

Discussioni :

PV 11/03/2019 - 19
CRE 11/03/2019 - 19

Votazioni :

PV 12/03/2019 - 9.17
Dichiarazioni di voto

Testi approvati :

P8_TA(2019)0151

RELAZIONE     ***I
PDF 1710kWORD 256k
30.7.2018
PE 619.373v03-00 A8-0264/2018

sulla proposta di regolamento del Parlamento europeo e del Consiglio relativo all'ENISA, l'agenzia dell'Unione europea per la cibersicurezza, che abroga il regolamento (UE) n. 526/2013, e relativo alla certificazione della cibersicurezza per le tecnologie dell'informazione e della comunicazione ("regolamento sulla cibersicurezza")

(COM(2017)0477 – C8-0310/2017 – 2017/0225(COD))

Commissione per l'industria, la ricerca e l'energia

Relatore: Angelika Niebler

Relatore per parere (*):

Nicola Danti, commissione per il mercato interno e la protezione dei consumatori

(*) Procedura con le commissioni associate – Articolo 54 del regolamento

EMENDAMENTI
PROGETTO DI RISOLUZIONE LEGISLATIVA DEL PARLAMENTO EUROPEO
 MOTIVAZIONE
 PARERE della commissione per il mercato interno e la protezione dei consumatori
 PARERE della commissione per i bilanci
 PARERE della commissione per le libertà civili, la giustizia e gli affari interni
 PROCEDURA DELLA COMMISSIONE COMPETENTE PER IL MERITO
 VOTAZIONE FINALE PER APPELLO NOMINALEIN SEDE DI COMMISSIONE COMPETENTE PER IL MERITO

PROGETTO DI RISOLUZIONE LEGISLATIVA DEL PARLAMENTO EUROPEO

sulla proposta di regolamento del Parlamento europeo e del Consiglio relativo all'ENISA, l'agenzia dell'Unione europea per la cibersicurezza, che abroga il regolamento (UE) n. 526/2013, e relativo alla certificazione della cibersicurezza per le tecnologie dell'informazione e della comunicazione ("regolamento sulla cibersicurezza")

(COM(2017)0477 – C8-0310/2017 – 2017/0225(COD))

(Procedura legislativa ordinaria: prima lettura)

Il Parlamento europeo,

–  vista la proposta della Commissione al Parlamento europeo e al Consiglio (COM(2017)0477),

–  visti l'articolo 294, paragrafo 2, e l'articolo 114 del trattato sul funzionamento dell'Unione europea, a norma dei quali la proposta gli è stata presentata dalla Commissione (C8-0310/2017),

–  visto l'articolo 294, paragrafo 3, del trattato sul funzionamento dell'Unione europea,

–  visto il parere del Comitato economico e sociale europeo del 14 febbraio 2018(1),

–  visto l'articolo 59 del suo regolamento,

–  visto il parere motivato inviato dal Senato francese, nel quadro del protocollo n. 2 sull'applicazione dei principi di sussidiarietà e di proporzionalità, in cui si dichiara la mancata conformità del progetto di atto legislativo al principio di sussidiarietà,

–  visti la relazione della commissione per l'industria, la ricerca e l'energia e il parere della commissione per il mercato interno e la protezione dei consumatori nonché il parere della commissione per i bilanci e della commissione per le libertà civili, la giustizia e gli affari interni (A8-0264/2018),

1.  adotta la posizione in prima lettura figurante in appresso;

2.  chiede alla Commissione di presentargli nuovamente la proposta qualora la sostituisca, la modifichi sostanzialmente o intenda modificarla sostanzialmente;

3.  incarica il suo Presidente di trasmettere la posizione del Parlamento al Consiglio e alla Commissione nonché ai parlamenti nazionali.

Emendamento    1

Proposta di regolamento

Considerando 1

Testo della Commissione

Emendamento

(1)  Le reti e i sistemi informativi e le reti e i servizi di telecomunicazione svolgono un ruolo essenziale per la società e sono diventati i pilastri della crescita economica. Le tecnologie dell'informazione e della comunicazione sono alla base dei sistemi complessi su cui poggiano le attività della società, che fanno funzionare le nostre economie in settori essenziali quali la sanità, l'energia, la finanza e i trasporti e che, in particolare, contribuiscono al funzionamento del mercato interno.

(1)  Le reti e i sistemi informativi e le reti e i servizi di telecomunicazione svolgono un ruolo essenziale per la società e sono diventati i pilastri della crescita economica. Le tecnologie dell'informazione e della comunicazione (TIC) sono alla base dei sistemi complessi su cui poggiano le attività quotidiane della società, che fanno funzionare le nostre economie in settori essenziali quali la sanità, l'energia, la finanza e i trasporti e che, in particolare, contribuiscono al funzionamento del mercato interno.

Emendamento    2

Proposta di regolamento

Considerando 2

Testo della Commissione

Emendamento

(2)  L'uso delle reti e dei sistemi informativi da parte di cittadini, imprese e amministrazioni pubbliche di tutta l'Unione è attualmente molto diffuso. La digitalizzazione e la connettività stanno diventando caratteristiche fondamentali di un numero di prodotti e servizi in costante aumento, e con l'avvento dell'internet degli oggetti (IoT) nel prossimo decennio dovrebbero essere disponibili in tutta l'UE milioni, se non miliardi, di dispositivi digitali connessi. Sebbene un numero crescente di dispositivi siano connessi a internet, la sicurezza e la resilienza non sono sufficientemente integrate nella progettazione, il che rende inadeguata la cibersicurezza. In tale contesto, l'uso limitato della certificazione fa sì che gli utenti aziendali e individuali dispongano di informazioni insufficienti sulle caratteristiche dei prodotti e dei servizi TIC in termini di cibersicurezza, il che mina la fiducia nelle soluzioni digitali.

(2)  L'uso delle reti e dei sistemi informativi da parte di cittadini, imprese e amministrazioni pubbliche di tutta l'Unione è attualmente molto diffuso. La digitalizzazione e la connettività stanno diventando caratteristiche fondamentali di un numero di prodotti e servizi in costante aumento, e con l'avvento dell'internet degli oggetti (IoT) nel prossimo decennio dovrebbero essere disponibili in tutta l'UE milioni, se non miliardi, di dispositivi digitali connessi. Sebbene un numero crescente di dispositivi siano connessi a internet, la sicurezza e la resilienza non sono sufficientemente integrate nella progettazione, il che rende inadeguata la cibersicurezza. In tale contesto, l'uso limitato della certificazione fa sì che gli utenti aziendali e individuali dispongano di informazioni insufficienti sulle caratteristiche dei prodotti, dei processi e dei servizi TIC in termini di cibersicurezza, il che mina la fiducia nelle soluzioni digitali. Tale ambizione è al centro del programma di riforma della Commissione europea per la realizzazione di un mercato unico digitale in quanto le reti TIC costituiscono la colonna portante dei prodotti e dei servizi digitali che sono potenzialmente in grado di aiutarci in tutti gli aspetti della vita e di dare impulso alla crescita economica dell'Europa. Per far sì che gli obiettivi del mercato unico digitale siano pienamente realizzati, è necessario predisporre gli elementi tecnologici essenziali su cui si basano settori importanti come la sanità elettronica, l'IoT, l'intelligenza artificiale, le tecnologie quantistiche nonché i sistemi di trasporto intelligenti e le tecnologie produttive avanzate.

Emendamento    3

Proposta di regolamento

Considerando 3

Testo della Commissione

Emendamento

(3)  L'incremento della digitalizzazione e della connettività comporta maggiori rischi in termini di cibersicurezza, il che rende la società in generale più vulnerabile alle minacce informatiche e aggrava i pericoli cui sono esposte le persone, comprese quelle vulnerabili come i minori. Al fine di attenuare tale rischio per la società, occorre prendere tutti i provvedimenti necessari per migliorare la cibersicurezza nell'UE allo scopo di proteggere meglio dalle minacce informatiche le reti e i sistemi informativi, le reti di telecomunicazione, i prodotti digitali, i servizi e i dispositivi utilizzati da cittadini, amministrazioni pubbliche e imprese (dalle PMI ai gestori delle infrastrutture critiche).

(3)  L'incremento della digitalizzazione e della connettività comporta maggiori rischi in termini di cibersicurezza, il che rende la società in generale più vulnerabile alle minacce informatiche e aggrava i pericoli cui sono esposte le persone, comprese quelle vulnerabili come i minori. Al fine di attenuare tale rischio per la società, occorre prendere tutti i provvedimenti necessari per migliorare la cibersicurezza nell'UE allo scopo di proteggere meglio dalle minacce informatiche le reti e i sistemi informativi, le reti di telecomunicazione, i prodotti digitali, i servizi e i dispositivi utilizzati da cittadini, amministrazioni pubbliche e imprese (dalle PMI ai gestori delle infrastrutture critiche). A questo proposito, il piano d'azione per l'istruzione digitale pubblicato dalla Commissione europea il 17 gennaio 2018 è un passo nella giusta direzione, in particolare riguardo alla campagna di sensibilizzazione a livello dell'UE rivolta agli educatori, ai genitori e ai discenti per promuovere la sicurezza online, l'igiene informatica e l'alfabetizzazione mediatica, insieme all'iniziativa di insegnamento della cibersicurezza che parte dal quadro delle competenze digitali per i cittadini, onde consentire alle persone di utilizzare la tecnologia con dimestichezza e responsabilità.

Emendamento    4

Proposta di regolamento

Considerando 3 bis (nuovo)

Testo della Commissione

Emendamento

 

(3 bis)  Gli obiettivi e i compiti dell'ENISA dovrebbero essere ulteriormente allineati alla comunicazione congiunta per quanto riguarda il suo riferimento alla promozione dell'igiene informatica e della sensibilizzazione; la ciberresilienza si può ottenere inoltre con l'attuazione dei principi di base dell'igiene informatica.

Emendamento    5

Proposta di regolamento

Considerando 3 ter (nuovo)

Testo della Commissione

Emendamento

 

(3 ter)  L'Enisa dovrebbe attribuire un maggiore sostegno pratico e basato sulle informazioni all'industria della cibersicurezza dell'UE, in particolare alle PMI e alle start-up, che sono le fonti principali delle soluzioni innovative nel settore della ciberdifesa, e dovrebbe promuovere una più stretta cooperazione con gli istituti di ricerca universitaria e i grandi operatori, al fine di ridurre la dipendenza da prodotti della cibersicurezza provenienti da fonti esterne e di creare una filiera strategica all'interno dell'Unione.

Emendamento    6

Proposta di regolamento

Considerando 4

Testo della Commissione

Emendamento

(4)  Gli attacchi informatici sono in aumento e la maggiore vulnerabilità dell'economia e della società connesse alle minacce e agli attacchi informatici impone un rafforzamento delle difese. Tuttavia, mentre gli attacchi informatici hanno spesso una dimensione transfrontaliera, le risposte politiche delle autorità incaricate della cibersicurezza e le competenze in materia di applicazione della legge sono prevalentemente nazionali. Gli incidenti informatici su vasta scala possono ostacolare la prestazione di servizi essenziali su tutto il territorio dell'UE. Ciò richiede capacità effettive di risposta e di gestione delle crisi a livello di UE, sulla base di apposite politiche e strumenti di più ampia portata per la solidarietà europea e l'assistenza reciproca. Inoltre, una valutazione periodica dello stato della cibersicurezza e della resilienza nell'Unione, che sia basata su dati affidabili a livello di Unione e su previsioni sistematiche degli sviluppi, delle sfide e delle minacce futuri, sia a livello di Unione sia a livello mondiale, è quindi importante per i responsabili delle politiche, il settore e gli utenti.

(4)  Gli attacchi informatici sono in aumento e la maggiore vulnerabilità dell'economia e della società connesse alle minacce e agli attacchi informatici impone un rafforzamento e un aumento della sicurezza delle difese. Tuttavia, mentre gli attacchi informatici hanno spesso una dimensione transfrontaliera, le risposte politiche delle autorità incaricate della cibersicurezza e le competenze in materia di applicazione della legge sono prevalentemente nazionali. Gli incidenti informatici su vasta scala possono ostacolare la prestazione di servizi essenziali su tutto il territorio dell'UE. Ciò richiede capacità effettive di risposta e di gestione delle crisi a livello di UE, sulla base di apposite politiche e strumenti di più ampia portata per la solidarietà europea e l'assistenza reciproca. Le esigenze di formazione nel settore della ciberdifesa sono notevoli e crescenti e sono soddisfatte nel modo più efficace cooperando a livello di Unione. Inoltre, una valutazione periodica dello stato della cibersicurezza e della resilienza nell'Unione, che sia basata su dati affidabili a livello di Unione e su previsioni sistematiche degli sviluppi, delle sfide e delle minacce futuri, sia a livello di Unione sia a livello mondiale, è quindi importante per i responsabili delle politiche, il settore e gli utenti.

Emendamento    7

Proposta di regolamento

Considerando 5

Testo della Commissione

Emendamento

(5)  Tenuto conto delle maggiori sfide che l'Unione si trova ad affrontare in materia di cibersicurezza, è necessario disporre di una serie completa di misure che si basino su precedenti azioni dell'Unione e promuovano obiettivi sinergici. Tra questi obiettivi figura la necessità di rafforzare ulteriormente le capacità e la preparazione degli Stati membri e delle imprese e di migliorare la cooperazione e il coordinamento tra gli Stati membri e le istituzioni, le agenzie e gli organismi dell'UE. Inoltre, data la natura transfrontaliera delle minacce informatiche, è necessario aumentare le capacità a livello di Unione che potrebbero integrare l'azione degli Stati membri, in particolare in caso di crisi e incidenti informatici transfrontalieri su vasta scala. Sono inoltre necessari ulteriori sforzi per accrescere la consapevolezza di cittadini e imprese circa le questioni riguardanti la cibersicurezza. Inoltre, la fiducia nel mercato unico digitale dovrebbe essere ulteriormente rafforzata fornendo informazioni trasparenti in merito al livello di sicurezza dei prodotti e dei servizi TIC. Il conseguimento di questo obiettivo può essere agevolato mediante una certificazione a livello di UE che preveda requisiti e criteri di valutazione comuni in materia di cibersicurezza validi per tutti i settori e i mercati nazionali.

(5)  Tenuto conto delle maggiori sfide che l'Unione si trova ad affrontare in materia di cibersicurezza, è necessario disporre di una serie completa di misure che si basino su precedenti azioni dell'Unione e promuovano obiettivi sinergici. Tra questi obiettivi figura la necessità di rafforzare ulteriormente le capacità e la preparazione degli Stati membri e delle imprese e di migliorare la cooperazione, il coordinamento e la condivisione delle informazioni tra gli Stati membri e le istituzioni, le agenzie e gli organismi dell'UE. Inoltre, data la natura transfrontaliera delle minacce informatiche, è necessario aumentare le capacità a livello di Unione che potrebbero integrare l'azione degli Stati membri, in particolare in caso di crisi e incidenti informatici transfrontalieri su vasta scala, pur sottolineando l'importanza di mantenere e rafforzare ulteriormente le capacità nazionali di risposta alle minacce informatiche di qualsiasi dimensione. Sono inoltre necessari ulteriori sforzi per ottenere una risposta UE coordinata e accrescere la consapevolezza di cittadini e imprese circa le questioni riguardanti la cibersicurezza. Inoltre, dato che gli incidenti di cibersicurezza minano la fiducia nei fornitori di servizi digitali e nel mercato unico digitale stesso, soprattutto fra i consumatori, essa dovrebbe essere ulteriormente rafforzata, fornendo informazioni trasparenti in merito al livello di sicurezza dei prodotti, dei processi e dei servizi TIC, evidenziando che persino un livello elevato di certificazione della cibersicurezza non può garantire che un prodotto o un servizio TIC siano completamente sicuri. Il conseguimento di questo obiettivo può essere agevolato mediante una certificazione a livello di UE che preveda requisiti e criteri di valutazione comuni in materia di cibersicurezza validi per tutti i settori e i mercati nazionali, come pure promuovendo l'alfabetizzazione informatica unitamente alla certificazione a livello di Unione e, data la crescente disponibilità di dispositivi IoT, esiste una serie di misure volontarie che il settore privato dovrebbe adottare per rafforzare la fiducia nella sicurezza dei prodotti, dei processi e dei servizi TIC, quali la cifratura e le tecnologie blockchain. Le sfide affrontate dovrebbero riflettersi proporzionalmente nelle risorse di bilancio destinate all'Agenzia, per garantire il funzionamento ottimale nelle circostanze attuali.

Emendamento    8

Proposta di regolamento

Considerando 5 bis (nuovo)

Testo della Commissione

Emendamento

 

(5 bis)  Al fine di rafforzare le strutture di sicurezza e ciberdifesa europee, è importante mantenere e sviluppare le capacità degli Stati membri di rispondere in modo globale alle minacce informatiche, compresi gli incidenti transfrontalieri, mentre il coordinamento a livello dell'UE da parte dell'Agenzia non dovrebbe comportare un indebolimento delle capacità o degli sforzi negli Stati membri.

Emendamento    9

Proposta di regolamento

Considerando 5 ter (nuovo)

Testo della Commissione

Emendamento

 

(5 ter)  Le imprese e i singoli consumatori dovrebbero disporre di informazioni precise sul livello di sicurezza dei loro prodotti TIC. Allo stesso tempo, è necessario capire che nessun prodotto garantisce la cibersicurezza e che è opportuno promuovere norme di base sull'igiene informatica, dando loro la priorità.

Emendamento    10

Proposta di regolamento

Considerando 7

Testo della Commissione

Emendamento

(7)  L'Unione ha già adottato importanti provvedimenti per garantire la cibersicurezza e accrescere la fiducia nelle tecnologie digitali. Nel 2013 è stata adottata la strategia dell'UE per la cibersicurezza per orientare la risposta politica dell'Unione alle minacce e ai rischi per la cibersicurezza. Nell'ambito dei suoi sforzi volti a proteggere maggiormente gli europei durante la navigazione online, nel 2016 l'Unione ha adottato il primo atto legislativo nel settore della cibersicurezza, la direttiva (UE) 2016/1148 recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell'Unione ("direttiva NIS"). La direttiva NIS ha stabilito obblighi concernenti le capacità nazionali nel campo della cibersicurezza, ha istituito i primi meccanismi volti a rafforzare la cooperazione strategica e operativa tra gli Stati membri e ha introdotto obblighi riguardanti le misure di sicurezza e le notifiche degli incidenti in tutti i settori che sono di vitale importanza per l'economia e la società, quali l'energia, i trasporti, l'acqua, i servizi bancari, le infrastrutture dei mercati finanziari, la sanità, le infrastrutture digitali e i fornitori di servizi digitali essenziali (motori di ricerca, servizi di cloud computing e mercati online). All'ENISA è stato attribuito un ruolo fondamentale nel sostegno all'attuazione di tale direttiva. Inoltre, la lotta efficace contro la cibercriminalità è una priorità importante dell'agenda europea sulla sicurezza e contribuisce al conseguimento dell'obiettivo generale di raggiungere un elevato livello di cibersicurezza.

(7)  L'Unione ha già adottato importanti provvedimenti per garantire la cibersicurezza e accrescere la fiducia nelle tecnologie digitali. Nel 2013 è stata adottata la strategia dell'UE per la cibersicurezza per orientare la risposta politica dell'Unione alle minacce e ai rischi per la cibersicurezza. Nell'ambito dei suoi sforzi volti a proteggere maggiormente gli europei durante la navigazione online, nel 2016 l'Unione ha adottato il primo atto legislativo nel settore della cibersicurezza, la direttiva (UE) 2016/1148 recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell'Unione ("direttiva NIS"). La direttiva NIS, il cui successo dipende ampiamente dall'effettiva applicazione da parte degli Stati membri, rispetta la strategia del mercato unico digitale e, insieme ad altri strumenti, quali la direttiva che istituisce il codice europeo delle comunicazioni elettroniche, il regolamento (UE) 2016/679 e la direttiva 2002/58/CE, stabilisce obblighi concernenti le capacità nazionali nel campo della cibersicurezza, ha istituito i primi meccanismi volti a rafforzare la cooperazione strategica e operativa tra gli Stati membri e ha introdotto obblighi riguardanti le misure di sicurezza e le notifiche degli incidenti in tutti i settori che sono di vitale importanza per l'economia e la società, quali l'energia, i trasporti, l'acqua, i servizi bancari, le infrastrutture dei mercati finanziari, la sanità, le infrastrutture digitali e i fornitori di servizi digitali essenziali (motori di ricerca, servizi di cloud computing e mercati online). All'ENISA è stato attribuito un ruolo fondamentale nel sostegno all'attuazione di tale direttiva. Inoltre, la lotta efficace contro la cibercriminalità è una priorità importante dell'agenda europea sulla sicurezza e contribuisce al conseguimento dell'obiettivo generale di raggiungere un elevato livello di cibersicurezza.

Emendamento    11

Proposta di regolamento

Considerando 8

Testo della Commissione

Emendamento

(8)  È noto che, dall'adozione della strategia dell'UE per la cibersicurezza del 2013 e dall'ultima revisione del mandato dell'Agenzia, il contesto politico generale è cambiato in modo significativo, anche in relazione a un contesto globale più incerto e meno sicuro. In tale contesto e nel quadro della nuova politica dell'Unione in materia di cibersicurezza, è necessario rivedere il mandato dell'ENISA per definirne il ruolo nel mutato ecosistema della cibersicurezza e garantire che contribuisca efficacemente alla risposta dell'Unione alle sfide poste in questo ambito dalla radicale trasformazione del panorama delle minacce, per far fronte al quale l'attuale mandato non è sufficiente, come riconosciuto dalla valutazione dell'Agenzia.

(8)  È noto che, dall'adozione della strategia dell'UE per la cibersicurezza del 2013 e dall'ultima revisione del mandato dell'Agenzia, il contesto politico generale è cambiato in modo significativo, anche in relazione a un contesto globale più incerto e meno sicuro. In tale contesto e considerato il ruolo positivo che l'Agenzia ha svolto nel corso degli anni nella messa in comune delle competenze, nel coordinamento, nel rafforzamento delle capacità e nel quadro della nuova politica dell'Unione in materia di cibersicurezza, è necessario rivedere il mandato dell'ENISA per definirne il ruolo nel mutato ecosistema della cibersicurezza e garantire che contribuisca efficacemente alla risposta dell'Unione alle sfide poste in questo ambito dalla radicale trasformazione del panorama delle minacce, per far fronte al quale l'attuale mandato non è sufficiente, come riconosciuto dalla valutazione dell'Agenzia.

Emendamento    12

Proposta di regolamento

Considerando 11

Testo della Commissione

Emendamento

(11)  Tenuto conto delle crescenti sfide in materia di cibersicurezza che l'Unione si trova ad affrontare, le risorse finanziarie e umane destinate all'Agenzia dovrebbero essere aumentate per riflettere il potenziamento del suo ruolo e dei suoi compiti, come pure la sua posizione cruciale nell'ecosistema delle organizzazioni che difendono l'ecosistema digitale europeo.

(11)  Tenuto conto delle crescenti minacce e sfide in materia di cibersicurezza che l'Unione si trova ad affrontare, le risorse finanziarie e umane destinate all'Agenzia dovrebbero essere aumentate per riflettere il potenziamento del suo ruolo e dei suoi compiti, come pure la sua posizione cruciale nell'ecosistema delle organizzazioni che difendono l'ecosistema digitale europeo, onde consentire all'ENISA di svolgere efficacemente i compiti che le sono conferiti dal presente regolamento.

Emendamento    13

Proposta di regolamento

Considerando 12

Testo della Commissione

Emendamento

(12)  È opportuno che l'Agenzia sviluppi e mantenga un elevato livello di competenza e che operi come punto di riferimento generando fiducia nel mercato interno grazie alla propria indipendenza, alla qualità delle consulenze e delle informazioni fornite, alla trasparenza delle procedure e dei metodi operativi come pure alla diligenza nell'esecuzione dei suoi compiti. Nello svolgimento dei suoi compiti l'Agenzia dovrebbe contribuire in modo proattivo agli sforzi nazionali e dell'Unione, collaborando pienamente con istituzioni, organi, uffici e agenzie dell'Unione e con gli Stati membri. Inoltre, dovrebbe avvalersi dei contributi e della collaborazione del settore privato e di altri portatori d'interessi. È opportuno stabilire una serie di compiti che definiscano in che modo l'Agenzia deve raggiungere i propri obiettivi, lasciandole nel contempo una certa flessibilità di azione.

(12)  È opportuno che l'Agenzia sviluppi e mantenga un elevato livello di competenza e che operi come punto di riferimento generando fiducia nel mercato interno grazie alla propria indipendenza, alla qualità delle consulenze e delle informazioni fornite, alla trasparenza delle procedure e dei metodi operativi come pure alla diligenza nell'esecuzione dei suoi compiti. Nello svolgimento dei suoi compiti l'Agenzia dovrebbe contribuire in modo proattivo agli sforzi nazionali e dell'Unione, collaborando pienamente con istituzioni, organi, uffici e agenzie dell'Unione e con gli Stati membri, evitando duplicazioni dell'attività, promuovendo sinergie e complementarità e conseguendo così coordinamento ed economie di bilancio. Inoltre, dovrebbe avvalersi dei contributi e della collaborazione dei settori privato e pubblico e di altri portatori d'interessi. È opportuno che un programma chiaro e una serie di compiti e obiettivi chiaramente stabiliti definiscano in che modo l'Agenzia deve raggiungere i propri obiettivi, tenendo comunque in debita considerazione la necessaria flessibilità di azione. Ove possibile, dovrebbe essere mantenuto il più alto grado di trasparenza e di diffusione delle informazioni.

Emendamento    14

Proposta di regolamento

Considerando 12 bis (nuovo)

Testo della Commissione

Emendamento

 

(12 bis)  Il ruolo dell'Agenzia dovrebbe essere sottoposto a una valutazione continua e a un tempestivo riesame, in particolare per quanto concerne il suo ruolo di coordinamento nei confronti degli Stati membri e delle loro autorità nazionali e la possibilità di fungere da sportello unico per gli Stati membri e gli organismi e le istituzioni dell'UE. Occorre inoltre valutare il ruolo dell'Agenzia nell'evitare la frammentazione del mercato interno e nell'eventuale introduzione di sistemi obbligatori di certificazione della cibersicurezza, qualora la situazione richieda in futuro un tale cambiamento, unitamente al ruolo dell'Agenzia in merito alla valutazione dei prodotti di paesi terzi che accedono al mercato dell'UE e alla possibile definizione di una "lista nera" delle imprese che non rispettano i criteri dell'UE.

Emendamento    15

Proposta di regolamento

Considerando 12 ter (nuovo)

Testo della Commissione

Emendamento

 

(12 ter)  Al fine di fornire adeguato sostegno alla cooperazione operativa per gli Stati membri, l'ENISA dovrebbe rafforzare ulteriormente le proprie capacità e competenze tecniche. A tal fine l'Agenzia dovrebbe rafforzare progressivamente il suo personale incaricato di questo compito, in modo da poter raccogliere e analizzare autonomamente diversi tipi di un'ampia gamma di minacce e malware, effettuare un'analisi forense e assistere gli Stati membri nella risposta ad incidenti su vasta scala. Al fine di evitare duplicazioni delle capacità esistenti negli Stati membri, l'ENISA dovrebbe incrementare il proprio know-how e le proprie capacità basate sulle risorse esistenti presenti negli Stati membri, in particolare mediante il distacco di esperti nazionali presso l'Agenzia, la creazione di pool di esperti, programmi di scambio del personale, ecc. All'atto della selezione del personale responsabile in questo settore, l'Agenzia dovrebbe progressivamente garantire che esso soddisfi criteri adeguati per fornire un sostegno adeguato.

Emendamento    16

Proposta di regolamento

Considerando 13

Testo della Commissione

Emendamento

(13)  L'Agenzia dovrebbe assistere la Commissione tramite consulenze, pareri e analisi su tutte le questioni inerenti all'Unione e riguardanti l'elaborazione di politiche e normative e l'aggiornamento e la revisione nel settore della cibersicurezza, anche per quanto riguarda la protezione delle infrastrutture critiche e la ciberresilienza. L'Agenzia dovrebbe fungere da punto di riferimento per pareri e competenze sulle iniziative politiche e legislative dell'Unione in settori specifici che presentano aspetti correlati alla cibersicurezza.

(13)  L'Agenzia dovrebbe assistere la Commissione tramite consulenze, pareri e analisi su tutte le questioni inerenti all'Unione e riguardanti l'elaborazione di politiche e normative e l'aggiornamento e la revisione nel settore della cibersicurezza, anche per quanto riguarda la protezione delle infrastrutture critiche e la ciberresilienza. L'Agenzia dovrebbe fungere da punto di riferimento per pareri e competenze sulle iniziative politiche e legislative dell'Unione in settori specifici che presentano aspetti correlati alla cibersicurezza. Le sue competenze saranno particolarmente necessarie in sede di elaborazione del programma di lavoro pluriennale dell'Unione europea per i sistemi europei di certificazione della cibersicurezza. L'Agenzia dovrebbe fornire periodicamente al Parlamento aggiornamenti, analisi e revisioni nel settore della cibersicurezza e sull'evoluzione dei suoi compiti.

Emendamento    17

Proposta di regolamento

Considerando 14

Testo della Commissione

Emendamento

(14)  Il compito di base dell'Agenzia è promuovere l'attuazione coerente del pertinente quadro normativo, in particolare l'effettiva attuazione della direttiva NIS, che è essenziale ai fini del rafforzamento della ciberresilienza. In considerazione del panorama delle minacce informatiche in rapida evoluzione, è chiaro che gli Stati membri devono essere sostenuti da un approccio trasversale più ampio allo sviluppo della ciberresilienza.

(14)  Il compito di base dell'Agenzia è promuovere l'attuazione coerente del pertinente quadro normativo, in particolare l'effettiva attuazione della direttiva NIS, della direttiva che istituisce il codice europeo delle comunicazioni elettroniche, del regolamento (UE) 2016/679 e della direttiva 2002/58/CE, che è essenziale ai fini del rafforzamento della ciberresilienza. In considerazione del panorama delle minacce informatiche in rapida evoluzione, è chiaro che gli Stati membri devono essere sostenuti da un approccio trasversale più ampio allo sviluppo della ciberresilienza.

Emendamento    18

Proposta di regolamento

Considerando 15

Testo della Commissione

Emendamento

(15)  L'Agenzia dovrebbe assistere gli Stati membri e le istituzioni, gli organi, gli uffici e le agenzie dell'Unione nei loro sforzi volti a sviluppare e consolidare le capacità e la preparazione per prevenire e individuare i problemi e gli incidenti relativi alla cibersicurezza e alla sicurezza delle reti e dei sistemi informativi e per reagirvi. In particolare, dovrebbe sostenere lo sviluppo e il potenziamento dei CSIRT nazionali perché raggiungano un livello comune elevato di maturità nell'Unione. L'Agenzia dovrebbe inoltre fornire assistenza nello sviluppo e nell'aggiornamento delle strategie dell'Unione e degli Stati membri in materia di sicurezza delle reti e dei sistemi informativi, in particolare per quanto riguarda la cibersicurezza, promuovere la loro diffusione e seguire i progressi della loro attuazione. Dovrebbe inoltre offrire formazione e materiale formativo agli enti pubblici e, se del caso, "formare i formatori" al fine di assistere gli Stati membri nello sviluppo di capacità di formazione autonome.

(15)  L'Agenzia dovrebbe assistere gli Stati membri e le istituzioni, gli organi, gli uffici e le agenzie dell'Unione nei loro sforzi volti a sviluppare e consolidare le capacità e la preparazione per prevenire e individuare i problemi e gli incidenti relativi alla cibersicurezza e alla sicurezza delle reti e dei sistemi informativi e per reagirvi. In particolare, dovrebbe sostenere lo sviluppo e il potenziamento dei CSIRT nazionali perché raggiungano un livello comune elevato di maturità nell'Unione. L'Agenzia dovrebbe inoltre fornire assistenza nello sviluppo e nell'aggiornamento delle strategie dell'Unione e degli Stati membri in materia di sicurezza delle reti e dei sistemi informativi, in particolare per quanto riguarda la cibersicurezza, promuovere la loro diffusione e seguire i progressi della loro attuazione. Dato che gli errori umani sono uno dei rischi più tipici per la cibersicurezza, l'Agenzia dovrebbe inoltre offrire formazione e materiale formativo agli enti pubblici e, nella massima misura possibile, "formare i formatori" al fine di assistere gli Stati membri e le istituzioni e agenzie dell'Unione nello sviluppo di capacità di formazione autonome. L'Agenzia dovrebbe inoltre fungere da punto di contatto per gli Stati membri e le istituzioni dell'UE, che dovrebbero poter richiedere la sua assistenza nell'ambito delle competenze e dei ruoli che le sono conferiti.

Emendamento    19

Proposta di regolamento

Considerando 18

Testo della Commissione

Emendamento

(18)  L'Agenzia dovrebbe aggregare e analizzare le relazioni nazionali dei CSIRT e della CERT-UE, definendo norme, lingua e terminologia comuni per lo scambio delle informazioni. Dovrebbe inoltre coinvolgere il settore privato, nel quadro della direttiva NIS che ha gettato le basi per lo scambio volontario di informazioni tecniche a livello operativo con la creazione della rete di CSIRT.

(18)  L'Agenzia dovrebbe aggregare e analizzare le relazioni nazionali dei CSIRT e della CERT-UE, definendo norme, lingua e terminologia comuni per lo scambio delle informazioni. Dovrebbe inoltre coinvolgere i settori privato e pubblico, nel quadro della direttiva NIS che ha gettato le basi per lo scambio volontario di informazioni tecniche a livello operativo con la creazione della rete di CSIRT.

Emendamento    20

Proposta di regolamento

Considerando 19

Testo della Commissione

Emendamento

(19)  L'Agenzia dovrebbe contribuire a una risposta a livello di UE in caso di crisi e incidenti di cibersicurezza transfrontalieri su vasta scala. Nell'ambito di questa funzione dovrebbe raccogliere le informazioni pertinenti e agire come facilitatore tra la rete di CSIRT e la comunità tecnica e i responsabili decisionali nella gestione delle crisi. Inoltre, potrebbe sostenere la gestione degli incidenti dal punto di vista tecnico, agevolando lo scambio di soluzioni tecniche tra gli Stati membri e contribuendo alla comunicazione pubblica. L'Agenzia dovrebbe sostenere il processo provando le modalità di tale cooperazione attraverso esercitazioni annuali di cibersicurezza.

(19)  L'Agenzia dovrebbe contribuire a una risposta a livello di UE in caso di crisi e incidenti di cibersicurezza transfrontalieri su vasta scala. Nell'ambito di questa funzione dovrebbe convocare le autorità degli Stati membri e fornire assistenza nel coordinamento della loro risposta, raccogliere le informazioni pertinenti e agire come facilitatore tra la rete di CSIRT e la comunità tecnica e i responsabili decisionali nella gestione delle crisi. Inoltre, potrebbe sostenere la gestione degli incidenti dal punto di vista tecnico, ad esempio agevolando lo scambio di soluzioni tecniche tra gli Stati membri e contribuendo alla comunicazione pubblica. L'Agenzia dovrebbe sostenere il processo provando le modalità di tale cooperazione attraverso esercitazioni annuali di cibersicurezza. L'Agenzia dovrebbe rispettare le competenze degli Stati membri per quanto riguarda la cibersicurezza, in particolare quelle concernenti la pubblica sicurezza, la difesa, la sicurezza nazionale e le attività dello Stato nell'ambito del diritto penale.

Emendamento    21

Proposta di regolamento

Considerando 25

Testo della Commissione

Emendamento

(25)  Gli Stati membri possono invitare le imprese interessate dall'incidente a collaborare fornendo le informazioni e l'assistenza necessarie all'Agenzia, fatto salvo il loro diritto di tutelare le informazioni sensibili sul piano commerciale.

(25)  Gli Stati membri possono invitare le imprese interessate dall'incidente a collaborare fornendo le informazioni e l'assistenza necessarie all'Agenzia, fatto salvo il loro diritto di tutelare le informazioni sensibili sul piano commerciale e le informazioni pertinenti alla pubblica sicurezza.

Emendamento    22

Proposta di regolamento

Considerando 26

Testo della Commissione

Emendamento

(26)  Per comprendere meglio le sfide nel campo della cibersicurezza e al fine di fornire consulenza strategica a lungo termine agli Stati membri e alle istituzioni dell'Unione, l'Agenzia ha bisogno di analizzare i rischi attuali e quelli emergenti. A tal fine, in cooperazione con gli Stati membri e se del caso con gli istituti di statistica e con altri organismi, l'Agenzia dovrebbe raccogliere le informazioni pertinenti, analizzare le tecnologie emergenti e fornire valutazioni su temi specifici in relazione agli impatti previsti dal punto di vista sociale, giuridico, economico e regolamentare delle innovazioni tecnologiche sulla sicurezza delle reti e dell'informazione, in particolare sulla cibersicurezza. L'Agenzia dovrebbe inoltre assistere gli Stati membri e le istituzioni, le agenzie e gli organi dell'Unione nell'individuazione delle tendenze emergenti e nella prevenzione dei problemi connessi alla cibersicurezza attraverso l'analisi di minacce e incidenti.

(26)  Per comprendere meglio le sfide nel campo della cibersicurezza e al fine di fornire consulenza strategica a lungo termine agli Stati membri e alle istituzioni dell'Unione, l'Agenzia ha bisogno di analizzare i rischi, gli incidenti, le minacce e le vulnerabilità attuali ed emergenti. A tal fine, in cooperazione con gli Stati membri e se del caso con gli istituti di statistica e con altri organismi, l'Agenzia dovrebbe raccogliere le informazioni pertinenti, analizzare le tecnologie emergenti e fornire valutazioni su temi specifici in relazione agli impatti previsti dal punto di vista sociale, giuridico, economico e regolamentare delle innovazioni tecnologiche sulla sicurezza delle reti e dell'informazione, in particolare sulla cibersicurezza. L'Agenzia dovrebbe inoltre assistere gli Stati membri e le istituzioni, le agenzie e gli organi dell'Unione nell'individuazione delle tendenze emergenti e nella prevenzione dei problemi connessi alla cibersicurezza attraverso l'analisi di minacce, incidenti e vulnerabilità.

Emendamento    23

Proposta di regolamento

Considerando 27

Testo della Commissione

Emendamento

(27)  Al fine di aumentare la resilienza dell'Unione, l'Agenzia dovrebbe sviluppare l'eccellenza in materia di sicurezza delle infrastrutture di internet e delle infrastrutture critiche, fornendo consulenza, orientamenti e migliori pratiche. Allo scopo di agevolare l'accesso a informazioni meglio strutturate sui rischi connessi alla cibersicurezza e sulle possibili soluzioni, l'Agenzia dovrebbe sviluppare e mantenere il "polo d'informazione" dell'Unione, un portale che gli utenti possano utilizzare come sportello unico per accedere alle informazioni sulla cibersicurezza provenienti dalle istituzioni, dalle agenzie e dagli organi dell'UE e nazionali.

(27)  Al fine di aumentare la resilienza dell'Unione, l'Agenzia dovrebbe sviluppare l'eccellenza in materia di sicurezza delle infrastrutture di internet e delle infrastrutture critiche, fornendo consulenza, orientamenti e migliori pratiche. Allo scopo di agevolare l'accesso a informazioni meglio strutturate sui rischi connessi alla cibersicurezza e sulle possibili soluzioni, l'Agenzia dovrebbe sviluppare e mantenere il "polo d'informazione" dell'Unione, un portale che gli utenti possano utilizzare come sportello unico per accedere alle informazioni sulla cibersicurezza provenienti dalle istituzioni, dalle agenzie e dagli organi dell'UE e nazionali. Facilitare l'accesso a informazioni meglio strutturate sui rischi connessi alla cibersicurezza e sulle potenziali misure correttive dovrebbe aiutare gli Stati membri a rafforzare le loro capacità, ad allineare le loro pratiche e a migliorare così la resilienza generale agli attacchi.

Emendamento    24

Proposta di regolamento

Considerando 28

Testo della Commissione

Emendamento

(28)  L'Agenzia dovrebbe contribuire a sensibilizzare l'opinione pubblica sui rischi connessi alla cibersicurezza e fornire orientamenti in materia di buone pratiche per i singoli utenti destinati a cittadini e organizzazioni. Dovrebbe altresì contribuire a promuovere migliori pratiche e soluzioni a livello di singoli individui e organizzazioni mediante la raccolta e l'analisi delle informazioni disponibili al pubblico relative agli incidenti di rilievo, come pure mediante l'elaborazione di relazioni finalizzate a fornire orientamenti a imprese e cittadini e a migliorare il livello complessivo di preparazione e resilienza. L'Agenzia dovrebbe inoltre organizzare regolarmente, in cooperazione con le istituzioni, gli organi, gli uffici e le agenzie degli Stati membri e dell'Unione campagne d'informazione e di sensibilizzazione del pubblico destinate agli utenti finali, allo scopo di promuovere comportamenti online individuali più sicuri e di accrescere la consapevolezza circa le potenziali minacce del ciberspazio, compresa la criminalità informatica, ad esempio phishing, botnet, frodi finanziarie e bancarie, nonché di promuovere consigli di base in materia di autenticazione e protezione dei dati. L'Agenzia dovrebbe svolgere un ruolo centrale nell'accelerare la sensibilizzazione degli utenti finali sulla sicurezza dei dispositivi.

(28)  L'Agenzia dovrebbe contribuire a sensibilizzare l'opinione pubblica sui rischi connessi alla cibersicurezza, anche promuovendo l'istruzione, e fornire orientamenti in materia di buone pratiche per i singoli utenti destinati a cittadini, organizzazioni e imprese. Dovrebbe altresì contribuire a promuovere migliori pratiche in materia di ciberigiene, il che contempla varie pratiche che dovrebbero essere applicate ed effettuate regolarmente per proteggere gli utenti e le imprese online, e soluzioni a livello di singoli individui e organizzazioni mediante la raccolta e l'analisi delle informazioni disponibili al pubblico relative agli incidenti di rilievo, come pure mediante l'elaborazione e la pubblicazione di relazioni e guide finalizzate a fornire orientamenti a imprese e cittadini e a migliorare il livello complessivo di preparazione e resilienza. L'ENISA dovrebbe impegnarsi, inoltre, a comunicare ai consumatori le informazioni pertinenti relative ai sistemi di certificazione applicabili, ad esempio fornendo orientamenti e raccomandazioni ai mercati online e offline. L'Agenzia dovrebbe inoltre organizzare regolarmente, in linea con il piano d'azione per l'istruzione digitale e in cooperazione con le istituzioni, gli organi, gli uffici e le agenzie degli Stati membri e dell'Unione campagne d'informazione e di sensibilizzazione del pubblico destinate agli utenti finali, allo scopo di promuovere comportamenti online individuali più sicuri, alfabetizzazione digitale e di accrescere la consapevolezza circa le potenziali minacce del ciberspazio, compresa la criminalità informatica, ad esempio phishing, botnet, frodi finanziarie e bancarie, nonché di promuovere consigli di base in materia di autenticazione multifattoriale, patching, cifratura, anonimizzazione e protezione dei dati. L'Agenzia dovrebbe svolgere un ruolo centrale nell'accelerare la sensibilizzazione degli utenti finali sulla sicurezza dei dispositivi e sull'uso sicuro dei servizi, e nel diffondere, a livello di UE, sicurezza e privacy fin dalla progettazione e la comunicazione degli incidenti e delle relative soluzioni. Ai fini del raggiungimento di tale obiettivi, l'Agenzia dovrebbe utilizzare al meglio le migliori pratiche ed esperienze disponibili, in particolare delle istituzioni universitarie e dei ricercatori che si occupano di sicurezza informatica. Dato che gli errori dei singoli e la mancata conoscenza dei rischi informatici sono un fattore importante di incertezza nella cibersicurezza, l'Agenzia dovrebbe ottenere risorse adeguate per poter esercitare tale funzione nella massima misura possibile.

Emendamento    25

Proposta di regolamento

Considerando 28 bis (nuovo)

Testo della Commissione

Emendamento

 

(28 bis)  L'Agenzia dovrebbe sensibilizzare il pubblico in merito ai rischi dei casi di frode e furto di dati che possono incidere gravemente sui diritti fondamentali degli individui, costituire una minaccia per lo Stato di diritto e mettere a rischio la stabilità delle società democratiche, compresi i processi democratici negli Stati membri.

Emendamento    26

Proposta di regolamento

Considerando 30

Testo della Commissione

Emendamento

(30)  Per conseguire appieno i propri obiettivi, l'Agenzia dovrebbe instaurare rapporti con le istituzioni, le agenzie e gli organismi pertinenti, compresi la CERT-UE, il Centro europeo per la lotta alla criminalità informatica (EC3) di Europol, l'Agenzia europea per la difesa (AED), l'Agenzia europea per la gestione operativa dei sistemi IT su larga scala (eu-LISA), l'Agenzia europea per la sicurezza aerea (EASA) e tutte le agenzie dell'UE coinvolte nella cibersicurezza. Dovrebbe inoltre instaurare rapporti con le autorità competenti in materia di protezione dei dati, al fine di scambiare conoscenze e migliori pratiche e fornire consulenza sugli aspetti della cibersicurezza che potrebbero avere un impatto sulle loro attività. I rappresentanti delle autorità di contrasto e delle autorità preposte alla protezione dei dati nazionali e dell'Unione dovrebbero poter essere rappresentati nel gruppo permanente di portatori di interessi dell'Agenzia. Nei contatti con le autorità di contrasto sugli aspetti relativi alla sicurezza delle reti e dell'informazione che possono avere un impatto sull'attività di tali autorità, l'Agenzia dovrebbe avvalersi dei canali di informazione e delle reti esistenti.

(30)  Per conseguire appieno i propri obiettivi, l'Agenzia dovrebbe instaurare rapporti con le istituzioni, le autorità di vigilanza dell'UE e le altre autorità competenti, le agenzie e gli organismi pertinenti, compresi la CERT-UE, il Centro europeo per la lotta alla criminalità informatica (EC3) di Europol, l'Agenzia europea per la difesa (AED), l'Agenzia del GNSS europeo (GSA), l'organismo dei regolatori europei delle comunicazioni elettroniche (BEREC), l'Agenzia europea per la gestione operativa dei sistemi IT su larga scala (eu-LISA), la Banca centrale europea (BCE), l'Autorità bancaria europea (ABE), il comitato europeo per la protezione dei dati (EDPB), l'Agenzia europea per la sicurezza aerea (EASA) e tutte le agenzie dell'UE coinvolte nella cibersicurezza. Dovrebbe inoltre instaurare rapporti con gli organismi europei di normazione (OEN), i soggetti interessati e le autorità competenti in materia di protezione dei dati, al fine di scambiare conoscenze e migliori pratiche e fornire consulenza sugli aspetti della cibersicurezza che potrebbero avere un impatto sulle loro attività. I rappresentanti delle autorità di contrasto e delle autorità preposte alla protezione dei dati nazionali e dell'Unione dovrebbero poter essere rappresentati nel gruppo di consulenza dell'ENISA. Nei contatti con le autorità di contrasto sugli aspetti relativi alla sicurezza delle reti e dell'informazione che possono avere un impatto sull'attività di tali autorità, l'Agenzia dovrebbe avvalersi dei canali di informazione e delle reti esistenti. È opportuno istituire partenariati con le istituzioni universitarie che hanno avviato iniziative di ricerca nei settori interessati, mentre il contributo delle organizzazioni dei consumatori e di altre organizzazioni dovrebbe giungere attraverso opportuni canali ed essere sempre oggetto di analisi.

Emendamento    27

Proposta di regolamento

Considerando 31

Testo della Commissione

Emendamento

(31)  L'Agenzia, in quanto membro che svolge la funzione di segretariato della rete di CSIRT, dovrebbe sostenere i CSIRT degli Stati membri e la CERT-UE nella cooperazione operativa, così come in tutte le pertinenti funzioni della rete di CSIRT, secondo quanto stabilito dalla direttiva NIS. Inoltre, l'Agenzia dovrebbe promuovere e sostenere la cooperazione tra i CSIRT interessati in caso di incidenti, attacchi o perturbazioni delle reti o delle infrastrutture della cui gestione o protezione sono responsabili i CSIRT e nei quali siano o possano essere coinvolti almeno due CSIRT, tenendo debitamente conto delle procedure operative standard della rete di CSIRT.

(31)  L'Agenzia, in quanto membro che svolge la funzione di segretariato della rete di CSIRT, dovrebbe sostenere i CSIRT degli Stati membri e la CERT-UE nella cooperazione operativa, così come in tutte le pertinenti funzioni della rete di CSIRT, secondo quanto stabilito dalla direttiva NIS. Inoltre, l'Agenzia dovrebbe promuovere e sostenere la cooperazione tra i CSIRT interessati in caso di incidenti, attacchi o perturbazioni delle reti o delle infrastrutture della cui gestione o protezione sono responsabili i CSIRT e nei quali siano o possano essere coinvolti almeno due CSIRT, tenendo debitamente conto delle procedure operative standard della rete di CSIRT. L'Agenzia può effettuare, su richiesta della Commissione o di uno Stato membro, verifiche periodiche della sicurezza informatica delle infrastrutture critiche transfrontaliere, al fine di identificare eventuali rischi di cibersicurezza e di formulare raccomandazioni per rafforzarne la resilienza.

Emendamento    28

Proposta di regolamento

Considerando 33

Testo della Commissione

Emendamento

(33)  L'Agenzia dovrebbe sviluppare ulteriormente e mantenere le proprie competenze in materia di certificazione della cibersicurezza al fine di sostenere la politica dell'UE in questo campo. Essa dovrebbe promuovere la diffusione della certificazione della cibersicurezza nell'Unione, anche contribuendo all'istituzione e al mantenimento di un apposito quadro di certificazione a livello di Unione, al fine di aumentare la trasparenza dell'affidabilità dei prodotti e dei servizi TIC in termini di cibersicurezza e di rafforzare in tal modo la fiducia nel mercato unico digitale.

(33)  L'Agenzia dovrebbe sviluppare ulteriormente e mantenere le proprie competenze in materia di certificazione della cibersicurezza al fine di sostenere la politica dell'UE in questo campo. Essa dovrebbe basarsi sulle migliori pratiche e promuovere la diffusione della certificazione della cibersicurezza nell'Unione, anche contribuendo all'istituzione e al mantenimento di un apposito quadro di certificazione a livello di Unione, al fine di aumentare la trasparenza dell'affidabilità dei prodotti e dei servizi TIC in termini di cibersicurezza e di rafforzare in tal modo la fiducia nel mercato unico digitale.

Emendamento    29

Proposta di regolamento

Considerando 35

Testo della Commissione

Emendamento

(35)  L'Agenzia dovrebbe incoraggiare gli Stati membri e i fornitori di servizi a innalzare i loro standard di sicurezza generale in modo che tutti gli utenti di internet possano adottare le misure necessarie a garantire la propria cibersicurezza. In particolare, i fornitori di servizi e i fabbricanti di prodotti dovrebbero ritirare o riciclare i prodotti e i servizi non conformi alle norme in materia di cibersicurezza. In collaborazione con le autorità competenti, l'ENISA può diffondere informazioni sul livello di cibersicurezza dei prodotti e dei servizi offerti nel mercato interno e rivolgere avvertimenti ai fornitori e ai fabbricanti imponendo loro di migliorare la sicurezza, ivi inclusa la cibersicurezza, dei loro prodotti e servizi.

(35)  L'Agenzia dovrebbe incoraggiare gli Stati membri, i fabbricanti e i fornitori di servizi a innalzare gli standard di sicurezza generale dei loro prodotti, processi, servizi e sistemi TIC, che dovrebbero essere conformi agli obblighi fondamentali di sicurezza, in linea con il principio di sicurezza fin dalla progettazione e per impostazione predefinita, in particolare fornendo gli aggiornamenti necessari, in modo che tutti gli utenti di internet possano essere protetti e incentivati ad adottare le misure necessarie a garantire la propria cibersicurezza. In particolare, i fornitori di servizi e i fabbricanti di prodotti dovrebbero richiamare, ritirare o riciclare i prodotti e i servizi non conformi agli obblighi di base in materia di cibersicurezza, mentre gli importatori e i distributori dovrebbero garantire che i prodotti, i processi, i servizi e i sistemi TIC che immettono sul mercato dell'UE siano conformi ai requisiti applicabili e non presentino rischi per i consumatori europei. In collaborazione con le autorità competenti, l'ENISA può diffondere informazioni sul livello di cibersicurezza dei prodotti e dei servizi offerti nel mercato interno e rivolgere avvertimenti ai fornitori e ai fabbricanti imponendo loro di migliorare la sicurezza, ivi inclusa la cibersicurezza, dei loro prodotti, processi, servizi e sistemi. L'Agenzia dovrebbe collaborare con i portatori di interessi all'elaborazione di un approccio a livello UE in materia di divulgazione responsabile delle vulnerabilità e dovrebbe promuovere le migliori pratiche in tale settore.

Emendamento    30

Proposta di regolamento

Considerando 36

Testo della Commissione

Emendamento

(36)  L'Agenzia dovrebbe tenere pienamente conto delle attività di ricerca, sviluppo e valutazione tecnologica già in atto, in particolare quelle condotte nell'ambito delle varie iniziative di ricerca dell'Unione per fornire consulenza alle istituzioni, agli organi, agli uffici e alle agenzie dell'Unione e ove opportuno agli Stati membri, su loro richiesta, sulle esigenze in materia di ricerca nel settore della sicurezza delle reti e dell'informazione, in particolare per quanto riguarda la cibersicurezza.

(36)  L'Agenzia dovrebbe tenere pienamente conto delle attività di ricerca, sviluppo e valutazione tecnologica già in atto, in particolare quelle condotte nell'ambito delle varie iniziative di ricerca dell'Unione per fornire consulenza alle istituzioni, agli organi, agli uffici e alle agenzie dell'Unione e ove opportuno agli Stati membri, su loro richiesta, sulle esigenze in materia di ricerca nel settore della sicurezza delle reti e dell'informazione, in particolare per quanto riguarda la cibersicurezza. Più precisamente, sarebbe opportuno instaurare una cooperazione con il Consiglio europeo della ricerca (CER) e con l'Istituto europeo di innovazione e tecnologia (EIT) e la ricerca in materia di sicurezza dovrebbe essere inclusa nell'ambito del nono programma quadro di ricerca (FP9) e di Orizzonte 2020.

Emendamento    31

Proposta di regolamento

Considerando 36 bis (nuovo)

Testo della Commissione

Emendamento

 

(36 bis)  Le norme sono uno strumento volontario basato sulle esigenze del mercato, che forniscono requisiti tecnici e orientamenti e sono il risultato di un processo aperto, trasparente e inclusivo. L'Agenzia dovrebbe consultare regolarmente le organizzazioni europee di normazione e cooperare strettamente con esse, in particolare nell'elaborare sistemi europei di certificazione della cibersicurezza.

Emendamento    32

Proposta di regolamento

Considerando 37

Testo della Commissione

Emendamento

(37)  I problemi di cibersicurezza sono questioni globali. È necessaria una più stretta cooperazione internazionale per migliorare gli standard di sicurezza, anche definendo norme di comportamento comuni, condividendo le informazioni e promuovendo una più celere cooperazione internazionale nel fornire una risposta alle questioni relative alla sicurezza delle reti e dell'informazione nonché un approccio globale comune a tali questioni. A tale scopo l'Agenzia dovrebbe sostenere una partecipazione e una cooperazione maggiori dell'Unione con i paesi terzi e le organizzazioni internazionali fornendo, se del caso, le competenze e le analisi necessarie alle istituzioni, agli organi, agli uffici e alle agenzie dell'Unione competenti.

(37)  I problemi di cibersicurezza sono questioni globali. È necessaria una più stretta cooperazione internazionale per migliorare gli standard di sicurezza, anche definendo norme di comportamento e codici di condotta comuni, utilizzando norme internazionali, condividendo le informazioni e promuovendo una più celere cooperazione internazionale nel fornire una risposta alle questioni relative alla sicurezza delle reti e dell'informazione nonché un approccio globale comune a tali questioni. A tale scopo l'Agenzia dovrebbe sostenere una partecipazione e una cooperazione maggiori dell'Unione con i paesi terzi e le organizzazioni internazionali fornendo, se del caso, le competenze e le analisi necessarie alle istituzioni, agli organi, agli uffici e alle agenzie dell'Unione competenti.

Emendamento    33

Proposta di regolamento

Considerando 40

Testo della Commissione

Emendamento

(40)  Il consiglio di amministrazione, composto dagli Stati membri e dalla Commissione, dovrebbe definire l'orientamento generale delle operazioni dell'Agenzia e garantire che questa svolga i propri compiti conformemente al presente regolamento. Il consiglio di amministrazione dovrebbe godere dei poteri necessari per formare il bilancio, verificarne l'esecuzione, adottare l'opportuna regolamentazione finanziaria, stabilire procedure di lavoro trasparenti per l'iter decisionale dell'Agenzia, adottare il documento unico di programmazione dell'Agenzia, adottare il proprio regolamento interno, nominare il direttore esecutivo e decidere in merito all'estensione del suo mandato e in merito alla sua conclusione.

(40)  Il consiglio di amministrazione, che rappresenta gli Stati membri e la Commissione nonché i portatori di interessi rilevanti ai fini degli obiettivi dell'Agenzia, dovrebbe definire l'orientamento generale delle operazioni dell'Agenzia e garantire che questa svolga i propri compiti conformemente al presente regolamento. Il consiglio di amministrazione dovrebbe godere dei poteri necessari per formare il bilancio, verificarne l'esecuzione, adottare l'opportuna regolamentazione finanziaria, stabilire procedure di lavoro trasparenti per l'iter decisionale dell'Agenzia, adottare il documento unico di programmazione dell'Agenzia, adottare il proprio regolamento interno, nominare il direttore esecutivo e decidere in merito all'estensione del suo mandato e in merito alla sua conclusione. Alla luce dei compiti altamente tecnici e scientifici dell'Agenzia, è opportuno che i membri del consiglio di amministrazione dispongano di idonea esperienza e di un elevato livello di conoscenze in merito alle problematiche che rientrano nell'ambito delle missioni dell'Agenzia.

Emendamento    34

Proposta di regolamento

Considerando 41

Testo della Commissione

Emendamento

(41)  Per garantire il funzionamento corretto ed efficace dell'Agenzia, la Commissione e gli Stati membri dovrebbero assicurare che le persone da nominare nel consiglio di amministrazione dispongano di competenze ed esperienze professionali adeguate nelle aree funzionali. La Commissione e gli Stati membri dovrebbero inoltre sforzarsi di limitare l'avvicendamento dei loro rispettivi rappresentanti nel consiglio di amministrazione, per assicurarne la continuità dei lavori.

(41)  Per garantire il funzionamento corretto ed efficace dell'Agenzia, la Commissione e gli Stati membri dovrebbero assicurare che le persone da nominare nel consiglio di amministrazione dispongano di competenze ed esperienze professionali adeguate nelle aree funzionali. La Commissione e gli Stati membri dovrebbero inoltre sforzarsi di limitare l'avvicendamento dei loro rispettivi rappresentanti nel consiglio di amministrazione, per assicurarne la continuità dei lavori. Dato l'elevato valore di mercato delle competenze richieste nel lavoro dell'Agenzia, è necessario garantire che la retribuzione e le condizioni sociali offerte a tutti i membri del personale dell'Agenzia siano competitive e garantiscano che i migliori professionisti scelgano di lavorarvi.

Motivazione

Al fine di disporre di un adeguato livello di competenze, l'ENISA in quanto datore di lavoro deve essere competitiva in un mercato altamente competitivo.

Emendamento    35

Proposta di regolamento

Considerando 42

Testo della Commissione

Emendamento

(42)  Il corretto funzionamento dell'Agenzia esige che il direttore esecutivo sia nominato in base ai meriti e alla comprovata esperienza amministrativa e manageriale, nonché alla competenza e all'esperienza acquisita in materia di cibersicurezza, e che le funzioni del direttore esecutivo siano svolte in completa indipendenza. Previa consultazione della Commissione, il direttore esecutivo dovrebbe elaborare una proposta di programma di lavoro dell'Agenzia e adottare tutte le misure necessarie a garantire l'adeguata esecuzione del programma. Il direttore esecutivo dovrebbe inoltre redigere una relazione annuale da trasmettere al consiglio di amministrazione, fornire un progetto di stato di previsione delle entrate e delle spese dell'Agenzia e dare esecuzione al bilancio. Inoltre, è opportuno che il direttore esecutivo abbia la possibilità di istituire gruppi di lavoro ad hoc per affrontare questioni specifiche, in particolare di natura tecnico-scientifica, giuridica o socio-economica. Il direttore esecutivo dovrebbe garantire che i membri dei gruppi di lavoro ad hoc siano scelti secondo i più elevati standard di competenza, tenendo in debito conto la necessità di garantire un equilibrio tra le parti rappresentate, in base alle questioni specifiche, tra gli amministratori pubblici degli Stati membri, le istituzioni dell'Unione e il settore privato, compresi le imprese, gli utilizzatori e gli esperti del mondo accademico in materia di sicurezza delle reti e dell'informazione.

(42)  Il corretto funzionamento dell'Agenzia esige che il direttore esecutivo sia nominato in base ai meriti e alla comprovata esperienza amministrativa e manageriale, nonché alla competenza e all'esperienza acquisita in materia di cibersicurezza, e che le funzioni del direttore esecutivo siano svolte in completa indipendenza. Previa consultazione della Commissione, il direttore esecutivo dovrebbe elaborare una proposta di programma di lavoro dell'Agenzia e adottare tutte le misure necessarie a garantire l'adeguata esecuzione del programma. Il direttore esecutivo dovrebbe inoltre redigere una relazione annuale da trasmettere al consiglio di amministrazione, fornire un progetto di stato di previsione delle entrate e delle spese dell'Agenzia e dare esecuzione al bilancio. Inoltre, è opportuno che il direttore esecutivo abbia la possibilità di istituire gruppi di lavoro ad hoc per affrontare questioni specifiche, in particolare di natura tecnico-scientifica, giuridica o socio-economica. Il direttore esecutivo dovrebbe garantire che i membri dei gruppi di lavoro ad hoc siano scelti secondo i più elevati standard di competenza, tenendo in debito conto la necessità di garantire un equilibrio, anche di genere, tra le parti rappresentate, in base alle questioni specifiche, tra gli amministratori pubblici degli Stati membri, le istituzioni dell'Unione e il settore privato, compresi le imprese, gli utilizzatori e gli esperti del mondo accademico in materia di sicurezza delle reti e dell'informazione.

Emendamento    36

Proposta di regolamento

Considerando 44

Testo della Commissione

Emendamento

(44)  È opportuno che l'Agenzia disponga di un gruppo permanente di portatori di interessi come organo consultivo, per garantire un dialogo regolare con il settore privato, le organizzazioni di consumatori e gli altri soggetti interessati. Il gruppo permanente di portatori di interessi, istituito dal consiglio di amministrazione su proposta del direttore esecutivo, dovrebbe concentrarsi sulle questioni rilevanti per i portatori di interessi e sottoporle all'attenzione dell'Agenzia. La composizione del gruppo permanente di portatori di interessi e i compiti assegnati a tale gruppo, da consultare in particolare in merito al progetto di programma di lavoro, dovrebbero garantire un'adeguata rappresentanza dei portatori di interessi nell'ambito del lavoro svolto dall'Agenzia.

(44)  È opportuno che l'Agenzia disponga di un gruppo consultivo ENISA come organo consultivo, per garantire un dialogo regolare con il settore privato, le organizzazioni di consumatori, il mondo accademico e gli altri soggetti interessati. Il gruppo consultivo ENISA, istituito dal consiglio di amministrazione su proposta del direttore esecutivo, dovrebbe concentrarsi sulle questioni rilevanti per i portatori di interessi e sottoporle all'attenzione dell'Agenzia. La composizione del gruppo permanente di portatori di interessi e i compiti assegnati a tale gruppo, da consultare in particolare in merito al progetto di programma di lavoro, dovrebbero garantire un'adeguata rappresentanza dei portatori di interessi nell'ambito del lavoro svolto dall'Agenzia. Data l'importanza dei requisiti di certificazione per garantire la fiducia nell'internet degli oggetti, la Commissione vaglierà specificamente le misure di attuazione volte a garantire l'armonizzazione degli standard di sicurezza paneuropei per i dispositivi connessi.

Emendamento    37

Proposta di regolamento

Considerando 44 bis (nuovo)

Testo della Commissione

Emendamento

 

(44 bis)  È opportuno che l'Agenzia disponga di un gruppo di certificazione dei portatori di interessi come organo consultivo, per garantire un dialogo regolare con il settore privato, le organizzazioni di consumatori, il mondo accademico e gli altri soggetti interessati. Il gruppo di certificazione dei portatori di interesse, istituito dal direttore esecutivo, dovrebbe essere composto da un comitato consultivo generale che fornisca contributi sui prodotti e i servizi TIC da contemplare nei futuri sistemi europei di certificazione della sicurezza informatica, e di comitati ad hoc che forniscano contributi per la proposta, lo sviluppo e l'adozione dei programmi europei di cibersicurezza necessari.

Emendamento    38

Proposta di regolamento

Considerando 46

Testo della Commissione

Emendamento

(46)  Per garantire all'Agenzia piena autonomia e indipendenza e consentirle di svolgere nuovi compiti aggiuntivi, compresi compiti urgenti imprevisti, è opportuno che essa sia dotata di un bilancio congruo e autonomo le cui entrate siano essenzialmente costituite da un contributo dell'Unione e da contributi provenienti da paesi terzi che partecipano alle attività dell'Agenzia. La maggior parte del personale dell'Agenzia dovrebbe essere impiegata nell'attuazione operativa del suo mandato. Allo Stato membro ospitante, o a qualsiasi altro Stato membro, dovrebbe essere consentito di contribuire volontariamente alle entrate dell'Agenzia. La procedura di bilancio dell'Unione dovrebbe restare applicabile a qualsiasi sovvenzione a carico del bilancio generale dell'Unione. Inoltre, ai fini della trasparenza e della rendicontabilità, la revisione contabile dell'Agenzia dovrebbe essere svolta dalla Corte dei conti.

(46)  Per garantire all'Agenzia piena autonomia e indipendenza e consentirle di svolgere nuovi compiti aggiuntivi, compresi compiti urgenti imprevisti, è opportuno che essa sia dotata di un bilancio congruo e autonomo le cui entrate siano essenzialmente costituite da un contributo dell'Unione e da contributi provenienti da paesi terzi che partecipano alle attività dell'Agenzia. Un idoneo bilancio è essenziale per garantire che l'Agenzia disponga di capacità sufficienti a svolgere i suoi crescenti compiti e a conseguire i suoi obiettivi nella loro totalità. La maggior parte del personale dell'Agenzia dovrebbe essere impiegata nell'attuazione operativa del suo mandato. Allo Stato membro ospitante, o a qualsiasi altro Stato membro, dovrebbe essere consentito di contribuire volontariamente alle entrate dell'Agenzia. La procedura di bilancio dell'Unione dovrebbe restare applicabile a qualsiasi sovvenzione a carico del bilancio generale dell'Unione. Inoltre, ai fini della trasparenza e della rendicontabilità, nonché dell'efficacia in termini di spese, la revisione contabile dell'Agenzia dovrebbe essere svolta dalla Corte dei conti.

Emendamento    39

Proposta di regolamento

Considerando 47

Testo della Commissione

Emendamento

(47)  La valutazione della conformità è la procedura atta a dimostrare se le prescrizioni specifiche relative a un prodotto, a un processo, a un servizio, a un sistema, a una persona o a un organismo sono state rispettate. Ai fini del presente regolamento, la certificazione dovrebbe essere considerata un tipo di valutazione della conformità concernente le caratteristiche di cibersicurezza di un prodotto, un processo, un servizio, un sistema o una combinazione di tali elementi ("prodotti e servizi TIC") effettuata da un soggetto terzo indipendente, diverso dal fabbricante del prodotto o dal fornitore del servizio. La certificazione non può garantire di per sé la cibersicurezza dei prodotti e servizi TIC certificati. Si tratta piuttosto di una procedura e di una metodologia tecnica volte ad attestare che i prodotti e i servizi TIC sono stati testati e che rispettano determinati requisiti di cibersicurezza stabiliti altrove, ad esempio specificati nelle norme tecniche.

(47)  La valutazione della conformità è la procedura atta a dimostrare se le prescrizioni specifiche relative a un prodotto, a un processo, a un servizio, a un sistema, a una persona o a un organismo sono state rispettate. Ai fini del presente regolamento, la certificazione dovrebbe essere considerata un tipo di valutazione della conformità concernente le caratteristiche di cibersicurezza di un prodotto, un processo, un servizio, un sistema o una combinazione di tali elementi ("prodotti, processi e servizi TIC") effettuata da un soggetto terzo indipendente o, quando previsto dall'autovalutazione del fabbricante del prodotto o dal fornitore del servizio. L'autovalutazione può essere effettuata dal fabbricante del prodotto, dalle PMI o dal fornitore di servizi di cui al presente regolamento e, se del caso, alle condizioni ed entro i termini previsti dal nuovo quadro legislativo. L'autovalutazione può essere inoltre effettuata dal fabbricante del prodotto o dall'operatore laddove la probabilità che si verifichi un incidente di cibersicurezza e/o che tale incidente provochi danni sostanziali alla società o a una vasta parte di quest'ultima non è considerata elevata o sostanziale, tenuto conto dell'uso previsto del prodotto o servizio in questione da parte del fabbricante o del fornitore del servizio. La certificazione non può garantire di per sé la cibersicurezza dei prodotti, processi e servizi TIC contemplati e ciò deve essere debitamente comunicato ai consumatori e alle imprese. Si tratta piuttosto di una procedura e di una metodologia tecnica volte ad attestare che i prodotti, i processi e i servizi TIC sono stati testati e che rispettano determinati requisiti di cibersicurezza stabiliti altrove, ad esempio specificati nelle norme tecniche. Tali norme tecniche includono l'indicazione dell'eventuale capacità del prodotto, processo e servizio TIC di svolgere le sue normali funzioni quando è disconnesso da internet.

Emendamento    40

Proposta di regolamento

Considerando 48

Testo della Commissione

Emendamento

(48)  La certificazione della cibersicurezza riveste un ruolo importante nel rafforzare la sicurezza di prodotti e servizi TIC e nell'accrescere la fiducia negli stessi. Il mercato unico digitale, e in particolare l'economia dei dati e l'internet degli oggetti, possono prosperare solo se i cittadini sono convinti che tali prodotti e servizi offrono un determinato livello di affidabilità in termini di cibersicurezza. Le automobili connesse e automatizzate, i dispositivi medici elettronici, i sistemi di controllo per l'automazione industriale e le reti elettriche intelligenti sono solo alcuni esempi di settori in cui la certificazione è già ampiamente utilizzata o sarà probabilmente utilizzata in un prossimo futuro. La certificazione della cibersicurezza riveste un'importanza fondamentale anche nei settori disciplinati dalla direttiva NIS.

(48)  La certificazione europea della cibersicurezza riveste un ruolo essenziale nel rafforzare la sicurezza di prodotti, processi e servizi TIC e nell'accrescere la fiducia negli stessi. Il mercato unico digitale, e in particolare l'economia dei dati e l'internet degli oggetti, possono prosperare solo se i cittadini sono convinti che tali prodotti e servizi offrono un elevato livello di affidabilità in termini di cibersicurezza. Le automobili connesse e automatizzate, i dispositivi medici elettronici, i sistemi di controllo per l'automazione industriale e le reti elettriche intelligenti sono solo alcuni esempi di settori in cui la certificazione è già ampiamente utilizzata o sarà probabilmente utilizzata in un prossimo futuro. La certificazione della cibersicurezza riveste un'importanza fondamentale anche nei settori disciplinati dalla direttiva NIS.

Emendamento    41

Proposta di regolamento

Considerando 49

Testo della Commissione

Emendamento

(49)  Nella comunicazione del 2016 dal titolo "Rafforzare il sistema di resilienza informatica dell'Europa e promuovere la competitività e l'innovazione nel settore della cibersicurezza" la Commissione ha sottolineato la necessità di prodotti e soluzioni di alta qualità, a costi contenuti e interoperabili. L'offerta di prodotti e servizi TIC nel mercato unico resta molto frammentata dal punto di vista geografico. La causa di tale frammentazione va ravvisata nel fatto che il settore della cibersicurezza in Europa si è sviluppato soprattutto in risposta alla domanda pubblica nazionale. Inoltre, l'assenza di soluzioni interoperabili (norme tecniche), di pratiche e di meccanismi UE di certificazione è un'altra delle lacune che influisce sul mercato unico della cibersicurezza. Ciò incide negativamente sulla competitività delle imprese europee a livello nazionale, europeo e mondiale e allo stesso tempo limita la gamma di tecnologie di cibersicurezza valide e utilizzabili a cui cittadini e imprese hanno accesso. Anche nella revisione intermedia dell'attuazione della strategia per il mercato unico digitale, la Commissione ha evidenziato la necessità di prodotti e sistemi connessi sicuri e ha dichiarato che la creazione di un quadro europeo di sicurezza delle TIC che definisca norme su come organizzare la certificazione della sicurezza delle TIC nell'Unione potrebbe sia preservare la fiducia nei confronti di internet sia permettere di affrontare l'attuale frammentazione del mercato della cibersicurezza.

(49)  Nella comunicazione del 2016 dal titolo "Rafforzare il sistema di resilienza informatica dell'Europa e promuovere la competitività e l'innovazione nel settore della cibersicurezza" la Commissione ha sottolineato la necessità di prodotti e soluzioni di alta qualità, a costi contenuti e interoperabili. L'offerta di prodotti, processi e servizi TIC nel mercato unico resta molto frammentata dal punto di vista geografico. La causa di tale frammentazione va ravvisata nel fatto che il settore della cibersicurezza in Europa si è sviluppato soprattutto in risposta alla domanda pubblica nazionale. Inoltre, l'assenza di soluzioni interoperabili (norme tecniche), di pratiche e di meccanismi UE di certificazione è un'altra delle lacune che influisce sul mercato unico della cibersicurezza. Ciò incide negativamente sulla competitività delle imprese europee a livello nazionale, europeo e mondiale e allo stesso tempo limita la gamma di tecnologie di cibersicurezza valide e utilizzabili a cui cittadini e imprese hanno accesso. Anche nella revisione intermedia dell'attuazione della strategia per il mercato unico digitale, la Commissione ha evidenziato la necessità di prodotti e sistemi connessi sicuri e ha dichiarato che la creazione di un quadro europeo di sicurezza delle TIC che definisca norme su come organizzare la certificazione della sicurezza delle TIC nell'Unione potrebbe sia preservare la fiducia nei confronti di internet sia permettere di affrontare l'attuale frammentazione del mercato della cibersicurezza.

Emendamento    42

Proposta di regolamento

Considerando 50

Testo della Commissione

Emendamento

(50)  Attualmente la certificazione della cibersicurezza di prodotti e servizi TIC è utilizzata solo in misura limitata. Quando esiste, è disponibile prevalentemente a livello di Stato membro o nell'ambito di sistemi promossi dall'industria. In tale contesto, un certificato rilasciato da un'autorità nazionale per la cibersicurezza non è, in linea di principio, riconosciuto dagli altri Stati membri. Le imprese pertanto potrebbero dover certificare i loro prodotti e servizi nei diversi Stati membri in cui operano, ad esempio ai fini della partecipazione a procedure nazionali di aggiudicazione degli appalti. Inoltre, stanno emergendo nuovi sistemi ma non sembra esservi un approccio coerente e olistico per quanto riguarda le questioni orizzontali relative alla cibersicurezza, ad esempio nel settore dell'internet degli oggetti. I sistemi esistenti presentano notevoli carenze e differenze in termini di copertura dei prodotti, livelli di affidabilità, criteri sostanziali e utilizzo effettivo.

(50)  Attualmente la certificazione della cibersicurezza di prodotti, processi e servizi TIC è utilizzata solo in misura limitata. Quando esiste, è disponibile prevalentemente a livello di Stato membro o nell'ambito di sistemi promossi dall'industria. In tale contesto, un certificato rilasciato da un'autorità nazionale per la cibersicurezza non è, in linea di principio, riconosciuto dagli altri Stati membri. Le imprese pertanto potrebbero dover certificare i loro prodotti, processi e servizi nei diversi Stati membri in cui operano, ad esempio ai fini della partecipazione a procedure nazionali di aggiudicazione degli appalti, con un aumento dei relativi costi. Inoltre, stanno emergendo nuovi sistemi ma non sembra esservi un approccio coerente e olistico per quanto riguarda le questioni orizzontali relative alla cibersicurezza, ad esempio nel settore dell'internet degli oggetti. I sistemi esistenti presentano notevoli carenze e differenze in termini di copertura dei prodotti, livelli di affidabilità basati sul rischio, criteri sostanziali e utilizzo effettivo. Il riconoscimento reciproco e la fiducia tra gli Stati membri è un elemento fondamentale a tal proposito. L'ENISA deve svolgere un ruolo importante nell'aiutare gli Stati membri a sviluppare una struttura istituzionale solida e competenze in materia di protezione contro i potenziali attacchi informatici. È necessario un approccio puntuale, al fine di assicurare che i servizi, i processi e i prodotti siano soggetti a opportuni sistemi di certificazione. Inoltre, è necessario un approccio basato sul rischio per un'identificazione e mitigazione efficaci dei rischi, pur riconoscendo che un unico sistema valido per tutti non è possibile.

Emendamento    43

Proposta di regolamento

Considerando 52

Testo della Commissione

Emendamento

(52)  In considerazione di quanto precede, è necessario definire un quadro europeo di certificazione della cibersicurezza che stabilisca i principali requisiti orizzontali per i sistemi europei di certificazione della cibersicurezza da sviluppare e che consenta di riconoscere e utilizzare i certificati per i prodotti e servizi TIC in tutti gli Stati membri. Il quadro europeo dovrebbe avere un duplice obiettivo: da un lato dovrebbe contribuire ad aumentare la fiducia nei prodotti e nei servizi TIC che sono stati certificati in base a detti sistemi. Dall'altro lato dovrebbe evitare il proliferare di certificazioni nazionali della cibersicurezza confliggenti o sovrapposte e ridurre così i costi per le imprese operanti nel mercato unico digitale. I sistemi dovrebbero essere non discriminatori e basati su norme tecniche internazionali e/o dell'Unione, a meno che tali norme non siano inefficaci o inadeguate ai fini del conseguimento dei legittimi obiettivi dell'UE in tale ambito.

(52)  In considerazione di quanto precede, è necessario adottare un approccio comune e definire un quadro europeo di certificazione della cibersicurezza che stabilisca i principali requisiti orizzontali per i sistemi europei di certificazione della cibersicurezza da sviluppare e che consenta di riconoscere e utilizzare i certificati per i prodotti, i processi e i servizi TIC in tutti gli Stati membri. In questo senso, è essenziale basarsi sui sistemi nazionali e internazionali esistenti, nonché sui sistemi di riconoscimento reciproco, in particolare il SOG-IS, e consentire un'agevole transizione dai sistemi esistenti funzionanti in base a tali sistemi verso i sistemi basati sul nuovo quadro europeo. Il quadro europeo dovrebbe avere un duplice obiettivo: da un lato dovrebbe contribuire ad aumentare la fiducia nei prodotti, nei processi e nei servizi TIC che sono stati certificati in base a detti sistemi. Dall'altro lato dovrebbe evitare il proliferare di certificazioni nazionali della cibersicurezza confliggenti o sovrapposte e ridurre così i costi per le imprese operanti nel mercato unico digitale. Se una certificazione europea della cibersicurezza ha sostituito un sistema nazionale, i certificati rilasciati a titolo del sistema europeo dovrebbero essere accettati come validi qualora sia richiesta la certificazione nell'ambito di un regime nazionale. I sistemi dovrebbero essere guidati dal principio della sicurezza fin dalla progettazione e dai principi di cui al regolamento (UE) 2016/679. Dovrebbero inoltre essere non discriminatori e basati su norme tecniche internazionali e/o dell'Unione, a meno che tali norme non siano inefficaci o inadeguate ai fini del conseguimento dei legittimi obiettivi dell'UE in tale ambito.

Emendamento    44

Proposta di regolamento

Considerando 52 bis (nuovo)

Testo della Commissione

Emendamento

 

(52 bis)  Il quadro europeo di certificazione della cibersicurezza dovrebbe essere istituito in modo uniforme in tutti gli Stati membri, in modo da evitare la scelta della certificazione più vantaggiosa in base alle disparità di costo o ai livelli di rigore tra gli Stati membri.

Emendamento    45

Proposta di regolamento

Considerando 52 ter (nuovo)

Testo della Commissione

Emendamento

 

(52 ter)  I sistemi di certificazione dovrebbero essere basati sui sistemi già esistenti a livello nazionale e internazionale, partendo dai loro punti di forza attuali e analizzando e correggendo i punti deboli.

Emendamento    46

Proposta di regolamento

Considerando 52 quater (nuovo)

Testo della Commissione

Emendamento

 

(52 quater)  Occorrono soluzioni flessibili di cibersicurezza affinché l'industria resti un passo avanti rispetto agli attacchi dolosi e alle minacce per cui qualsiasi sistema di certificazione dovrebbe evitare il rischio di una rapida obsolescenza.

Emendamento    47

Proposta di regolamento

Considerando 53

Testo della Commissione

Emendamento

(53)  La Commissione dovrebbe avere la facoltà di adottare sistemi europei di certificazione della cibersicurezza relativi a gruppi specifici di prodotti e servizi TIC. Tali sistemi dovrebbero essere attuati e supervisionati dalle autorità nazionali di controllo della certificazione e i certificati rilasciati nel loro ambito dovrebbero essere validi e riconosciuti in tutta l'Unione. I sistemi di certificazione gestiti dall'industria o da altre organizzazioni private non dovrebbero rientrare nel campo di applicazione del regolamento. Tuttavia, gli organismi che li gestiscono possono proporre alla Commissione di considerarli come base per l'approvazione degli stessi come sistema europeo.

(53)  La Commissione dovrebbe avere la facoltà di adottare sistemi europei di certificazione della cibersicurezza relativi a gruppi specifici di prodotti, processi e servizi TIC. Tali sistemi dovrebbero essere attuati e supervisionati dalle autorità nazionali di controllo della certificazione e i certificati rilasciati nel loro ambito dovrebbero essere validi e riconosciuti in tutta l'Unione. I sistemi di certificazione gestiti dall'industria o da altre organizzazioni private non dovrebbero rientrare nel campo di applicazione del regolamento. Tuttavia, gli organismi che li gestiscono possono proporre alla Commissione di considerarli come base per l'approvazione degli stessi come sistema europeo. L'Agenzia dovrebbe individuare e valutare i sistemi già applicati dall'industria o dalle organizzazioni private, al fine di scegliere le migliori pratiche che potrebbero diventare parte di un sistema europeo. Gli attori dell'industria possono effettuare un'autovalutazione dei loro prodotti o servizi prima della certificazione, indicando quindi che il loro prodotto o servizio è pronto a iniziare il processo di certificazione, laddove ciò sia richiesto o necessario.

Emendamento    48

Proposta di regolamento

Considerando 53 bis (nuovo)

 

Testo della Commissione

Emendamento

 

(53bis)  L'Agenzia e la Commissione dovrebbero utilizzare al meglio i sistemi di certificazione già esistenti a livello internazionale e/o dell'UE. L'ENISA dovrebbe essere in grado di valutare quali sistemi già in uso siano idonei allo scopo e possano essere integrati nella normativa europea in cooperazione con le organizzazioni di normazione dell'UE e, per quanto possibile, riconosciuti a livello internazionale. Le buone pratiche esistenti dovrebbero essere raccolte e condivise tra gli Stati membri.

Emendamento    49

Proposta di regolamento

Considerando 54

 

Testo della Commissione

Emendamento

(54)  Le disposizioni del presente regolamento dovrebbero lasciare impregiudicata la legislazione dell'Unione che prevede norme specifiche sulla certificazione di prodotti e servizi TIC. In particolare, il regolamento generale sulla protezione dei dati stabilisce disposizioni per l'istituzione di meccanismi di certificazione e sigilli e marchi di protezione dei dati allo scopo di dimostrare la conformità a detto regolamento dei trattamenti effettuati dai titolari del trattamento e dai responsabili del trattamento. Tali meccanismi di certificazione e sigilli e marchi di protezione dei dati dovrebbero consentire agli interessati di valutare rapidamente il livello di protezione dei dati dei prodotti e dei servizi. Il presente regolamento lascia impregiudicata la certificazione delle operazioni di trattamento dei dati, anche nel caso in cui tali operazioni siano integrate nei prodotti e nei servizi, nel quadro del regolamento generale sulla protezione dei dati.

(54)  Le disposizioni del presente regolamento dovrebbero lasciare impregiudicata la legislazione dell'Unione che prevede norme specifiche sulla certificazione di prodotti, processi e servizi TIC. In particolare, il regolamento generale sulla protezione dei dati stabilisce disposizioni per l'istituzione di meccanismi di certificazione e sigilli e marchi di protezione dei dati allo scopo di dimostrare la conformità a detto regolamento dei trattamenti effettuati dai titolari del trattamento e dai responsabili del trattamento. Tali meccanismi di certificazione e sigilli e marchi di protezione dei dati dovrebbero consentire agli interessati di valutare rapidamente il livello di protezione dei dati dei prodotti e dei servizi. Il presente regolamento lascia impregiudicata la certificazione delle operazioni di trattamento dei dati, anche nel caso in cui tali operazioni siano integrate nei prodotti e nei servizi, nel quadro del regolamento generale sulla protezione dei dati.

Emendamento    50

Proposta di regolamento

Considerando 55

 

Testo della Commissione

Emendamento

(55)  Lo scopo dei sistemi europei di certificazione della cibersicurezza dovrebbe essere quello di assicurare che i prodotti e i servizi TIC certificati nel loro ambito siano conformi ai requisiti specificati. Tali requisiti riguardano la capacità di resistere, a un determinato livello di affidabilità, alle azioni che mirano a compromettere la disponibilità, l'autenticità, l'integrità e la riservatezza dei dati conservati, trasmessi o trattati o le funzioni o i servizi offerti o accessibili tramite tali prodotti, processi, servizi e sistemi ai sensi del presente regolamento. Non è possibile definire dettagliatamente nel presente regolamento i requisiti di cibersicurezza per tutti i prodotti e servizi TIC. I prodotti e i servizi TIC e le relative esigenze di cibersicurezza sono talmente diversi che risulta molto difficile formulare requisiti generali in materia di cibersicurezza che siano validi in tutti i casi. È pertanto necessario adottare una nozione ampia e generale di cibersicurezza ai fini della certificazione, integrata da una serie di obiettivi di cibersicurezza specifici da prendere in considerazione al momento dell'elaborazione dei sistemi europei di certificazione della cibersicurezza. Le modalità con cui tali obiettivi saranno conseguiti nei prodotti e nei servizi TIC specifici dovrebbero quindi essere ulteriormente specificate dettagliatamente per ogni singolo sistema di certificazione adottato dalla Commissione, ad esempio facendo riferimento a norme o specifiche tecniche.

(55)  Lo scopo dei sistemi europei di certificazione della cibersicurezza dovrebbe essere quello di assicurare che i prodotti, i servizi e i processi TIC certificati nel loro ambito siano conformi ai requisiti specificati. Tali requisiti riguardano la capacità di resistere, a un determinato livello di rischio, alle azioni che mirano a compromettere la disponibilità, l'autenticità, l'integrità e la riservatezza dei dati conservati, trasmessi o trattati o le funzioni o i servizi offerti o accessibili tramite tali prodotti, processi, servizi e sistemi ai sensi del presente regolamento. Non è possibile definire dettagliatamente nel presente regolamento i requisiti di cibersicurezza per tutti i prodotti, servizi e processi TIC. I prodotti, i servizi e i processi TIC e le relative esigenze di cibersicurezza sono talmente diversi che risulta molto difficile formulare requisiti generali in materia di cibersicurezza che siano validi in tutti i casi. È pertanto necessario adottare una nozione ampia e generale di cibersicurezza ai fini della certificazione, integrata da una serie di obiettivi di cibersicurezza specifici da prendere in considerazione al momento dell'elaborazione dei sistemi europei di certificazione della cibersicurezza. Le modalità con cui tali obiettivi saranno conseguiti nei prodotti, nei servizi e nei processi TIC specifici dovrebbero quindi essere ulteriormente specificate dettagliatamente per ogni singolo sistema di certificazione adottato dalla Commissione, ad esempio facendo riferimento a norme o specifiche tecniche. Tutti gli attori coinvolti in una data filiera dovrebbero essere incoraggiati a sviluppare e adottare norme di sicurezza, norme tecniche e principi di sicurezza fin dalla progettazione in tutte le fasi del ciclo di vita del prodotto, del servizio o del processo; ogni sistema europeo di certificazione della cibersicurezza dovrebbe essere progettato per adeguarsi a tali requisiti.

Emendamento    51

Proposta di regolamento

Considerando 56

 

Testo della Commissione

Emendamento

(56)  La Commissione dovrebbe avere la facoltà di incaricare l'ENISA di preparare proposte di sistemi per prodotti o servizi TIC specifici. La Commissione, sulla base dei sistemi proposti dall'ENISA, dovrebbe quindi essere autorizzata ad adottare il sistema europeo di certificazione della cibersicurezza mediante atti di esecuzione. Tenendo conto dell'obiettivo generale e degli obiettivi di sicurezza individuati nel presente regolamento, i sistemi europei di certificazione della cibersicurezza adottati dalla Commissione dovrebbero specificare una serie minima di elementi riguardanti l'oggetto, l'ambito di applicazione e il funzionamento di ogni singolo sistema. Questi dovrebbero includere, tra l'altro, l'ambito di applicazione e l'oggetto della certificazione della cibersicurezza, compresi le categorie di prodotti e servizi TIC, l'indicazione particolareggiata dei requisiti di cibersicurezza, ad esempio con riferimenti a norme o specifiche tecniche, i criteri e i metodi di valutazione specifici e il livello di affidabilità desiderato: di base, sostanziale e/o elevato.

(56)  La Commissione dovrebbe avere la facoltà di incaricare l'ENISA di preparare proposte di sistemi per prodotti, processi o servizi TIC specifici, sulla base di motivi giustificati, vale a dire l'esistenza di sistemi nazionali di certificazione della cibersicurezza che frammentino il mercato interno; la necessità esigenza attuale o prevista di sostenere una normativa dell'Unione; o il parere del gruppo di certificazione degli Stati membri o del gruppo di certificazione dei portatori di interessi. Dopo aver valutato i sistemi di certificazione dei candidati proposti dall'ENISA sulla base della richiesta della Commissione, la Commissione dovrebbe quindi essere autorizzata ad adottare i sistemi europei di certificazione della cibersicurezza mediante atti delegati. Tenendo conto dell'obiettivo generale e degli obiettivi di sicurezza individuati nel presente regolamento, detti sistemi europei di certificazione della cibersicurezza dovrebbero specificare una serie minima di elementi riguardanti l'oggetto, l'ambito di applicazione e il funzionamento di ogni singolo sistema. Questi dovrebbero includere, tra l'altro, l'ambito di applicazione e l'oggetto della certificazione della cibersicurezza, compresi le categorie di prodotti e servizi TIC, l'indicazione particolareggiata dei requisiti di cibersicurezza, ad esempio con riferimenti a norme o specifiche tecniche, i criteri e i metodi di valutazione specifici e il livello di affidabilità desiderato: di base, sostanziale e/o elevato.

Emendamento    52

Proposta di regolamento

Considerando 56 bis (nuovo)

 

Testo della Commissione

Emendamento

 

(56 bis)  L'Agenzia dovrebbe essere il punto di riferimento delle informazioni sui sistemi di cibersicurezza europei. Essa dovrebbe curare un sito web con tutte le informazioni pertinenti, anche per quanto riguarda i certificati ritirati e scaduti e le certificazioni nazionali interessate. L'Agenzia dovrebbe garantire che una parte adeguata del contenuto del suo sito web sia comprensibile ai consumatori comuni.

Emendamento    53

Proposta di regolamento

Considerando 56 ter (nuovo)

 

Testo della Commissione

Emendamento

 

(56 ter)  È necessario definire i livelli di affidabilità dei certificati per dare un'indicazione all'utilizzatore finale in merito al tipo di minacce informatiche previsto che le misure di cibersicurezza all'interno del prodotto, del processo o del servizio intendono prevenire. Le minacce informatiche devono essere definite tenendo conto del rischio previsto e delle capacità dell'autore o degli autori dell'attacco nel contesto dell'uso previsto del prodotto, del processo o del servizio TIC contemplato. Il livello di affidabilità "di base" si riferisce alla capacità di resistere agli attacchi che possono essere evitati con misure di cibersicurezza di base e che possono essere controllati agevolmente grazie alla revisione della documentazione tecnica. Il livello di affidabilità "sostanziale" si riferisce alla capacità di resistere a tipi noti di attacchi di un intruso con un certo livello di sofisticazione, ma con risorse limitate. Il livello di affidabilità "elevato" si riferisce alla capacità di resistere a vulnerabilità ignote e ad attacchi sofisticati mediante tecniche modernissime e risorse significative come ad esempio team multidisciplinari finanziati.

Emendamento    54

Proposta di regolamento

Considerando 56 quater (nuovo)

 

Testo della Commissione

Emendamento

 

(56 quater)  Al fine di evitare la frammentazione del mercato interno dovuta ai sistemi nazionali di cibersicurezza, sostenere le future normative e aumentare la fiducia e la sicurezza, è opportuno delegare alla Commissione il potere di adottare atti conformemente all'articolo 290 del trattato sul funzionamento dell'Unione europea riguardo alla definizione delle priorità per la certificazione della cibersicurezza europea, all'adozione del programma progressivo e all'adozione dei sistemi di certificazione europei. È particolarmente importante che la Commissione svolga opportune consultazioni durante i lavori preparatori, anche a livello di esperti, e che tali consultazioni avvengano nel rispetto dei principi stabiliti nell'accordo interistituzionale "Legiferare meglio" del 13 aprile 2016. In particolare, al fine di garantire l'equa partecipazione alla preparazione degli atti delegati, il Parlamento europeo e il Consiglio ricevono tutti i documenti contemporaneamente agli esperti degli Stati membri, e i loro esperti hanno sistematicamente accesso alle riunioni dei gruppi di esperti della Commissione incaricati della preparazione di tali atti delegati.

Emendamento    55

Proposta di regolamento

Considerando 56 quinquies (nuovo)

 

Testo della Commissione

Emendamento

 

(56 quinquies)  Tra i metodi e le procedure di valutazione relativi a ciascun sistema europeo di certificazione della cibersicurezza, è opportuno promuovere a livello di Unione l'hacking etico, il cui scopo è quello di individuare le debolezze e le vulnerabilità dei dispositivi e dei sistemi di informazione anticipando le azioni pianificate e le competenze degli hacker malintenzionati.

Emendamento    56

Proposta di regolamento

Considerando 57

 

Testo della Commissione

Emendamento

(57)  Il ricorso alla certificazione europea della cibersicurezza dovrebbe restare volontario, salvo disposizioni contrarie della legislazione dell'Unione o nazionale. Tuttavia, al fine di conseguire gli obiettivi del presente regolamento e di evitare la frammentazione del mercato interno, i sistemi e le procedure nazionali di certificazione della cibersicurezza per i prodotti e i servizi TIC contemplati da un sistema europeo di certificazione della cibersicurezza dovrebbero cessare di produrre effetti a decorrere dalla data stabilita dalla Commissione mediante un atto di esecuzione. Inoltre, gli Stati membri non dovrebbero introdurre nuovi sistemi nazionali di certificazione per la certificazione della cibersicurezza di prodotti e servizi TIC già contemplati da un sistema europeo di certificazione della cibersicurezza esistente.

(57)  Il ricorso alla certificazione europea della cibersicurezza dovrebbe restare volontario, salvo disposizioni contrarie della legislazione dell'Unione o nazionale. Tuttavia, al fine di conseguire gli obiettivi del presente regolamento e di evitare la frammentazione del mercato interno, i sistemi e le procedure nazionali di certificazione della cibersicurezza per i prodotti, i processi e i servizi TIC contemplati da un sistema europeo di certificazione della cibersicurezza dovrebbero cessare di produrre effetti a decorrere dalla data stabilita dalla Commissione mediante un atto delegato. Inoltre, gli Stati membri non dovrebbero introdurre nuovi sistemi nazionali di certificazione per la certificazione della cibersicurezza di prodotti e servizi TIC già contemplati da un sistema europeo di certificazione della cibersicurezza esistente. Tuttavia, il presente regolamento dovrebbe lasciare impregiudicati i sistemi nazionali sui quali gli Stati membri mantengono la sovranità per la gestione di prodotti, processi e servizi TIC utilizzati per soddisfare le esigenze del settore sovrano di tali Stati.

Emendamento    57

Proposta di regolamento

Considerando 57 bis (nuovo)

 

Testo della Commissione

Emendamento

 

(57 bis)  È introdotto l'obbligo di rilasciare una dichiarazione di prodotto recante informazioni strutturate in merito alla certificazione del prodotto, del processo o del servizio, onde fornire al consumatore maggiori informazioni e consentirgli di compiere una scelta consapevole.

Emendamento    58

Proposta di regolamento

Considerando 57 ter (nuovo)

 

Testo della Commissione

Emendamento

 

(57 ter)  All'atto della proposta di nuovi sistemi europei di cibersicurezza, l'ENISA e gli altri organi competenti dovrebbero prestare la debita attenzione alle dinamiche competitive della proposta, assicurandosi specificamente che, qualora il settore interessato disponga di numerose piccole e medie imprese, come nel caso dello sviluppo software, i sistemi di certificazione non rappresentino un ostacolo all'accesso al mercato delle nuove imprese e innovazioni.

Emendamento    59

Proposta di regolamento

Considerando 57 quater (nuovo)

 

Testo della Commissione

Emendamento

 

(57 quater)  I sistemi europei di cibersicurezza contribuiranno ad armonizzare e unificare le pratiche in tale settore nell'UE. Essi, tuttavia, non devono diventare il livello minimo di cibersicurezza. La progettazione dei sistemi europei di cibersicurezza dovrebbe tener conto delle innovazioni nel settore della cibersicurezza e consentirne l'ulteriore sviluppo.

Emendamento    60

Proposta di regolamento

Considerando 58

 

Testo della Commissione

Emendamento

(58)  In seguito all'adozione di un sistema europeo di certificazione della cibersicurezza, i fabbricanti di prodotti TIC o i fornitori di servizi TIC dovrebbero essere in grado di presentare una domanda di certificazione dei loro prodotti o servizi a un organismo di valutazione della conformità di propria scelta. Se soddisfano determinati requisiti stabiliti nel presente regolamento, gli organismi di valutazione della conformità dovrebbero essere accreditati da un organismo di accreditamento. L'accreditamento dovrebbe essere concesso per un periodo massimo di cinque anni, con la possibilità di rinnovarlo alle stesse condizioni, purché l'organismo di valutazione della conformità soddisfi i requisiti. Gli organismi di accreditamento dovrebbero revocare l'accreditamento di un organismo di valutazione della conformità se le condizioni per l'accreditamento non sono, o non sono più, soddisfatte o se le azioni intraprese da un organismo di valutazione della conformità sono contrarie alle disposizioni del presente regolamento.

(58)  In seguito all'adozione di un sistema europeo di certificazione della cibersicurezza, i fabbricanti di prodotti TIC o i fornitori di servizi e processi TIC dovrebbero essere in grado di presentare una domanda di certificazione dei loro prodotti o servizi a un organismo di valutazione della conformità di propria scelta, in qualsiasi parte dell'Unione. Se soddisfano determinati requisiti stabiliti nel presente regolamento, gli organismi di valutazione della conformità dovrebbero essere accreditati da un organismo di accreditamento. L'accreditamento dovrebbe essere concesso per un periodo massimo di cinque anni, con la possibilità di rinnovarlo alle stesse condizioni, purché l'organismo di valutazione della conformità soddisfi i requisiti. Gli organismi di accreditamento dovrebbero revocare l'accreditamento di un organismo di valutazione della conformità se le condizioni per l'accreditamento non sono, o non sono più, soddisfatte o se le azioni intraprese da un organismo di valutazione della conformità sono contrarie alle disposizioni del presente regolamento. L'Agenzia dovrebbe effettuare audit per garantire un livello di qualità e diligenza equivalente a quello degli organismi di valutazione della conformità, al fine di evitare un arbitraggio normativo. I risultati dovrebbero essere comunicati all'Agenzia, alla Commissione e al Parlamento e resi disponibili al pubblico.

Emendamento    61

Proposta di regolamento

Considerando 58 bis (nuovo)

 

Testo della Commissione

Emendamento

 

(58 bis)  L'uso obbligatorio della certificazione europea della cibersicurezza dovrebbe essere limitato ai casi in cui l'analisi de rischi giustifichi il costo per l'industria, i cittadini e i consumatori. Gli incidenti che perturbano i servizi essenziali possono impedire l'esercizio delle attività economiche, provocare notevoli perdite finanziarie, minare la fiducia degli utenti e causare gravi danni all'economia dell'Unione. L'uso obbligatorio della certificazione europea della cibersicurezza da parte degli operatori di servizi essenziali dovrebbe essere limitato agli elementi che sono fondamentali per il loro funzionamento e non dovrebbe essere esteso a prodotti, processi e servizi di uso generale, il che creerebbe un costo ingiustificato per l'industria e i consumatori. La Commissione dovrebbe collaborare con il gruppo di cooperazione istituito a norma dell'articolo 11 della direttiva (UE) 2016/1148, onde definire un elenco di categorie di prodotti, processi e servizi specificamente destinati agli operatori di servizi essenziali e il cui malfunzionamento in caso di incidente possa avere effetti negativi rilevanti sul servizio essenziale. Tale elenco dovrebbe essere compilato progressivamente e, se necessario, dovrebbe essere aggiornato. Solo i prodotti, i processi e i servizi contenuti in tale elenco dovrebbero essere obbligatori per gli operatori dei servizi essenziali.

Emendamento    62

Proposta di regolamento

Considerando 58 ter (nuovo)

 

Testo della Commissione

Emendamento

 

(58 ter)  La presenza di riferimenti incrociati nella legislazione nazionale che fanno riferimento a una norma nazionale che ha cessato di produrre effetti giuridici a seguito dell'entrata in vigore di un sistema europeo di certificazione può costituire una potenziale fonte di confusione per i fabbricanti e per gli utilizzatori finali. Onde evitare che i fabbricanti continuino ad applicare le specifiche corrispondenti ai certificati nazionali che non sono più in vigore, gli Stati membri, conformemente agli obblighi derivanti dai trattati, dovrebbero adeguare la loro legislazione nazionale onde tener conto dell'adozione di un sistema europeo di certificazione.

Emendamento    63

Proposta di regolamento

Considerando 59

 

Testo della Commissione

Emendamento

(59)  È necessario imporre a tutti gli Stati membri di designare un'autorità di controllo della certificazione della cibersicurezza per vigilare sulla conformità degli organismi di valutazione della conformità e dei certificati rilasciati dagli organismi di valutazione della conformità stabiliti nel loro territorio ai requisiti del presente regolamento e dei pertinenti sistemi di certificazione della cibersicurezza. Le autorità nazionali di controllo della certificazione dovrebbero trattare i reclami presentati dalle persone fisiche o giuridiche in relazione ai certificati rilasciati dagli organismi di valutazione della conformità stabiliti nel loro territorio, svolgere le indagini opportune sull'oggetto del reclamo e informare il reclamante dello stato e dell'esito delle indagini entro un termine ragionevole. Esse dovrebbero inoltre cooperare con le altre autorità nazionali di controllo della certificazione o con altre autorità pubbliche, anche mediante lo scambio di informazioni sugli eventuali prodotti e servizi TIC non conformi ai requisiti del presente regolamento o di specifici sistemi di cibersicurezza.

(59)  È necessario imporre a tutti gli Stati membri di designare un'autorità di controllo della certificazione della cibersicurezza per vigilare sulla conformità degli organismi di valutazione della conformità e dei certificati rilasciati dagli organismi di valutazione della conformità stabiliti nel loro territorio ai requisiti del presente regolamento e dei pertinenti sistemi di certificazione della cibersicurezza, e garantire che i certificati europei di cibersicurezza siano riconosciuti nel loro territorio. Le autorità nazionali di controllo della certificazione dovrebbero trattare i reclami presentati dalle persone fisiche o giuridiche in relazione ai certificati rilasciati dagli organismi di valutazione della conformità stabiliti nel loro territorio o in relazione al presunto mancato riconoscimento dei certificati nel loro territorio, svolgere le indagini opportune sull'oggetto del reclamo e informare il reclamante dello stato e dell'esito delle indagini entro un termine ragionevole. Esse dovrebbero inoltre cooperare con le altre autorità nazionali di controllo della certificazione o con altre autorità pubbliche, anche mediante lo scambio di informazioni sugli eventuali prodotti, processi e servizi TIC non conformi ai requisiti del presente regolamento o di specifici sistemi di cibersicurezza o sul mancato riconoscimento dei certificati europei di cibersicurezza. Inoltre, esse dovrebbero vigilare ed effettuare verifiche sulla conformità delle autodichiarazioni di conformità e accertare che i certificati di cibersicurezza siano stati rilasciati dagli organismi di valutazione conformemente ai requisiti fissati nel presente regolamento, comprese le norme adottate dal Gruppo europeo per la certificazione della cibersicurezza e i requisiti stabiliti nel corrispondente sistema europeo di certificazione della cibersicurezza. Una cooperazione efficace tra le autorità nazionali di controllo della certificazione è essenziale per la corretta attuazione dei sistemi europei di certificazione della cibersicurezza e degli aspetti tecnici riguardanti la cibersicurezza di prodotti e servizi TIC. La Commissione dovrebbe facilitare tale scambio di informazioni mettendo a disposizione un sistema di sostegno generale delle informazioni elettroniche, ad esempio il sistema di informazione e comunicazione per la vigilanza del mercato (ICSMS) e il sistema di allarme rapido per i prodotti non alimentari pericolosi (RAPEX) già impiegati dalle autorità di vigilanza del mercato a norma del regolamento (CE) n. 765/2008.

Emendamento    64

Proposta di regolamento

Considerando 60

 

Testo della Commissione

Emendamento

(60)  Al fine di garantire un'applicazione coerente del quadro europeo di certificazione della cibersicurezza, dovrebbe essere costituito un gruppo europeo per la certificazione della cibersicurezza (di seguito il "gruppo") costituito dalle autorità nazionali di controllo della certificazione. I compiti principali del gruppo dovrebbero essere consigliare e assistere la Commissione nelle attività volte ad assicurare un'attuazione e un'applicazione coerenti del quadro europeo di certificazione della cibersicurezza; assistere e cooperare strettamente con l'Agenzia nella preparazione delle proposte di sistemi di certificazione della cibersicurezza; raccomandare alla Commissione di incaricare l'Agenzia di preparare una proposta di sistema europeo di certificazione della cibersicurezza; adottare pareri indirizzati alla Commissione relativi al mantenimento e alla revisione degli attuali sistemi europei di certificazione della cibersicurezza.

(60)  Al fine di garantire un'applicazione coerente del quadro europeo di certificazione della cibersicurezza, dovrebbe essere costituito un gruppo di certificazione degli Stati membri (di seguito il "gruppo") costituito dalle autorità nazionali di controllo della certificazione. I compiti principali del gruppo di certificazione degli Stati membri dovrebbero essere consigliare e assistere la Commissione nelle attività volte ad assicurare un'attuazione e un'applicazione coerenti del quadro europeo di certificazione della cibersicurezza; assistere e cooperare strettamente con l'Agenzia nella preparazione delle proposte di sistemi di certificazione della cibersicurezza; raccomandare alla Commissione di incaricare l'Agenzia di preparare una proposta di sistema europeo di certificazione della cibersicurezza; adottare pareri indirizzati alla Commissione relativi al mantenimento e alla revisione degli attuali sistemi europei di certificazione della cibersicurezza.

Emendamento    65

Proposta di regolamento

Considerando 60 bis (nuovo)

 

Testo della Commissione

Emendamento

 

(60 bis)  Al fine di assicurare l'equivalenza del livello di competenza degli organismi di valutazione della conformità, facilitare il riconoscimento reciproco e promuovere l'accettazione globale dei certificati di accreditamento e dei risultati delle valutazioni di conformità effettuate dagli organismi accreditati, occorre che le autorità nazionali di controllo della certificazione usino un sistema di valutazione inter pares rigoroso e trasparente e si sottopongano regolarmente a tale valutazione.

Emendamento    66

Proposta di regolamento

Considerando 60 ter (nuovo)

 

Testo della Commissione

Emendamento

 

(60 ter)  Un'efficace cooperazione fra le autorità nazionali di controllo della certificazione è essenziale per un'attuazione adeguata della valutazione inter pares e per l'accreditamento transfrontaliero. A fini di trasparenza è dunque necessario disporre che le autorità nazionali di controllo della certificazione siano tenute a scambiarsi informazioni e a fornire informazioni pertinenti alle autorità nazionali e alla Commissione. Inoltre, è opportuno che informazioni aggiornate e precise sulle attività di accreditamento svolte dalle autorità nazionali di controllo della certificazione siano rese pubbliche e, pertanto, accessibili, in particolare agli organismi di valutazione della conformità.

Emendamento    67

Proposta di regolamento

Considerando 61

 

Testo della Commissione

Emendamento

(61)  Al fine di accrescere la consapevolezza e facilitare l'accettazione dei futuri sistemi di cibersicurezza dell'UE, la Commissione europea può emanare orientamenti generali o settoriali in materia di cibersicurezza, ad esempio orientamenti sulle buone pratiche o sul comportamento responsabile in tale ambito, sottolineando l'effetto positivo dell'utilizzo di prodotti e servizi TIC certificati.

(61)  Al fine di accrescere la consapevolezza e facilitare l'accettazione dei futuri sistemi di cibersicurezza dell'UE, la Commissione europea può emanare orientamenti generali o settoriali in materia di cibersicurezza, ad esempio orientamenti sulle buone pratiche o sul comportamento responsabile in tale ambito, sottolineando l'effetto positivo dell'utilizzo di prodotti, processi e servizi TIC certificati.

Emendamento    68

Proposta di regolamento

Considerando 63

 

Testo della Commissione

Emendamento

(63)  Al fine di specificare ulteriori criteri per l'accreditamento degli organismi di valutazione della conformità, è opportuno delegare alla Commissione il potere di adottare atti conformemente all'articolo 290 del trattato sul funzionamento dell'Unione europea. Durante i lavori preparatori la Commissione dovrebbe svolgere adeguate consultazioni, anche a livello di esperti. Tali consultazioni dovrebbero essere condotte nel rispetto dei principi stabiliti nell'accordo interistituzionale "Legiferare meglio" del 13 aprile 2016. In particolare, per assicurare pari opportunità di partecipazione alla preparazione degli atti delegati, il Parlamento europeo e il Consiglio dovrebbero ricevere tutti i documenti in concomitanza con gli esperti degli Stati membri e i loro esperti dovrebbero avere sistematicamente accesso alle riunioni dei gruppi di esperti della Commissione che si occupano della preparazione degli atti delegati.

(63)  Al fine di specificare ulteriori criteri per l'accreditamento degli organismi di valutazione della conformità, è opportuno delegare alla Commissione il potere di adottare atti conformemente all'articolo 290 del trattato sul funzionamento dell'Unione europea. Durante i lavori preparatori la Commissione dovrebbe svolgere adeguate consultazioni, anche a livello di esperti e con i portatori di interessi pertinenti, ove opportuno. Tali consultazioni dovrebbero essere condotte nel rispetto dei principi stabiliti nell'accordo interistituzionale "Legiferare meglio" del 13 aprile 2016. In particolare, per assicurare pari opportunità di partecipazione alla preparazione degli atti delegati, il Parlamento europeo e il Consiglio dovrebbero ricevere tutti i documenti in concomitanza con gli esperti degli Stati membri e i loro esperti dovrebbero avere sistematicamente accesso alle riunioni dei gruppi di esperti della Commissione che si occupano della preparazione degli atti delegati.

Emendamento    69

Proposta di regolamento

Considerando 65

 

Testo della Commissione

Emendamento

(65)  La procedura d'esame dovrebbe essere utilizzata per l'adozione degli atti di esecuzione sui sistemi europei di certificazione della cibersicurezza per i prodotti e i servizi TIC; sulle modalità di conduzione delle indagini da parte dell'Agenzia; sulle circostanze, sui formati e sulle procedure delle notifiche degli organismi di valutazione della conformità accreditati da parte delle autorità nazionali di controllo della certificazione alla Commissione.

(65)  Si potrebbero adottare, inoltre, atti delegati sui sistemi europei di certificazione della cibersicurezza per i prodotti, i processi e i servizi TIC; sulle modalità di conduzione delle indagini da parte dell'Agenzia; sulle circostanze, sui formati e sulle procedure delle notifiche degli organismi di valutazione della conformità accreditati da parte delle autorità nazionali di controllo della certificazione alla Commissione.

Emendamento    70

Proposta di regolamento

Considerando 66

 

Testo della Commissione

Emendamento

(66)  L'operato dell'Agenzia dovrebbe essere valutato in maniera indipendente. La valutazione dovrebbe tenere conto del conseguimento degli obiettivi da parte dell'Agenzia, delle sue pratiche di lavoro e della pertinenza dei suoi compiti. Dovrebbe altresì valutare l'impatto, l'efficacia e l'efficienza del quadro europeo di certificazione della cibersicurezza.

(66)  L'operato dell'Agenzia dovrebbe essere valutato costantemente e in maniera indipendente. La valutazione dovrebbe tenere conto del conseguimento degli obiettivi da parte dell'Agenzia, delle sue pratiche di lavoro e della pertinenza dei suoi compiti, in particolare del suo ruolo di coordinamento nei confronti degli Stati membri e delle rispettive autorità nazionali. In caso di riesame, la Commissione dovrebbe valutare la possibilità che l'Agenzia funga da sportello unico per gli Stati membri e le istituzioni e gli organi dell'Unione.

Emendamento    71

Proposta di regolamento

Considerando 66 bis (nuovo)

 

Testo della Commissione

Emendamento

 

(66 bis)  La valutazione dovrebbe altresì valutare l'impatto, l'efficacia e l'efficienza del quadro europeo di certificazione della cibersicurezza. In caso di riesame, la Commissione potrebbe valutare per l'Agenzia un ruolo che preveda di valutare i prodotti e i servizi dei paesi terzi che entrano nel mercato dell'Unione e la possibilità di inserimento nella lista nera delle imprese che non rispettano le norme dell'Unione.

Emendamento    72

Proposta di regolamento

Considerando 66 ter (nuovo)

 

Testo della Commissione

Emendamento

 

(66 ter)  La valutazione dovrebbe analizzare il livello di cibersicurezza dei prodotti e dei servizi venduti nell'Unione. In caso di riesame, la Commissione dovrebbe valutare se includere i requisiti essenziali della cibersicurezza come condizione per l'accesso al mercato interno.

Emendamento    73

Proposta di regolamento

Articolo 1 – lettera a

 

Testo della Commissione

Emendamento

(a)  stabilisce gli obiettivi, i compiti e gli aspetti organizzativi dell'ENISA, l'Agenzia dell'UE per la cibersicurezza, di seguito denominata "l'Agenzia" e

(a)  stabilisce gli obiettivi, i compiti e gli aspetti organizzativi dell'Agenzia dell'Unione europea per la sicurezza delle reti e dell'informazione ("l'Agenzia") e

Emendamento    74

Proposta di regolamento

Articolo 1 – lettera b

 

Testo della Commissione

Emendamento

(b)  stabilisce un quadro per l'introduzione di sistemi europei di certificazione della cibersicurezza al fine di garantire un livello adeguato di cibersicurezza dei prodotti e dei servizi TIC nell'Unione. Tale quadro si applica fatte salve le disposizioni specifiche in materia di certificazione volontaria o obbligatoria in altri atti dell'Unione.

(b)  stabilisce un quadro per l'introduzione di sistemi europei di certificazione della cibersicurezza al fine di evitare una frammentazione dei sistemi di certificazione nell'Unione e garantire un livello adeguato di cibersicurezza dei prodotti, dei processi e dei servizi TIC nell'Unione che si applica fatte salve le disposizioni specifiche in materia di certificazione volontaria e, ove opportuno, obbligatoria qualora previsto dal presente regolamento o in altri atti dell'Unione.

Emendamento    75

Proposta di regolamento

Articolo 1 – comma 1 bis (nuovo)

 

Testo della Commissione

Emendamento

 

L'Agenzia svolge i suoi compiti senza pregiudicare le competenze degli Stati membri in materia di cibersicurezza e, in particolare, le competenze degli Stati membri in materia di pubblica sicurezza, difesa, sicurezza nazionale e diritto penale.

Emendamento    76

Proposta di regolamento

Articolo 2 – punto 1

 

Testo della Commissione

Emendamento

(1)  "cibersicurezza", l'insieme delle attività necessarie per proteggere la rete e i sistemi informativi, i loro utenti e le persone interessate dalle minacce informatiche;

(Non concerne la versione italiana)  

Emendamento    77

Proposta di regolamento

Articolo 2 – punto 2

 

Testo della Commissione

Emendamento

(2)  "rete e sistema informativo", un sistema ai sensi dell'articolo 4, punto 1, della direttiva (UE) 2016/1148;

(2)  "rete e sistema informativo", una rete e un sistema informativo quali definiti all'articolo 4, punto 1, della direttiva (UE) 2016/1148;

Emendamento    78

Proposta di regolamento

Articolo 2 – punto 3

 

Testo della Commissione

Emendamento

(3)  "strategia nazionale per la sicurezza della rete e dei sistemi informativi", un quadro ai sensi dell'articolo 4, punto 3, della direttiva (UE) 2016/1148;

(3)  "strategia nazionale per la sicurezza della rete e dei sistemi informativi", una strategia nazionale per la sicurezza della rete e dei sistemi informativi quale definita all'articolo 4, punto 3, della direttiva (UE) 2016/1148;

Emendamento    79

Proposta di regolamento

Articolo 2 – punto 4

 

Testo della Commissione

Emendamento

(4)  "operatore di servizi essenziali", un soggetto pubblico o privato ai sensi dell'articolo 4, punto 4, della direttiva (UE) 2016/1148;

(4)  "operatore di servizi essenziali", un operatore di servizi essenziali ai sensi dell'articolo 4, punto 4, della direttiva (UE) 2016/1148;

Emendamento    80

Proposta di regolamento

Articolo 2 – punto 5

 

Testo della Commissione

Emendamento

(5)  "fornitore di servizio digitale", qualsiasi persona giuridica che fornisce un servizio digitale ai sensi dell'articolo 4, punto 6, della direttiva (UE) 2016/1148;

(5)  "fornitore di servizio digitale", un fornitore di servizio digitale ai sensi dell'articolo 4, punto 6, della direttiva (UE) 2016/1148;

Emendamento    81

Proposta di regolamento

Articolo 2 – punto 6

 

Testo della Commissione

Emendamento

(6)  "incidente", qualsiasi evento che corrisponda alla definizione di cui all'articolo 4, punto 7, della direttiva (UE) 2016/1148;

(6)  "incidente", un incidente che corrisponda alla definizione di cui all'articolo 4, punto 7, della direttiva (UE) 2016/1148;

Emendamento    82

Proposta di regolamento

Articolo 2 – punto 7

 

Testo della Commissione

Emendamento

(7)  "trattamento dell'incidente", qualsiasi procedura che corrisponda alla definizione di cui all'articolo 4, punto 8, della direttiva (UE) 2016/1148;

(7)  "trattamento dell'incidente", qualsiasi trattamento dell'incidente che corrisponda alla definizione di cui all'articolo 4, punto 8, della direttiva (UE) 2016/1148;

Emendamento    83

Proposta di regolamento

Articolo 2 – punto 8

 

Testo della Commissione

Emendamento

(8)  "minaccia informatica", qualsiasi circostanza o evento che potrebbe avere un impatto negativo sulla rete e sui sistemi informativi, sui loro utenti e sulle persone interessate;

(8)  "minaccia informatica", qualsiasi circostanza, evento o azione dolosa, compreso un comando automatizzato che potrebbe danneggiare, perturbare o avere un impatto negativo di altro tipo sulla rete e sui sistemi informativi, sui loro utenti e sulle persone interessate;

Emendamento    84

Proposta di regolamento

Articolo 2 – punto 8 bis (nuovo)

 

Testo della Commissione

Emendamento

 

(8 bis)  "igiene informatica", le semplici misure di routine che, se attuate e svolte regolarmente dagli utenti e dalle imprese online, riducono al minimo la loro esposizione a rischi derivanti da minacce informatiche.

Emendamento    85

Proposta di regolamento

Articolo 2 – punto 9

 

Testo della Commissione

Emendamento

(9)  "sistema europeo di certificazione della cibersicurezza", la serie completa di norme, requisiti tecnici, norme tecniche e procedure definiti a livello di Unione che si applicano alla certificazione dei prodotti e dei servizi nell'ambito delle tecnologie dell'informazione e della comunicazione (TIC) che rientrano nell'ambito di applicazione del sistema;

(9)  "sistema europeo di certificazione della cibersicurezza", la serie completa di norme, requisiti tecnici, norme tecniche e procedure definiti a livello di Unione e in base alle norme internazionali ed europee e alle specifiche TIC identificate dall'Agenzia che si applicano alla certificazione dei prodotti, dei processi e dei servizi nell'ambito delle tecnologie dell'informazione e della comunicazione (TIC) che rientrano nell'ambito di applicazione del sistema;

Emendamento    86

Proposta di regolamento

Articolo 2 – punto 10

 

Testo della Commissione

Emendamento

(10)  "certificato europeo di cibersicurezza", un documento rilasciato da un organismo di valutazione della conformità che attesta che un determinato prodotto o servizio TIC soddisfa i requisiti specifici stabiliti da un sistema europeo di certificazione della cibersicurezza;

(10)  "certificato europeo di cibersicurezza", un documento rilasciato da un organismo di valutazione della conformità che attesta che un determinato prodotto, servizio o processo TIC soddisfa i requisiti specifici stabiliti da un sistema europeo di certificazione della cibersicurezza;

Emendamento    87

Proposta di regolamento

Articolo 2 – punto 11 bis (nuovo)

 

Testo della Commissione

Emendamento

 

(11 bis)  "processo TIC", l'insieme delle attività svolte al fine di progettare, sviluppare, mantenere e fornire un prodotto o servizio TIC;

Emendamento    88

Proposta di regolamento

Articolo 2 – punto 11 ter (nuovo)

 

Testo della Commissione

Emendamento

 

(11 ter)  "dispositivo elettronico di consumo", un dispositivo costituito da componenti hardware e software che effettuano il trattamento di dati personali o si collegano a internet per il funzionamento di apparecchi domotici e di controllo della casa, sistemi per l'ufficio, apparecchiature e dispositivi di instradamento che collegano a una rete, come le TV intelligenti, i giocattoli e le console di gioco, assistenti virtuali o personali, dispositivi di streaming connessi, dispositivi indossabili nonché sistemi a comando vocale e di realtà virtuale;

Emendamento    89

Proposta di regolamento

Articolo 2 – punto 16

 

Testo della Commissione

Emendamento

(16)  "norma tecnica", una norma tecnica ai sensi dell'articolo 2, punto 1, del regolamento (UE) n. 1025/2012.

(16)  "norma tecnica, specifica tecnica e specifica tecnica TIC", una norma tecnica, una specifica tecnica o una specifica tecnica TIC ai sensi dell'articolo 2, punti 1, 4, e 5 del regolamento (UE) n. 1025/2012.

Emendamento    90

Proposta di regolamento

Articolo 2 – punto 16 bis (nuovo)

 

Testo della Commissione

Emendamento

 

(16 bis)  "autorità nazionale di controllo della certificazione", l'organo designato da ciascuno Stato membro a norma dell'articolo 50 del presente regolamento;

Emendamento    91

Proposta di regolamento

Articolo 2 – punto 16 ter (nuovo)

 

Testo della Commissione

Emendamento

 

(16 ter)  "autovalutazione", la dichiarazione di conformità con la quale il fabbricante dichiara che i requisiti specifici stabiliti in un sistema di certificazione relativi ai prodotti, ai processi e ai servizi sono stati rispettati;

Emendamento    92

Proposta di regolamento

Articolo 2 – punto 16 quater (nuovo)

 

Testo della Commissione

Emendamento

 

(16 quater)  "sicurezza predefinita", la situazione in cui, se un prodotto, un software o un processo possono essere programmati in modo da garantire un livello di sicurezza superiore, il primo utente dovrebbe ricevere la configurazione predefinita con le impostazioni di sicurezza più sicure possibili. Se, su base puntuale, un'analisi del rischio e dell'usabilità porta a concludere che tali impostazioni non sono fattibili, gli utenti dovrebbero essere sollecitati ad optare per l'impostazione più sicura.

Emendamento    93

Proposta di regolamento

Articolo 2 – punto 16 quinquies (nuovo)

 

Testo della Commissione

Emendamento

 

(16 quinquies)  "operatore di servizi essenziali", un operatore di servizi essenziali ai sensi dell'articolo 4, punto 4, della direttiva (UE) 2016/1148;

Emendamento    94

Proposta di regolamento

Articolo 3 – paragrafo 1

 

Testo della Commissione

Emendamento

1.  L'Agenzia svolge i compiti che le sono attribuiti dal presente regolamento allo scopo di contribuire a un elevato livello di cibersicurezza nell'Unione.

1.  L'Agenzia svolge i compiti che le sono attribuiti dal presente regolamento ed è rafforzata allo scopo di contribuire a conseguire un elevato livello comune di cibersicurezza, al fine di prevenire attacchi informatici nell'Unione, di ridurre la frammentazione nel mercato interno e migliorarne il funzionamento e di garantire la coerenza, tenendo conto dei risultati della cooperazione degli Stati membri nel quadro della direttiva NIS.

Emendamento    95

Proposta di regolamento

Articolo 4 – paragrafo 1

 

Testo della Commissione

Emendamento

1.  L'Agenzia opera come centro di competenze nel settore della cibersicurezza grazie alla sua indipendenza, alla qualità scientifica e tecnica delle consulenze e dell'assistenza fornite e delle informazioni che mette a disposizione, alla trasparenza delle procedure e dei metodi operativi utilizzati e alla diligenza nell'esecuzione dei suoi compiti.

1.  L'Agenzia opera come centro di competenze teoriche e pratiche nel settore della cibersicurezza grazie alla sua indipendenza, alla qualità scientifica e tecnica delle consulenze e dell'assistenza fornite e delle informazioni che mette a disposizione, alla trasparenza delle procedure e dei metodi operativi utilizzati e alla diligenza nell'esecuzione dei suoi compiti.

Emendamento    96

Proposta di regolamento

Articolo 4 – paragrafo 2

 

Testo della Commissione

Emendamento

2.  L'Agenzia assiste le istituzioni, le agenzie e gli organismi dell'Unione, come pure gli Stati membri, nell'elaborazione e nell'attuazione di politiche relative alla cibersicurezza.

2.  L'Agenzia assiste le istituzioni, le agenzie e gli organismi dell'Unione, come pure gli Stati membri, nell'elaborazione, nell'attuazione di politiche relative alla cibersicurezza e nell'opera di sensibilizzazione presso i cittadini e le imprese.

Emendamento    97

Proposta di regolamento

Articolo 4 – paragrafo 3

 

Testo della Commissione

Emendamento

3.  L'Agenzia sostiene lo sviluppo della capacità e la preparazione nell'Unione, assistendo l'Unione, gli Stati membri e i portatori di interessi del settore pubblico e privato nel miglioramento della protezione delle loro reti e dei loro sistemi informativi, nello sviluppo di abilità e competenze nel campo della cibersicurezza e nel conseguimento della ciberresilienza.

3.  L'Agenzia sostiene lo sviluppo della capacità e la preparazione nell'Unione, assistendo le istituzioni, le agenzie e gli organismi dell'Unione, gli Stati membri e i portatori di interessi del settore pubblico e privato nel miglioramento della protezione delle loro reti e dei loro sistemi informativi, nello sviluppo e nel miglioramento delle capacità di ciberresilienza e di risposta, nella sensibilizzazione e nello sviluppo di abilità e competenze nel campo della cibersicurezza e nel conseguimento della ciberresilienza.

Emendamento    98

Proposta di regolamento

Articolo 4 – paragrafo 4

 

Testo della Commissione

Emendamento

4.  L'Agenzia promuove la cooperazione e il coordinamento a livello di Unione tra gli Stati membri, le istituzioni, le agenzie e gli organismi dell'Unione e i portatori di interessi, compreso il settore privato, su questioni relative alla cibersicurezza.

4.  L'Agenzia promuove la cooperazione, il coordinamento e la condivisione delle informazioni a livello di Unione tra gli Stati membri, le istituzioni, le agenzie e gli organismi dell'Unione e i portatori di interessi su questioni relative alla cibersicurezza.

Emendamento    99

Proposta di regolamento

Articolo 4 – paragrafo 5

 

Testo della Commissione

Emendamento

5.  L'Agenzia rafforza le capacità di cibersicurezza a livello di Unione per integrare l'azione degli Stati membri nella prevenzione delle minacce informatiche e nella reazione alle stesse, in particolare in caso di incidenti transfrontalieri.

5.  L'Agenzia contribuisce a rafforzare le capacità di cibersicurezza a livello di Unione per integrare l'azione degli Stati membri nella prevenzione delle minacce informatiche e nella reazione alle stesse, in particolare in caso di incidenti transfrontalieri, e per svolgere i propri compiti di assistenza alle istituzioni dell'Unione nello sviluppo delle politiche in materia di cibersicurezza.

Emendamento    100

Proposta di regolamento

Articolo 4 – paragrafo 6

 

Testo della Commissione

Emendamento

6.  L'Agenzia dovrebbe promuovere l'uso della certificazione, anche contribuendo all'istituzione e al mantenimento di un apposito quadro di certificazione della cibersicurezza a livello di Unione, conformemente al titolo III del presente regolamento, al fine di aumentare la trasparenza dell'affidabilità dei prodotti e dei servizi TIC in termini di cibersicurezza e di rafforzare in tal modo la fiducia nel mercato unico digitale.

6.  L'Agenzia dovrebbe promuovere l'uso della certificazione al fine di evitare la frammentazione del mercato interno e migliorarne il funzionamento, anche contribuendo all'istituzione e al mantenimento di un apposito quadro di certificazione della cibersicurezza a livello di Unione, conformemente al titolo III del presente regolamento, al fine di aumentare la trasparenza dell'affidabilità dei prodotti, dei processi e dei servizi TIC in termini di cibersicurezza e di rafforzare in tal modo la fiducia nel mercato unico digitale, nonché di accrescere la compatibilità fra i sistemi di certificazione nazionali e internazionali esistenti.

Emendamento    101

Proposta di regolamento

Articolo 4 – paragrafo 7

 

Testo della Commissione

Emendamento

7.  L'Agenzia promuove un elevato livello di consapevolezza dei cittadini e delle imprese sulle questioni relative alla cibersicurezza.

7.  L'Agenzia promuove e sostiene progetti che contribuiscono a un elevato livello di consapevolezza, igiene informatica e di alfabetizzazione informatica tra i cittadini e le imprese sulle questioni relative alla cibersicurezza.

Emendamento    102

Proposta di regolamento

Articolo 5 – paragrafo 1

 

Testo della Commissione

Emendamento

1.  fornendo assistenza e consulenza, in particolare fornendo un parere indipendente e lavori preparatori, per lo sviluppo e la revisione delle politiche e della normativa dell'Unione nel settore della cibersicurezza, nonché delle iniziative legislative e politiche settoriali che presentano una correlazione con le questioni relative alla cibersicurezza;

1.  fornendo assistenza e consulenza, in particolare formulando un parere e un'analisi indipendenti delle pertinenti attività nel ciberspazio e lavori preparatori, per lo sviluppo e la revisione delle politiche e della normativa dell'Unione nel settore della cibersicurezza, nonché delle iniziative legislative e politiche settoriali che presentano una correlazione con le questioni relative alla cibersicurezza;

Emendamento    103

Proposta di regolamento

Articolo 5 – paragrafo 2

 

Testo della Commissione

Emendamento

2.  assistendo gli Stati membri nell'attuazione uniforme delle politiche e della normativa dell'Unione in materia di cibersicurezza, in particolare in relazione alla direttiva (UE) 2016/1148, anche mediante pareri, orientamenti, consigli e migliori pratiche su questioni quali la gestione del rischio, la segnalazione degli incidenti e la condivisione delle informazioni, e agevolando lo scambio di migliori pratiche tra le autorità competenti in materia;

2.  assistendo gli Stati membri nell'attuazione uniforme delle politiche e della normativa dell'Unione in materia di cibersicurezza, in particolare in relazione alla direttiva (UE) 2016/1148, alla direttiva .../... [che istituisce il codice europeo delle comunicazioni elettroniche], al regolamento (UE) 2016/679 e alla direttiva 2002/58/CE, anche mediante pareri, orientamenti, consigli e migliori pratiche su questioni quali lo sviluppo di software e sistemi sicuri, la gestione del rischio, la segnalazione degli incidenti e la condivisione delle informazioni nonché misure tecniche e organizzative, in particolare l'istituzione di programmi di divulgazione coordinata delle vulnerabilità, e agevolando lo scambio di migliori pratiche tra le autorità competenti in materia;

Emendamento    104

Proposta di regolamento

Articolo 5 – paragrafo 2 bis (nuovo)

 

Testo della Commissione

Emendamento

 

2 bis.  lo sviluppo e la promozione di politiche che sostengano la disponibilità o integrità generale del nucleo pubblico di una rete internet aperta, che consente la funzionalità essenziale di internet nel suo complesso e che supporta il suo funzionamento normale, ivi comprese, solo a titolo di esempio, la sicurezza e la stabilità dei protocolli chiave (in particolare DNS, BGP e IPv6), il funzionamento del sistema dei nomi di dominio (compresi quelli di tutti i domini di primo livello), nonché il funzionamento della zona root;

Emendamento    105

Proposta di regolamento

Articolo 5 – paragrafo 4 – punto 2

 

Testo della Commissione

Emendamento

(2)  la promozione di un livello di sicurezza più elevato delle comunicazioni elettroniche, anche fornendo competenze e consulenza e agevolando lo scambio delle migliori pratiche tra le autorità competenti;

(2)  la promozione di un livello di sicurezza più elevato delle comunicazioni elettroniche, dell'archiviazione e del trattamento dei dati, anche fornendo competenze e consulenza e agevolando lo scambio delle migliori pratiche tra le autorità competenti;

Emendamento    106

Proposta di regolamento

Articolo 5 – paragrafo 5 bis (nuovo)

 

Testo della Commissione

Emendamento

 

5 bis.  assistendo gli Stati membri nell'attuazione uniforme delle politiche e della normativa dell'Unione in materia di protezione dei dati, in particolare in relazione al regolamento (UE) 2016/679, e assistendo il comitato europeo per la protezione dei dati (EDPB) nell'elaborazione di linee guida relative all'attuazione del regolamento (UE) 2016/679 a fini di cibersicurezza. L'EDPB consulta l'Agenzia ogni volta formuli un parere o adotti una decisione riguardo all'attuazione del regolamento generale sulla protezione dei dati e alla cibersicurezza, a titolo di esempio per questioni relative alle valutazioni d'impatto sulla tutela della vita privata, alla notifica delle violazioni dei dati, al trattamento in sicurezza, ai requisiti di sicurezza e alla privacy fin dalla progettazione.

Emendamento    107

Proposta di regolamento

Articolo 6 – paragrafo 1 – lettera a bis (nuova)

 

Testo della Commissione

Emendamento

 

(a bis)  gli Stati membri e le istituzioni dell'Unione nell'elaborazione e nell'attuazione di politiche di divulgazione coordinata delle vulnerabilità e di procedure di esame della divulgazione di vulnerabilità da parte dei governi, le cui pratiche e conclusioni devono essere trasparenti e soggette a un controllo indipendente;

Emendamento    108

Proposta di regolamento

Articolo 6 – paragrafo 1 – lettera a ter (nuova)

 

Testo della Commissione

Emendamento

 

(a ter)  L'Agenzia agevola la creazione e il lancio di un progetto europeo a lungo termine per la sicurezza dell'informazione, al fine di incentivare ulteriormente la ricerca in materia di cibersicurezza nell'Unione e negli Stati membri, in collaborazione con il Consiglio europeo della ricerca (CER) e con l'Istituto europeo di innovazione e tecnologia (EIT) e con riferimento ai programmi di ricerca dell'Unione.

Emendamento    109

Proposta di regolamento

Articoloc6 – paragrafo 1 – lettera g

 

Testo della Commissione

Emendamento

(g)  gli Stati membri mediante l'organizzazione delle esercitazioni annuali di cibersicurezza su vasta scala a livello di Unione di cui all'articolo 7, paragrafo 6, e la formulazione di raccomandazioni politiche basate sul processo di valutazione delle esercitazioni e sugli insegnamenti tratti da queste ultime;

(g)  gli Stati membri mediante l'organizzazione delle esercitazioni periodiche e perlomeno annuali di cibersicurezza su vasta scala a livello di Unione di cui all'articolo 7, paragrafo 6, e la formulazione di raccomandazioni politiche e lo scambio delle migliori pratiche basate sul processo di valutazione delle esercitazioni e sugli insegnamenti tratti da queste ultime;

Emendamento    110

Proposta di regolamento

Articolo 6 – paragrafo 2

 

Testo della Commissione

Emendamento

2.  L'Agenzia agevola l'istituzione di centri di condivisione e di analisi delle informazioni (ISAC) settoriali e fornisce loro un sostegno costante, in particolare nei settori che figurano nell'allegato II della direttiva (UE) 2016/1148, fornendo migliori pratiche e orientamenti sugli strumenti disponibili, sulla procedura da seguire e su come affrontare le questioni regolamentari connesse allo scambio di informazioni.

2.  L'Agenzia agevola l'istituzione di centri di condivisione e di analisi delle informazioni (ISAC) settoriali e fornisce loro un sostegno costante, in particolare nei settori che figurano nell'allegato II della direttiva (UE) 2016/1148, fornendo migliori pratiche e orientamenti sugli strumenti disponibili, sulla procedura da seguire, su principi di igiene informatica e su come affrontare le questioni regolamentari connesse allo scambio di informazioni.

Emendamento    111

Proposta di regolamento

Articolo 7 – paragrafo 1

 

Testo della Commissione

Emendamento

1.  L'Agenzia sostiene la cooperazione operativa tra gli enti pubblici competenti e tra i portatori di interessi.

1.  L'Agenzia sostiene la cooperazione operativa tra gli Stati membri, le istituzioni, le agenzie e gli organismi dell'Unione e tra i portatori di interessi al fine di conseguire la collaborazione, mediante l'analisi e la valutazione dei sistemi esistenti a livello nazionale, lo sviluppo e l'attuazione di un piano e l'utilizzo degli strumenti appropriati per conseguire il massimo livello di certificazione della cibersicurezza nell'Unione e negli Stati membri.

Emendamento    112

Proposta di regolamento

Articolo 7 – paragrafo 4 – lettera b

 

Testo della Commissione

Emendamento

(b)  l'offerta, su richiesta degli Stati membri, di assistenza tecnica in caso di incidenti aventi un impatto rilevante o sostanziale;

(b)  l'offerta, su richiesta degli Stati membri, di assistenza tecnica, sotto forma di condivisione di informazioni e competenze, in caso di incidenti aventi un impatto rilevante o sostanziale;

Emendamento    113

Proposta di regolamento

Articolo 7 – paragrafo 4 – lettera b bis (nuova)

 

Testo della Commissione

Emendamento

 

(b bis)  Se una situazione richiede un intervento urgente qualora un incidente abbia un notevole effetto perturbatore, uno Stato membro può chiedere l'assistenza di esperti dell'Agenzia per valutare la situazione. La richiesta comprende una descrizione della situazione, i possibili obiettivi e le esigenze previste.

Emendamento    114

Proposta di regolamento

Articolo 7 – paragrafo 5 – comma 1

 

Testo della Commissione

Emendamento

Su richiesta di due o più Stati membri interessati, e al solo fine di fornire consulenza per la prevenzione di futuri incidenti, l'Agenzia fornisce assistenza alle imprese interessate o effettua un'indagine tecnica ex post a seguito della notifica da parte delle imprese interessate di incidenti aventi un impatto significativo o rilevante ai sensi della direttiva (UE) 2016/1148. L'Agenzia svolge tale indagine anche su richiesta debitamente motivata della Commissione di concerto con gli Stati membri interessati nel caso in cui gli incidenti interessino più di due Stati membri.

Su richiesta di uno o più Stati membri interessati, e al solo fine di fornire assistenza sotto forma di consulenza per la prevenzione di futuri incidenti o sotto forma di assistenza nella risposta a incidenti di vasta scala, l'Agenzia fornisce assistenza alle imprese interessate o effettua un'indagine tecnica ex post a seguito della notifica da parte delle imprese interessate di incidenti aventi un impatto significativo o rilevante ai sensi della direttiva (UE) 2016/1148. L'Agenzia svolge le suddette attività ricevendo le informazioni pertinenti dagli Stati membri interessati e utilizzando risorse proprie di analisi delle minacce nonché risorse per la risposta agli incidenti. L'Agenzia svolge tale indagine anche su richiesta debitamente motivata della Commissione di concerto con gli Stati membri interessati nel caso in cui gli incidenti interessino più di uno Stato membro. Nello svolgimento di tale indagine, l'Agenzia provvede affinché non siano divulgate le azioni intraprese dagli Stati membri per salvaguardare le funzioni essenziali dello Stato, in particolare quelle riguardanti la sicurezza nazionale.

Emendamento    115

Proposta di regolamento

Articolo 7 – paragrafo 6

 

Testo della Commissione

Emendamento

6.  L'Agenzia organizza esercitazioni annuali di cibersicurezza a livello di Unione e, su loro richiesta, sostiene gli Stati membri e le istituzioni, le agenzie e gli organi dell'UE nell'organizzazione di esercitazioni. Le esercitazioni annuali a livello di Unione includono gli elementi tecnici, operativi e strategici e contribuiscono a preparare la risposta cooperativa a livello di Unione agli incidenti di cibersicurezza transfrontalieri di vasta portata. L'Agenzia inoltre contribuisce e aiuta ad organizzare, se del caso, esercitazioni di cibersicurezza settoriali insieme ai pertinenti ISAC e consente agli ISAC di partecipare anche alle esercitazioni di cibersicurezza a livello di Unione.

6.  L'Agenzia organizza esercitazioni regolari, a cadenza almeno annuale, di cibersicurezza a livello di Unione e, su loro richiesta, sostiene gli Stati membri e le istituzioni, le agenzie e gli organi dell'UE nell'organizzazione di esercitazioni. Le esercitazioni annuali a livello di Unione includono gli elementi tecnici, operativi e strategici e contribuiscono a preparare la risposta cooperativa a livello di Unione agli incidenti di cibersicurezza transfrontalieri di vasta portata. L'Agenzia inoltre contribuisce e aiuta ad organizzare, se del caso, esercitazioni di cibersicurezza settoriali insieme ai pertinenti ISAC e consente agli ISAC di partecipare anche alle esercitazioni di cibersicurezza a livello di Unione.

Emendamento    116

Proposta di regolamento

Articolo 7 – paragrafo 7

 

Testo della Commissione

Emendamento

7.  L'Agenzia elabora periodicamente una relazione sulla situazione tecnica della cibersicurezza nell'UE in merito agli incidenti e alle minacce, sulla base delle informazioni pubblicamente disponibili, della propria analisi e delle relazioni condivise, tra l'altro: dai CSIRT degli Stati membri (su base volontaria) o dai punti di contatto unici istituiti dalla direttiva NIS (conformemente all'articolo 14, paragrafo 5, della direttiva NIS), dal Centro europeo per la lotta alla criminalità informatica (EC3) presso Europol e dalla CERT-UE.

7.  L'Agenzia elabora periodicamente una relazione approfondita sulla situazione tecnica della cibersicurezza nell'UE in merito agli incidenti e alle minacce, sulla base delle informazioni pubblicamente disponibili, della propria analisi e delle relazioni condivise, tra l'altro: dai CSIRT degli Stati membri (su base volontaria) o dai punti di contatto unici istituiti dalla direttiva NIS (conformemente all'articolo 14, paragrafo 5, della direttiva NIS), dal Centro europeo per la lotta alla criminalità informatica (EC3) presso Europol e dalla CERT-UE. Il direttore esecutivo presenta, ove opportuno, le conclusioni pubbliche al Parlamento europeo.

Emendamento    117

Proposta di regolamento

Articolo 7 – paragrafo 7 bis (nuovo)

 

Testo della Commissione

Emendamento

 

7 bis.  L'Agenzia contribuisce, ove opportuno e previa approvazione da parte della Commissione, alla cooperazione informatica con il Centro di eccellenza per la ciberdifesa cooperativa della NATO e l'Accademia NATO per la comunicazione e l'informazione (NCI).

Emendamento    118

Proposta di regolamento

Articolo 7 – paragrafo 8 – lettera a

 

Testo della Commissione

Emendamento

(a)  aggregando le relazioni delle fonti nazionali al fine di contribuire a creare una conoscenza situazionale comune;

(a)  analizzando e aggregando le relazioni delle fonti nazionali al fine di contribuire a creare una conoscenza situazionale comune;

Emendamento    119

Proposta di regolamento

Articolo 7 – paragrafo 8 – lettera c

 

Testo della Commissione

Emendamento

(c)  fornendo assistenza nel trattamento tecnico di un incidente o di una crisi, anche agevolando la condivisione di soluzioni tecniche tra gli Stati membri;

(c)  fornendo assistenza nel trattamento tecnico di un incidente o di una crisi, sulla base delle proprie competenze e risorse indipendenti, anche agevolando la condivisione di soluzioni tecniche tra gli Stati membri;

Emendamento    120

Proposta di regolamento

Articolo 7 – paragrafo 8 bis (nuovo)

 

Testo della Commissione

Emendamento

 

8 bis.  L'Agenzia organizza, se necessario, uno scambio di opinioni e assiste le autorità degli Stati membri nel coordinamento della loro risposta, conformemente ai principi di sussidiarietà e proporzionalità.

Emendamento    121

Proposta di regolamento

Articolo 7 bis (nuovo)

 

Testo della Commissione

Emendamento

 

Articolo 7 bis

 

Capacità tecniche dell'Agenzia

 

1. Per raggiungere gli obiettivi di cui all'articolo 7 e conformemente al suo programma di lavoro, l'Agenzia sviluppa, tra l'altro, le seguenti capacità e competenze tecniche:

 

(a) la capacità di raccogliere informazioni sulle minacce di cibersicurezza provenienti dal codice sorgente aperto (open source); e

 

(b) la capacità di rendere disponibili attrezzature tecniche, strumenti e competenze in remoto.

 

2. Al fine di sviluppare le capacità tecniche di cui al paragrafo 1 del presente articolo e le pertinenti competenze, l'Agenzia:

 

(a) provvede affinché le sue procedure di assunzione riflettano le diverse competenze tecniche richieste; e

 

(b) coopera con la CERT UE ed Europol a norma dell'articolo 7, paragrafo 2 del presente regolamento.

Emendamento    122

Proposta di regolamento

Articolo 8 – lettera a – parte introduttiva

 

Testo della Commissione

Emendamento

(a)  sostiene e promuove lo sviluppo e l'attuazione della politica dell'Unione in materia di certificazione della cibersicurezza dei prodotti e dei servizi TIC, come stabilito al titolo III del presente regolamento:

(a)  sostiene e promuove lo sviluppo e l'attuazione della politica dell'Unione in materia di certificazione della cibersicurezza dei prodotti, dei servizi e dei processi TIC, come stabilito al titolo III del presente regolamento:

Emendamento    123

Proposta di regolamento

Articolo 8 – lettera a – punto -1 (nuovo)

 

Testo della Commissione

Emendamento

 

(-1)  definendo in maniera costante norme, specifiche tecniche e specifiche tecniche delle TIC;

Emendamento    124

Proposta di regolamento

Articolo 8 – lettera a – punto 1

 

Testo della Commissione

Emendamento

(1)  preparando proposte di sistemi europei di certificazione della cibersicurezza per i prodotti e i servizi TIC conformemente all'articolo 44 del presente regolamento;

(1)  preparando proposte di sistemi europei di certificazione della cibersicurezza per i prodotti, i servizi e i processi TIC conformemente all'articolo 44 del presente regolamento, in cooperazione con i portatori di interessi dell'industria e le organizzazioni di normazione, nel quadro di una procedura formale, standardizzata e trasparente;

Emendamento    125

Proposta di regolamento

Articolo 8 – lettera a – punto 1 bis (nuovo)

 

Testo della Commissione

Emendamento

 

(1 bis)  effettuando, in cooperazione con il gruppo di certificazione degli Stati membri a norma dell'articolo 53 del presente regolamento, valutazioni delle procedure per l'emissione di certificati europei di cibersicurezza messe in atto dagli organismi di valutazione della conformità di cui all'articolo 51 del presente regolamento, finalizzate ad assicurare l'applicazione uniforme del presente regolamento da parte degli organismi di valutazione della conformità all'atto dell'emissione dei certificati;

Emendamento    126

Proposta di regolamento

Articolo 8 – lettera a – punto 1 ter (nuovo)

 

Testo della Commissione

Emendamento

 

(1 ter)  svolgendo verifiche ex post periodiche e indipendenti sulla conformità dei prodotti, dei processi e dei servizi TIC certificati rispetto ai sistemi europei di certificazione della cibersicurezza;

Emendamento    127

Proposta di regolamento

Articolo 8 – lettera a – punto 2

 

Testo della Commissione

Emendamento

(2)  assistendo la Commissione nel provvedere alle funzioni di segretariato del gruppo europeo per la certificazione della cibersicurezza a norma dell'articolo 53 del presente regolamento;

(2)  assistendo la Commissione nel provvedere alle funzioni di segretariato del gruppo di certificazione degli Stati membri a norma dell'articolo 53 del presente regolamento;

Emendamento    128

Proposta di regolamento

Articolo 8 – lettera a – punto 3

 

Testo della Commissione

Emendamento

(3)  elaborando e pubblicando orientamenti e sviluppando buone pratiche in merito ai requisiti di cibersicurezza dei prodotti e dei servizi TIC, in cooperazione con le autorità nazionali di controllo della certificazione e con l'industria;

(3)  elaborando e pubblicando orientamenti e sviluppando buone pratiche, anche in materia di principi di igiene informatica, in merito ai requisiti di cibersicurezza dei prodotti, dei processi e dei servizi TIC, in cooperazione con le autorità nazionali di controllo della certificazione e con l'industria, nel quadro di una procedura formale, standardizzata e trasparente;

Emendamento    129

Proposta di regolamento

Articolo 8 – lettera b

 

Testo della Commissione

Emendamento

(b)  agevola la definizione e l'adozione di norme tecniche europee e internazionali in materia di gestione dei rischi e di sicurezza dei prodotti e dei servizi TIC e, in collaborazione con gli Stati membri, redige pareri e linee guida riguardanti i settori tecnici relativi ai requisiti di sicurezza per gli operatori di servizi essenziali e i fornitori di servizi digitali e concernenti altresì le norme tecniche già esistenti, comprese le norme tecniche nazionali degli Stati membri, a norma dell'articolo 19, paragrafo 2, della direttiva (UE) 2016/1148;

(b)  agevola la definizione e l'adozione di norme tecniche europee e internazionali in materia di gestione dei rischi e di sicurezza dei prodotti, dei processi e dei servizi TIC e, in collaborazione con gli Stati membri e l'industria, redige pareri e linee guida riguardanti i settori tecnici relativi ai requisiti di sicurezza per gli operatori di servizi essenziali e i fornitori di servizi digitali e concernenti altresì le norme tecniche già esistenti, comprese le norme tecniche nazionali degli Stati membri, a norma dell'articolo 19, paragrafo 2, della direttiva (UE) 2016/1148, e condivide tali informazioni tra gli Stati membri;

Emendamento    130

Proposta di regolamento

Articolo 9 – lettera c

 

Testo della Commissione

Emendamento

(c)  fornisce, in cooperazione con esperti delle autorità degli Stati membri, consulenza, orientamenti e migliori pratiche per la sicurezza delle reti e dei sistemi informativi, in particolare per quanto riguarda la sicurezza delle infrastrutture di internet e delle infrastrutture su cui poggiano i settori di cui all'allegato II della direttiva (UE) 2016/1148;

(c)  fornisce, in cooperazione con esperti delle autorità degli Stati membri e i portatori di interessi, consulenza, orientamenti e migliori pratiche per la sicurezza delle reti e dei sistemi informativi, in particolare per quanto riguarda la sicurezza delle infrastrutture di internet e delle infrastrutture su cui poggiano i settori di cui all'allegato II della direttiva (UE) 2016/1148;

Emendamento    131

Proposta di regolamento

Articolo 9 – lettera e

 

Testo della Commissione

Emendamento

(e)  sensibilizza l'opinione pubblica sui rischi connessi alla cibersicurezza e fornisce orientamenti in materia di buone pratiche per i singoli utenti destinate a cittadini e organizzazioni;

(e)  sensibilizza l'opinione pubblica in maniera costante sui rischi connessi alla cibersicurezza e fornisce corsi di formazione e orientamenti in materia di buone pratiche per i singoli utenti destinate a cittadini e organizzazioni, nonché promuove l'adozione di valide misure preventive in materia di sicurezza informatica e la protezione affidabile dei dati e della vita privata;

Emendamento    132

Proposta di regolamento

Articolo 9 – lettera g

 

Testo della Commissione

Emendamento

(g)  organizza regolarmente, in collaborazione con gli Stati membri e con le istituzioni, gli organi, gli uffici e le agenzie dell'Unione, campagne di sensibilizzazione al fine di rafforzare la cibersicurezza e la sua visibilità nell'Unione.

(g)  organizza regolarmente, in collaborazione con gli Stati membri e con le istituzioni, gli organi, gli uffici e le agenzie dell'Unione, campagne di comunicazione al fine di incoraggiare un ampio dibattito pubblico.

Emendamento    133

Proposta di regolamento

Articolo 9 – lettera g bis (nuova)

 

Testo della Commissione

Emendamento

 

(g bis)  sostiene un più stretto coordinamento e lo scambio di migliori pratiche tra gli Stati membri in materia di educazione e alfabetizzazione sulla cibersicurezza, igiene informatica e sensibilizzazione.

Emendamento    134

Proposta di regolamento

Articolo 10 – lettera a

 

Testo della Commissione

Emendamento

(a)  fornisce consulenza all'Unione e agli Stati membri sulle esigenze e le priorità in materia di ricerca nel settore della cibersicurezza, al fine di consentire di reagire in maniera efficace ai rischi e alle minacce attuali ed emergenti, anche per quanto riguarda le tecnologie dell'informazione e della comunicazione nuove ed emergenti, e di utilizzare efficacemente le tecnologie per la prevenzione dei rischi;

(a)  assicura la consultazione preliminare dei pertinenti gruppi di utenti e fornisce consulenza all'Unione e agli Stati membri sulle esigenze e le priorità in materia di ricerca nei settori della cibersicurezza e della protezione dei dati e della vita privata, al fine di consentire di reagire in maniera efficace ai rischi e alle minacce attuali ed emergenti, anche per quanto riguarda le tecnologie dell'informazione e della comunicazione nuove ed emergenti, e di utilizzare efficacemente le tecnologie per la prevenzione dei rischi;

Emendamento    135

Proposta di regolamento

Articolo 10 – lettera b bis (nuova)

 

Testo della Commissione

Emendamento

 

(b bis)  commissiona le proprie attività di ricerca nei settori di interesse che non sono ancora contemplati dai programmi di ricerca dell'Unione esistenti, ove esista un valore aggiunto europeo chiaramente identificato.

Emendamento    136

Proposta di regolamento

Articolo 11 – lettera c bis (nuova)

 

Testo della Commissione

Emendamento

 

(c bis)  fornendo consulenza e sostegno alla Commissione, in collaborazione con il gruppo di certificazione degli Stati membri istituito a norma dell'articolo 53, su questioni concernenti gli accordi per il riconoscimento reciproco dei certificati di cibersicurezza con i paesi terzi.

Emendamento    137

Proposta di regolamento

Articolo 12 – lettera d

 

Testo della Commissione

Emendamento

(d)  un gruppo permanente di portatori di interessi che esercita le funzioni di cui all'articolo 20.

(d)  un gruppo consultivo ENISA che esercita le funzioni di cui all'articolo 20.

Emendamento    138

Proposta di regolamento

Articolo 14 – lettera e

 

Testo della Commissione

Emendamento

(e)  valuta e adotta la relazione annuale consolidata sulle attività dell'Agenzia e trasmette, entro il 1° luglio dell'anno successivo, sia la relazione che la sua valutazione al Parlamento europeo, al Consiglio, alla Commissione e alla Corte dei conti. La relazione annuale include i conti e descrive in che modo l'Agenzia ha conseguito i propri indicatori di risultato. La relazione annuale è resa pubblica;

(e)  valuta e adotta la relazione annuale consolidata sulle attività dell'Agenzia e trasmette, entro il 1° luglio dell'anno successivo, sia la relazione che la sua valutazione al Parlamento europeo, al Consiglio, alla Commissione e alla Corte dei conti. La relazione annuale include i conti, descrive l'efficacia in termini di spese e valuta quanto l'Agenzia è stata efficiente e in che misura ha conseguito i propri indicatori di risultato. La relazione annuale è resa pubblica;

Emendamento    139

Proposta di regolamento

Articolo 14 – lettera m

 

Testo della Commissione

Emendamento

(m)  nomina il direttore esecutivo e, se del caso, ne proroga il mandato o lo rimuove dall'incarico, a norma dell'articolo 33 del presente regolamento;

(m)  nomina il direttore esecutivo mediante una selezione basata su criteri professionali e, se del caso, ne proroga il mandato o lo rimuove dall'incarico, a norma dell'articolo 33 del presente regolamento;

Emendamento    140

Proposta di regolamento

Articolo 14 – lettera o

 

Testo della Commissione

Emendamento

o)  prende tutte le decisioni sull'istituzione delle strutture interne dell'Agenzia e, se necessario, sulla relativa modifica, in considerazione delle necessità per l'attività dell'Agenzia e secondo una gestione di bilancio sana;

o)  prende tutte le decisioni sull'istituzione delle strutture interne dell'Agenzia e, se necessario, sulla relativa modifica, in considerazione delle necessità per l'attività dell'Agenzia, quali elencate nel presente regolamento, e secondo una gestione di bilancio sana;

Emendamento    141

Proposta di regolamento

Articolo 16 – paragrafo 4

 

Testo della Commissione

Emendamento

4.  I membri del gruppo permanente di portatori di interessi, su invito del presidente, possono partecipare senza diritto di voto alle riunioni del consiglio di amministrazione.

4.  I membri del gruppo consultivo ENISA, su invito del presidente, possono partecipare senza diritto di voto alle riunioni del consiglio di amministrazione.

Emendamento    142

Proposta di regolamento

Articolo 18 – paragrafo 3

 

Testo della Commissione

Emendamento

3.  Il comitato esecutivo consta di cinque membri designati tra i membri del consiglio di amministrazione, tra cui figurano il presidente del consiglio di amministrazione, il quale può anche presiedere il comitato esecutivo, e un rappresentante della Commissione. Il direttore esecutivo partecipa alle riunioni del comitato esecutivo senza diritto di voto.

3.  Il comitato esecutivo consta di cinque membri designati tra i membri del consiglio di amministrazione, tra cui figurano il presidente del consiglio di amministrazione, il quale può anche presiedere il comitato esecutivo, e un rappresentante della Commissione. Il direttore esecutivo partecipa alle riunioni del comitato esecutivo senza diritto di voto. Le nomine mirano a conseguire una rappresentanza di genere equilibrata nel comitato esecutivo.

Motivazione

Le nomine al comitato esecutivo devono anche essere finalizzate all'equilibrio di genere, rispecchiando le disposizioni relative al consiglio di amministrazione di cui all'articolo 13, paragrafo 3.

Emendamento    143

Proposta di regolamento

Articolo 19 – paragrafo 2

 

Testo della Commissione

Emendamento

2.  Su richiesta, il direttore esecutivo riferisce al Parlamento europeo sull'esercizio delle sue funzioni. Il Consiglio può invitare il direttore esecutivo a riferire sull'esercizio delle sue funzioni.

2.  Il direttore esecutivo riferisce al Parlamento europeo sull'esercizio delle sue funzioni a cadenza annuale oppure su richiesta. Il Consiglio può invitare il direttore esecutivo a riferire sull'esercizio delle sue funzioni.

Emendamento    144

Proposta di regolamento

Articolo 19 – paragrafo 5 bis (nuovo)

 

Testo della Commissione

Emendamento

 

5 bis.  Il direttore esecutivo ha facoltà, inoltre, di agire in veste di consulente speciale istituzionale sulla politica in materia di cibersicurezza per il presidente della Commissione europea, secondo il mandato definito nella decisione della Commissione C(2014)0541 del 6 febbraio 2014.

Emendamento    145

Proposta di regolamento

Articolo 20 – titolo

 

Testo della Commissione

Emendamento

Gruppo permanente dei portatori di interessi

Gruppo consultivo ENISA

 

(La modifica si applica all'intero testo legislativo in esame; l'approvazione dell'emendamento implica adeguamenti tecnici in tutto il testo).

Emendamento    146

Proposta di regolamento

Articolo 20 – paragrafo 1

 

Testo della Commissione

Emendamento

1.  Il consiglio di amministrazione, su proposta del direttore esecutivo, istituisce un gruppo permanente di portatori di interessi composto da esperti riconosciuti che rappresentano i portatori di interessi, quali il settore delle TIC, i fornitori delle reti o dei servizi di comunicazione elettronica accessibili al pubblico, le organizzazioni dei consumatori, gli esperti universitari in materia di cibersicurezza e i rappresentanti delle autorità competenti notificati a norma della [direttiva che istituisce il codice europeo delle comunicazioni elettroniche], nonché le autorità di contrasto e le autorità di controllo preposte alla protezione dei dati.

1.  Il consiglio di amministrazione, su proposta del direttore esecutivo, istituisce in maniera trasparente un gruppo consultivo ENISA composto da esperti riconosciuti nell'ambito della sicurezza che rappresentano i portatori di interessi, quali il settore delle TIC, tra cui le PMI, gli operatori di servizi essenziali a norma della direttiva NIS, i fornitori delle reti o dei servizi di comunicazione elettronica accessibili al pubblico, le organizzazioni dei consumatori, gli esperti universitari in materia di cibersicurezza, le organizzazioni europee di normazione (OEN), le agenzie dell'UE e i rappresentanti delle autorità competenti notificati a norma della [direttiva che istituisce il codice europeo delle comunicazioni elettroniche], nonché le autorità di contrasto e le autorità di controllo preposte alla protezione dei dati. Il consiglio di amministrazione garantisce un idoneo equilibrio tra i diversi gruppi di portatori di interessi.

Emendamento    147

Proposta di regolamento

Articolo 20 – paragrafo 2

 

Testo della Commissione

Emendamento

2.  Le procedure per il gruppo permanente di portatori di interessi, in particolare per quanto riguarda il numero, la composizione e la nomina dei membri da parte del consiglio di amministrazione, la proposta del direttore esecutivo e il funzionamento del gruppo sono specificati nel regolamento interno dell'Agenzia e resi pubblici.

2.  Le procedure per il gruppo consultivo ENISA, in particolare per quanto riguarda il numero, la composizione e la nomina dei membri da parte del consiglio di amministrazione, la proposta del direttore esecutivo e il funzionamento del gruppo sono specificati nel regolamento interno dell'Agenzia e resi pubblici.

Emendamento    148

Proposta di regolamento

Articolo 20 – paragrafo 3

 

Testo della Commissione

Emendamento

3.  Il gruppo permanente di portatori di interessi è presieduto dal direttore esecutivo o da qualsiasi altra persona nominata dal direttore esecutivo caso per caso.

3.  Il gruppo consultivo ENISA è presieduto dal direttore esecutivo o da qualsiasi altra persona nominata dal direttore esecutivo caso per caso.

Emendamento    149

Proposta di regolamento

Articolo 20 – paragrafo 4

 

Testo della Commissione

Emendamento

4.  Il mandato dei membri del gruppo permanente di portatori di interessi è di due anni e mezzo. I membri del consiglio di amministrazione non possono essere membri del gruppo permanente di portatori di interessi. Gli esperti della Commissione e degli Stati membri sono autorizzati a presenziare alle riunioni del gruppo permanente di portatori di interessi e a partecipare alle sue attività. I rappresentanti di altri organismi considerati pertinenti dal direttore esecutivo che non sono membri del gruppo permanente di portatori di interessi possono essere invitati a partecipare alle riunioni di tale gruppo e alle sue attività.

4.  Il mandato dei membri del gruppo consultivo ENISA è di due anni e mezzo. I membri del consiglio di amministrazione non possono essere membri del gruppo consultivo ENISA. Gli esperti della Commissione e degli Stati membri sono autorizzati a presenziare alle riunioni del gruppo consultivo ENISA e a partecipare alle sue attività. I rappresentanti di altri organismi considerati pertinenti dal direttore esecutivo che non sono membri del gruppo consultivo ENISA possono essere invitati a partecipare alle riunioni di tale gruppo e alle sue attività.

Emendamento    150

Proposta di regolamento

Articolo 20 – paragrafo 4 bis (nuovo)

 

Testo della Commissione

Emendamento

 

4 bis.  Il gruppo consultivo ENISA fornisce aggiornamenti periodici sulla sua pianificazione durante l'anno e stabilisce gli obiettivi nel suo programma di lavoro, che è pubblicato ogni sei mesi al fine di garantire la trasparenza.

Emendamento    151

Proposta di regolamento

Articolo 20 – paragrafo 5

 

Testo della Commissione

Emendamento

5.  Il gruppo permanente di portatori di interessi fornisce consulenza all'Agenzia relativamente allo svolgimento delle sue attività. In particolare, esso consiglia il direttore esecutivo ai fini della stesura della proposta relativa al programma di lavoro dell'Agenzia e della comunicazione con i relativi portatori di interessi su tutte le questioni inerenti al programma di lavoro.

5.  Il gruppo consultivo ENISA fornisce consulenza all'Agenzia relativamente allo svolgimento delle sue attività, tranne l'applicazione del titolo III del presente regolamento. In particolare, esso consiglia il direttore esecutivo ai fini della stesura della proposta relativa al programma di lavoro dell'Agenzia e della comunicazione con i relativi portatori di interessi sulle questioni inerenti al programma di lavoro.

Emendamento    152

Proposta di regolamento

Articolo 20 bis (nuovo)

 

Testo della Commissione

Emendamento

 

Articolo 20 bis

 

Gruppo di certificazione dei portatori di interessi

 

1.   Il direttore esecutivo istituisce un gruppo di certificazione dei portatori di interessi, formato da un comitato consultivo generale che fornisce consulenza generale sull'applicazione del titolo III del presente regolamento, e istituisce altresì comitati ad hoc per la formulazione, lo sviluppo e l'adozione di ciascuna proposta di sistema. I membri di tale gruppo sono selezionati tra esperti riconosciuti nell'ambito della sicurezza che rappresentano i portatori di interessi, quali il settore delle TIC, tra cui le PMI, gli operatori di servizi essenziali a norma della direttiva NIS, i fornitori delle reti o dei servizi di comunicazione elettronica accessibili al pubblico, le organizzazioni dei consumatori, gli esperti universitari in materia di cibersicurezza, le organizzazioni europee di normazione (OEN) e i rappresentanti delle autorità competenti notificati a norma della [direttiva che istituisce il codice europeo delle comunicazioni elettroniche], nonché le autorità di contrasto e le autorità di controllo preposte alla protezione dei dati.

 

2.   Le procedure per il gruppo di certificazione dei portatori di interessi, in particolare per quanto riguarda il numero, la composizione e la nomina dei membri da parte del direttore esecutivo, sono specificate nel regolamento interno dell'Agenzia, seguono le migliori pratiche nel garantire un'equa rappresentanza e pari diritti per tutti i portatori di interessi e sono rese pubbliche.

 

3.   I membri del consiglio di amministrazione non possono essere membri del gruppo di certificazione dei portatori di interessi. I membri del gruppo consultivo ENISA possono anche essere membri del gruppo di certificazione dei portatori di interessi. Gli esperti della Commissione e degli Stati membri sono autorizzati a presenziare, dietro invito, alle riunioni del gruppo di certificazione dei portatori di interessi. I rappresentanti di altri organismi considerati pertinenti dal direttore esecutivo possono essere invitati a partecipare alle riunioni del gruppo di certificazione dei portatori di interessi e alle sue attività.

 

4.   Il gruppo di certificazione dei portatori di interessi fornisce consulenza all'Agenzia relativamente allo svolgimento delle sue attività con riferimento al titolo III del presente regolamento. In particolare, ha facoltà di proporre alla Commissione la preparazione di una proposta di sistema europeo di certificazione della cibersicurezza, come previsto all'articolo 44 del presente regolamento, e di partecipare alle procedure descritte agli articoli da 43 a 48 e all'articolo 53 del presente regolamento per ottenere l'approvazione di tali sistemi.

Emendamento    153

Proposta di regolamento

Articolo 21 bis (nuovo)

 

Testo della Commissione

Emendamento

 

Articolo 21 bis

 

Richieste all'Agenzia

 

1. L'Agenzia istituisce e gestisce uno sportello unico per trattare le richieste di consulenza e assistenza che rientrano nell'ambito degli obiettivi e dei compiti dell'Agenzia. Tali richieste dovrebbero essere corredate di una documentazione informativa che spieghi la questione da trattare. L'Agenzia valuta le potenziali implicazioni in termini di risorse e, a tempo debito, dà seguito alle richieste. Qualora respinga una richiesta, l'Agenzia motiva il proprio rifiuto.

 

2. Le richieste di cui al paragrafo 1 possono provenire:

 

a) dal Parlamento europeo;

 

b) dal Consiglio;

 

c) dalla Commissione; e

 

d) da qualsiasi organismo competente designato da uno Stato membro quale autorità nazionale di regolamentazione definita all'articolo 2 della direttiva 2002/21/CE.

 

3. Le modalità pratiche di applicazione dei paragrafi 1 e 2, con particolare riguardo alla presentazione, alla definizione delle priorità e al seguito da dare alle richieste come pure all'informazione, sono definite dal consiglio di amministrazione nel regolamento interno dell'Agenzia.

Emendamento    154

Proposta di regolamento

Articolo 24 – paragrafo 2

 

Testo della Commissione

Emendamento

2.  I membri del consiglio di amministrazione, il direttore esecutivo, i membri del gruppo permanente di portatori di interessi, gli esperti esterni che partecipano ai gruppi di lavoro ad hoc e il personale dell'Agenzia, compresi i funzionari distaccati dagli Stati membri a titolo temporaneo, rispettano gli obblighi di riservatezza di cui all'articolo 339 del trattato sul funzionamento dell'Unione europea (TFUE) anche dopo la cessazione delle proprie funzioni.

2.  I membri del consiglio di amministrazione, il direttore esecutivo, i membri del gruppo consultivo ENISA, gli esperti esterni che partecipano ai gruppi di lavoro ad hoc e il personale dell'Agenzia, compresi i funzionari distaccati dagli Stati membri a titolo temporaneo, rispettano gli obblighi di riservatezza di cui all'articolo 339 del trattato sul funzionamento dell'Unione europea (TFUE) anche dopo la cessazione delle proprie funzioni.

Emendamento    155

Proposta di regolamento

Articolo 26 – paragrafo 1 – comma 1 bis (nuovo)

 

Testo della Commissione

Emendamento

 

Il progetto di stato di previsione si basa sugli obiettivi e i risultati previsti del documento unico di programmazione di cui all'articolo 21, paragrafo 1, del presente regolamento e tiene conto delle risorse finanziarie necessarie per conseguire tali obiettivi e risultati previsti, conformemente al principio della programmazione di bilancio basata sulla performance.

Emendamento    156

Proposta di regolamento

Articolo 30 – paragrafo 2

 

Testo della Commissione

Emendamento

2.  La Corte dei conti ha il potere di revisione contabile, esercitabile sulla base di documenti e sul posto, su tutti i beneficiari di sovvenzioni, contraenti e subcontraenti cui l'Agenzia ha concesso finanziamenti dell'Unione.

2.  La Corte dei conti ha il potere di revisione contabile, esercitabile sulla base di documenti e di verifiche sul posto, su tutti i beneficiari di sovvenzioni, contraenti e subcontraenti cui l'Agenzia ha concesso finanziamenti dell'Unione.

Emendamento    157

Proposta di regolamento

Articolo 36 – paragrafo 5

 

Testo della Commissione

Emendamento

5.  La responsabilità personale degli agenti nei confronti dell'Agenzia è disciplinata dalle disposizioni pertinenti che si applicano al personale dell'Agenzia.

5.  La responsabilità personale degli agenti nei confronti dell'Agenzia è disciplinata dalle disposizioni pertinenti che si applicano al personale dell'Agenzia. È garantita un'assunzione efficace del personale.

Emendamento    158

Proposta di regolamento

Articolo 37 – paragrafo 2

 

Testo della Commissione

Emendamento

2.  I servizi di traduzione necessari per il funzionamento dell'Agenzia sono forniti dal Centro di traduzione degli organismi dell'Unione europea.

2.  I servizi di traduzione necessari per il funzionamento dell'Agenzia sono forniti dal Centro di traduzione degli organismi dell'Unione europea o da altri prestatori di servizi di traduzione, in conformità delle norme in materia di appalti e nel rispetto dei limiti fissati dalle norme finanziarie pertinenti.

Emendamento    159

Proposta di regolamento

Articolo 39 – paragrafo 1

 

Testo della Commissione

Emendamento

1.  Se necessario ai fini del conseguimento degli obiettivi stabiliti nel presente regolamento, l'Agenzia può cooperare con le autorità competenti di paesi terzi, con le organizzazioni internazionali o con entrambi. A tal fine l'Agenzia può, previa approvazione da parte della Commissione, istituire accordi di lavoro con le autorità dei paesi terzi e con le organizzazioni internazionali. Detti accordi non creano obblighi giuridici per l'Unione e gli Stati membri.

1.  Se necessario ai fini del conseguimento degli obiettivi stabiliti nel presente regolamento, l'Agenzia può cooperare con le autorità competenti di paesi terzi, con le organizzazioni internazionali o con entrambi. A tal fine l'Agenzia può, previa approvazione da parte della Commissione, istituire accordi di lavoro con le autorità dei paesi terzi e con le organizzazioni internazionali. La cooperazione con la NATO, laddove presente, può comprendere esercitazioni congiunte sulla cibersicurezza e il coordinamento congiunto per la risposta agli incidenti informatici. Detti accordi non creano obblighi giuridici per l'Unione e gli Stati membri.

Motivazione

Data la natura transfrontaliera degli incidenti informatici, l'ENISA dovrebbe intervenire, ove opportuno, insieme ad attori della cibersicurezza in Europa, tra cui la NATO. Ciò è particolarmente importante poiché la NATO potrebbe avere capacità informatiche di cui l'ENISA non dispone, e viceversa. In un contesto di intensificazione globale degli attacchi informatici contro gli Stati, è essenziale per la sicurezza dell'Europa che l'ENISA cooperi con organizzazioni internazionali come la NATO a livello internazionale.

Emendamento    160

Proposta di regolamento

Articolo 41 – paragrafo 2

 

Testo della Commissione

Emendamento

2.  Lo Stato membro che ospita l'Agenzia fornisce le migliori condizioni possibili al fine di garantire il corretto funzionamento dell'Agenzia, compresi l'accessibilità della sede, l'esistenza di strutture scolastiche adeguate per i figli del personale, un accesso adeguato al mercato del lavoro, alla sicurezza sociale e alle cure mediche per i figli e i coniugi.

2.  Lo Stato membro che ospita l'Agenzia fornisce le migliori condizioni possibili al fine di garantire il corretto funzionamento dell'Agenzia, compresi una sede unica per l'intera Agenzia, l'accessibilità della sede, l'esistenza di strutture scolastiche adeguate per i figli del personale, un accesso adeguato al mercato del lavoro, alla sicurezza sociale e alle cure mediche per i figli e i coniugi.

Motivazione

L'attuale struttura dell'Agenzia, con sede amministrativa a Heraklion e operazioni centrali ad Atene, si è dimostrata inefficace e costosa. Tutto il personale dell'ENISA dovrebbe quindi lavorare nella stessa città. In considerazione dei criteri di cui al presente paragrafo, questa sede dovrebbe essere Atene.

Emendamento    161

Proposta di regolamento

Articolo 43

 

Testo della Commissione

Emendamento

I sistemi europei di certificazione della cibersicurezza attestano che i prodotti e servizi TIC certificati nel loro ambito sono conformi a determinati requisiti per quanto riguarda la loro capacità di resistere, a un determinato livello di affidabilità, ad azioni volte a compromettere la disponibilità, l'autenticità, l'integrità o la riservatezza dei dati conservati, trasmessi o trattati o le funzioni o i servizi offerti da tali prodotti, processi, servizi e sistemi o accessibili tramite essi.

I sistemi europei di certificazione della cibersicurezza attestano che i prodotti, processi e servizi TIC rientranti in tali sistemi non hanno vulnerabilità note al momento della certificazione e sono conformi a determinati requisiti, che possono riferirsi alle norme internazionali ed europee, alle specifiche tecniche e alle specifiche tecniche delle TIC, per quanto riguarda la loro capacità di resistere, durante il loro intero ciclo di vita, a un determinato livello di affidabilità, ad azioni volte a compromettere la disponibilità, l'autenticità, l'integrità o la riservatezza dei dati conservati, trasmessi o trattati o le funzioni o i servizi offerti da tali prodotti, processi e servizi o accessibili tramite essi e soddisfano gli obiettivi di sicurezza specificati.

Emendamento    162

Proposta di regolamento

Articolo 44 – paragrafo -1 (nuovo)

 

Testo della Commissione

Emendamento

 

-1.  La Commissione adotta atti delegati conformemente all'articolo 55 bis al fine di integrare il presente regolamento istituendo un programma di lavoro progressivo dell'Unione per i sistemi europei di certificazione della cibersicurezza. Tali atti delegati individuano azioni comuni da intraprendere a livello dell'Unione e priorità strategiche. Il programma di lavoro progressivo dell'Unione comprende, in particolare, un elenco prioritario di prodotti, processi e servizi TIC che risultano adatti ad essere soggetti a un sistema europeo di certificazione della cibersicurezza, nonché un'analisi della presenza di un livello equivalente di qualità, conoscenze e competenze tra gli organismi di valutazione della conformità e le autorità nazionali di controllo della certificazione, e, se necessario, una proposta di misure intese a conseguire tale livello equivalente.

 

Il programma iniziale di lavoro progressivo dell'Unione è istituito al più tardi entro ... [sei mesi dopo l'entrata in vigore del presente regolamento] ed è successivamente aggiornato in funzione della necessità, ma in ogni caso almeno ogni due anni. Il programma di lavoro progressivo dell'Unione è messo a disposizione del pubblico.

 

Prima dell'adozione o dell'aggiornamento del programma di lavoro progressivo dell'Unione, la Commissione consulta il gruppo di certificazione degli Stati membri, l'Agenzia e il gruppo di certificazione dei portatori di interessi tramite una consultazione aperta, trasparente e inclusiva.

Emendamento    163

Proposta di regolamento

Articolo 44 – paragrafo -1 bis (nuovo)

 

Testo della Commissione

Emendamento

 

-1 bis.  In casi giustificati, la Commissione può richiedere all'Agenzia che elabori una proposta di sistema europeo di certificazione della cibersicurezza. La richiesta è fondata sul programma di lavoro progressivo dell'Unione.

Emendamento    164

Proposta di regolamento

Articolo 44 – paragrafo 1

 

Testo della Commissione

Emendamento

1.  A seguito di una richiesta della Commissione, l'ENISA prepara un sistema europeo di certificazione della cibersicurezza che soddisfa i requisiti di cui agli articoli 45, 46 e 47 del presente regolamento. Gli Stati membri o il gruppo europeo per la certificazione della cibersicurezza (di seguito "il gruppo") istituito a norma dell'articolo 53 possono proporre alla Commissione la preparazione di una proposta di sistema europeo di certificazione della cibersicurezza.

1.  Nella richiesta di una proposta di sistema europeo di certificazione della cibersicurezza figurano l'ambito di applicazione, gli obiettivi di sicurezza applicabili di cui all'articolo 45, gli elementi applicabili di cui all'articolo 47 e il termine entro cui la specifica proposta di sistema diventerà effettiva. Nell'elaborazione della richiesta, la Commissione può consultare l'Agenzia, il gruppo di certificazione degli Stati membri e il gruppo di certificazione dei portatori di interessi.

Emendamento    165

Proposta di regolamento

Articolo 44 – paragrafo 2

 

Testo della Commissione

Emendamento

2.  Nella preparazione delle proposte di sistemi di cui al paragrafo 1, l'ENISA consulta tutti i portatori di interessi e coopera strettamente con il gruppo. Il gruppo fornisce all'ENISA l'assistenza e la consulenza specialistica richieste in relazione alla preparazione della proposta di sistema, se necessario anche fornendo pareri.

2.  Nella preparazione delle proposte di sistemi di cui al paragrafo - 1 (nuovo), l'Agenzia consulta tutti i portatori di interessi tramite una consultazione formale aperta, trasparente e inclusiva e coopera strettamente con il gruppo di certificazione degli Stati membri, il gruppo di certificazione dei portatori di interessi e i comitati ad hoc a norma dell'articolo 20 bis del presente regolamento, nonché con gli organismi europei di normazione. Essi forniscono all'Agenzia l'assistenza e la consulenza specialistica da essa richieste in relazione alla preparazione della proposta di sistema, se necessario anche fornendo pareri.

Emendamento    166

Proposta di regolamento

Articolo 44 – paragrafo 3

 

Testo della Commissione

Emendamento

3.  L'ENISA trasmette alla Commissione il sistema europeo di certificazione della cibersicurezza preparato in conformità del paragrafo 2.

3.  L'Agenzia trasmette alla Commissione il sistema preparato in conformità dei paragrafi 1 e 2 del presente articolo.

Emendamento    167

Proposta di regolamento

Articolo 44 – paragrafo 4

 

Testo della Commissione

Emendamento

4.  La Commissione, sulla base del sistema proposto dall'ENISA, può adottare atti di esecuzione in conformità dell'articolo 55, paragrafo 1, prevedendo sistemi europei di certificazione della cibersicurezza per i prodotti e i servizi TIC che soddisfano i requisiti di cui agli articoli 45, 46 e 47 del presente regolamento.

4.  La Commissione, sulla base del sistema proposto dall'Agenzia, può adottare atti delegati in conformità dell'articolo 55 bis al fine di integrare il presente regolamento prevedendo sistemi europei di certificazione della cibersicurezza per i prodotti, i processi e i servizi TIC che soddisfano i requisiti di cui agli articoli 45, 46 e 47.

Emendamento    168

Proposta di regolamento

Articolo 44 – paragrafo 5

 

Testo della Commissione

Emendamento

5.  L'ENISA gestisce un apposito sito web che fornisce informazioni sui sistemi europei di certificazione della cibersicurezza e li pubblicizza.

5.  L'Agenzia gestisce un apposito sito web che fornisce informazioni sui sistemi europei di certificazione della cibersicurezza, anche per quanto riguarda i certificati revocati e scaduti e le certificazioni nazionali coperte, e li pubblicizza.

 

Se un sistema europeo di certificazione della cibersicurezza soddisfa i requisiti ai quali intende conformarsi in linea con la corrispondente legislazione dell'Unione volta all'armonizzazione, la Commissione pubblica senza indugio un riferimento a tale riguardo nella Gazzetta ufficiale dell'Unione europea e mediante qualsiasi altro mezzo, conformemente alle condizioni stabilite nell'atto corrispondente della legislazione dell'Unione volta all'armonizzazione.

Emendamento    169

Proposta di regolamento

Articolo 44 – paragrafo 5 bis (nuovo)

 

Testo della Commissione

Emendamento

 

5 bis.  L'Agenzia riesamina, nell'ambito della struttura istituita dal presente regolamento, i sistemi adottati al termine della loro validità, a norma dell'articolo 47, paragrafo 1, lettere da a) a c), o su richiesta della Commissione, tenendo conto delle informazioni ricevute dai portatori di interessi.

Emendamento    170

Proposta di regolamento

Articolo 45 – parte introduttiva

 

Testo della Commissione

Emendamento

I sistemi europei di certificazione della cibersicurezza sono progettati in modo tale da tener conto, se del caso, dei seguenti obiettivi di sicurezza:

I sistemi europei di certificazione della cibersicurezza sono progettati in modo tale da tener conto, se del caso, di obiettivi di sicurezza che garantiscano:

Emendamento    171

Proposta di regolamento

Articolo 45 – lettera a

 

Testo della Commissione

Emendamento

(a)  proteggere i dati conservati, trasmessi o altrimenti trattati dall'archiviazione, dal trattamento, dall'accesso o dalla divulgazione accidentali o non autorizzati;

(a)  la riservatezza, l'integrità, la disponibilità e la confidenzialità dei servizi, delle funzioni e dei dati;

Emendamento    172

Proposta di regolamento

Articolo 45 – lettera b

 

Testo della Commissione

Emendamento

(b)  proteggere i dati conservati, trasmessi o altrimenti trattati dalla distribuzione accidentale o non autorizzata, dalla perdita accidentale o dall'alterazione;

(b)  che soltanto le persone autorizzate e/o i sistemi o programmi autorizzati possano accedere ai servizi, alle funzioni e ai dati e utilizzarli;

Emendamento    173

Proposta di regolamento

Articolo 45 – lettera c

 

Testo della Commissione

Emendamento

(c)  assicurare che le persone, i programmi o le macchine autorizzati possano accedere esclusivamente ai dati, ai servizi o alle funzioni per i quali dispongono dei diritti di accesso;

(c)  che sia stata predisposta una procedura per l'identificazione e la documentazione di tutte le dipendenze e le vulnerabilità note presenti nei prodotti, nei processi e nei servizi TIC;

Emendamento    174

Proposta di regolamento

Articolo 45 – lettera d

 

Testo della Commissione

Emendamento

(d)  registrare quali dati, funzioni o servizi sono stati comunicati, in quale momento e a chi;

(d)  che i prodotti, i processi e i servizi TIC non contengano vulnerabilità note;

Emendamento    175

Proposta di regolamento

Articolo 45 – lettera e

 

Testo della Commissione

Emendamento

(e)  fare in modo che sia possibile verificare quali sono i dati, i servizi o le funzioni a cui è stato effettuato l'accesso o che sono stati utilizzati, in quale momento e da chi;

(e)  che sia stata predisposta una procedura per trattare le vulnerabilità scoperte di recente nei prodotti, nei processi e nei servizi TIC;

Emendamento    176

Proposta di regolamento

Articolo 45 – lettera f

 

Testo della Commissione

Emendamento

(f)  ripristinare la disponibilità e l'accesso ai dati, ai servizi e alle funzioni in modo tempestivo in caso di incidente fisico o tecnico;

(f)  che i prodotti, i processi e i servizi TIC siano sicuri fin dalla progettazione e per impostazione predefinita;

Emendamento    177

Proposta di regolamento

Articolo 45 – lettera g

 

Testo della Commissione

Emendamento

(g)  accertarsi che il software dei prodotti e dei servizi TIC sia aggiornato e non contenga vulnerabilità note e che tali prodotti e servizi dispongano di meccanismi per effettuare aggiornamenti del software protetti.

(g)  che il software dei prodotti e dei servizi TIC sia aggiornato e non contenga vulnerabilità note e che tali prodotti e servizi dispongano di meccanismi per effettuare aggiornamenti del software protetti.

Emendamento    178

Proposta di regolamento

Articolo 45 – lettera g bis (nuova)

 

Testo della Commissione

Emendamento

 

(g bis)  che gli altri rischi connessi agli incidenti informatici, quali ad esempio i rischi per la vita, la salute, l'ambiente e altri importanti interessi giuridici siano ridotti al minimo.

Emendamento    179

Proposta di regolamento

Articolo 46 – paragrafo 1

 

Testo della Commissione

Emendamento

1.  I sistemi europei di certificazione della cibersicurezza possono specificare per i prodotti e i servizi TIC rilasciati nel loro ambito uno o più dei seguenti livelli di affidabilità: di base, sostanziale e/o elevato.

1.  I sistemi europei di certificazione della cibersicurezza possono specificare per i prodotti, i servizi e i processi TIC rilasciati nel loro ambito, a seconda del contesto e dell'uso previsto dei prodotti, dei processi e dei servizi TIC, uno o più dei seguenti livelli di affidabilità basati sui rischi: di base, sostanziale e/o elevato.

Emendamento    180

Proposta di regolamento

Articolo 46 – paragrafo 2 – lettera a

 

Testo della Commissione

Emendamento

(a)  il livello di affidabilità di base si riferisce a un certificato rilasciato nell'ambito di un sistema europeo di certificazione della cibersicurezza che offre un grado di attendibilità limitato riguardo alle qualità di cibersicurezza pretese o dichiarate di un prodotto o di un servizio TIC ed è caratterizzato in riferimento a specifiche tecniche, norme tecniche e procedure correlate, compresi i controlli tecnici, il cui scopo è quello di ridurre il rischio di incidenti di cibersicurezza;

(a)  Il livello di affidabilità di base corrisponde a un rischio basso, in termini di probabilità associata al danno, riferito a un prodotto, un processo o un servizio TIC, in considerazione del loro uso previsto e del contesto. Il livello di affidabilità di base genera fiducia quanto alla capacità di resistenza ai rischi noti di base di incidenti informatici.

Emendamento    181

Proposta di regolamento

Articolo 46 – paragrafo 2 – lettera b

 

Testo della Commissione

Emendamento

(b)  il livello di affidabilità sostanziale si riferisce a un certificato rilasciato nell'ambito di un sistema europeo di certificazione della cibersicurezza che offre un grado di attendibilità sostanziale riguardo alle qualità di cibersicurezza pretese o dichiarate di un prodotto o di un servizio TIC ed è caratterizzato in riferimento a specifiche tecniche, norme tecniche e procedure correlate, compresi i controlli tecnici, il cui scopo è quello di ridurre in modo significativo il rischio di incidenti di cibersicurezza;

(b)  Il livello di affidabilità sostanziale corrisponde a un rischio più elevato, in termini di probabilità associata al danno, riferito a un prodotto, un processo o un servizio TIC. Il livello di affidabilità sostanziale genera fiducia quanto alla capacità di prevenire i rischi noti di incidenti informatici, nonché alla capacità di resistenza ad attacchi informatici effettuati con risorse limitate.

Emendamento    182

Proposta di regolamento

Articolo 46 – paragrafo 2 – lettera c

 

Testo della Commissione

Emendamento

(c)  il livello di affidabilità elevato si riferisce a un certificato rilasciato nell'ambito di un sistema europeo di certificazione della cibersicurezza che offre un grado di attendibilità più elevato riguardo alle qualità di cibersicurezza pretese o dichiarate di un prodotto o di un servizio TIC rispetto ai certificati con livello di affidabilità sostanziale ed è caratterizzato in riferimento a specifiche tecniche, norme tecniche e procedure correlate, compresi i controlli tecnici, il cui scopo è quello di prevenire gli incidenti di cibersicurezza.

(c)  Il livello di affidabilità elevato corrisponde a un rischio elevato, in termini di danno, riferito a un prodotto, un processo o un servizio TIC. Il livello di affidabilità elevato genera fiducia quanto alla capacità di prevenire i rischi di incidenti informatici, nonché alla capacità di resistenza ad attacchi informatici sofisticati effettuati con risorse significative.

Emendamento    183

Proposta di regolamento

Articolo 46 bis (nuovo)

 

Testo della Commissione

Emendamento

 

Articolo 46 bis

 

Valutazione dei livelli di affidabilità dei sistemi europei di certificazione della cibersicurezza

 

1.   Per il livello di affidabilità di base, il fabbricante o fornitore di prodotti, processi e servizi TIC può procedere, sotto la propria responsabilità esclusiva, a un'autovalutazione della conformità.

 

2.   Per il livello di affidabilità sostanziale, la valutazione è basata almeno sulla verifica della conformità delle funzionalità di sicurezza del prodotto, processo o servizio alla relativa documentazione tecnica.

 

3.   Per il livello di affidabilità elevato, la metodologia di valutazione è basata almeno su un test di efficienza che valuti la resistenza delle funzionalità di sicurezza contro aggressori che dispongono di risorse significative.

Emendamento    184

Proposta di regolamento

Articolo 47 – paragrafo 1 – lettera a

 

Testo della Commissione

Emendamento

(a)  l'oggetto e l'ambito di applicazione della certificazione, compresi il tipo o le categorie di prodotti e servizi TIC coperti;

(a)  l'oggetto e l'ambito di applicazione della certificazione, compresi il tipo o le categorie di prodotti, processi e servizi TIC coperti;

Emendamento    185

Proposta di regolamento

Articolo 47 – paragrafo 1 – lettera a bis (nuova)

 

Testo della Commissione

Emendamento

 

(a bis)  l'ambito di applicazione e i requisiti di cibersicurezza, i quali, ove applicabile, corrispondono a quelli dei certificati nazionali di cibersicurezza che il sistema sostituisce, o sono previsti negli atti giuridici;

Emendamento    186

Proposta di regolamento

Articolo 47 – paragrafo 1 – lettera a ter (nuova)

 

Testo della Commissione

Emendamento

 

(a ter)  il periodo di validità del sistema di certificazione;

Emendamento    187

Proposta di regolamento

Articolo 47 – paragrafo 1 – lettera b

 

Testo della Commissione

Emendamento

(b)  l'indicazione dettagliata dei requisiti di cibersicurezza rispetto ai quali i prodotti e servizi TIC sono valutati, ad esempio in riferimento a norme tecniche o a specifiche tecniche dell'Unione o internazionali;

(b)  l'indicazione dettagliata dei requisiti di cibersicurezza rispetto ai quali i prodotti, i processi e i servizi TIC sono valutati, ad esempio in riferimento a norme tecniche o a specifiche tecniche o a specifiche tecniche delle TIC europee o internazionali, definiti in modo tale che la certificazione possa essere integrata nei processi di sicurezza sistematici del produttore seguiti durante lo sviluppo e il ciclo di vita del prodotto o servizio in questione, o basata su di essi;

Emendamento    188

Proposta di regolamento

Articolo 47 – paragrafo 1 – lettera b bis (nuova)

 

Testo della Commissione

Emendamento

 

(b bis)  informazioni sulle minacce informatiche note che non sono coperte dalla certificazione e orientamenti su come trattarle;

Emendamento    189

Proposta di regolamento

Articolo 47 – paragrafo 1 – lettera c

 

Testo della Commissione

Emendamento

(c)  se del caso, uno o più livelli di affidabilità;

(c)  se del caso, uno o più livelli di affidabilità tenendo conto, tra l'altro, di un approccio basato sul rischio;

Emendamento    190

Proposta di regolamento

Articolo 47 – paragrafo 1 – lettera c bis (nuova)

 

Testo della Commissione

Emendamento

 

(c bis)  l'indicazione se nell'ambito del sistema sia ammessa l'autovalutazione della conformità, e la procedura applicabile per la valutazione della conformità o l'autodichiarazione di conformità o per entrambe;

Emendamento    191

Proposta di regolamento

Articolo 47 – paragrafo 1 – lettera d

 

Testo della Commissione

Emendamento

(d)  i criteri e i metodi di valutazione specifici utilizzati, compresi i tipi di valutazione, al fine di dimostrare che gli obiettivi specifici di cui all'articolo 45 sono stati conseguiti;

(d)  i criteri di valutazione specifici, i tipi di valutazione della conformità e i metodi, al fine di dimostrare che gli obiettivi specifici di cui all'articolo 45 sono stati conseguiti;

Emendamento    192

Proposta di regolamento

Articolo 47 – paragrafo 1 – lettera e

 

Testo della Commissione

Emendamento

(e)  le informazioni che un richiedente deve fornire agli organismi di valutazione della conformità che sono necessarie per la certificazione;

(e)  le informazioni che un richiedente deve fornire agli organismi di valutazione della conformità che sono necessarie per la certificazione;

Emendamento    193

Proposta di regolamento

Articolo 47 – paragrafo 1 – lettera f

 

Testo della Commissione

Emendamento

(f)  le condizioni alle quali possono essere utilizzati gli eventuali marchi o etichette previsti dal sistema;

(f)  le informazioni in materia di cibersicurezza a norma dell'articolo 47 bis;

Emendamento    194

Proposta di regolamento

Articolo 47 – paragrafo 1 – lettera g

 

Testo della Commissione

Emendamento

(g)  se la vigilanza rientra nel sistema, le norme per il controllo della conformità dei certificati ai requisiti, compresi i meccanismi per dimostrare il mantenimento della conformità ai requisiti di cibersicurezza specificati;

(g)  le norme per il controllo della conformità dei certificati ai requisiti, compresi i meccanismi per dimostrare il mantenimento della conformità ai requisiti di cibersicurezza specificati;

Emendamento    195

Proposta di regolamento

Articolo 47 – paragrafo 1 – lettera h

 

Testo della Commissione

Emendamento

(h)  le condizioni per il rilascio, il mantenimento, la prosecuzione e l'estensione della certificazione e la riduzione del suo campo di applicazione;

(h)  le condizioni per il rilascio, il mantenimento, la prosecuzione e il riesame del certificato e per l'estensione e la riduzione del suo campo di applicazione e del suo periodo di validità;

Emendamento    196

Proposta di regolamento

Articolo 47 – paragrafo 1 – lettera h bis (nuova)

 

Testo della Commissione

Emendamento

 

(h bis)  le regole per trattare le vulnerabilità che potrebbero emergere dopo il rilascio della certificazione, attraverso la definizione di un processo organizzativo dinamico e continuo che coinvolga fornitori e utenti;

Emendamento    197

Proposta di regolamento

Articolo 47 – paragrafo 1 – lettera i

 

Testo della Commissione

Emendamento

(i)  le regole riguardanti le conseguenze della non conformità dei prodotti e servizi TIC ai requisiti in materia di certificazione;

(i)  le regole riguardanti le conseguenze della non conformità ai requisiti in materia di certificazione da parte dei prodotti e servizi TIC sottoposti ad autovalutazione e certificati;

Emendamento    198

Proposta di regolamento

Articolo 47 – paragrafo 1 – lettera j

 

Testo della Commissione

Emendamento

(j)  le regole riguardanti il modo in cui segnalare e trattare le vulnerabilità della cibersicurezza nei prodotti e servizi TIC precedentemente non rilevate;

(j)  le regole riguardanti il modo in cui segnalare e trattare, una volta rilevate, le vulnerabilità della cibersicurezza nei prodotti e servizi TIC che non sono pubblicamente note;

Emendamento    199

Proposta di regolamento

Articolo 47 – paragrafo 1 – lettera l

 

Testo della Commissione

Emendamento

(l)  l'individuazione dei sistemi nazionali di certificazione della cibersicurezza relativi allo stesso tipo o alle stesse categorie di prodotti e servizi TIC;

(l)  l'individuazione dei sistemi nazionali o internazionali di certificazione della cibersicurezza relativi allo stesso tipo o alle stesse categorie di prodotti, processi e servizi TIC, requisiti di sicurezza e criteri e metodi di valutazione;

Emendamento    200

Proposta di regolamento

Articolo 47 – paragrafo 1 – lettera m bis (nuova)

 

Testo della Commissione

Emendamento

 

(m bis)  le condizioni per il riconoscimento reciproco dei sistemi di certificazione con i paesi terzi;

Emendamento    201

Proposta di regolamento

Articolo 47 – paragrafo 1 bis (nuovo)

 

Testo della Commissione

Emendamento

 

1 bis.  I processi di manutenzione che prevedono aggiornamenti non invalidano la certificazione, a meno che tali aggiornamenti non abbiano un significativo effetto negativo sulla sicurezza di prodotti, servizi e processi TIC.

Emendamento    202

Proposta di regolamento

Articolo 47 bis (nuovo)

 

Testo della Commissione

Emendamento

 

Articolo 47 bis

 

Informazioni sulla cibersicurezza dei prodotti, processi e servizi certificati

 

1.   Il produttore o fornitore di prodotti, processi e servizi TIC che rientrano in un sistema di certificazione a norma del presente regolamento fornisce all'utente finale un documento, in formato elettronico o cartaceo, contenente almeno le seguenti informazioni: il livello di affidabilità del certificato in relazione all'uso previsto del prodotto, processo o servizio TIC; una descrizione dei rischi rispetto ai quali la certificazione dovrebbe generare fiducia quanto alla capacità di resistenza; raccomandazioni su come gli utenti possono accrescere ulteriormente la cibersicurezza del prodotto, processo o servizio, la regolarità degli eventuali aggiornamenti e il periodo di supporto a essi successivo; se del caso, informazioni su come gli utenti possono preservare le caratteristiche principali del prodotto, processo o servizio in caso di attacco.

 

2.   Il documento di cui al paragrafo 1 è disponibile per tutto il ciclo di vita del prodotto, processo o servizio, fino al ritiro dal mercato, e comunque per un periodo minimo di cinque anni.

 

3.   La Commissione stabilisce mediante atti di esecuzione un modello di documento. La Commissione può chiedere all'Agenzia di presentare una proposta di modello. L'atto di esecuzione è adottato secondo la procedura d'esame di cui all'articolo 55.

Emendamento    203

Proposta di regolamento

Articolo 48 – paragrafo 1

 

Testo della Commissione

Emendamento

1.  I prodotti e i servizi TIC certificati ricorrendo a un sistema europeo di certificazione della cibersicurezza adottato a norma dell'articolo 44 sono considerati conformi ai requisiti di tale sistema.

1.  I prodotti, i processi e i servizi TIC certificati ricorrendo a un sistema europeo di certificazione della cibersicurezza adottato a norma dell'articolo 44 sono considerati conformi ai requisiti di tale sistema.

Emendamento    204

Proposta di regolamento

Articolo 48 – paragrafo 4 – parte introduttiva

 

Testo della Commissione

Emendamento

4.  In deroga al paragrafo 3, in casi debitamente giustificati un determinato sistema europeo della cibersicurezza può prevedere che un certificato europeo della cibersicurezza derivante da tale sistema possa essere rilasciato da un ente pubblico. Detto ente pubblico è uno dei seguenti:

4.  In deroga al paragrafo 3, e solo in casi debitamente giustificati, ad esempio per ragioni di sicurezza nazionale, un determinato sistema europeo di certificazione della cibersicurezza può prevedere che un certificato europeo della cibersicurezza derivante da tale sistema possa essere rilasciato solo da un ente pubblico. Detto ente pubblico è un ente accreditato come organismo di valutazione della conformità a norma dell'articolo 51, paragrafo 1. La persona fisica o giuridica che presenta i suoi prodotti o servizi TIC al meccanismo di certificazione mette a disposizione dell'organismo di valutazione della conformità di cui all'articolo 51 tutte le informazioni necessarie per espletare la procedura di certificazione.

Emendamento    205

Proposta di regolamento

Articolo 48 – paragrafo 5

 

Testo della Commissione

Emendamento

5.  La persona fisica o giuridica che presenta i suoi prodotti o servizi TIC al meccanismo di certificazione fornisce all'organismo di valutazione della conformità di cui all'articolo 51 tutte le informazioni necessarie a espletare la procedura di certificazione.

5.  La persona fisica o giuridica che presenta i suoi prodotti, servizi o processi TIC al meccanismo di certificazione fornisce all'organismo di valutazione della conformità di cui all'articolo 51 tutte le informazioni necessarie a espletare la procedura di certificazione, comprese le informazioni sulle vulnerabilità della sicurezza note. La presentazione può essere fatta a qualsiasi organismo di valutazione della conformità di cui all'articolo 51.

Emendamento    206

Proposta di regolamento

Articolo 48 – paragrafo 6

 

Testo della Commissione

Emendamento

6.  I certificati sono rilasciati per un periodo massimo di tre anni e possono essere rinnovati alle stesse condizioni purché continuino a essere soddisfatti i requisiti pertinenti.

6.  I certificati sono rilasciati per un periodo massimo stabilito caso per caso nell'ambito di ciascun sistema, tenendo conto di un ragionevole ciclo di vita che non supera comunque i cinque anni, e possono essere rinnovati alle stesse condizioni purché continuino a essere soddisfatti i requisiti pertinenti.

Motivazione

Ciò garantisce flessibilità al fine di adeguare il periodo di validità all'uso previsto.

Emendamento    207

Proposta di regolamento

Articolo 48 – paragrafo 7

 

Testo della Commissione

Emendamento

7.  I certificati europei della cibersicurezza rilasciati a norma del presente articolo sono riconosciuti in tutti gli Stati membri.

7.  I certificati europei della cibersicurezza rilasciati a norma del presente articolo sono riconosciuti in tutti gli Stati membri come conformi ai requisiti locali in materia di cibersicurezza relativi ai prodotti e processi TIC e ai dispositivi elettronici di consumo coperti da tali certificati, tenuto conto del livello di affidabilità di cui all'articolo 46, e non deve sussistere alcuna discriminazione tra detti certificati in base allo Stato membro di origine o all'organismo di valutazione della conformità di cui all'articolo 51 che li rilascia.

Motivazione

Per evitare frammentazioni in termini di riconoscimento e/o conformità dei sistemi europei di certificazione della cibersicurezza, è necessario sottolineare nell'articolo in esame che non vi può essere discriminazione in base al luogo di emissione di un certificato.

Emendamento    208

Proposta di regolamento

Articolo 48 bis (nuovo)

 

Testo della Commissione

Emendamento

 

Articolo 48 bis

 

Sistemi di certificazione degli operatori di servizi essenziali

 

1.   Qualora siano stati adottati sistemi europei di certificazione della cibersicurezza a norma del paragrafo 2, per ottemperare ai requisiti di sicurezza a norma dell'articolo 14 della direttiva (UE) 2016/1148, gli operatori di servizi essenziali utilizzano prodotti, processi e servizi coperti da tali sistemi di certificazione.

 

2.   Entro ... [un anno dall'entrata in vigore del presente regolamento] la Commissione, previa consultazione del gruppo di cooperazione di cui all'articolo 11 della direttiva (UE) 2016/1148, adotta atti delegati in conformità dell'articolo 55 bis che integrano il presente regolamento con l'elenco delle categorie di prodotti, processi e servizi che soddisfano entrambi i seguenti criteri:

 

(a)  sono destinati a essere utilizzati da operatori di servizi essenziali; e

 

(b)  il loro cattivo funzionamento avrebbe un notevole effetto destabilizzante sulla fornitura del servizio essenziale.

 

3.   La Commissione adotta atti delegati in conformità dell'articolo 55 bis che modificano il presente regolamento aggiornando, se del caso, l'elenco delle categorie di prodotti, processi e servizi di cui al paragrafo 3.

 

4.   Non appena tale elenco è adottato o aggiornato, la Commissione chiede all'Agenzia di elaborare un progetto di sistema europeo di cibersicurezza a norma dell'articolo 44, paragrafo -1, per l'elenco di categorie di prodotti, processi e servizi di cui ai paragrafi 2 e 3 del presente articolo. I certificati rilasciati a norma di tale sistema europeo di certificazione della cibersicurezza hanno un livello di affidabilità elevato.

Emendamento    209

Proposta di regolamento

Articolo 48 ter (nuovo)

 

Testo della Commissione

Emendamento

 

Articolo 48 ter

 

Obiezioni formali ai sistemi europei di certificazione della cibersicurezza

 

1.  Se uno Stato membro ritiene che un sistema europeo di certificazione della cibersicurezza non soddisfi completamente i requisiti che si propone di rispettare e che sono stabiliti nella corrispondente normativa di armonizzazione dell'Unione, ne informa la Commissione fornendo una spiegazione dettagliata. Previa consultazione del comitato istituito conformemente alla pertinente normativa di armonizzazione dell'Unione, se del caso, o a seguito di altre forme di consultazione di esperti del settore, la Commissione decide:

 

(a)  di pubblicare, non pubblicare o pubblicare con limitazioni nella Gazzetta ufficiale dell'Unione europea i riferimenti al sistema europeo di cibersicurezza in questione;

 

(b)  di mantenere o mantenere con limitazioni nella Gazzetta ufficiale dell'Unione europea i riferimenti al sistema europeo di cibersicurezza in questione o di ritirarli dalla Gazzetta ufficiale.

 

2.  La Commissione pubblica sul proprio sito web le informazioni relative ai sistemi europei di cibersicurezza che sono stati oggetto della decisione di cui al paragrafo 1.

 

3.  La Commissione informa l'Agenzia della decisione di cui al paragrafo 1 e, se necessario, richiede la revisione del sistema europeo di cibersicurezza in questione.

 

4.  La decisione di cui al paragrafo 1, lettera a), è adottata secondo la procedura consultiva di cui all'articolo 55, paragrafo 2.

 

5.  La decisione di cui al paragrafo 1, lettera b), è adottata secondo la procedura d'esame di cui all'articolo 55, paragrafo 2 bis.

Emendamento    210

Proposta di regolamento

Articolo 49 – paragrafo 1

 

Testo della Commissione

Emendamento

1.  Fatto salvo il paragrafo 3, i sistemi nazionali di certificazione della cibersicurezza e le procedure correlate per i prodotti e i servizi TIC coperti da un sistema europeo di certificazione della cibersicurezza cessano di produrre effetti a decorrere dalla data stabilita nell'atto di esecuzione adottato a norma dell'articolo 44, paragrafo 4. I sistemi nazionali di certificazione della cibersicurezza e le procedure correlate per i prodotti e servizi TIC non coperti da un sistema europeo di certificazione della cibersicurezza continuano ad esistere.

1.  Fatto salvo il paragrafo 3, i sistemi nazionali di certificazione della cibersicurezza e le procedure correlate per i prodotti, i processi e i servizi TIC coperti da un sistema europeo di certificazione della cibersicurezza cessano di produrre effetti a decorrere dalla data stabilita nell'atto di esecuzione adottato a norma dell'articolo 44, paragrafo 4. I sistemi nazionali di certificazione della cibersicurezza e le procedure correlate per i prodotti, processi e servizi TIC non coperti da un sistema europeo di certificazione della cibersicurezza continuano ad esistere.

Emendamento    211

Proposta di regolamento

Articolo 49 – paragrafo 2

 

Testo della Commissione

Emendamento

2.  Gli Stati membri non introducono nuovi sistemi nazionali di certificazione della cibersicurezza per i prodotti e servizi TIC coperti da un sistema europeo di certificazione della cibersicurezza in vigore.

2.  Gli Stati membri non introducono nuovi sistemi nazionali di certificazione della cibersicurezza per i prodotti, processi e servizi TIC coperti da un sistema europeo di certificazione della cibersicurezza in vigore.

Emendamento    212

Proposta di regolamento

Articolo 49 – paragrafo 3 bis (nuovo)

 

Testo della Commissione

Emendamento

 

3 bis.  Gli Stati membri comunicano alla Commissione tutte le richieste di elaborazione di sistemi nazionali di certificazione della cibersicurezza ed espongono le ragioni per la loro adozione.

Emendamento    213

Proposta di regolamento

Articolo 49 – paragrafo 3 ter (nuovo)

 

Testo della Commissione

Emendamento

 

3 ter.  Su richiesta, gli Stati membri inviano agli altri Stati membri, all'Agenzia o alla Commissione i progetti di sistema nazionale di certificazione della cibersicurezza, quanto meno in formato elettronico.

Emendamento    214

Proposta di regolamento

Articolo 49 – paragrafo 3 quater (nuovo)

 

Testo della Commissione

Emendamento

 

3 quater.  Senza pregiudizio della direttiva (UE) 2015/1535, gli Stati membri rispondono entro tre mesi alle osservazioni ricevute da altri Stati membri, dall'Agenzia o dalla Commissione riguardo a qualsiasi progetto di cui al paragrafo 3 ter e tengono debitamente conto di tali osservazioni.

Emendamento    215

Proposta di regolamento

Articolo 49 – paragrafo 3 quinquies (nuovo)

 

Testo della Commissione

Emendamento

 

3 quinquies.  Qualora le osservazioni ricevute a norma del paragrafo 3 quater indichino che un progetto di sistema nazionale di certificazione della cibersicurezza potrebbe avere un impatto negativo sul corretto funzionamento del mercato interno, lo Stato membro che le riceve consulta l'Agenzia e la Commissione e tiene nella massima considerazione le osservazioni da esse formulate prima di adottare il progetto di sistema.

Emendamento    216

Proposta di regolamento

Articolo 50 – paragrafo 5

 

Testo della Commissione

Emendamento

5.  Ai fini dell'effettiva attuazione del regolamento, è opportuno che dette autorità partecipino in modo attivo, efficace, efficiente e sicuro al gruppo europeo per la certificazione della cibersicurezza istituito a norma dell’articolo 53.

5.  Ai fini dell'effettiva attuazione del regolamento, è opportuno che dette autorità partecipino in modo attivo, efficace, efficiente e sicuro al gruppo di certificazione degli Stati membri istituito a norma dell'articolo 53.

Emendamento    217

Proposta di regolamento

Articolo 50 – paragrafo 6 – lettera a

 

Testo della Commissione

Emendamento

(a)  sorvegliano e garantiscono l'applicazione delle disposizioni del presente titolo a livello nazionale e vigilano sulla conformità dei certificati rilasciati dagli organismi di valutazione della conformità stabiliti nei rispettivi territori ai requisiti fissati nel presente titolo e nel corrispondente sistema europeo di certificazione della cibersicurezza;

(a)  sorvegliano e garantiscono l'applicazione delle disposizioni del presente titolo a livello nazionale e verificano la conformità, secondo le norme adottate dal gruppo europeo di certificazione della cibersicurezza a norma dell'articolo 53, paragrafo 3, lettera d bis):

 

i)   dei certificati rilasciati dagli organismi di valutazione della conformità stabiliti nei rispettivi territori rispetto ai requisiti fissati nel presente titolo e nel corrispondente sistema europeo di certificazione della cibersicurezza; e

 

ii)   delle autodichiarazioni di conformità effettuate nel quadro di un sistema relativamente a un processo, prodotto o servizio TIC;

Emendamento    218

Proposta di regolamento

Articolo 50 – paragrafo 6 – lettera b

 

Testo della Commissione

Emendamento

(b)  monitorano e supervisionano le attività degli organismi di valutazione della conformità ai fini del presente regolamento, anche in relazione alla notifica degli organismi di valutazione della conformità e ai relativi compiti stabiliti all'articolo 52 del presente regolamento;

(b)  monitorano, supervisionano e, almeno ogni due anni, valutano le attività degli organismi di valutazione della conformità ai fini del presente regolamento, anche in relazione alla notifica degli organismi di valutazione della conformità e ai relativi compiti stabiliti all'articolo 52 del presente regolamento;

Emendamento    219

Proposta di regolamento

Articolo 50 – paragrafo 6 – lettera b bis (nuova)

 

Testo della Commissione

Emendamento

 

(b bis)  effettuano audit per assicurare che nell'Unione si applichino norme equivalenti e ne comunicano i risultati all'Agenzia e al gruppo;

Motivazione

Ciò contribuisce a garantire l'applicazione di un livello uniforme di servizio e di qualità in tutta l'UE, nonché a prevenire la possibilità di ricercare la certificazione più vantaggiosa ("certification shopping").

Emendamento    220

Proposta di regolamento

Articolo 50 – paragrafo 6 – lettera c

 

Testo della Commissione

Emendamento

(c)  trattano i reclami presentati dalle persone fisiche o giuridiche in relazione ai certificati rilasciati dagli organismi di valutazione della conformità stabiliti nel loro territorio, svolgono le indagini opportune sull'oggetto del reclamo e informano il reclamante dello stato e dell'esito delle indagini entro un termine ragionevole.

(c)  trattano i reclami presentati dalle persone fisiche o giuridiche in relazione ai certificati rilasciati dagli organismi di valutazione della conformità stabiliti nel loro territorio o alle autovalutazioni della conformità effettuate, svolgono le indagini opportune sull'oggetto del reclamo e informano il reclamante dello stato e dell'esito delle indagini entro un termine ragionevole;

Emendamento    221

Proposta di regolamento

Articolo 50 – paragrafo 6 – lettera c bis (nuova)

 

Testo della Commissione

Emendamento

 

(c bis)  comunicano i risultati delle verifiche di cui alla lettera a) e delle valutazioni di cui alla lettera b) all'Agenzia e al gruppo europeo per la certificazione della cibersicurezza;

Emendamento    222

Proposta di regolamento

Articolo 50 – paragrafo 6 – lettera d

 

Testo della Commissione

Emendamento

(d)  cooperano con le altre autorità nazionali di controllo della certificazione o con altre autorità pubbliche, anche mediante lo scambio di informazioni sugli eventuali prodotti e servizi TIC non conformi ai requisiti del presente regolamento o di specifici sistemi europei di certificazione della cibersicurezza;

(d)  cooperano con le altre autorità nazionali di controllo della certificazione o con altre autorità pubbliche, come le autorità nazionali di controllo preposte alla protezione dei dati, anche mediante lo scambio di informazioni sugli eventuali prodotti, processi e servizi TIC non conformi ai requisiti del presente regolamento o di specifici sistemi europei di certificazione della cibersicurezza;

Emendamento    223

Proposta di regolamento

Articolo 50 – paragrafo 6 – lettera d

 

Testo della Commissione

Emendamento

(d)  cooperano con le altre autorità nazionali di controllo della certificazione o con altre autorità pubbliche, anche mediante lo scambio di informazioni sugli eventuali prodotti e servizi TIC non conformi ai requisiti del presente regolamento o di specifici sistemi europei di certificazione della cibersicurezza;

(d)  cooperano con le altre autorità nazionali di controllo della certificazione o con altre autorità pubbliche, come le autorità nazionali di controllo preposte alla protezione dei dati, anche mediante lo scambio di informazioni sugli eventuali prodotti e servizi TIC non conformi ai requisiti del presente regolamento o di specifici sistemi europei di certificazione della sicurezza informatica;

Motivazione

L'emendamento si basa sul parere del Garante europeo della protezione dei dati.

Emendamento    224

Proposta di regolamento

Articolo 50 – paragrafo 7 – lettera c bis (nuova)

 

Testo della Commissione

Emendamento

 

(c bis)  revocare l'accreditamento degli organismi di valutazione della conformità che non rispettano il presente regolamento;

Emendamento    225

Proposta di regolamento

Articolo 50 – paragrafo 7 – lettera e

 

Testo della Commissione

Emendamento

(e)  revocare, in conformità del diritto nazionale, i certificati non conformi al presente regolamento o a un sistema europeo di certificazione della cibersicurezza;

(e)  revocare, in conformità del diritto nazionale, i certificati non conformi al presente regolamento o a un sistema europeo di certificazione della cibersicurezza e informare di conseguenza gli organismi nazionali di accreditamento;

Emendamento    226

Proposta di regolamento

Articolo 50 – paragrafo 8

 

Testo della Commissione

Emendamento

8.  Le autorità nazionali di controllo della certificazione cooperano tra di loro e con la Commissione e, in particolare, si scambiano informazioni, esperienze e buone pratiche per quanto concerne la certificazione della cibersicurezza e le questioni tecniche riguardanti la cibersicurezza di prodotti e servizi TIC.

8.  Le autorità nazionali di controllo della certificazione cooperano tra di loro e con la Commissione e, in particolare, si scambiano informazioni, esperienze e buone pratiche per quanto concerne la certificazione della cibersicurezza e le questioni tecniche riguardanti la cibersicurezza di prodotti, processi e servizi TIC.

Emendamento    227

Proposta di regolamento

Articolo 50 – paragrafo 8 bis (nuovo)

 

Testo della Commissione

Emendamento

 

8 bis.  Ciascuna autorità nazionale di controllo della certificazione e ciascun membro e dipendente di tale autorità sono tenuti al segreto professionale, in virtù del diritto dell'Unione o degli Stati membri, durante il loro mandato e dopo la scadenza dello stesso, in merito a tutte le informazioni riservate cui hanno avuto accesso nell'esecuzione dei loro compiti o nell'esercizio dei loro poteri.

Emendamento    228

Proposta di regolamento

Articolo 50 bis (nuovo)

 

Testo della Commissione

Emendamento

 

Articolo 50 bis

 

Revisione inter pares

 

1.  Le autorità nazionali di controllo della certificazione sono soggette a una revisione inter pares riguardo alle attività organizzate dall'Agenzia che esse svolgono a norma dell'articolo 50.

 

2.   La revisione inter pares è effettuata sulla base di criteri e procedure validi e trasparenti, in particolare per quanto riguarda i requisiti in termini strutturali, di risorse umane e procedurali, la riservatezza e i reclami. Sono previste appropriate procedure di ricorso contro le decisioni prese in esito alla revisione.

 

3.   La revisione inter pares riguarda le valutazioni delle procedure istituite dalle autorità nazionali di controllo della certificazione, in particolare le procedure per verificare la conformità dei certificati, le procedure per monitorare e supervisionare le attività degli organismi di valutazione della conformità, la competenza del personale, la correttezza dei controlli e la metodologia di ispezione nonché la correttezza dei risultati. La revisione inter pares valuta altresì se le autorità nazionali di controllo della certificazione in questione dispongono di risorse sufficienti per il corretto svolgimento dei loro compiti, come richiesto dall'articolo 50, paragrafo 4.

 

4.   La revisione inter pares di un'autorità nazionale di controllo della certificazione è effettuata da due autorità nazionali di controllo della certificazione di altri Stati membri e dalla Commissione, e ha luogo almeno una volta ogni cinque anni. L'Agenzia può partecipare alla revisione inter pares e decide in merito alla sua partecipazione sulla base di un'analisi della valutazione dei rischi.

 

5.   Alla Commissione è conferito il potere di adottare atti delegati conformemente all'articolo 55 bis, per integrare il presente regolamento definendo un piano almeno quinquennale per la revisione inter pares e fissando i criteri riguardanti la composizione del gruppo di revisione inter pares, la metodologia utilizzata per la revisione inter pares, il calendario, la periodicità e gli altri compiti connessi alla revisione inter pares. Nell'adottare tali atti delegati, la Commissione tiene debitamente conto delle considerazioni del gruppo di certificazione degli Stati membri.

 

6.   I risultati della revisione inter pares sono esaminati dal gruppo di certificazione degli Stati membri. L'Agenzia elabora una sintesi dei risultati e, se del caso, fornisce orientamenti e documenti sulle migliori prassi e li rende pubblici.

Emendamento    229

Proposta di regolamento

Articolo 51 – paragrafo 1 bis (nuovo)

 

Testo della Commissione

Emendamento

 

1 bis.  Per il livello di affidabilità elevato, oltre a essere accreditato l'organismo di valutazione della conformità, deve essere notificato dall'autorità nazionale di controllo della certificazione riguardo alla sua competenza ed esperienza in materia di valutazione della cibersicurezza. L'autorità nazionale di controllo della certificazione procede a verifiche periodiche dell'esperienza e delle competenze degli organismi di valutazione della conformità notificati.

Motivazione

Livelli di affidabilità elevati presuppongono test di efficacia. L'esperienza e le competenze degli organismi di valutazione della conformità che procedono ai test di efficacia devono essere anch'esse periodicamente sottoposte ad audit al fine di garantire, in particolare, la qualità dei test.

Emendamento    230

Proposta di regolamento

Articolo 51 – paragrafo 2 bis (nuovo)

 

Testo della Commissione

Emendamento

 

2 bis.  Al fine di assicurare che nell'Unione si applichino norme equivalenti vengono eseguite verifiche i cui risultati sono trasmessi all'Agenzia e al gruppo.

Emendamento    231

Proposta di regolamento

Articolo 51 – paragrafo 2 ter (nuovo)

 

Testo della Commissione

Emendamento

 

2 ter.  Se i fabbricanti optano per "l'autodichiarazione di conformità" in conformità dell'articolo 48, paragrafo 3, gli organismi di valutazione della conformità prendono misure supplementari al fine di verificare le procedure interne applicate dai fabbricanti per garantire che i propri prodotti e/o servizi siano conformi ai requisiti del sistema europeo di certificazione della cibersicurezza.

Emendamento    232

Proposta di regolamento

Articolo 52 – paragrafo 5

 

Testo della Commissione

Emendamento

5.  La Commissione può, mediante atti di esecuzione, definire le circostanze, i formati e le procedure delle notifiche di cui al paragrafo 1. Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 55, paragrafo 2.

5.  La Commissione può, mediante atti delegati, definire le circostanze, i formati e le procedure delle notifiche di cui al paragrafo 1. Tali atti delegati sono adottati secondo la procedura d'esame di cui all'articolo 55, paragrafo 2.

Emendamento    233

Proposta di regolamento

Articolo 53 – titolo

 

Testo della Commissione

Emendamento

Gruppo europeo per la certificazione della cibersicurezza

Gruppo di certificazione degli Stati membri

 

(La modifica si applica all'intero testo legislativo in esame; l'approvazione dell'emendamento implica adeguamenti tecnici in tutto il testo).

Emendamento    234

Proposta di regolamento

Articolo 53 – paragrafo 1

 

Testo della Commissione

Emendamento

1.  È istituito il gruppo europeo per la certificazione della cibersicurezza (di seguito il "gruppo").

1.  È istituito il gruppo di certificazione degli Stati membri (di seguito il "gruppo").

Emendamento    235

Proposta di regolamento

Articolo 53 – paragrafo 2

 

Testo della Commissione

Emendamento

2.  Il gruppo è composto dalle autorità nazionali di controllo della certificazione. Le autorità sono rappresentate dai capi o da rappresentanti ad alto livello delle autorità nazionali di controllo della certificazione.

2.  Il gruppo di certificazione degli Stati membri è composto dalle autorità nazionali di controllo della certificazione (DSA) dei singoli Stati membri, le quali sono rappresentate dai capi o dai rappresentanti ad alto livello delle autorità nazionali di controllo della certificazione. I membri del gruppo di certificazione dei portatori di interessi possono essere invitati alle riunioni del gruppo e a partecipare ai suoi lavori.

Emendamento    236

Proposta di regolamento

Articolo 53 – paragrafo 3 – parte introduttiva

 

Testo della Commissione

Emendamento

3.  Il gruppo ha i seguenti compiti:

3.  Il gruppo di certificazione degli Stati membri ha i seguenti compiti:

Emendamento    237

Proposta di regolamento

Articolo 53 – paragrafo 3 – lettera b

 

Testo della Commissione

Emendamento

(b)  assistere, consigliare e collaborare con l'ENISA in relazione alla preparazione di una proposta di sistema conformemente all'articolo 44 del presente regolamento;

(b)  assistere, consigliare e collaborare con l'Agenzia in relazione alla preparazione di una proposta di sistema conformemente all'articolo 44 del presente regolamento;

Emendamento    238

Proposta di regolamento

Articolo 53 – paragrafo 3 – lettera d bis (nuova)

 

Testo della Commissione

Emendamento

 

(d bis)  adottare raccomandazioni che stabiliscano la frequenza con la quale le autorità nazionali di controllo della certificazione devono effettuare verifiche dei certificati e delle autovalutazione della conformità nonché i criteri, la portata e il campo di applicazione di tali verifiche, e adottare disposizioni e norme comuni per la comunicazione dei risultati conformemente all'articolo 50, paragrafo 6;

Emendamento    239

Proposta di regolamento

Articolo 53 – paragrafo 3 – lettera e

 

Testo della Commissione

Emendamento

(e)  esaminare gli sviluppi che presentano un interesse in materia di certificazione della cibersicurezza e scambio di buone pratiche sui sistemi di certificazione della cibersicurezza;

(e)  esaminare gli sviluppi che presentano un interesse in materia di certificazione della cibersicurezza e scambio di informazioni e di buone pratiche sui sistemi di certificazione della cibersicurezza;

Emendamento    240

Proposta di regolamento

Articolo 53 – paragrafo 3 – lettera f bis (nuova)

 

Testo della Commissione

Emendamento

 

(f bis)  agevolare l'allineamento dei sistemi europei di cibersicurezza alle norme riconosciute a livello internazionale, rivedendo tra l'altro i sistemi europei della cibersicurezza esistenti e, ove opportuno, rivolgendo raccomandazioni all'Agenzia affinché collabori con le pertinenti organizzazioni internazionali di normazione per ovviare a carenze o lacune nelle norme vigenti riconosciute a livello internazionale;

Emendamento    241

Proposta di regolamento

Articolo 53 – paragrafo 3 – lettera f ter (nuova)

 

Testo della Commissione

Emendamento

 

(f ter)  istituire un processo di revisione inter pares. Tale processo tiene conto, in particolare, delle competenze tecniche richieste alle autorità nazionali di controllo della certificazione nell'adempimento dei loro compiti di cui agli articoli 48 e 50 e comprende, ove necessario, la definizione di orientamenti e documenti sulle migliori pratiche, al fine di migliorare la conformità delle autorità nazionali di controllo della certificazione al presente regolamento;

Emendamento    242

Proposta di regolamento

Articolo 53 – paragrafo 3 – lettera f quater (nuova)

 

Testo della Commissione

Emendamento

 

(f quater)  supervisionare la vigilanza e il mantenimento dei certificati;

Emendamento    243

Proposta di regolamento

Articolo 53 – paragrafo 3 – lettera f quinquies (nuova)

 

Testo della Commissione

Emendamento

 

(f quinquies)  tenere conto dei risultati della consultazione dei portatori di interessi condotta nel quadro della preparazione di una proposta di sistema conformemente all'articolo 44.

Emendamento    244

Proposta di regolamento

Articolo 53 – paragrafo 4

 

Testo della Commissione

Emendamento

4.  La Commissione presiede il gruppo, per il quale svolge le funzioni di segretariato, con l'assistenza dell'ENISA conformemente all'articolo 8, lettera a).

4.  La Commissione presiede il gruppo di certificazione degli Stati membri, per il quale svolge le funzioni di segretariato, con l'assistenza dell'Agenzia conformemente all'articolo 8, lettera a).

Emendamento    245

Proposta di regolamento

Articolo 53 bis (nuovo)

 

Testo della Commissione

Emendamento

 

Articolo 53 bis

 

Diritto a un ricorso giurisdizionale effettivo nei confronti dell'autorità di controllo o dell'organismo di valutazione della conformità

 

1.  Fatto salvo ogni altro ricorso amministrativo o extragiudiziale, ogni persona fisica o giuridica ha il diritto di proporre a un ricorso giurisdizionale effettivo:

 

(a)  avverso la decisione di un organismo di valutazione della conformità o di un'autorità nazionale di controllo della certificazione nei suoi confronti, anche, ove applicabile, in relazione al rilascio o mancato rilascio o al riconoscimento di un certificato europeo della cibersicurezza di cui tale persona sia titolare; e

 

(b)  qualora un'autorità nazionale di controllo della certificazione non tratti un reclamo per cui sia competente.

 

2.  Il ricorso avverso un organismo di valutazione della conformità o un'autorità nazionale di controllo della certificazione è presentato dinanzi ai tribunali dello Stato membro in cui sono stabiliti l'organismo di valutazione della conformità o l'autorità nazionale di controllo della certificazione.

Emendamento    246

Proposta di regolamento

Articolo 55 – paragrafo 2 bis (nuovo)

 

Testo della Commissione

Emendamento

 

2 bis.  Nei casi in cui è fatto riferimento al presente paragrafo, si applica l'articolo 5 del regolamento (UE) n. 182/2011.

Emendamento    247

Proposta di regolamento

Articolo 55 bis (nuovo)

 

Testo della Commissione

Emendamento

 

Articolo 55 bis

 

Esercizio della delega

 

1.   Il potere di adottare atti delegati è conferito alla Commissione alle condizioni stabilite nel presente articolo.

 

2.   Il potere di adottare gli atti delegati di cui agli articoli 44 e 48 bis è conferito alla Commissione per un periodo di tempo indeterminato a decorrere dal ...[data di entrata in vigore dell'atto legislativo di base].

 

3.   La delega di potere di cui agli articoli 44 bis e 48 bis può essere revocata in qualsiasi momento dal Parlamento europeo o dal Consiglio. La decisione di revoca pone fine alla delega di potere ivi specificata. Gli effetti della decisione decorrono dal giorno successivo alla pubblicazione della decisione nella Gazzetta ufficiale dell'Unione europea o da una data successiva ivi specificata. Essa non pregiudica la validità degli atti delegati già in vigore.

 

4.   Prima di adottare un atto delegato, la Commissione consulta gli esperti designati da ciascuno Stato membro nel rispetto dei principi stabiliti dall'accordo interistituzionale "Legiferare meglio" del 13 aprile 2016.

 

5.   Non appena adotta un atto delegato, la Commissione ne dà contestualmente notifica al Parlamento europeo e al Consiglio.

 

6.   L'atto delegato adottato ai sensi degli articoli 44 e 48 bis entra in vigore solo se né il Parlamento europeo né il Consiglio hanno sollevato obiezioni entro il termine di due mesi dalla data in cui esso è stato loro notificato o se, prima della scadenza di tale termine, sia il Parlamento europeo che il Consiglio hanno informato la Commissione che non intendono sollevare obiezioni. Tale termine è prorogato di due mesi su iniziativa del Parlamento europeo o del Consiglio.

Emendamento    248

Proposta di regolamento

Articolo 56 – paragrafo 1

 

Testo della Commissione

Emendamento

1.  Entro cinque anni dalla data di cui all'articolo 58, e successivamente ogni cinque anni, la Commissione valuta l'impatto, l'efficacia e l'efficienza dell'Agenzia e delle sue prassi di lavoro, come pure l'eventuale necessità di modificarne il mandato e le conseguenti implicazioni finanziarie. La valutazione tiene conto di qualsiasi riscontro pervenuto all'Agenzia in relazione alle sue attività. Se ritiene che il mantenimento dell'Agenzia non sia più giustificato rispetto agli obiettivi, al mandato e ai compiti che le sono stati assegnati, la Commissione può proporre di modificare il presente regolamento in relazione alle disposizioni che riguardano l'Agenzia.

1.  Entro due anni dalla data di cui all'articolo 58, e successivamente ogni due anni, la Commissione valuta l'impatto, l'efficacia e l'efficienza dell'Agenzia e delle sue prassi di lavoro, come pure l'eventuale necessità di modificarne il mandato e le conseguenti implicazioni finanziarie. La valutazione tiene conto di qualsiasi riscontro pervenuto all'Agenzia in relazione alle sue attività. Se ritiene che il mantenimento dell'Agenzia non sia più giustificato rispetto agli obiettivi, al mandato e ai compiti che le sono stati assegnati, la Commissione può proporre di modificare il presente regolamento in relazione alle disposizioni che riguardano l'Agenzia.

Emendamento    249

Proposta di regolamento

Articolo 56 – paragrafo 2

 

Testo della Commissione

Emendamento

2.  La valutazione esamina inoltre l'impatto, l'efficacia e l'efficienza delle disposizioni del titolo III per quanto riguarda gli obiettivi di garantire un livello adeguato di cibersicurezza dei prodotti e servizi TIC nell'Unione e di migliorare il funzionamento del mercato interno.

2.  La valutazione esamina inoltre l'impatto, l'efficacia e l'efficienza delle disposizioni del titolo III per quanto riguarda gli obiettivi di garantire un livello adeguato di cibersicurezza dei prodotti, processi e servizi TIC nell'Unione e di migliorare il funzionamento del mercato interno.

Emendamento    250

Proposta di regolamento

Articolo 56 – paragrafo 2 bis (nuovo)

 

Testo della Commissione

Emendamento

 

2 bis.  La valutazione esamina se siano necessari requisiti essenziali di cibersicurezza per l'accesso al mercato interno onde impedire l'ingresso, nel mercato dell'Unione, di prodotti, processi e servizi che non rispettano i requisiti di base in materia di cibersicurezza.

Emendamento    251

Proposta di regolamento

Allegato -I (nuovo)

 

Testo della Commissione

Emendamento

 

ALLEGATO -I:

 

Al momento del varo quadro di certificazione della cibersicurezza dell'Unione europea, è presumibile che l'attenzione si concentrerà sugli ambiti di interesse immediato, per rispondere alle sfide poste dalle tecnologie emergenti. L'ambito dell'internet degli oggetti (IoT) riveste particolare interesse poiché tocca sia le esigenze dei consumatori che quelle dell'industria. Si propone il seguente elenco di priorità da includere nel quadro di certificazione:

 

(1) Certificazione della prestazione di servizi cloud.

 

(2) Certificazione dei dispositivi IoT, tra cui:

 

a. i dispositivi a livello individuale, come quelli indossabili intelligenti;

 

b. i dispositivi a livello di comunità, come le autovetture intelligenti, le case intelligenti, i dispositivi per la salute;

 

c. i dispositivi a livello sociale, come le città intelligenti e le reti intelligenti.

 

(3) L'industria 4.0, che prevede sistemi ciberfisici intelligenti e interconnessi che automatizzano tutte le fasi delle operazioni industriali, dalla progettazione e produzione fino al funzionamento, alla catena di approvvigionamento e al mantenimento dei servizi.

 

(4) Certificazione delle tecnologie e dei prodotti utilizzati nella vita quotidiana. Un esempio di questi prodotti potrebbero essere i dispositivi di rete, come i router internet domestici.

Emendamento    252

Proposta di regolamento

Allegato I – punto 5 bis (nuovo)

 

Testo della Commissione

Emendamento

 

5 bis.  Se un organismo di valutazione della conformità è di proprietà di un ente o un'istituzione pubblici o è gestito da questi ultimi, l'indipendenza e l'assenza di conflitti di interessi tra, da un lato, l'autorità di controllo della certificazione e, dall'altro, l'organismo di valutazione della conformità, sono garantite e documentate.

Emendamento    253

Proposta di regolamento

Allegato I – punto 8

 

Testo della Commissione

Emendamento

8.  Un organismo di valutazione della conformità è in grado di effettuare tutti i compiti di valutazione della conformità ad esso assegnati dal presente regolamento, indipendentemente dal fatto che tali compiti siano eseguiti dall'organismo stesso o per suo conto e sotto la sua responsabilità.

8.  Un organismo di valutazione della conformità è in grado di effettuare tutti i compiti di valutazione della conformità ad esso assegnati dal presente regolamento, indipendentemente dal fatto che tali compiti siano eseguiti dall'organismo stesso o per suo conto e sotto la sua responsabilità. Eventuali subappalti o consultazioni di personale esterno sono adeguatamente documentati, non prevedono alcun intermediario e sono oggetto di un accordo scritto che contempli, tra l'altro, la riservatezza e i conflitti di interessi. L'organismo di valutazione della conformità in questione si assume la piena responsabilità dei compiti svolti.

Emendamento    254

Proposta di regolamento

Allegato I – punto 12

 

Testo della Commissione

Emendamento

12.  È garantita l'imparzialità dell'organismo di valutazione della conformità, dei suoi alti dirigenti e del personale addetto alle valutazioni.

12.  È garantita l'imparzialità dell'organismo di valutazione della conformità, dei suoi alti dirigenti e del personale addetto alle valutazioni nonché dei subappaltatori.

Emendamento    255

Proposta di regolamento

Allegato I – punto 15

 

Testo della Commissione

Emendamento

15.  Il personale di un organismo di valutazione della conformità è tenuto al segreto professionale per tutto ciò di cui viene a conoscenza nell'esercizio delle sue funzioni a norma del presente regolamento o di qualsiasi disposizione esecutiva di diritto interno, tranne nei confronti delle autorità competenti degli Stati membri in cui esercita le sue attività.

15.  L'organismo di valutazione della conformità e il personale, i comitati, le controllate e i subappaltatori dello stesso e qualsiasi organismo associato o membro del personale di organismi esterni di un organismo di valutazione della conformità sono tenuti al mantenimento della riservatezza e al segreto professionale per tutto ciò di cui vengono a conoscenza nell'esercizio delle loro funzioni a norma del presente regolamento o di qualsiasi disposizione esecutiva di diritto interno, tranne laddove il diritto dell'Unione europea o dello Stato membro cui tali persone sono soggette richieda la divulgazione alle autorità competenti degli Stati membri in cui esercitano le loro attività. Sono tutelati i diritti di proprietà. L'organismo di valutazione della conformità dispone di procedure documentate riguardo ai requisiti di cui al presente punto 15.

Emendamento    256

Proposta di regolamento

Allegato I – punto 15 bis (nuovo)

 

Testo della Commissione

Emendamento

 

15 bis.  Con l'eccezione del punto 15, i requisiti del presente allegato non precludono in alcun modo gli scambi di informazioni tecniche e di orientamenti regolamentari tra un organismo di valutazione della conformità e una persona che richieda o stia valutando se richiedere una certificazione.

Emendamento    257

Proposta di regolamento

Allegato I – punto 15 ter (nuovo)

 

Testo della Commissione

Emendamento

 

15 ter.  Gli organismi di valutazione della conformità operano secondo modalità e condizioni coerenti, eque e ragionevoli, tenendo conto degli interessi delle piccole e medie imprese quali definite nella raccomandazione 2003/361/CE in relazione alle tariffe.

(1)

GU C 227 del 28.6.2018, pag. 86.


MOTIVAZIONE

È un dato di fatto che la rivoluzione digitale mondiale stia prendendo sempre più piede e si stia diffondendo nelle nostre economie, nelle nostre società e a livello dei governi, rendendo vulnerabili tutti i nostri dati. I consumatori, le industrie, le istituzioni e le democrazie a livello locale, nazionale, europeo e mondiale hanno subito ciberattacchi, atti di ciberspionaggio o di sabotaggio informatico e vi è una diffusa consapevolezza del fatto che tali eventi aumenteranno in maniera consistente negli anni a venire.

Miliardi di dispositivi sono collegati a Internet e interagiscono su un nuovo livello e su una nuova scala: insieme ai servizi correlati, possono migliorare la vita dei cittadini e le nostre economie. Tuttavia, gli individui e le organizzazioni potranno divenire pienamente parte del mondo digitale solo avendo fiducia nelle tecnologie digitali. Tale fiducia implica che i dispositivi IoT, i processi e i servizi siano sicuri.

Al fine di conseguire detti obiettivi, la Commissione ha proposto il "regolamento sulla cibersicurezza", che costituisce una parte importante, nonché uno strumento essenziale, della nuova strategia dell'UE per la cibersicurezza, che mira a fornire all'Europa una visione di lungo termine a riguardo e a rafforzare la fiducia nelle tecnologie digitali. Occorre contestualizzare tale aspetto nel quadro legislativo già in vigore. L'UE ha già istituito l'Agenzia europea per la sicurezza delle reti e dell'informazione (ENISA) e ha adottato una direttiva sulla sicurezza delle reti e dell'informazione (la direttiva SRI), attualmente in fase di recepimento negli ordinamenti nazionali degli Stati membri.

Il regolamento sulla cibersicurezza si compone di due parti: nella prima vengono specificati il ruolo e il mandato dell'ENISA al fine di rafforzare l'Agenzia, mentre nella seconda è introdotto un sistema di certificazione della cibersicurezza sotto forma di quadro volontario volto a migliorare la sicurezza dei dispositivi connessi e dei prodotti e servizi digitali.

Il relatore, in generale, si compiace della proposta formulata dalla Commissione in merito al regolamento sulla cibersicurezza in quanto è fondamentale per ridurre al minimo i rischi e le minacce alla sicurezza delle informazioni e alle reti, nonché per consentire ai consumatori di avere fiducia nelle soluzioni informatiche, segnatamente a riguardo dell'Internet degli oggetti. Il relatore ritiene fortemente che l'Europa possa divenire un attore imprescindibile della cibersicurezza. L'Europa presenta una solida base industriale e, pertanto, è nell'interesse sia dei consumatori che dell'industria lavorare sul miglioramento della cibersicurezza in relazione ai beni di consumo, le applicazioni industriali e le infrastrutture critiche.

È opportuno modificare la proposta della Commissione a riguardo sia della parte concernente l'ENISA che della parte relativa alla certificazione.

Per quanto riguarda la prima, il relatore ritiene sia fondamentale stabilire il quadro adeguato per garantire la solidità e il funzionamento dell'Agenzia. Il relatore accoglie con favore il rafforzamento del ruolo dell'ENISA, compresi il suo mandato permanente e l'incremento del bilancio e dell'organico, ma sottolinea la necessità di adottare un approccio realistico considerando il numero ancora esiguo di esperti impiegati dall'ENISA rispetto alle dimensioni dell'organico di talune autorità nazionali di controllo della certificazione. L'ENISA dovrebbe continuare a coordinare la cooperazione operativa, basandosi sull'esperienza maturata nell'ambito della direttiva SRI, continuare a sostenere le attività di rafforzamento delle capacità svolte dagli Stati membri nonché fungere da fonte di informazioni. L'ENISA è inoltre chiamata a svolgere un ruolo preminente nella definizione dei sistemi di cibersicurezza europei, insieme agli Stati membri e alle parti interessate.

Per quanto riguarda la certificazione, il relatore è a favore di una maggiore chiarezza circa l'ambito di applicazione della proposta. Da un lato, il regolamento dovrebbe concernere non solo i prodotti e i servizi, ma il loro intero ciclo di vita. I processi devono pertanto essere inclusi nel campo di applicazione. Dall'altro, alcune delle competenze degli Stati membri dovrebbero essere chiaramente escluse, ovvero quelle riguardanti il settore della pubblica sicurezza, la difesa, la sicurezza nazionale e il diritto penale.

Per quanto riguarda il sistema di certificazione della cibersicurezza, il relatore propone di specificare più in dettaglio un approccio basato sul rischio, contrapposto a un sistema di certificazione "universale". Il relatore è altresì favorevole a un sistema volontario, ma solo per i livelli base e di garanzia sostanziale. Per i prodotti, i processi o i servizi che rientrano nel livello di garanzia più elevato, è preferibile a suo avviso un sistema obbligatorio. Per quanto riguarda la valutazione delle tecnologie digitali appartenenti al livello di garanzia base, il relatore suggerisce inoltre un collegamento all'approccio al nuovo quadro legislativo, il che consentirà un esercizio di valutazione, nonché il conseguimento di un sistema più economico e meno oneroso che ha dimostrato la sua validità in vari settori.

Il relatore ritiene che i produttori o fornitori di prodotti, processi e servizi TIC debbano essere obbligati a rilasciare una dichiarazione sul prodotto recante informazioni strutturate relative alla certificazione e che indichi, ad esempio, la disponibilità di aggiornamenti o l'interoperabilità di prodotti, processi o servizi certificati. In questo modo il consumatore potrebbe disporre di informazioni utili al momento della scelta di un dispositivo. Il relatore esprime la propria preferenza per una dichiarazione di prodotto di questo tipo rispetto a un'etichetta o un marchio che potrebbero essere fuorvianti per i consumatori.

Il relatore è fermamente convinto che la struttura di governance proposta dalla Commissione debba essere migliorata per garantire maggiore trasparenza a tutti gli attori coinvolti. Suggerisce pertanto l'adozione di un programma di lavoro pluriennale dell'Unione che identifichi le azioni comuni da intraprendere a livello unionale e che indichi i settori in cui devono essere introdotti i sistemi di certificazione europea in via prioritaria, nonché il livello di equivalenza delle conoscenze e delle competenze degli organi di valutazione e di controllo negli Stati membri. Il rafforzamento della governance implica anche una maggiore partecipazione degli Stati membri e del settore dell'industria al processo di certificazione. Il ruolo degli Stati membri può essere rafforzato qualora il "gruppo" introdotto dall'articolo 53 della proposta, e composto dalle autorità nazionali di controllo della certificazione, sia posto su un piano di parità con la Commissione nell'ambito del processo di elaborazione del sistema di certificazione. Il gruppo dovrà altresì approvare una proposta di sistema europeo. Infine, è opportuno rafforzare anche la partecipazione dell'industria al processo di certificazione, chiarendo ad esempio la composizione del gruppo permanente di portatori di interesse e creando gruppi consultivi ad-hoc dell'ENISA al fine di acquisire ulteriori competenze e conoscenze dal settore industriale e altre parti interessate nell'ambito dei processi di certificazione. Il relatore ritiene che tutte queste misure consentiranno alle PMI di prendere parte più attivamente al processo.

Il sistema di certificazione europea necessita, in fase di elaborazione, di un maggiore coinvolgimento degli organismi europei di normalizzazione, quali il Comitato europeo di normalizzazione e il Comitato europeo di normalizzazione elettrotecnica. In tal modo sarebbe possibile garantire che a prevalere siano le norme internazionali già esistenti e globalmente accettate.


PARERE della commissione per il mercato interno e la protezione dei consumatori (22.5.2018)

destinato alla commissione per l'industria, la ricerca e l'energia

sulla proposta di regolamento del Parlamento europeo e del Consiglio relativo all’ENISA, l’agenzia dell’Unione europea per la cibersicurezza, che abroga il regolamento (UE) n. 526/2013, e relativo alla certificazione della cibersicurezza per le tecnologie dell’informazione e della comunicazione ("regolamento sulla cibersicurezza")

(COM(2017)0477 – C8-0310/2017 – 2017/0225(COD))

Relatore per parere: (*) Nicola Danti

(*)  Procedura con le commissioni associate – articolo 54 del regolamento

BREVE MOTIVAZIONE

Nell'era digitale, la sicurezza informatica è un elemento essenziale per la competitività economica e la sicurezza dell'Unione europea, così come per l'integrità delle nostre società libere e democratiche e dei processi che ne sono alla base. Per ottenere la fiducia dei consumatori nel mercato unico digitale e per l'ulteriore sviluppo di un'Europa più innovativa è fondamentale garantire un livello elevato di resilienza informatica in tutta l'UE.

Senza dubbio le minacce informatiche e gli attacchi informatici a livello mondiale quali "Wannacry" e "Meltdown" sono questioni di crescente importanza nella nostra società sempre più digitalizzata. Secondo un sondaggio di Eurobarometro pubblicato nel luglio 2017, l'87 % degli intervistati considera la criminalità informatica una "sfida importante per la sicurezza interna dell'UE" e la maggior parte di loro è "preoccupata di essere vittima di varie forme di criminalità informatica". Dall'inizio del 2016, inoltre, si sono verificati in tutto il mondo oltre 4 000 attacchi informatici al giorno con richiesta di riscatto, con un aumento del 300 % rispetto al 2015 e colpendo l'80 % delle imprese dell'UE. Tali fatti e conclusioni illustrano chiaramente la necessità di una più solida ed efficace lotta dell'UE contro gli attacchi informatici rafforzando le sue capacità per proteggere meglio i cittadini, le imprese e le istituzioni pubbliche dell'Europa.

Un anno dopo l'entrata in vigore della direttiva sulla sicurezza delle reti e dell'informazione (direttiva NIS), la Commissione europea ha presentato, nel quadro generale della strategia di sicurezza informatica dell'UE, un regolamento finalizzato ad aumentare ulteriormente la resilienza, la deterrenza e la difesa informatica dell'UE. Il 13 settembre 2017, la Commissione ha presentato il "regolamento sulla cibersicurezza", basato su due pilastri:

1) un mandato permanente e più forte per l'Agenzia europea per la sicurezza delle reti e dell'informazione (ENISA) al fine di assistere gli Stati membri nella prevenzione delle minacce informatiche e nella reazione alle stesse e 2) la creazione di un quadro di certificazione della cibersicurezza a livello di UE per garantire la cibersicurezza dei prodotti e dei servizi TIC.

In generale, il relatore accoglie con favore l'impostazione proposta dalla Commissione europea e favorisce in particolare l'introduzione a livello di UE di sistemi di certificazione della cibersicurezza, che mirano ad aumentare la sicurezza dei prodotti e servizi TIC e ad evitare la costosa frammentazione del mercato unico in questo settore fondamentale. Anche se inizialmente dovrebbe rimanere uno strumento volontario, il relatore auspica che un quadro dell'UE in materia di certificazione della cibersicurezza e le relative procedure diventino uno strumento necessario per rafforzare la fiducia dei nostri cittadini e utenti e per aumentare la sicurezza dei prodotti e servizi che circolano nel mercato unico.

In realtà è anche convinto che sia necessario chiarire e migliorare alcuni punti della proposta:

•  In primo luogo occorre aumentare il coinvolgimento delle pertinenti parti interessate nelle diverse fasi del sistema di governance per la preparazione di proposte di sistemi di certificazione da parte dell'ENISA: a giudizio del relatore, è essenziale la partecipazione formale delle parti interessate più rilevanti come le imprese del settore TIC, le organizzazioni dei consumatori, le PMI, le organizzazioni di normazione dell'UE e le agenzie settoriali dell'UE, ecc., consentendo loro di proporre nuovi sistemi, fornire consulenza all'ENISA con le loro competenze, o di collaborare con l'ENISA nella preparazione di una proposta di sistema.

•  In secondo luogo, vi è la necessità di rafforzare con compiti supplementari il ruolo di coordinamento del gruppo europeo per la certificazione della cibersicurezza (composto da autorità nazionali, con il sostegno della Commissione e dell'ENISA), al fine di fornire un orientamento strategico e stabilire un programma di lavoro nel rispetto delle azioni comuni da adottare a livello di Unione nel settore della certificazione, e per stabilire e aggiornare periodicamente un elenco prioritario di prodotti e servizi delle TIC per i quali ritiene necessario un sistema europeo di certificazione della cibersicurezza.

•  Il relatore è fortemente persuaso che si debbano evitare le pratiche di ricerca della certificazione più vantaggiosa, come è già accaduto in altri settori. Le disposizioni di monitoraggio e vigilanza dell'ENISA e le autorità nazionali di controllo della certificazione dovrebbero essere rafforzate in maniera considerevole, al fine di garantire che il certificato europeo rilasciato in uno Stato membro abbia gli stessi standard e requisiti di un certificato rilasciato in un altro Stato membro. Pertanto propone:

1) il rafforzamento dei poteri di vigilanza dell'ENISA: di concerto con il gruppo di certificazione, l'ENISA dovrebbe effettuare valutazioni delle procedure messe in atto dalle autorità competenti per il rilascio dei certificati UE;

2) lo svolgimento da parte delle autorità nazionali di controllo della certificazione di valutazioni periodiche (almeno ogni due anni) sui certificati UE rilasciati dagli organismi di valutazione della conformità;

3) l'introduzione di criteri vincolanti comuni da definire a cura del gruppo per stabilire l'entità, la portata e la frequenza con cui le autorità nazionali di controllo della certificazione dovrebbero effettuare le valutazioni di cui al punto 2.

•  Il relatore ritiene che debba essere introdotto un marchio di fiducia UE obbligatorio per i prodotti e servizi TIC certificati, che sono destinati agli utenti finali. Tale marchio potrebbe contribuire a sensibilizzare in merito alla cibersicurezza conferendo un vantaggio competitivo alle imprese con buone credenziali in materia di cibersicurezza.

•  Il relatore concorda con l'approccio uniforme e armonizzato adottato dalla Commissione, ma è convinto che debba essere più flessibile e adattabile alle caratteristiche e vulnerabilità specifiche di ogni prodotto o servizio - e non implicare soluzioni universali. Pertanto, il relatore ritiene che i livelli di garanzia debbano essere rimodellati ed essere utilizzati tenendo anche conto dell'uso previsto per i prodotti e i servizi TIC. Analogamente, il periodo di validità del certificato dovrebbe essere definito in funzione del sistema.

•  Ciascun sistema di certificazione dovrebbe essere progettato in modo da stimolare e incoraggiare tutti gli attori coinvolti nel settore interessato a elaborare e adottare norme di sicurezza, norme tecniche e principi di sicurezza e di privacy fin dalla progettazione, in tutte le fasi del ciclo di vita del prodotto o servizio.

EMENDAMENTI

La commissione per il mercato interno e la protezione dei consumatori invita la commissione per l'industria, la ricerca e l'energia, competente per il merito, a prendere in considerazione i seguenti emendamenti:

Emendamento    1

Proposta di regolamento

Considerando 1

Testo della Commissione

Emendamento

(1)  Le reti e i sistemi informativi e le reti e i servizi di telecomunicazione svolgono un ruolo essenziale per la società e sono diventati i pilastri della crescita economica. Le tecnologie dell'informazione e della comunicazione sono alla base dei sistemi complessi su cui poggiano le attività della società, che fanno funzionare le nostre economie in settori essenziali quali la sanità, l'energia, la finanza e i trasporti e che, in particolare, contribuiscono al funzionamento del mercato interno.

(1)  Le reti e i sistemi informativi e le reti e i servizi di telecomunicazione svolgono un ruolo essenziale per la società e sono diventati i pilastri della crescita economica. Le tecnologie dell'informazione e della comunicazione (TIC) sono alla base dei sistemi complessi su cui poggiano le attività quotidiane della società, che fanno funzionare le nostre economie in settori essenziali quali la sanità, l'energia, la finanza e i trasporti e che, in particolare, contribuiscono al funzionamento del mercato interno.

Emendamento    2

Proposta di regolamento

Considerando 2

Testo della Commissione

Emendamento

(2)  L'uso delle reti e dei sistemi informativi da parte di cittadini, imprese e amministrazioni pubbliche di tutta l'Unione è attualmente molto diffuso. La digitalizzazione e la connettività stanno diventando caratteristiche fondamentali di un numero di prodotti e servizi in costante aumento, e con l'avvento dell'internet degli oggetti (IoT) nel prossimo decennio dovrebbero essere disponibili in tutta l'UE milioni, se non miliardi, di dispositivi digitali connessi. Sebbene un numero crescente di dispositivi siano connessi a internet, la sicurezza e la resilienza non sono sufficientemente integrate nella progettazione, il che rende inadeguata la cibersicurezza. In tale contesto, l'uso limitato della certificazione fa sì che gli utenti aziendali e individuali dispongano di informazioni insufficienti sulle caratteristiche dei prodotti e dei servizi TIC in termini di cibersicurezza, il che mina la fiducia nelle soluzioni digitali.

(2)  L'uso delle reti e dei sistemi informativi da parte di cittadini, imprese e amministrazioni pubbliche di tutta l'Unione è attualmente molto diffuso. La digitalizzazione e la connettività stanno diventando caratteristiche fondamentali di un numero di prodotti e servizi in costante aumento, e con l'avvento dell'internet degli oggetti (IoT) nel prossimo decennio dovrebbero essere disponibili in tutta l'UE milioni, se non miliardi, di dispositivi digitali connessi. Sebbene un numero crescente di dispositivi siano connessi a internet, la sicurezza e la resilienza non sono sufficientemente integrate nella progettazione, il che rende inadeguata la cibersicurezza. In tale contesto, l'uso limitato della certificazione fa sì che gli utenti aziendali e individuali dispongano di informazioni insufficienti sulle caratteristiche dei prodotti e dei servizi TIC in termini di cibersicurezza, il che mina la fiducia nelle soluzioni digitali, elemento essenziale per l'istituzione del mercato unico digitale.

Emendamento    3

Proposta di regolamento

Considerando 3

Testo della Commissione

Emendamento

(3)  L'incremento della digitalizzazione e della connettività comporta maggiori rischi in termini di cibersicurezza, il che rende la società in generale più vulnerabile alle minacce informatiche e aggrava i pericoli cui sono esposte le persone, comprese quelle vulnerabili come i minori. Al fine di attenuare tale rischio per la società, occorre prendere tutti i provvedimenti necessari per migliorare la cibersicurezza nell'UE allo scopo di proteggere meglio dalle minacce informatiche le reti e i sistemi informativi, le reti di telecomunicazione, i prodotti digitali, i servizi e i dispositivi utilizzati da cittadini, amministrazioni pubbliche e imprese (dalle PMI ai gestori delle infrastrutture critiche).

(3)  L'incremento della digitalizzazione e della connettività comporta rischi considerevolmente maggiori in termini di cibersicurezza, il che rende la società in generale più vulnerabile alle minacce informatiche e aggrava i pericoli cui sono esposte le persone, comprese quelle vulnerabili come i minori. Il potere di trasformazione dell'intelligenza artificiale e dell'apprendimento automatico sarà sfruttato dalla società in generale, ma anche da criminali informatici. Al fine di attenuare tali rischi per la società, occorre prendere tutti i provvedimenti necessari per migliorare la sicurezza contro gli attacchi informatici nell'UE allo scopo di proteggere meglio dalle minacce informatiche le reti e i sistemi informativi, le reti di telecomunicazione, i prodotti digitali, i servizi e i dispositivi utilizzati da cittadini, amministrazioni pubbliche e imprese (dalle PMI ai gestori delle infrastrutture critiche).

Emendamento    4

Proposta di regolamento

Considerando 4

Testo della Commissione

Emendamento

(4)  Gli attacchi informatici sono in aumento e la maggiore vulnerabilità dell'economia e della società connesse alle minacce e agli attacchi informatici impone un rafforzamento delle difese. Tuttavia, mentre gli attacchi informatici hanno spesso una dimensione transfrontaliera, le risposte politiche delle autorità incaricate della cibersicurezza e le competenze in materia di applicazione della legge sono prevalentemente nazionali. Gli incidenti informatici su vasta scala possono ostacolare la prestazione di servizi essenziali su tutto il territorio dell'UE. Ciò richiede capacità effettive di risposta e di gestione delle crisi a livello di UE, sulla base di apposite politiche e strumenti di più ampia portata per la solidarietà europea e l'assistenza reciproca. Inoltre, una valutazione periodica dello stato della cibersicurezza e della resilienza nell'Unione, che sia basata su dati affidabili a livello di Unione e su previsioni sistematiche degli sviluppi, delle sfide e delle minacce futuri, sia a livello di Unione sia a livello mondiale, è quindi importante per i responsabili delle politiche, il settore e gli utenti.

(4)  Gli attacchi informatici sono in aumento e la maggiore vulnerabilità dell'economia e della società connesse alle minacce e agli attacchi informatici impone un rafforzamento delle difese e un aumento della loro sicurezza. Tuttavia, mentre gli attacchi informatici hanno spesso una dimensione transfrontaliera, le risposte politiche delle autorità incaricate della cibersicurezza e le competenze in materia di applicazione della legge sono prevalentemente nazionali. Gli incidenti informatici su vasta scala possono ostacolare la prestazione di servizi essenziali su tutto il territorio dell'UE. Ciò richiede capacità effettive di risposta e di gestione delle crisi a livello di UE, sulla base di apposite politiche e strumenti di più ampia portata per la solidarietà europea e l'assistenza reciproca. Inoltre, una valutazione periodica dello stato della cibersicurezza e della resilienza nell'Unione, che sia basata su dati affidabili a livello di Unione e su previsioni sistematiche degli sviluppi, delle sfide e delle minacce futuri, sia a livello di Unione sia a livello mondiale, è quindi importante per i responsabili delle politiche, il settore e gli utenti.

Emendamento    5

Proposta di regolamento

Considerando 5

Testo della Commissione

Emendamento

(5)  Tenuto conto delle maggiori sfide che l'Unione si trova ad affrontare in materia di cibersicurezza, è necessario disporre di una serie completa di misure che si basino su precedenti azioni dell'Unione e promuovano obiettivi sinergici. Tra questi obiettivi figura la necessità di rafforzare ulteriormente le capacità e la preparazione degli Stati membri e delle imprese e di migliorare la cooperazione e il coordinamento tra gli Stati membri e le istituzioni, le agenzie e gli organismi dell'UE. Inoltre, data la natura transfrontaliera delle minacce informatiche, è necessario aumentare le capacità a livello di Unione che potrebbero integrare l'azione degli Stati membri, in particolare in caso di crisi e incidenti informatici transfrontalieri su vasta scala. Sono inoltre necessari ulteriori sforzi per accrescere la consapevolezza di cittadini e imprese circa le questioni riguardanti la cibersicurezza. Inoltre, la fiducia nel mercato unico digitale dovrebbe essere ulteriormente rafforzata fornendo informazioni trasparenti in merito al livello di sicurezza dei prodotti e dei servizi TIC. Il conseguimento di questo obiettivo può essere agevolato mediante una certificazione a livello di UE che preveda requisiti e criteri di valutazione comuni in materia di cibersicurezza validi per tutti i settori e i mercati nazionali.

(5)  Tenuto conto delle maggiori sfide che l'Unione si trova ad affrontare in materia di cibersicurezza, è necessario disporre di una serie completa di misure che si basino su precedenti azioni dell'Unione e promuovano obiettivi sinergici. Tra questi obiettivi figura la necessità di rafforzare ulteriormente le capacità e la preparazione degli Stati membri e delle imprese e di migliorare la cooperazione e il coordinamento tra gli Stati membri e le istituzioni, le agenzie e gli organismi dell'UE. Inoltre, data la natura transfrontaliera delle minacce informatiche, è necessario aumentare le capacità a livello di Unione che potrebbero integrare l'azione degli Stati membri, in particolare in caso di crisi e incidenti informatici transfrontalieri su vasta scala. Sono inoltre necessari ulteriori sforzi per accrescere la consapevolezza di cittadini e imprese circa le questioni riguardanti la cibersicurezza. Inoltre, dal momento che gli incidenti informatici minano la fiducia nei fornitori di servizi digitali e nel mercato unico digitale stesso, soprattutto tra i consumatori, la fiducia dovrebbe essere ulteriormente rafforzata fornendo informazioni trasparenti in merito al livello di sicurezza dei prodotti e dei servizi TIC. Il conseguimento di questo obiettivo può essere agevolato mediante una certificazione standardizzata a livello di UE, che si basi su norme europee o internazionali e preveda requisiti e criteri di valutazione comuni in materia di cibersicurezza validi per tutti i settori e i mercati nazionali. A fianco di una certificazione a livello europeo, esiste tutta una gamma di misure volontarie che il settore privato stesso dovrebbe attuare per rafforzare la fiducia nella sicurezza dei prodotti e dei servizi TIC, in particolare in vista della crescente disponibilità di dispositivi IoT. Ad esempio, si dovrebbe ricorrere in modo più efficace al criptaggio e ad altre tecnologie, nonché tecnologie per prevenire il successo di attacchi informatici, come la tecnologia blockchain, al fine di migliorare la sicurezza dei dati e delle comunicazioni degli utenti finali nonché la sicurezza d'insieme delle reti e dei sistemi di informazione nell'Unione.

Emendamento    6

Proposta di regolamento

Considerando 5 bis (nuovo)

Testo della Commissione

Emendamento

 

(5 bis)  Se la certificazione e le altre forme di valutazione della conformità per i processi, i prodotti e i servizi TIC svolgono un ruolo importante, migliorare la sicurezza informatica richiede un approccio su più fronti che coinvolga persone, processi e tecnologie. L'Unione europea dovrebbe inoltre continuare a sottolineare con forza e promuovere altre iniziative tra cui l'istruzione, la formazione e lo sviluppo delle competenze in materia di sicurezza informatica; la sensibilizzazione a livello esecutivo e dirigenziale delle imprese; la promozione di una condivisione volontaria delle informazioni riguardanti le minacce informatiche; e il passaggio da un approccio reattivo a un approccio proattivo dell'UE per rispondere alle minacce, ponendo l'accento sulla necessità di prevenire il successo di attacchi informatici.

Emendamento    7

Proposta di regolamento

Considerando 7

Testo della Commissione

Emendamento

(7)  L'Unione ha già adottato importanti provvedimenti per garantire la cibersicurezza e accrescere la fiducia nelle tecnologie digitali. Nel 2013 è stata adottata la strategia dell'UE per la cibersicurezza per orientare la risposta politica dell'Unione alle minacce e ai rischi per la cibersicurezza. Nell'ambito dei suoi sforzi volti a proteggere maggiormente gli europei durante la navigazione online, nel 2016 l'Unione ha adottato il primo atto legislativo nel settore della cibersicurezza, la direttiva (UE) 2016/1148 recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell'Unione ("direttiva NIS"). La direttiva NIS ha stabilito obblighi concernenti le capacità nazionali nel campo della cibersicurezza, ha istituito i primi meccanismi volti a rafforzare la cooperazione strategica e operativa tra gli Stati membri e ha introdotto obblighi riguardanti le misure di sicurezza e le notifiche degli incidenti in tutti i settori che sono di vitale importanza per l'economia e la società, quali l'energia, i trasporti, l'acqua, i servizi bancari, le infrastrutture dei mercati finanziari, la sanità, le infrastrutture digitali e i fornitori di servizi digitali essenziali (motori di ricerca, servizi di cloud computing e mercati online). All'ENISA è stato attribuito un ruolo fondamentale nel sostegno all'attuazione di tale direttiva. Inoltre, la lotta efficace contro la cibercriminalità è una priorità importante dell'agenda europea sulla sicurezza e contribuisce al conseguimento dell'obiettivo generale di raggiungere un elevato livello di cibersicurezza.

(7)  L'Unione ha già adottato importanti provvedimenti per garantire la cibersicurezza e accrescere la fiducia nelle tecnologie digitali. Nel 2013 è stata adottata la strategia dell'UE per la cibersicurezza per orientare la risposta politica dell'Unione alle minacce e ai rischi per la cibersicurezza. Nell'ambito dei suoi sforzi volti a proteggere maggiormente gli europei durante la navigazione online, nel 2016 l'Unione ha adottato il primo atto legislativo nel settore della cibersicurezza, la direttiva (UE) 2016/1148 recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell'Unione ("direttiva NIS"). La direttiva NIS, il cui successo dipenderà largamente dalla sua effettiva attuazione da parte degli Stati membri, ha stabilito obblighi concernenti le capacità nazionali nel campo della cibersicurezza, ha istituito i primi meccanismi volti a rafforzare la cooperazione strategica e operativa tra gli Stati membri e ha introdotto obblighi riguardanti le misure di sicurezza e le notifiche degli incidenti in tutti i settori che sono di vitale importanza per l'economia e la società, quali l'energia, i trasporti, l'acqua, i servizi bancari, le infrastrutture dei mercati finanziari, la sanità, le infrastrutture digitali e i fornitori di servizi digitali essenziali (motori di ricerca, servizi di cloud computing e mercati online). All'ENISA è stato attribuito un ruolo fondamentale nel sostegno all'attuazione di tale direttiva. Inoltre, la lotta efficace contro la cibercriminalità è una priorità importante dell'agenda europea sulla sicurezza e contribuisce al conseguimento dell'obiettivo generale di raggiungere un elevato livello di cibersicurezza.

Emendamento    8

Proposta di regolamento

Considerando 11

Testo della Commissione

Emendamento

(11)  Tenuto conto delle crescenti sfide in materia di cibersicurezza che l'Unione si trova ad affrontare, le risorse finanziarie e umane destinate all'Agenzia dovrebbero essere aumentate per riflettere il potenziamento del suo ruolo e dei suoi compiti, come pure la sua posizione cruciale nell'ecosistema delle organizzazioni che difendono l'ecosistema digitale europeo.

(11)  Tenuto conto delle crescenti sfide e minacce in materia di cibersicurezza che l'Unione si trova ad affrontare, le risorse finanziarie e umane destinate all'Agenzia dovrebbero essere aumentate per riflettere il potenziamento del suo ruolo e dei suoi compiti, come pure la sua posizione cruciale nell'ecosistema delle organizzazioni che difendono l'ecosistema digitale europeo.

Emendamento    9

Proposta di regolamento

Considerando 28

Testo della Commissione

Emendamento

(28)  L'Agenzia dovrebbe contribuire a sensibilizzare l'opinione pubblica sui rischi connessi alla cibersicurezza e fornire orientamenti in materia di buone pratiche per i singoli utenti destinati a cittadini e organizzazioni. Dovrebbe altresì contribuire a promuovere migliori pratiche e soluzioni a livello di singoli individui e organizzazioni mediante la raccolta e l'analisi delle informazioni disponibili al pubblico relative agli incidenti di rilievo, come pure mediante l'elaborazione di relazioni finalizzate a fornire orientamenti a imprese e cittadini e a migliorare il livello complessivo di preparazione e resilienza. L'Agenzia dovrebbe inoltre organizzare regolarmente, in cooperazione con le istituzioni, gli organi, gli uffici e le agenzie degli Stati membri e dell'Unione campagne d'informazione e di sensibilizzazione del pubblico destinate agli utenti finali, allo scopo di promuovere comportamenti online individuali più sicuri e di accrescere la consapevolezza circa le potenziali minacce del ciberspazio, compresa la criminalità informatica, ad esempio phishing, botnet, frodi finanziarie e bancarie, nonché di promuovere consigli di base in materia di autenticazione e protezione dei dati. L'Agenzia dovrebbe svolgere un ruolo centrale nell'accelerare la sensibilizzazione degli utenti finali sulla sicurezza dei dispositivi.

(28)  L'Agenzia dovrebbe contribuire a sensibilizzare l'opinione pubblica sui rischi connessi alla cibersicurezza e fornire orientamenti in materia di buone pratiche per i singoli utenti destinati a cittadini e organizzazioni. Dovrebbe altresì contribuire a promuovere migliori pratiche e soluzioni di "ciberigiene", ossia semplici misure di routine che singoli individui e organizzazioni possono adottare per minimizzare i rischi derivanti da minacce informatiche, come l'autenticazione a più fattori, l'installazione di patch, il criptaggio e la gestione degli accessi. L'Agenzia dovrebbe inoltre conseguire tale obiettivo mediante la raccolta e l'analisi delle informazioni disponibili al pubblico relative agli incidenti di rilievo, come pure mediante l'elaborazione e la pubblicazione di relazioni e linee guida finalizzate a fornire orientamenti a imprese e cittadini e a migliorare il livello complessivo di preparazione e resilienza. L'Agenzia dovrebbe inoltre organizzare regolarmente, in cooperazione con le istituzioni, gli organi, gli uffici e le agenzie degli Stati membri e dell'Unione campagne d'informazione e di sensibilizzazione del pubblico destinate agli utenti finali, allo scopo di promuovere comportamenti online individuali più sicuri e di accrescere la consapevolezza circa le misure che possono essere adottate per mettere in guardia da potenziali minacce del ciberspazio, compresa la criminalità informatica, ad esempio phishing, ransomware, hijacking, botnet, frodi finanziarie e bancarie, nonché di promuovere consigli di base in materia di autenticazione a più fattori, criptaggio, installazione di patch, principi di gestione dell'accesso, protezione dei dati e altre tecnologie volte a rafforzare la sicurezza e la privacy nonché strumenti di anonimizzazione. L'Agenzia dovrebbe svolgere un ruolo centrale nell'accelerare la sensibilizzazione degli utenti finali sulla sicurezza dei dispositivi e su un utilizzo sicuro dei servizi, promuovendo la sicurezza fin dalla progettazione a livello di Unione, che è fondamentale per migliorare la sicurezza dei dispositivi connessi specie per gli utenti finali vulnerabili inclusi i bambini, e la privacy fin dalla progettazione. L'Agenzia dovrebbe incoraggiare tutti gli utenti finali ad adottare opportune misure per prevenire gli incidenti ai danni della sicurezza delle reti e dei sistemi informativi, nonché ridurne al minimo l'impatto. È opportuno istituire partenariati con le istituzioni accademiche che hanno iniziative di ricerca nei settori pertinenti della cibersicurezza.

Emendamento    10

Proposta di regolamento

Considerando 35

Testo della Commissione

Emendamento

(35)  L'Agenzia dovrebbe incoraggiare gli Stati membri e i fornitori di servizi a innalzare i loro standard di sicurezza generale in modo che tutti gli utenti di internet possano adottare le misure necessarie a garantire la propria cibersicurezza. In particolare, i fornitori di servizi e i fabbricanti di prodotti dovrebbero ritirare o riciclare i prodotti e i servizi non conformi alle norme in materia di cibersicurezza. In collaborazione con le autorità competenti, l'ENISA può diffondere informazioni sul livello di cibersicurezza dei prodotti e dei servizi offerti nel mercato interno e rivolgere avvertimenti ai fornitori e ai fabbricanti imponendo loro di migliorare la sicurezza, ivi inclusa la cibersicurezza, dei loro prodotti e servizi.

(35)  L'Agenzia dovrebbe incoraggiare gli Stati membri e i fornitori di servizi a innalzare i loro standard di sicurezza generale in modo che tutti gli utenti di internet possano adottare le misure necessarie a garantire la propria cibersicurezza. In particolare, i fornitori di servizi e i fabbricanti di prodotti dovrebbero ritirare o riciclare i prodotti e i servizi non conformi alle norme in materia di cibersicurezza. In collaborazione con le autorità competenti, l'ENISA può diffondere informazioni sul livello di cibersicurezza dei prodotti e dei servizi offerti nel mercato interno e rivolgere avvertimenti ai fornitori e ai fabbricanti imponendo loro di migliorare la sicurezza, ivi inclusa la cibersicurezza, dei loro prodotti. L'ENISA dovrebbe rendere pubblici tali avvertimenti sul sito web dedicato a fornire informazioni sui sistemi di certificazione. L'Agenzia dovrebbe elaborare orientamenti sui requisiti minimi di sicurezza per i dispositivi informatici venduti nell'Unione o esportati dalla stessa. Tali orientamenti potrebbero invitare i fabbricanti a fornire una dichiarazione scritta attestante che un dispositivo non contiene alcun componente hardware, software o firmware con vulnerabilità sfruttabili note in materia di sicurezza, password o codici di accesso non modificabili o in chiaro, che sia in grado di accogliere aggiornamenti di sicurezza opportunamente autenticati e affidabili, che la risposta dei venditori a un dispositivo interessato include un'idonea gerarchia di rimedi e che i venditori informano gli utenti finali quando terminerà l'assistenza di sicurezza per tale dispositivo.

Emendamento    11

Proposta di regolamento

Considerando 36 bis (nuovo)

Testo della Commissione

Emendamento

 

(36 bis)  Le norme sono uno strumento volontario basato sulle esigenze del mercato, che forniscono requisiti tecnici e orientamenti e sono il risultato di un processo aperto, trasparente e inclusivo. Il ricorso alle norme facilita la conformità di beni e servizi con il diritto dell'Unione e sostiene le politiche europee in linea con il regolamento (UE) n. 1025/2012 sulla normazione europea. L'Agenzia dovrebbe regolarmente consultare le organizzazioni europee di normazione e cooperare con esse, in particolare nell'elaborare sistemi europei di certificazione della cibersicurezza.

Emendamento    12

Proposta di regolamento

Considerando 44

Testo della Commissione

Emendamento

(44)  È opportuno che l'Agenzia disponga di un gruppo permanente di portatori di interessi come organo consultivo, per garantire un dialogo regolare con il settore privato, le organizzazioni di consumatori e gli altri soggetti interessati. Il gruppo permanente di portatori di interessi, istituito dal consiglio di amministrazione su proposta del direttore esecutivo, dovrebbe concentrarsi sulle questioni rilevanti per i portatori di interessi e sottoporle all'attenzione dell'Agenzia. La composizione del gruppo permanente di portatori di interessi e i compiti assegnati a tale gruppo, da consultare in particolare in merito al progetto di programma di lavoro, dovrebbero garantire un'adeguata rappresentanza dei portatori di interessi nell'ambito del lavoro svolto dall'Agenzia.

(44)  È opportuno che l'Agenzia disponga di un gruppo permanente di portatori di interessi come organo consultivo, per garantire un dialogo regolare con il settore privato, le organizzazioni di consumatori, il mondo accademico e gli altri soggetti interessati. Il gruppo permanente di portatori di interessi, istituito dal consiglio di amministrazione su proposta del direttore esecutivo, dovrebbe concentrarsi sulle questioni rilevanti per i portatori di interessi e sottoporle all'attenzione dell'Agenzia. Per assicurare un'adeguata partecipazione delle parti interessate al quadro di certificazione della cibersicurezza, il gruppo permanente di portatori di interessi dovrebbe inoltre fornire consulenza sui prodotti e i servizi TIC da coprire in futuri sistemi europei di certificazione della cibersicurezza e presentare alla Commissione proposte volte a richiedere all'Agenzia di preparare proposte di sistemi per tali prodotti o servizi TIC, di propria iniziativa o in seguito alla presentazione di proposte da parte di soggetti interessati. La composizione del gruppo permanente di portatori di interessi e i compiti assegnati a tale gruppo, da consultare in particolare in merito al progetto di programma di lavoro, dovrebbero garantire un'efficiente ed equa rappresentanza dei portatori di interessi nell'ambito del lavoro svolto dall'Agenzia.

Emendamento    13

Proposta di regolamento

Considerando 46

Testo della Commissione

Emendamento

(46)  Per garantire all'Agenzia piena autonomia e indipendenza e consentirle di svolgere nuovi compiti aggiuntivi, compresi compiti urgenti imprevisti, è opportuno che essa sia dotata di un bilancio congruo e autonomo le cui entrate siano essenzialmente costituite da un contributo dell'Unione e da contributi provenienti da paesi terzi che partecipano alle attività dell'Agenzia. La maggior parte del personale dell'Agenzia dovrebbe essere impiegata nell'attuazione operativa del suo mandato. Allo Stato membro ospitante, o a qualsiasi altro Stato membro, dovrebbe essere consentito di contribuire volontariamente alle entrate dell'Agenzia. La procedura di bilancio dell'Unione dovrebbe restare applicabile a qualsiasi sovvenzione a carico del bilancio generale dell'Unione. Inoltre, ai fini della trasparenza e della rendicontabilità, la revisione contabile dell'Agenzia dovrebbe essere svolta dalla Corte dei conti.

(46)  Per garantire all'Agenzia piena autonomia e indipendenza e consentirle di svolgere nuovi compiti aggiuntivi, compresi compiti urgenti imprevisti, è opportuno che essa sia dotata di un bilancio congruo e autonomo le cui entrate siano essenzialmente costituite da un contributo dell'Unione e da contributi provenienti da paesi terzi che partecipano alle attività dell'Agenzia. La maggior parte del personale dell'Agenzia dovrebbe essere impiegata nell'attuazione operativa del suo mandato. Allo Stato membro ospitante, o a qualsiasi altro Stato membro, dovrebbe essere consentito di contribuire volontariamente alle entrate dell'Agenzia. La procedura di bilancio dell'Unione dovrebbe restare applicabile a qualsiasi sovvenzione a carico del bilancio generale dell'Unione. Inoltre, ai fini della trasparenza, della rendicontabilità, dell'efficienza e dell'efficacia in termini di spese, la revisione contabile dell'Agenzia dovrebbe essere svolta dalla Corte dei conti.

Emendamento    14

Proposta di regolamento

Considerando 47

Testo della Commissione

Emendamento

(47)  La valutazione della conformità è la procedura atta a dimostrare se le prescrizioni specifiche relative a un prodotto, a un processo, a un servizio, a un sistema, a una persona o a un organismo sono state rispettate. Ai fini del presente regolamento, la certificazione dovrebbe essere considerata un tipo di valutazione della conformità concernente le caratteristiche di cibersicurezza di un prodotto, un processo, un servizio, un sistema o una combinazione di tali elementi ("prodotti e servizi TIC") effettuata da un soggetto terzo indipendente, diverso dal fabbricante del prodotto o dal fornitore del servizio. La certificazione non può garantire di per sé la cibersicurezza dei prodotti e servizi TIC certificati. Si tratta piuttosto di una procedura e di una metodologia tecnica volte ad attestare che i prodotti e i servizi TIC sono stati testati e che rispettano determinati requisiti di cibersicurezza stabiliti altrove, ad esempio specificati nelle norme tecniche.

(47)  La valutazione della conformità è la procedura atta a dimostrare se le prescrizioni specifiche relative a un prodotto, a un processo, a un servizio, a un sistema, a una persona o a un organismo sono state rispettate. Ai fini del presente regolamento, la certificazione dovrebbe essere considerata un tipo di valutazione della conformità concernente le pratiche e le caratteristiche di cibersicurezza di un prodotto, un processo, un servizio, un sistema o una combinazione di tali elementi ("prodotti e servizi TIC") effettuata da un soggetto terzo indipendente oppure attraverso una procedura di autodichiarazione di conformità. La certificazione non può garantire di per sé la cibersicurezza dei prodotti e servizi TIC certificati ed è opportuno informarne l'utente finale. Si tratta piuttosto di una procedura e di una metodologia tecnica volte ad attestare che i prodotti e i servizi TIC, nonché i sistemi e i processi sottostanti, sono stati testati e che rispettano determinati requisiti di cibersicurezza stabiliti altrove, ad esempio specificati nelle norme tecniche.

Emendamento    15

Proposta di regolamento

Considerando 48

Testo della Commissione

Emendamento

(48)  La certificazione della cibersicurezza riveste un ruolo importante nel rafforzare la sicurezza di prodotti e servizi TIC e nell'accrescere la fiducia negli stessi. Il mercato unico digitale, e in particolare l'economia dei dati e l'internet degli oggetti, possono prosperare solo se i cittadini sono convinti che tali prodotti e servizi offrono un determinato livello di affidabilità in termini di cibersicurezza. Le automobili connesse e automatizzate, i dispositivi medici elettronici, i sistemi di controllo per l'automazione industriale e le reti elettriche intelligenti sono solo alcuni esempi di settori in cui la certificazione è già ampiamente utilizzata o sarà probabilmente utilizzata in un prossimo futuro. La certificazione della cibersicurezza riveste un'importanza fondamentale anche nei settori disciplinati dalla direttiva NIS.

(48)  La certificazione europea della cibersicurezza riveste un ruolo essenziale nel rafforzare la sicurezza di prodotti e servizi TIC e nell'accrescere la fiducia negli stessi. Il mercato unico digitale, e in particolare l'economia dei dati e l'internet degli oggetti, possono prosperare solo se i cittadini sono convinti che tali prodotti e servizi offrono un elevato livello di affidabilità in termini di cibersicurezza. Le automobili connesse e automatizzate, i dispositivi medici elettronici, i sistemi di controllo per l'automazione industriale e le reti elettriche intelligenti sono solo alcuni esempi di settori in cui la certificazione è già ampiamente utilizzata o sarà probabilmente utilizzata in un prossimo futuro. La certificazione della cibersicurezza riveste un'importanza fondamentale anche nei settori disciplinati dalla direttiva NIS.

Emendamento    16

Proposta di regolamento

Considerando 50

Testo della Commissione

Emendamento

(50)  Attualmente la certificazione della cibersicurezza di prodotti e servizi TIC è utilizzata solo in misura limitata. Quando esiste, è disponibile prevalentemente a livello di Stato membro o nell'ambito di sistemi promossi dall'industria. In tale contesto, un certificato rilasciato da un'autorità nazionale per la cibersicurezza non è, in linea di principio, riconosciuto dagli altri Stati membri. Le imprese pertanto potrebbero dover certificare i loro prodotti e servizi nei diversi Stati membri in cui operano, ad esempio ai fini della partecipazione a procedure nazionali di aggiudicazione degli appalti. Inoltre, stanno emergendo nuovi sistemi ma non sembra esservi un approccio coerente e olistico per quanto riguarda le questioni orizzontali relative alla cibersicurezza, ad esempio nel settore dell'internet degli oggetti. I sistemi esistenti presentano notevoli carenze e differenze in termini di copertura dei prodotti, livelli di affidabilità, criteri sostanziali e utilizzo effettivo.

(50)  Attualmente la certificazione della cibersicurezza di prodotti e servizi TIC è utilizzata solo in misura limitata. Quando esiste, è disponibile prevalentemente a livello di Stato membro o nell'ambito di sistemi promossi dall'industria. In tale contesto, un certificato rilasciato da un'autorità nazionale per la cibersicurezza non è, in linea di principio, riconosciuto dagli altri Stati membri. Le imprese pertanto potrebbero dover certificare i loro prodotti e servizi nei diversi Stati membri in cui operano, ad esempio ai fini della partecipazione a procedure nazionali di aggiudicazione degli appalti, il che potrebbe comportare costi aggiuntivi. Inoltre, stanno emergendo nuovi sistemi ma non sembra esservi un approccio coerente e olistico per quanto riguarda le questioni orizzontali relative alla cibersicurezza, ad esempio nel settore dell'internet degli oggetti. I sistemi esistenti presentano notevoli carenze e differenze in termini di copertura dei prodotti, livelli di affidabilità basati sul rischio, criteri sostanziali e utilizzo effettivo.

Emendamento    17

Proposta di regolamento

Considerando 52

Testo della Commissione

Emendamento

(52)  In considerazione di quanto precede, è necessario definire un quadro europeo di certificazione della cibersicurezza che stabilisca i principali requisiti orizzontali per i sistemi europei di certificazione della cibersicurezza da sviluppare e che consenta di riconoscere e utilizzare i certificati per i prodotti e servizi TIC in tutti gli Stati membri. Il quadro europeo dovrebbe avere un duplice obiettivo: da un lato dovrebbe contribuire ad aumentare la fiducia nei prodotti e nei servizi TIC che sono stati certificati in base a detti sistemi. Dall'altro lato dovrebbe evitare il proliferare di certificazioni nazionali della cibersicurezza confliggenti o sovrapposte e ridurre così i costi per le imprese operanti nel mercato unico digitale. I sistemi dovrebbero essere non discriminatori e basati su norme tecniche internazionali e/o dell'Unione, a meno che tali norme non siano inefficaci o inadeguate ai fini del conseguimento dei legittimi obiettivi dell'UE in tale ambito.

(52)  In considerazione di quanto precede, è necessario adottare un approccio comune e definire un quadro europeo di certificazione della cibersicurezza che stabilisca i principali requisiti orizzontali per i sistemi europei di certificazione della cibersicurezza da sviluppare e che consenta di riconoscere e utilizzare i certificati per i prodotti e servizi TIC in tutti gli Stati membri. In tale processo, è essenziale basarsi su sistemi nazionali e internazionali esistenti, nonché su sistemi di riconoscimento reciproco, in particolare il SOG-IS, e consentire un'agevole transizione dai sistemi esistenti funzionanti in base a tali sistemi, verso i sistemi basati sul nuovo quadro europeo. Il quadro europeo dovrebbe avere un duplice obiettivo: da un lato dovrebbe contribuire ad aumentare la fiducia nei prodotti e nei servizi TIC che sono stati certificati in base a detti sistemi. Dall'altro lato dovrebbe evitare il proliferare di certificazioni nazionali della cibersicurezza confliggenti o sovrapposte e ridurre così i costi per le imprese operanti nel mercato unico digitale. Se una certificazione europea della cibersicurezza ha sostituito un sistema nazionale, i certificati rilasciati ricorrendo al sistema europeo dovrebbero essere accettati come validi nei casi in cui la certificazione nell'ambito di un regime nazionale è stata richiesta. I sistemi dovrebbero essere guidati dal principio della sicurezza fin dalla progettazione e dai principi di cui al regolamento (UE) 2016/679. Dovrebbero inoltre essere non discriminatori e basati su norme tecniche internazionali e/o dell'Unione, a meno che tali norme non siano inefficaci o inadeguate ai fini del conseguimento dei legittimi obiettivi dell'UE in tale ambito.

Emendamento    18

Proposta di regolamento

Considerando 52 bis (nuovo)

Testo della Commissione

Emendamento

 

(52 bis)  Il quadro europeo di certificazione della cibersicurezza dovrebbe essere istituito in modo uniforme in tutti gli Stati membri, in modo da evitare la scelta della certificazione più vantaggiosa sulla base di differenze di costo o di livelli di rigore tra gli Stati membri.

Emendamento    19

Proposta di regolamento

Considerando 55

Testo della Commissione

Emendamento

(55)  Lo scopo dei sistemi europei di certificazione della cibersicurezza dovrebbe essere quello di assicurare che i prodotti e i servizi TIC certificati nel loro ambito siano conformi ai requisiti specificati. Tali requisiti riguardano la capacità di resistere, a un determinato livello di affidabilità, alle azioni che mirano a compromettere la disponibilità, l'autenticità, l'integrità e la riservatezza dei dati conservati, trasmessi o trattati o le funzioni o i servizi offerti o accessibili tramite tali prodotti, processi, servizi e sistemi ai sensi del presente regolamento. Non è possibile definire dettagliatamente nel presente regolamento i requisiti di cibersicurezza per tutti i prodotti e servizi TIC. I prodotti e i servizi TIC e le relative esigenze di cibersicurezza sono talmente diversi che risulta molto difficile formulare requisiti generali in materia di cibersicurezza che siano validi in tutti i casi. È pertanto necessario adottare una nozione ampia e generale di cibersicurezza ai fini della certificazione, integrata da una serie di obiettivi di cibersicurezza specifici da prendere in considerazione al momento dell'elaborazione dei sistemi europei di certificazione della cibersicurezza. Le modalità con cui tali obiettivi saranno conseguiti nei prodotti e nei servizi TIC specifici dovrebbero quindi essere ulteriormente specificate dettagliatamente per ogni singolo sistema di certificazione adottato dalla Commissione, ad esempio facendo riferimento a norme o specifiche tecniche.

(55)  Lo scopo dei sistemi europei di certificazione della cibersicurezza dovrebbe essere quello di contribuire a un livello elevato di tutela dei consumatori e degli utenti finali e alla competitività europea e di aumentare il livello di sicurezza all'interno del mercato unico digitale e, più nello specifico, di assicurare che i prodotti e i servizi TIC certificati nel loro ambito siano conformi ai requisiti specificati. Tali requisiti riguardano la capacità di resistere, a un determinato livello di affidabilità, alle azioni che mirano a compromettere la disponibilità, l'autenticità, l'integrità e la riservatezza dei dati conservati, trasmessi o trattati o le funzioni o i servizi offerti o accessibili tramite tali processi, prodotti, servizi e sistemi ai sensi del presente regolamento. Non è possibile definire dettagliatamente nel presente regolamento i requisiti di cibersicurezza per tutti i prodotti e servizi TIC. I prodotti e i servizi TIC e le relative esigenze di cibersicurezza sono talmente diversi che risulta molto difficile formulare requisiti generali in materia di cibersicurezza che siano validi in tutti i casi. È pertanto necessario adottare una nozione ampia e generale di cibersicurezza ai fini della certificazione, integrata da una serie di obiettivi di cibersicurezza specifici da prendere in considerazione al momento dell'elaborazione dei sistemi europei di certificazione della cibersicurezza. Le modalità con cui tali obiettivi saranno conseguiti nei prodotti e nei servizi TIC specifici dovrebbero quindi essere ulteriormente specificate dettagliatamente per ogni singolo sistema di certificazione adottato dalla Commissione, ad esempio facendo riferimento a norme o specifiche tecniche. È di fondamentale importanza che ciascun sistema di certificazione della cibersicurezza sia progettato in modo da stimolare e incoraggiare tutti gli attori coinvolti nel settore interessato a elaborare e adottare norme di sicurezza, norme tecniche e principi di sicurezza fin dalla progettazione ("security by design"), in tutte le fasi del ciclo di vita del prodotto o servizio. Laddove il sistema di certificazione preveda marchi o etichette, le condizioni alle quali possono essere utilizzati tali marchi o etichette devono essere definite. Tale marchio, che potrebbe assumere la forma di un logo digitale o di un codice QR, indicherebbe i rischi associati al funzionamento e all'utilizzo di prodotti e servizi TIC e dovrebbe essere chiaro e di facile comprensione per gli utenti finali.

Emendamento    20

Proposta di regolamento

Considerando 55 bis (nuovo)

Testo della Commissione

Emendamento

 

(55 bis)  In considerazione delle tendenze dell'innovazione, della crescente accessibilità e del numero in costante aumento di dispositivi IoT in tutti i settori della società, occorre prestare particolare attenzione alla sicurezza di tutti i prodotti IoT, anche ai più semplici. Pertanto, poiché la certificazione è un metodo importante per accrescere la fiducia nel mercato e aumentare la sicurezza e la resilienza, sarà opportuno privilegiare i prodotti e i servizi IoT nel nuovo quadro di certificazione della sicurezza informatica dell'UE, al fine di renderli meno vulnerabili e più sicuri per i consumatori e le imprese.

Emendamento    21

Proposta di regolamento

Considerando 56

Testo della Commissione

Emendamento

(56)  La Commissione dovrebbe avere la facoltà di incaricare l'ENISA di preparare proposte di sistemi per prodotti o servizi TIC specifici. La Commissione, sulla base dei sistemi proposti dall'ENISA, dovrebbe quindi essere autorizzata ad adottare il sistema europeo di certificazione della cibersicurezza mediante atti di esecuzione. Tenendo conto dell'obiettivo generale e degli obiettivi di sicurezza individuati nel presente regolamento, i sistemi europei di certificazione della cibersicurezza adottati dalla Commissione dovrebbero specificare una serie minima di elementi riguardanti l'oggetto, l'ambito di applicazione e il funzionamento di ogni singolo sistema. Questi dovrebbero includere, tra l'altro, l'ambito di applicazione e l'oggetto della certificazione della cibersicurezza, compresi le categorie di prodotti e servizi TIC, l'indicazione particolareggiata dei requisiti di cibersicurezza, ad esempio con riferimenti a norme o specifiche tecniche, i criteri e i metodi di valutazione specifici e il livello di affidabilità desiderato: di base, sostanziale e/o elevato.

(56)  L'ENISA dovrebbe mantenere un sito web dedicato, dotato di uno strumento online di facile uso che elenchi le informazioni sui sistemi adottati, i sistemi proposti e quelli richiesti dalla Commissione. Tenendo conto dell'obiettivo generale e degli obiettivi di sicurezza individuati nel presente regolamento, i sistemi europei di certificazione della cibersicurezza adottati dalla Commissione dovrebbero specificare una serie minima di elementi riguardanti l'oggetto, l'ambito di applicazione e il funzionamento di ogni singolo sistema. Questi dovrebbero includere, tra l'altro, l'ambito di applicazione e l'oggetto della certificazione della cibersicurezza, compresi le categorie di prodotti e servizi TIC, l'indicazione particolareggiata dei requisiti di cibersicurezza, ad esempio con riferimenti a norme o specifiche tecniche, i criteri e i metodi di valutazione specifici associati con il funzionamento e l'utilizzo di un prodotto, di un processo o di un servizio TIC, il rischio inerente nonché il livello di affidabilità desiderato: funzionalmente sicuro, ossia livelli di affidabilità con un grado funzionale di sicurezza, sostanzialmente sicuro, altamente sicuro o una combinazione di questi. I livelli di affidabilità non dovrebbero far pensare a una sicurezza assoluta, per non fornire informazioni ingannevoli all'utente finale. Si dovrebbe tenere conto altresì dell'intero ciclo di vita del prodotto. Al fine di chiarire a quali rischi un prodotto o servizio specifico è progettato per resistere, l'ENISA dovrebbe coordinare la redazione di una lista di controllo che elenchi i rischi che il processo, prodotto o servizio TIC dovrebbe affrontare per una determinata categoria di utenti in un ambiente particolare.

Emendamento    22

Proposta di regolamento

Considerando 56 bis (nuovo)

Testo della Commissione

Emendamento

 

(56 bis)  La Commissione dovrebbe avere la facoltà di incaricare l'ENISA di preparare proposte di sistemi per prodotti o servizi TIC specifici. È opportuno delegare alla Commissione il potere di adottare atti a norma dell'articolo 290 del trattato sul funzionamento dell'Unione europea relativamente alla definizione di sistemi europei di certificazione della cibersicurezza per i prodotti e servizi TIC. È di particolare importanza che durante i lavori preparatori la Commissione svolga adeguate consultazioni, anche a livello di esperti, nel rispetto dei principi stabiliti nell'accordo interistituzionale "Legiferare meglio" del 13 aprile 2016. In particolare, al fine di garantire la parità di partecipazione alla preparazione degli atti delegati, il Parlamento europeo e il Consiglio ricevono tutti i documenti contemporaneamente agli esperti degli Stati membri, e i loro esperti hanno sistematicamente accesso alle riunioni dei gruppi di esperti della Commissione incaricati della preparazione di tali atti delegati. La Commissione, in sede di adozione di tali atti delegati, dovrebbe basare i sistemi di certificazione della cibersicurezza per i prodotti e servizi TIC su tutte le pertinenti proposte di sistema dell'ENISA. Al fine di sostenere la fiducia nel quadro di certificazione della cibersicurezza e la sua prevedibilità, nonché al fine di sensibilizzare maggiormente i cittadini riguardo a tale quadro.

Emendamento    23

Proposta di regolamento

Considerando 56 ter (nuovo)

Testo della Commissione

Emendamento

 

(56 ter)  Tra i metodi e le procedure di valutazione relativi a ciascun sistema europeo di certificazione della cibersicurezza, l'hacking etico, il cui scopo è quello di individuare le debolezze e le vulnerabilità dei dispositivi e dei sistemi di informazione anticipando le azioni pianificate e le competenze degli hacker malintenzionati, dovrebbe essere promosso a livello dell'Unione.

Emendamento    24

Proposta di regolamento

Considerando 58

Testo della Commissione

Emendamento

(58)  In seguito all'adozione di un sistema europeo di certificazione della cibersicurezza, i fabbricanti di prodotti TIC o i fornitori di servizi TIC dovrebbero essere in grado di presentare una domanda di certificazione dei loro prodotti o servizi a un organismo di valutazione della conformità di propria scelta. Se soddisfano determinati requisiti stabiliti nel presente regolamento, gli organismi di valutazione della conformità dovrebbero essere accreditati da un organismo di accreditamento. L'accreditamento dovrebbe essere concesso per un periodo massimo di cinque anni, con la possibilità di rinnovarlo alle stesse condizioni, purché l'organismo di valutazione della conformità soddisfi i requisiti. Gli organismi di accreditamento dovrebbero revocare l'accreditamento di un organismo di valutazione della conformità se le condizioni per l'accreditamento non sono, o non sono più, soddisfatte o se le azioni intraprese da un organismo di valutazione della conformità sono contrarie alle disposizioni del presente regolamento.

(58)  In seguito all'adozione di un sistema europeo di certificazione della cibersicurezza, i fabbricanti di prodotti TIC o i fornitori di servizi TIC dovrebbero essere in grado di presentare una domanda di certificazione dei loro processi, prodotti o servizi a un organismo di valutazione della conformità di propria scelta, o di autodichiarare che i loro prodotti o servizi sono conformi con il pertinente sistema europeo di certificazione della cibersicurezza. Se soddisfano determinati requisiti stabiliti nel presente regolamento, gli organismi di valutazione della conformità dovrebbero essere accreditati da un organismo di accreditamento. L'accreditamento dovrebbe essere concesso per un periodo massimo di cinque anni, con la possibilità di rinnovarlo alle stesse condizioni, purché l'organismo di valutazione della conformità soddisfi i requisiti. Gli organismi di accreditamento dovrebbero revocare l'accreditamento di un organismo di valutazione della conformità se le condizioni per l'accreditamento non sono, o non sono più, soddisfatte o se le azioni intraprese da un organismo di valutazione della conformità sono contrarie alle disposizioni del presente regolamento. Al fine di garantire che l'accreditamento sia eseguito in modo uniforme in tutta l'Unione europea, le autorità nazionali di accreditamento dovrebbero essere sottoposte ad una valutazione inter pares delle procedure per verificare la conformità dei prodotti che sono soggetti alla certificazione della cibersicurezza.

Emendamento    25

Proposta di regolamento

Considerando 59

Testo della Commissione

Emendamento

(59)  È necessario imporre a tutti gli Stati membri di designare un'autorità di controllo della certificazione della cibersicurezza per vigilare sulla conformità degli organismi di valutazione della conformità e dei certificati rilasciati dagli organismi di valutazione della conformità stabiliti nel loro territorio ai requisiti del presente regolamento e dei pertinenti sistemi di certificazione della cibersicurezza. Le autorità nazionali di controllo della certificazione dovrebbero trattare i reclami presentati dalle persone fisiche o giuridiche in relazione ai certificati rilasciati dagli organismi di valutazione della conformità stabiliti nel loro territorio, svolgere le indagini opportune sull'oggetto del reclamo e informare il reclamante dello stato e dell'esito delle indagini entro un termine ragionevole. Esse dovrebbero inoltre cooperare con le altre autorità nazionali di controllo della certificazione o con altre autorità pubbliche, anche mediante lo scambio di informazioni sugli eventuali prodotti e servizi TIC non conformi ai requisiti del presente regolamento o di specifici sistemi di cibersicurezza.

(59)  È necessario imporre a tutti gli Stati membri di designare un'autorità di controllo della certificazione della cibersicurezza per vigilare sulla conformità degli organismi di valutazione della conformità e dei certificati rilasciati dagli organismi di valutazione della conformità stabiliti nel loro territorio ai requisiti del presente regolamento e dei pertinenti sistemi di certificazione della cibersicurezza. Le autorità nazionali di controllo della certificazione dovrebbero trattare i reclami presentati dalle persone fisiche o giuridiche in relazione ai certificati rilasciati dagli organismi di valutazione della conformità stabiliti nel loro territorio, svolgere le indagini opportune sull'oggetto del reclamo e informare il reclamante dello stato e dell'esito delle indagini entro un termine ragionevole. Esse dovrebbero inoltre cooperare con le altre autorità nazionali di controllo della certificazione o con altre autorità pubbliche, anche mediante lo scambio di informazioni sugli eventuali prodotti e servizi TIC non conformi ai requisiti del presente regolamento o di specifici sistemi di cibersicurezza. Inoltre, esse dovrebbero vigilare ed effettuare verifiche sulla conformità delle autodichiarazioni di conformità e accertare che i certificati di cibersicurezza siano stati rilasciati dagli organismi di valutazione con i requisiti fissati nel presente regolamento, comprese le norme adottate dal Gruppo europeo per la certificazione della cibersicurezza e i requisiti stabiliti nel corrispondente sistema europeo di certificazione della cibersicurezza. Una cooperazione efficace tra le autorità nazionali di controllo della certificazione è essenziale per la corretta attuazione dei sistemi europei di certificazione della cibersicurezza e degli aspetti tecnici riguardanti la cibersicurezza di prodotti e servizi TIC. La Commissione dovrebbe facilitare tale scambio di informazioni mettendo a disposizione un sistema di sostegno generale delle informazioni elettroniche, ad esempio il sistema di informazione e comunicazione per la vigilanza del mercato (ICSMS) e il sistema di allarme rapido per i prodotti non alimentari pericolosi (RAPEX) già impiegato dalle autorità di vigilanza del mercato a norma del regolamento (CE) n. 765/2008.

Emendamento    26

Proposta di regolamento

Considerando 63

Testo della Commissione

Emendamento

(63)  Al fine di specificare ulteriori criteri per l'accreditamento degli organismi di valutazione della conformità, è opportuno delegare alla Commissione il potere di adottare atti conformemente all'articolo 290 del trattato sul funzionamento dell'Unione europea. Durante i lavori preparatori la Commissione dovrebbe svolgere adeguate consultazioni, anche a livello di esperti. Tali consultazioni dovrebbero essere condotte nel rispetto dei principi stabiliti nell'accordo interistituzionale "Legiferare meglio" del 13 aprile 2016. In particolare, per assicurare pari opportunità di partecipazione alla preparazione degli atti delegati, il Parlamento europeo e il Consiglio dovrebbero ricevere tutti i documenti in concomitanza con gli esperti degli Stati membri e i loro esperti dovrebbero avere sistematicamente accesso alle riunioni dei gruppi di esperti della Commissione che si occupano della preparazione degli atti delegati.

soppresso

Emendamento    27

Proposta di regolamento

Considerando 65

Testo della Commissione

Emendamento

(65)  La procedura d'esame dovrebbe essere utilizzata per l'adozione degli atti di esecuzione sui sistemi europei di certificazione della cibersicurezza per i prodotti e i servizi TIC; sulle modalità di conduzione delle indagini da parte dell'Agenzia; sulle circostanze, sui formati e sulle procedure delle notifiche degli organismi di valutazione della conformità accreditati da parte delle autorità nazionali di controllo della certificazione alla Commissione.

(65)  La procedura d'esame dovrebbe essere utilizzata per l'adozione degli atti di esecuzione sui sistemi europei di certificazione della cibersicurezza per i processi, i prodotti e i servizi TIC; sulle modalità di conduzione delle indagini da parte dell'Agenzia; sulle circostanze, sui formati e sulle procedure delle notifiche degli organismi di valutazione della conformità accreditati da parte delle autorità nazionali di controllo della certificazione alla Commissione, tenendo conto della dimostrata efficacia dello strumento elettronico di notifica NANDO ("New Approach Notified and Designated Organizations").

Emendamento    28

Proposta di regolamento

Considerando 66

Testo della Commissione

Emendamento

(66)  L'operato dell'Agenzia dovrebbe essere valutato in maniera indipendente. La valutazione dovrebbe tenere conto del conseguimento degli obiettivi da parte dell'Agenzia, delle sue pratiche di lavoro e della pertinenza dei suoi compiti. Dovrebbe altresì valutare l'impatto, l'efficacia e l'efficienza del quadro europeo di certificazione della cibersicurezza.

(66)  L'operato dell'Agenzia dovrebbe essere valutato in maniera indipendente. La valutazione dovrebbe includere la legittimità e l'efficacia delle spese dell'Agenzia, la sua efficienza nel conseguimento dei suoi obiettivi e una descrizione delle sue pratiche di lavoro e della pertinenza dei suoi compiti. Dovrebbe altresì valutare l'impatto, l'efficacia e l'efficienza del quadro europeo di certificazione della cibersicurezza.

Emendamento    29

Proposta di regolamento

Articolo 2 – punto 11

Testo della Commissione

Emendamento

(11)  "prodotto e servizio TIC", qualsiasi elemento o gruppo di elementi della rete e dei sistemi informativi;

(11)  "processo, prodotto e servizio TIC", un prodotto, servizio, processo, sistema o loro combinazione, che costituisce un elemento della rete e dei sistemi informativi;

 

(La modifica si applica all'intero testo legislativo in esame; l'approvazione dell'emendamento implica adeguamenti tecnici in tutto il testo).

Emendamento    30

Proposta di regolamento

Articolo 2 – punto 11 bis (nuovo)

Testo della Commissione

Emendamento

 

(11 bis)  "autorità nazionale di controllo della certificazione", un'autorità di uno Stato membro incaricata di svolgere sul suo territorio attività di monitoraggio, contrasto e supervisione connesse alla certificazione di cibersicurezza;

Emendamento    31

Proposta di regolamento

Articolo 2 – punto 16 bis (nuovo)

Testo della Commissione

Emendamento

 

(16 bis)  "autodichiarazione di conformità", una dichiarazione del fabbricante che attesta che il suo processo, prodotto o servizio TIC è conforme ai sistemi europei di certificazione della cibersicurezza specificati.

Emendamento    32

Proposta di regolamento

Articolo 3 – paragrafo 1

Testo della Commissione

Emendamento

1.  L'Agenzia svolge i compiti che le sono attribuiti dal presente regolamento allo scopo di contribuire a un elevato livello di cibersicurezza nell'Unione.

1.  L'Agenzia svolge i compiti che le sono attribuiti dal presente regolamento allo scopo di contribuire a conseguire un elevato livello comune di cibersicurezza, al fine di prevenire gli attacchi informatici nell'Unione, di ridurre la frammentazione del mercato interno e migliorarne il funzionamento.

Emendamento    33

Proposta di regolamento

Articolo 4 – paragrafo 5

Testo della Commissione

Emendamento

5.  L'Agenzia rafforza le capacità di cibersicurezza a livello di Unione per integrare l'azione degli Stati membri nella prevenzione delle minacce informatiche e nella reazione alle stesse, in particolare in caso di incidenti transfrontalieri.

5.  L'Agenzia contribuisce a rafforzare le capacità di cibersicurezza a livello di Unione per integrare e potenziare l'azione degli Stati membri nella prevenzione delle minacce informatiche e nella reazione alle stesse, in particolare in caso di incidenti transfrontalieri.

Emendamento    34

Proposta di regolamento

Articolo 4 – paragrafo 6

Testo della Commissione

Emendamento

6.  L'Agenzia dovrebbe promuovere l'uso della certificazione, anche contribuendo all'istituzione e al mantenimento di un apposito quadro di certificazione della cibersicurezza a livello di Unione, conformemente al titolo III del presente regolamento, al fine di aumentare la trasparenza dell'affidabilità dei prodotti e dei servizi TIC in termini di cibersicurezza e di rafforzare in tal modo la fiducia nel mercato unico digitale.

6.  L'Agenzia promuove l'uso della certificazione, evitando la frammentazione causata dall'assenza di coordinamento tra i sistemi di certificazione esistenti nell'Unione. L'Agenzia contribuisce all'istituzione e al mantenimento di un apposito quadro di certificazione della cibersicurezza a livello di Unione, conformemente agli articoli da 43 a 54 [titolo III], al fine di aumentare la trasparenza dell'affidabilità dei prodotti e dei servizi TIC in termini di cibersicurezza e di rafforzare in tal modo la fiducia nel mercato unico digitale.

Emendamento    35

Proposta di regolamento

Articolo 4 – paragrafo 7

Testo della Commissione

Emendamento

7.  L'Agenzia promuove un elevato livello di consapevolezza dei cittadini e delle imprese sulle questioni relative alla cibersicurezza.

7.  L'Agenzia promuove un elevato livello di consapevolezza dei cittadini, delle autorità e delle imprese sulle questioni relative alla cibersicurezza.

Emendamento    36

Proposta di regolamento

Articolo 5 – comma 1 – punto 1

Testo della Commissione

Emendamento

1.  fornendo assistenza e consulenza, in particolare fornendo un parere indipendente e lavori preparatori, per lo sviluppo e la revisione delle politiche e della normativa dell'Unione nel settore della cibersicurezza, nonché delle iniziative legislative e politiche settoriali che presentano una correlazione con le questioni relative alla cibersicurezza;

1.  fornendo assistenza e consulenza per lo sviluppo e la revisione delle politiche e della normativa dell'Unione nel settore della cibersicurezza, nonché delle iniziative legislative e politiche settoriali che presentano una correlazione con le questioni relative alla cibersicurezza;

Motivazione

L'Agenzia dovrebbe poter scegliere liberamente gli strumenti con cui svolgere i propri compiti.

Emendamento    37

Proposta di regolamento

Articolo 5 – comma 1 – punto 2 bis (nuovo)

Testo della Commissione

Emendamento

 

2 bis.  assistendo il comitato europeo per la protezione dei dati istituito dal regolamento (UE) 2016/679 nell'elaborazione di linee guida volte a precisare a livello tecnico le condizioni che consentono l'uso lecito dei dati personali da parte dei titolari del trattamento a fini di sicurezza informatica, nell'ottica di tutelare la loro infrastruttura individuando e bloccando attacchi ai danni dei loro sistemi informativi nel quadro: i) del regolamento (UE) 2016/6791 bis; ii) della direttiva (UE) 2016/1141 ter; e iii) della direttiva 2002/58/CE1quater;

 

_________________

 

1 bis Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU L 119 del 4.5.2016, pag. 1).

 

1 ter Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU L 119 del 4.5.2016, pag. 1).

 

1 quater Direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione (GU L 194 del 19.7.2016, pag. 1).

Motivazione

L'emendamento è volto a istituire adeguati meccanismi di cooperazione.

Emendamento    38

Proposta di regolamento

Articolo 5 – comma 1 – punto 4 – punto 2

Testo della Commissione

Emendamento

(2)  la promozione di un livello di sicurezza più elevato delle comunicazioni elettroniche, anche fornendo competenze e consulenza e agevolando lo scambio delle migliori pratiche tra le autorità competenti;

(2)  la promozione di un livello di sicurezza più elevato delle comunicazioni elettroniche, come pure dell'archiviazione e del trattamento dei dati, anche fornendo competenze e consulenza e agevolando lo scambio delle migliori pratiche tra le autorità competenti;

Emendamento    39

Proposta di regolamento

Articolo 6 – paragrafo 2 bis (nuovo)

Testo della Commissione

Emendamento

 

2 bis.  L'Agenzia agevola la creazione e l'avvio di un progetto europeo a lungo termine in materia di cibersicurezza volto a sostenere la crescita di un'industria della cibersicurezza dell'UE indipendente e a integrare la cibersicurezza in tutti gli sviluppi delle TIC nell'Unione.

Motivazione

L'ENISA dovrebbe fornire consulenza ai legislatori in merito all'elaborazione di politiche che consentano all'UE di rimettersi in pari con le industrie della sicurezza informatica nei paesi terzi. Il progetto dovrebbe avere una portata paragonabile a quanto realizzato in precedenza a favore del settore del trasporto aereo (esempio di Airbus). Ciò è necessario per sviluppare un'industria delle TIC dell'UE che sia più solida, sovrana e affidabile (cfr. studio dell'unità Prospettiva scientifica, STOA, PE 614.531).

Emendamento    40

Proposta di regolamento

Articolo 7 – paragrafo 5 – comma 1

Testo della Commissione

Emendamento

Su richiesta di due o più Stati membri interessati, e al solo fine di fornire consulenza per la prevenzione di futuri incidenti, l'Agenzia fornisce assistenza alle imprese interessate o effettua un'indagine tecnica ex post a seguito della notifica da parte delle imprese interessate di incidenti aventi un impatto significativo o rilevante ai sensi della direttiva (UE) 2016/1148. L'Agenzia svolge tale indagine anche su richiesta debitamente motivata della Commissione di concerto con gli Stati membri interessati nel caso in cui gli incidenti interessino più di due Stati membri.

Su richiesta di uno o più Stati membri interessati, e al solo fine di fornire consulenza per la prevenzione di futuri incidenti, l'Agenzia fornisce assistenza alle imprese interessate o effettua un'indagine tecnica ex post a seguito della notifica da parte delle imprese interessate di incidenti aventi un impatto significativo o rilevante ai sensi della direttiva (UE) 2016/1148. L'Agenzia svolge tale indagine anche su richiesta debitamente motivata della Commissione di concerto con gli Stati membri interessati nel caso in cui gli incidenti interessino più di due Stati membri.

Emendamento    41

Proposta di regolamento

Articolo 7 – paragrafo 8 – lettera a

Testo della Commissione

Emendamento

(a)  aggregando le relazioni delle fonti nazionali al fine di contribuire a creare una conoscenza situazionale comune;

(a)  aggregando le relazioni delle fonti nazionali e internazionali al fine di contribuire a creare una conoscenza situazionale comune;

Emendamento    42

Proposta di regolamento

Articolo 8 – lettera a – punto 1 bis (nuovo)

Testo della Commissione

Emendamento

 

(1 bis)  effettuando, in cooperazione con il Gruppo europeo per la certificazione della cibersicurezza, valutazioni delle procedure per l'emissione di certificati europei di cibersicurezza messe in atto dagli organismi di valutazione della conformità di cui all'articolo 51, volte ad assicurare l'applicazione uniforme del presente regolamento da parte degli organismi di valutazione della conformità quando emettono certificati;

Emendamento    43

Proposta di regolamento

Articolo 8 – lettera a – punto 1 ter (nuovo)

Testo della Commissione

Emendamento

 

(1 ter)  svolgendo verifiche ex post periodiche e indipendenti sulla conformità dei prodotti e dei servizi TIC certificati rispetto ai sistemi europei di certificazione della cibersicurezza;

Emendamento    44

Proposta di regolamento

Articolo 8 – lettera a – punto 3

Testo della Commissione

Emendamento

(3)  elaborando e pubblicando orientamenti e sviluppando buone pratiche in merito ai requisiti di cibersicurezza dei prodotti e dei servizi TIC, in cooperazione con le autorità nazionali di controllo della certificazione e con l'industria;

(3)  elaborando e pubblicando orientamenti e sviluppando buone pratiche, anche in materia di principi di igiene informatica e al fine di disincentivare la creazione di "backdoor" segrete, in merito ai requisiti di cibersicurezza dei prodotti e dei servizi TIC, in cooperazione con le autorità nazionali di controllo della certificazione e con l'industria, nel quadro di una procedura formale, standardizzata e trasparente;

Emendamento    45

Proposta di regolamento

Articolo 8 – lettera b

Testo della Commissione

Emendamento

(b)  agevola la definizione e l’adozione di norme tecniche europee e internazionali in materia di gestione dei rischi e di sicurezza dei prodotti e dei servizi TIC e, in collaborazione con gli Stati membri, redige pareri e linee guida riguardanti i settori tecnici relativi ai requisiti di sicurezza per gli operatori di servizi essenziali e i fornitori di servizi digitali e concernenti altresì le norme tecniche già esistenti, comprese le norme tecniche nazionali degli Stati membri, a norma dell’articolo 19, paragrafo 2, della direttiva (UE) 2016/1148;

(b)  consulta gli organismi di normazione internazionali e le organizzazioni di normazione europee in merito allo sviluppo di norme, per garantire che le norme utilizzate nei sistemi europei di certificazione della cibersicurezza siano appropriate e agevola la definizione e l’adozione di norme tecniche europee e internazionali pertinenti in materia di gestione dei rischi e di sicurezza dei prodotti e dei servizi TIC e, in collaborazione con gli Stati membri, redige pareri e linee guida riguardanti i settori tecnici relativi ai requisiti di sicurezza per gli operatori di servizi essenziali e i fornitori di servizi digitali e concernenti altresì le norme tecniche già esistenti, comprese le norme tecniche nazionali degli Stati membri, a norma dell’articolo 19, paragrafo 2, della direttiva (UE) 2016/1148;

Emendamento    46

Proposta di regolamento

Articolo 8 – lettera b bis (nuova)

Testo della Commissione

Emendamento

 

(b bis)  elabora orientamenti relativi alle modalità e alle tempistiche secondo cui gli Stati membri sono tenuti a informarsi reciprocamente qualora vengano a conoscenza di una vulnerabilità non pubblicamente nota di un processo, prodotto o servizio TIC certificato a norma del titolo III del presente regolamento, compresi gli orientamenti relativi al coordinamento delle politiche di divulgazione delle vulnerabilità;

Emendamento    47

Proposta di regolamento

Articolo 8 – lettera b ter (nuova)

Testo della Commissione

Emendamento

 

(b ter)  elabora orientamenti sui requisiti minimi di sicurezza per i dispositivi informatici immessi sul mercato nell'Unione o esportati dall'Unione;

Emendamento    48

Proposta di regolamento

Articolo 9 – lettera d

Testo della Commissione

Emendamento

(d)  raggruppa, organizza e mette a disposizione del pubblico, tramite un portale dedicato, informazioni sulla cibersicurezza, fornite dalle istituzioni, dalle agenzie e dagli organi dell’Unione;

(d)  raggruppa, organizza e mette a disposizione del pubblico, tramite un portale dedicato, informazioni sulla cibersicurezza, comprese informazioni su incidenti significativi in materia di cibersicurezza e gravi violazioni dei dati, fornite dalle istituzioni, dalle agenzie e dagli organi dell’Unione;

Emendamento    49

Proposta di regolamento

Articolo 9 – lettera e

Testo della Commissione

Emendamento

(e)  sensibilizza l’opinione pubblica sui rischi connessi alla cibersicurezza e fornisce orientamenti in materia di buone pratiche per i singoli utenti destinate a cittadini e organizzazioni;

(e)  sensibilizza l’opinione pubblica sui rischi connessi alla cibersicurezza, fornisce orientamenti in materia di buone pratiche per gli utenti destinate a cittadini e organizzazioni e promuove l’adozione di severe misure preventive in materia di sicurezza informatica e una protezione affidabile dei dati e della vita privata;

Emendamento    50

Proposta di regolamento

Articolo 9 – lettera g bis (nuova)

Testo della Commissione

Emendamento

 

(g bis)  sostiene una più stretta collaborazione e lo scambio delle migliori pratiche tra gli Stati membri in materia di educazione alla cibersicurezza, igiene informatica e sensibilizzazione informatica;

Emendamento    51

Proposta di regolamento

Articolo 10 – comma 1 – lettera a

Testo della Commissione

Emendamento

(a)  fornisce consulenza all’Unione e agli Stati membri sulle esigenze e le priorità in materia di ricerca nel settore della cibersicurezza, al fine di consentire di reagire in maniera efficace ai rischi e alle minacce attuali ed emergenti, anche per quanto riguarda le tecnologie dell’informazione e della comunicazione nuove ed emergenti, e di utilizzare efficacemente le tecnologie per la prevenzione dei rischi;

(a)  assicura la consultazione preliminare dei pertinenti gruppi di utenti e fornisce consulenza all’Unione e agli Stati membri sulle esigenze e le priorità in materia di ricerca nel settore della cibersicurezza, al fine di consentire di reagire in maniera efficace ai rischi e alle minacce attuali ed emergenti, anche per quanto riguarda le tecnologie dell’informazione e della comunicazione nuove ed emergenti, e di utilizzare efficacemente le tecnologie per la prevenzione dei rischi;

Emendamento    52

Proposta di regolamento

Articolo 13 – paragrafo 1

Testo della Commissione

Emendamento

1.  Il consiglio di amministrazione è composto da un rappresentante per ciascuno Stato membro e due rappresentanti nominati dalla Commissione. Tutti i rappresentanti hanno diritto di voto.

1.  Il consiglio di amministrazione è composto da un rappresentante per ciascuno Stato membro e due rappresentanti nominati dalla Commissione e dal Parlamento europeo. Tutti i rappresentanti hanno diritto di voto.

Emendamento    53

Proposta di regolamento

Articolo 14 – paragrafo 1 – lettera e

Testo della Commissione

Emendamento

e)  valuta e adotta la relazione annuale consolidata sulle attività dell’Agenzia e trasmette, entro il 1° luglio dell’anno successivo, sia la relazione che la sua valutazione al Parlamento europeo, al Consiglio, alla Commissione e alla Corte dei conti. La relazione annuale include i conti e descrive in che modo l’Agenzia ha conseguito i propri indicatori di risultato. La relazione annuale è resa pubblica;

e)  valuta e adotta la relazione annuale consolidata sulle attività dell’Agenzia e trasmette, entro il 1° luglio dell’anno successivo, sia la relazione che la sua valutazione al Parlamento europeo, al Consiglio, alla Commissione e alla Corte dei conti. La relazione annuale include i conti, descrive l'efficacia in termini di spesa e valuta quanto l’Agenzia è stata efficiente e in che misura ha conseguito i propri indicatori di risultato. La relazione annuale è resa pubblica;

Emendamento    54

Proposta di regolamento

Articolo 14 – paragrafo 1 – lettera m

Testo della Commissione

Emendamento

(m)  nomina il direttore esecutivo e, se del caso, ne proroga il mandato o lo rimuove dall’incarico, a norma dell’articolo 33 del presente regolamento;

(m)  nomina il direttore esecutivo mediante una selezione basata su criteri professionali e, se del caso, ne proroga il mandato o lo rimuove dall’incarico, a norma dell’articolo 33 del presente regolamento;

Emendamento    55

Proposta di regolamento

Articolo 14 – paragrafo 1 – lettera o

Testo della Commissione

Emendamento

o)  prende tutte le decisioni sull’istituzione delle strutture interne dell’Agenzia e, se necessario, sulla relativa modifica, in considerazione delle necessità per l’attività dell’Agenzia e secondo una gestione di bilancio sana;

o)  prende tutte le decisioni sull’istituzione delle strutture interne dell’Agenzia e, se necessario, sulla relativa modifica, in considerazione delle necessità per l’attività dell’Agenzia, secondo quanto elencato nel presente regolamento, e secondo una gestione di bilancio sana;

Emendamento    56

Proposta di regolamento

Articolo 19 – paragrafo 2

Testo della Commissione

Emendamento

2.  Su richiesta, il direttore esecutivo riferisce al Parlamento europeo sull’esercizio delle sue funzioni. Il Consiglio può invitare il direttore esecutivo a riferire sull’esercizio delle sue funzioni.

2.  Su richiesta, il direttore esecutivo riferisce annualmente al Parlamento europeo sull’esercizio delle sue funzioni. Il Consiglio può invitare il direttore esecutivo a riferire sull’esercizio delle sue funzioni.

Emendamento    57

Proposta di regolamento

Articolo 20 – paragrafo 1

Testo della Commissione

Emendamento

1.  Il consiglio di amministrazione, su proposta del direttore esecutivo, istituisce un gruppo permanente di portatori di interessi composto da esperti riconosciuti che rappresentano i portatori di interessi, quali il settore delle TIC, i fornitori delle reti o dei servizi di comunicazione elettronica accessibili al pubblico, le organizzazioni dei consumatori, gli esperti universitari in materia di cibersicurezza e i rappresentanti delle autorità competenti notificati a norma della [direttiva che istituisce il codice europeo delle comunicazioni elettroniche], nonché le autorità di contrasto e le autorità di controllo preposte alla protezione dei dati.

1.  Il consiglio di amministrazione, su proposta del direttore esecutivo, istituisce un gruppo permanente di portatori di interessi composto da esperti riconosciuti che rappresentano i portatori di interessi, quali il settore delle TIC, e i fornitori delle reti o dei servizi di comunicazione elettronica accessibili al pubblico, in particolare il settore e i fornitori europei delle TIC, le associazioni delle piccole e medie imprese, le organizzazioni e le associazioni dei consumatori, gli esperti universitari in materia di cibersicurezza, le organizzazioni europee di normazione, quali definite all'articolo 2, paragrafo 8, del regolamento (UE) n. 1025/2012, le agenzie e gli organismi settoriali pertinenti dell'Unione e i rappresentanti delle autorità competenti notificati a norma della [direttiva che istituisce il codice europeo delle comunicazioni elettroniche], nonché le autorità di contrasto e le autorità di controllo preposte alla protezione dei dati.

Emendamento    58

Proposta di regolamento

Articolo 20 – paragrafo 4

Testo della Commissione

Emendamento

4.  Il mandato dei membri del gruppo permanente di portatori di interessi è di due anni e mezzo. I membri del consiglio di amministrazione non possono essere membri del gruppo permanente di portatori di interessi. Gli esperti della Commissione e degli Stati membri sono autorizzati a presenziare alle riunioni del gruppo permanente di portatori di interessi e a partecipare alle sue attività. I rappresentanti di altri organismi considerati pertinenti dal direttore esecutivo che non sono membri del gruppo permanente di portatori di interessi possono essere invitati a partecipare alle riunioni di tale gruppo e alle sue attività.

4.  Il mandato dei membri del gruppo permanente di portatori di interessi è di due anni e mezzo. I membri del consiglio di amministrazione e del comitato esecutivo, ad eccezione del direttore esecutivo, non possono essere membri del gruppo permanente di portatori di interessi. Gli esperti della Commissione e degli Stati membri sono autorizzati a presenziare alle riunioni del gruppo permanente di portatori di interessi e a partecipare alle sue attività. I rappresentanti di altri organismi considerati pertinenti dal direttore esecutivo che non sono membri del gruppo permanente di portatori di interessi possono essere invitati a partecipare alle riunioni di tale gruppo e alle sue attività.

Emendamento    59

Proposta di regolamento

Articolo 20 – paragrafo 5

Testo della Commissione

Emendamento

5.  Il gruppo permanente di portatori di interessi fornisce consulenza all’Agenzia relativamente allo svolgimento delle sue attività. In particolare, esso consiglia il direttore esecutivo ai fini della stesura della proposta relativa al programma di lavoro dell’Agenzia e della comunicazione con i relativi portatori di interessi su tutte le questioni inerenti al programma di lavoro.

5.  Il gruppo permanente di portatori di interessi fornisce consulenza all’Agenzia relativamente allo svolgimento delle sue attività. In particolare, esso consiglia il direttore esecutivo ai fini della stesura della proposta relativa al programma di lavoro dell’Agenzia e della comunicazione con i relativi portatori di interessi su tutte le questioni inerenti al programma di lavoro. Esso può altresì proporre alla Commissione di chiedere all'Agenzia di preparare proposte di sistemi europei di certificazione della cibersicurezza conformemente all'articolo 44, di propria iniziativa o in base alle proposta provenienti dai portatori di interessi.

Emendamento    60

Proposta di regolamento

Articolo 20 – paragrafo 5 bis (nuovo)

Testo della Commissione

Emendamento

 

5 bis.  Il gruppo permanente di portatori di interessi fornisce consulenza all'Agenzia nel preparare le proposte di sistemi europei di certificazione della cibersicurezza.

Emendamento    61

Proposta di regolamento

Articolo 23 – paragrafo 2

Testo della Commissione

Emendamento

2.  L’Agenzia provvede a che il pubblico e le parti interessate dispongano di informazioni appropriate, obiettive, affidabili e facilmente accessibili, in particolare sui risultati del suo lavoro. Inoltre, rende pubbliche le dichiarazioni di interessi rese a norma dell’articolo 22.

2.  L’Agenzia provvede a che il pubblico e le parti interessate dispongano di informazioni appropriate, obiettive, affidabili e facilmente accessibili, in particolare sulle discussioni e sui risultati del suo lavoro. Inoltre, rende pubbliche le dichiarazioni di interessi rese a norma dell’articolo 22.

Motivazione

La trasparenza deve poter essere attuata, tenendo conto dell'applicazione dell'articolo 24.

Emendamento    62

Proposta di regolamento

Articolo 43 – comma 1

Testo della Commissione

Emendamento

I sistemi europei di certificazione della cibersicurezza attestano che i prodotti e servizi TIC certificati nel loro ambito sono conformi a determinati requisiti per quanto riguarda la loro capacità di resistere, a un determinato livello di affidabilità, ad azioni volte a compromettere la disponibilità, l’autenticità, l’integrità o la riservatezza dei dati conservati, trasmessi o trattati o le funzioni o i servizi offerti da tali prodotti, processi, servizi e sistemi o accessibili tramite essi.

I sistemi europei di certificazione della cibersicurezza sono istituiti per aumentare il livello di sicurezza all'interno del mercato unico digitale e adottare un approccio armonizzato a livello di UE nell'ambito della certificazione europea, al fine di garantire che i prodotti, i servizi e i sistemi TIC siano resistenti agli attacchi informatici.

Attestano che i processi, prodotti e servizi TIC certificati nel loro ambito sono conformi a determinati requisiti e proprietà comuni per quanto riguarda la loro capacità di resistere, a un determinato livello di affidabilità, ad azioni volte a compromettere la disponibilità, l’autenticità, l’integrità o la riservatezza dei dati conservati, trasmessi o trattati o le funzioni o i servizi offerti da tali processi, prodotti, servizi e sistemi o accessibili tramite essi.

Emendamento    63

Proposta di regolamento

Articolo 43 bis (nuovo)

Testo della Commissione

Emendamento

 

Articolo 43 bis

 

Programma di lavoro

 

L'ENISA, dopo aver consultato il gruppo europeo per la certificazione della cibersicurezza e il gruppo permanente dei portatori di interessi e previa approvazione da parte della Commissione, istituisce un programma di lavoro comprendente nel dettaglio le azioni comuni da adottare a livello di Unione per garantire l'applicazione coerente del presente titolo, e contenente un elenco prioritario di prodotti e servizi TIC per i quali ritiene che sia necessario un sistema europeo di certificazione della cibersicurezza.

 

Il programma di lavoro è istituito al più tardi entro [sei mesi dopo l'entrata in vigore del presente regolamento] e un nuovo programma di lavoro è istituito successivamente ogni due anni. Il programma di lavoro è messo a disposizione del pubblico.

Emendamento    64

Proposta di regolamento

Articolo 44 – paragrafo 1

Testo della Commissione

Emendamento

1.  A seguito di una richiesta della Commissione, l’ENISA prepara un sistema europeo di certificazione della cibersicurezza che soddisfa i requisiti di cui agli articoli 45, 46 e 47 del presente regolamento. Gli Stati membri o il gruppo europeo per la certificazione della cibersicurezza (di seguito "il gruppo") istituito a norma dell’articolo 53 possono proporre alla Commissione la preparazione di una proposta di sistema europeo di certificazione della cibersicurezza.

1.  A seguito di una richiesta della Commissione, l’ENISA prepara un sistema europeo di certificazione della cibersicurezza che soddisfa i requisiti di cui agli articoli 45, 46 e 47 del presente regolamento. Gli Stati membri o il gruppo europeo per la certificazione della cibersicurezza (di seguito "il gruppo") istituito a norma dell’articolo 53 o il gruppo permanente dei portatori di interessi istituito a norma dell'articolo 20 possono proporre alla Commissione la preparazione di una proposta di sistema europeo di certificazione della cibersicurezza.

Emendamento    65

Proposta di regolamento

Articolo 44 – paragrafo 2

Testo della Commissione

Emendamento

2.  Nella preparazione delle proposte di sistemi di cui al paragrafo 1, l’ENISA consulta tutti i portatori di interessi e coopera strettamente con il gruppo. Il gruppo fornisce all’ENISA l’assistenza e la consulenza specialistica richieste in relazione alla preparazione della proposta di sistema, se necessario anche fornendo pareri.

2.  Nella preparazione delle proposte di sistemi di cui al paragrafo 1, l’ENISA consulta il gruppo permanente dei portatori di interessi, in particolare le organizzazioni europee di normazione e tutti gli altri portatori di interessi, tra cui le organizzazioni dei consumatori, secondo un processo formale, standardizzato e trasparente, e coopera strettamente con il gruppo tenendo conto delle norme nazionali e internazionali già esistenti. Nel preparare le proposte di sistemi, l’ENISA stabilisce una lista di controllo dei rischi e delle corrispondenti caratteristiche di sicurezza informatica.

 

Il gruppo fornisce all’ENISA l’assistenza e la consulenza specialistica richieste in relazione alla preparazione della proposta di sistema, se necessario anche fornendo pareri.

 

Ove opportuno, l'ENISA può anche istituire un gruppo di esperti di portatori di interessi a fini consultivi, composto da membri del gruppo permanente dei portatori di interessi e da ogni altro portatore di interessi pertinente dotato di competenze specifiche nel campo di un determinato sistema proposto, al fine di fornire ulteriore assistenza e consulenza.

Emendamento    66

Proposta di regolamento

Articolo 44 – paragrafo 3

Testo della Commissione

Emendamento

3.  L’ENISA trasmette alla Commissione il sistema europeo di certificazione della cibersicurezza preparato in conformità del paragrafo 2.

3.  L’ENISA trasmette alla Commissione il sistema europeo di certificazione della cibersicurezza preparato in conformità del paragrafo 2, la quale verifica la sua idoneità ai fini del conseguimento degli obiettivi della richiesta di cui al paragrafo 1.

Emendamento    67

Proposta di regolamento

Articolo 44 – paragrafo 3 bis (nuovo)

Testo della Commissione

Emendamento

 

3 bis.  L'ENISA è tenuta al segreto professionale in relazione a tutte le informazioni ottenute nello svolgimento delle proprie funzioni di cui al presente regolamento.

Emendamento    68

Proposta di regolamento

Articolo 44 – paragrafo 4

Testo della Commissione

Emendamento

4.  La Commissione, sulla base del sistema proposto dall’ENISA, può adottare atti di esecuzione in conformità dell’articolo 55, paragrafo 1, prevedendo sistemi europei di certificazione della cibersicurezza per i prodotti e i servizi TIC che soddisfano i requisiti di cui agli articoli 45, 46 e 47 del presente regolamento.

4.  Alla Commissione è conferito il potere di adottare atti delegati, conformemente all'articolo 55 bis, riguardo all'istituzione di sistemi europei di certificazione della cibersicurezza per i prodotti e i servizi TIC che soddisfano i requisiti di cui agli articoli 45, 46 e 47 del presente regolamento. Nell'adottare tali atti delegati, la Commissione basa i sistemi di certificazione della cibersicurezza per i prodotti e i servizi TIC su qualsiasi sistema pertinente proposto dall'ENISA. La Commissione può consultare il comitato europeo per la protezione dei dati e tenere conto del suo parere prima di adottare tali atti delegati.

Emendamento    69

Proposta di regolamento

Articolo 44 – paragrafo 5

Testo della Commissione

Emendamento

5.  L’ENISA gestisce un apposito sito web che fornisce informazioni sui sistemi europei di certificazione della cibersicurezza e li pubblicizza.

5.  L’ENISA gestisce un apposito sito web che fornisce informazioni sui sistemi europei di certificazione della cibersicurezza e li pubblicizza, tra cui informazioni su tutti i sistemi proposti che la Commissione ha chiesto all’ENISA di preparare.

Emendamento    70

Proposta di regolamento

Articolo 45 – comma 1 – parte introduttiva

Testo della Commissione

Emendamento

I sistemi europei di certificazione della cibersicurezza sono progettati in modo tale da tener conto, se del caso, dei seguenti obiettivi di sicurezza:

Ogni sistema europeo di certificazione della cibersicurezza è progettato in modo tale da tener conto almeno dei seguenti obiettivi di sicurezza, nella misura in cui sono pertinenti:

Emendamento    71

Proposta di regolamento

Articolo 45 – comma 1 – lettera g

Testo della Commissione

Emendamento

(g)  accertarsi che il software dei prodotti e dei servizi TIC sia aggiornato e non contenga vulnerabilità note e che tali prodotti e servizi dispongano di meccanismi per effettuare aggiornamenti del software protetti.

(g)  accertarsi che il software e l'hardware dei prodotti e dei servizi TIC siano aggiornati e non contengano vulnerabilità note; garantire che siano concepiti e attuati in modo tale da limitare effettivamente la loro sensibilità alle vulnerabilità, e garantire che dispongano di meccanismi per effettuare aggiornamenti del software protetti, compresi aggiornamenti dell'hardware e aggiornamenti automatici della sicurezza;

Emendamento    72

Proposta di regolamento

Articolo 45 – comma 1 – lettera g bis (nuova)

Testo della Commissione

Emendamento

 

(g bis)  garantire che i prodotti e i servizi TIC siano sviluppati e funzionino in modo tale che sia preconfigurato un elevato livello di cibersicurezza e protezione dei dati, in conformità del principio di "sicurezza fin dalla progettazione".

Emendamento    73

Proposta di regolamento

Articolo 46 – paragrafo 1

Testo della Commissione

Emendamento

1.  I sistemi europei di certificazione della cibersicurezza possono specificare per i prodotti e i servizi TIC rilasciati nel loro ambito uno o più dei seguenti livelli di affidabilità: di base, sostanziale e/o elevato.

1.  Ogni sistema europeo di certificazione della cibersicurezza può specificare per i prodotti e i servizi TIC rilasciati nel loro ambito uno o più dei seguenti livelli di affidabilità basati sul rischio: "funzionalmente sicuro"; "sostanzialmente sicuro" e/o "altamente sicuro".

 

I livelli di affidabilità per ogni proposta di sistema europeo di certificazione della cibersicurezza sono definiti sulla base dei rischi individuati nella lista di controllo di cui all'articolo 44, paragrafo 2, e della disponibilità di elementi di cibersicurezza volti a contrastare tali rischi all'interno dei prodotti e servizi TIC cui si applica il sistema di certificazione.

Emendamento    74

Proposta di regolamento

Articolo 46 – paragrafo 1 bis (nuovo)

Testo della Commissione

Emendamento

 

1 bis.  Ogni sistema indica la metodologia di valutazione o il processo di valutazione da seguire per il rilascio dei certificati per ogni livello di affidabilità, in funzione dell'uso previsto e del rischio inerente ai prodotti e servizi TIC nell'ambito di tale sistema.

Emendamento    75

Proposta di regolamento

Articolo 46 – paragrafo 2 – parte introduttiva

Testo della Commissione

Emendamento

2.  I livelli di affidabilità di base, sostanziale e elevato soddisfano i seguenti criteri:

2.  I livelli di affidabilità "funzionalmente sicuro", "sostanzialmente sicuro" e/o "altamente sicuro" soddisfano i seguenti criteri:

Emendamento    76

Proposta di regolamento

Articolo 46 – paragrafo 2 – lettera a

Testo della Commissione

Emendamento

(a)  il livello di affidabilità di base si riferisce a un certificato rilasciato nell’ambito di un sistema europeo di certificazione della cibersicurezza che offre un grado di attendibilità limitato riguardo alle qualità di cibersicurezza pretese o dichiarate di un prodotto o di un servizio TIC ed è caratterizzato in riferimento a specifiche tecniche, norme tecniche e procedure correlate, compresi i controlli tecnici, il cui scopo è quello di ridurre il rischio di incidenti di cibersicurezza;

(a)  il livello di affidabilità "funzionalmente sicuro" si riferisce a un certificato rilasciato nell’ambito di un sistema europeo di certificazione della cibersicurezza che offre un grado di attendibilità adeguato riguardo alle qualità di cibersicurezza pretese o dichiarate di un processo, di un prodotto o di un servizio TIC ed è caratterizzato in riferimento a specifiche tecniche, norme tecniche e procedure correlate, compresi i controlli tecnici, il cui scopo è quello di ridurre il rischio di incidenti di cibersicurezza;

Emendamento    77

Proposta di regolamento

Articolo 46 – paragrafo 2 – lettera b

Testo della Commissione

Emendamento

(b)  il livello di affidabilità sostanziale si riferisce a un certificato rilasciato nell’ambito di un sistema europeo di certificazione della cibersicurezza che offre un grado di attendibilità sostanziale riguardo alle qualità di cibersicurezza pretese o dichiarate di un prodotto o di un servizio TIC ed è caratterizzato in riferimento a specifiche tecniche, norme tecniche e procedure correlate, compresi i controlli tecnici, il cui scopo è quello di ridurre in modo significativo il rischio di incidenti di cibersicurezza;

(b)  il livello di affidabilità "sostanzialmente sicuro" si riferisce a un certificato rilasciato nell’ambito di un sistema europeo di certificazione della cibersicurezza che offre un grado di attendibilità sostanziale riguardo alle qualità di cibersicurezza pretese o dichiarate di un processo, di un prodotto o di un servizio TIC ed è caratterizzato in riferimento a specifiche tecniche, norme tecniche e procedure correlate, compresi i controlli tecnici, il cui scopo è quello di ridurre in modo significativo il rischio di incidenti di cibersicurezza;

Emendamento    78

Proposta di regolamento

Articolo 46 – paragrafo 2 – lettera c

Testo della Commissione

Emendamento

(c)  il livello di affidabilità elevato si riferisce a un certificato rilasciato nell’ambito di un sistema europeo di certificazione della cibersicurezza che offre un grado di attendibilità più elevato riguardo alle qualità di cibersicurezza pretese o dichiarate di un prodotto o di un servizio TIC rispetto ai certificati con livello di affidabilità sostanziale ed è caratterizzato in riferimento a specifiche tecniche, norme tecniche e procedure correlate, compresi i controlli tecnici, il cui scopo è quello di prevenire gli incidenti di cibersicurezza.

(c)  il livello di affidabilità "altamente sicuro" si riferisce a un certificato rilasciato nell’ambito di un sistema europeo di certificazione della cibersicurezza che offre un grado di attendibilità più elevato riguardo alle qualità di cibersicurezza pretese o dichiarate di un processo, di un prodotto o di un servizio TIC rispetto ai certificati con livello di affidabilità sostanzialmente sicuro ed è caratterizzato in riferimento a specifiche tecniche, norme tecniche e procedure correlate, compresi i controlli tecnici, il cui scopo è quello di prevenire gli incidenti di cibersicurezza. Ciò si applica in particolare ai prodotti e servizi destinati a essere utilizzati dagli operatori di servizi essenziali secondo la definizione di cui all'articolo 4, paragrafo 4, della direttiva (UE) 2016/1148.

Emendamento    79

Proposta di regolamento

Articolo 47 – paragrafo 1 – parte introduttiva

Testo della Commissione

Emendamento

1.  Un sistema europeo di certificazione della cibersicurezza comprende i seguenti elementi:

1.  Ogni sistema europeo di certificazione della cibersicurezza comprende almeno i seguenti elementi, se del caso:

Emendamento    80

Proposta di regolamento

Articolo 47 – paragrafo 1 – lettera a

Testo della Commissione

Emendamento

(a)  l’oggetto e l’ambito di applicazione della certificazione, compresi il tipo o le categorie di prodotti e servizi TIC coperti;

(a)  l’oggetto e l’ambito di applicazione del sistema di certificazione, compresi eventuali settori specifici coperti, e il tipo o le categorie di prodotti e servizi TIC coperti;

Emendamento    81

Proposta di regolamento

Articolo 47 – paragrafo 1 – lettera b

Testo della Commissione

Emendamento

(b)  l’indicazione dettagliata dei requisiti di cibersicurezza rispetto ai quali i prodotti e servizi TIC sono valutati, ad esempio in riferimento a norme tecniche o a specifiche tecniche dell’Unione o internazionali;

(b)  l’indicazione dettagliata dei requisiti di cibersicurezza rispetto ai quali i prodotti e servizi TIC sono valutati, in particolare in riferimento a norme tecniche o a specifiche tecniche internazionali, europee o nazionali;