RELAZIONE sulla proposta di direttiva del Parlamento europeo e del Consiglio recante misure volte a garantire un livello comune elevato di sicurezza delle reti e dell'informazione nell'Unione

12.2.2014 - (COM(2013)0048 – C7‑0035/2013 – 2013/0027(COD)) - ***I

Commissione per il mercato interno e la protezione dei consumatori
Relatore: Andreas Schwab
Relatori per parere (*):
Pilar del Castillo Vera, commissione per l'industria, la ricerca e l'energia,
Carl Schlyter, commissione per le libertà civili, la giustizia e gli affari interni
(*) Procedura con le commissioni associate – articolo 50 del regolamento

Emendamenti

Procedura : 2013/0027(COD)

Ciclo di vita in Aula

Ciclo del documento :

A7-0103/2014

Testi presentati :

A7-0103/2014

Discussioni :

PV 12/03/2014 - 15
CRE 12/03/2014 - 15

Votazioni :

PV 13/03/2014 - 14.8
Dichiarazioni di voto

Testi approvati :

P7_TA(2014)0244

PROGETTO DI RISOLUZIONE LEGISLATIVA DEL PARLAMENTO EUROPEO
MOTIVAZIONE
PARERE della commissione per l'industria, la ricerca e l'energia*
PARERE DELLA COMMISSIONE PER LE LIBERTà CIVILI, LA GIUSTIZIA E GLI AFFARI INTERNI*
PARERE della commissione per gli affari esteri
PROCEDURA

PROGETTO DI RISOLUZIONE LEGISLATIVA DEL PARLAMENTO EUROPEO

sulla proposta di direttiva del Parlamento europeo e del Consiglio recante misure volte a garantire un livello comune elevato di sicurezza delle reti e dell'informazione nell'Unione

(COM(2013)0048 – C7‑0035/2013 – 2013/0027(COD))

(Procedura legislativa ordinaria: prima lettura)

Il Parlamento europeo,

– vista la proposta della Commissione al Parlamento europeo e al Consiglio (COM(2013)0048),

– visti l'articolo 294, paragrafo 2, e l'articolo 114 del trattato sul funzionamento dell'Unione europea, a norma dei quali la proposta gli è stata presentata dalla Commissione (C7‑0035/2013),

– visto l'articolo 294, paragrafo 3, del trattato sul funzionamento dell'Unione europea,

– visto l'articolo 55 del suo regolamento,

– visto il parere del Comitato economico e sociale europeo del 22 maggio 2013[1],

– vista la sua risoluzione del 12 settembre 2013 sulla strategia dell'Unione europea per la cibersicurezza: un ciberspazio aperto e sicuro[2],

– visti la relazione della commissione per il mercato interno e la protezione dei consumatori e i pareri della commissione per l'industria, la ricerca e l'energia, della commissione per le libertà civili, la giustizia e gli affari interni e della commissione per gli affari esteri (A7-0103/2014),

1. adotta la posizione in prima lettura figurante in appresso;

2. chiede alla Commissione di presentargli nuovamente la proposta qualora intenda modificarla sostanzialmente o sostituirla con un nuovo testo;

3. incarica il suo Presidente di trasmettere la posizione del Parlamento al Consiglio e alla Commissione nonché ai parlamenti nazionali.

Emendamento 1 Proposta di direttiva Considerando 1
Testo della Commissione	Emendamento
(1) Le reti e i sistemi e servizi di informazione svolgono un ruolo vitale nella società. È essenziale che essi siano affidabili e sicuri per l'attività economica e il benessere sociale e in particolare ai fini del funzionamento del mercato interno.	(1) Le reti e i sistemi e servizi di informazione svolgono un ruolo vitale nella società. È essenziale che essi siano affidabili e sicuri per la libertà e la sicurezza globale dei cittadini dell'UE oltre che per l'attività economica e il benessere sociale e in particolare ai fini del funzionamento del mercato interno.
Emendamento 2 Proposta di direttiva Considerando 2
Testo della Commissione	Emendamento
(2) La portata e la frequenza degli incidenti dolosi o accidentali a carico della sicurezza stanno aumentando e rappresentano una grave minaccia per il funzionamento delle reti e dei sistemi informativi. Tali incidenti possono impedire il proseguimento di attività economiche, provocare notevoli perdite finanziarie, minare la fiducia degli utenti e causare gravi danni all'economia dell'Unione.	(2) La portata, la frequenza e l'impatto degli incidenti a carico della sicurezza stanno aumentando e rappresentano una grave minaccia per il funzionamento delle reti e dei sistemi informativi. Tali sistemi possono inoltre diventare un facile bersaglio per azioni intenzionalmente tese a danneggiare o interrompere il funzionamento dei sistemi. Tali incidenti possono impedire il proseguimento di attività economiche, provocare notevoli perdite finanziarie, minare la fiducia degli utenti e degli investitori e causare gravi danni all’economia dell’Unione e, infine, mettere in pericolo il benessere dei cittadini dell'Unione e la capacità degli Stati membri di proteggere se stessi e garantire la sicurezza delle infrastrutture critiche.
Emendamento 3 Proposta di direttiva Considerando 3
Testo della Commissione	Emendamento
	(3 bis) Poiché comunemente le cause di guasto dei sistemi continuano a essere involontarie, come eventi naturali o errori umani, le infrastrutture dovrebbero essere resilienti sia alle perturbazioni intenzionali che a quelle involontarie e gli operatori delle infrastrutture critiche dovrebbero progettare sistemi basati sulla resilienza.
Emendamento 4 Proposta di direttiva Considerando 4
Testo della Commissione	Emendamento
(4) È opportuno istituire un meccanismo di cooperazione a livello dell'Unione che permetta lo scambio di informazioni e il coordinamento delle attività di individuazione e di risposta attinenti alla sicurezza delle reti e dell'informazione (SRI). Perché tale meccanismo sia effettivo e inclusivo è importante che tutti gli Stati membri dispongano di un livello minimo di capacità e si dotino di una strategia per garantire un livello elevato di sicurezza delle reti e dell'informazione sul loro territorio. È opportuno che anche alle pubbliche amministrazioni e agli operatori di infrastrutture informatiche critiche si applichino obblighi minimi di sicurezza, per promuovere una cultura della gestione dei rischi e garantire la segnalazione degli incidenti più gravi.	(4) È opportuno istituire un meccanismo di cooperazione a livello dell'Unione che permetta lo scambio di informazioni e il coordinamento delle attività di prevenzione, di individuazione e di risposta attinenti alla sicurezza delle reti e dell'informazione (SRI). Perché tale meccanismo sia effettivo e inclusivo è importante che tutti gli Stati membri dispongano di un livello minimo di capacità e si dotino di una strategia per garantire un livello elevato di sicurezza delle reti e dell'informazione sul loro territorio. È opportuno che anche a determinati operatori di mercato di infrastrutture informatiche si applichino obblighi minimi di sicurezza, per promuovere una cultura della gestione dei rischi e garantire la segnalazione degli incidenti più gravi. Le società quotate nei mercati azionari dovrebbero essere incoraggiate a pubblicare volontariamente i loro incidenti nei rendiconti finanziari. È opportuno che il quadro giuridico si basi sull'esigenza di tutelare la riservatezza e l'integrità dei cittadini. La rete informativa di allarme sulle infrastrutture critiche (CIWIN) dovrebbe essere estesa agli operatori di mercato coperti dalla presente direttiva.
Emendamento 5 Proposta di direttiva Considerando 4 bis (nuovo)
Testo della Commissione	Emendamento
	(4 bis) Sebbene le amministrazioni pubbliche, in virtù della loro missione pubblica, debbano esercitare la dovuta diligenza nella gestione e protezione delle proprie reti e dei rispettivi sistemi informatici, occorre che la presente direttiva sia incentrata sulle infrastrutture critiche che sono essenziali per il mantenimento di attività vitali per l'economia e la società nei campi dell'energia, dei trasporti, delle banche, delle infrastrutture dei mercati finanziari o della sanità. Gli sviluppatori di software e i produttori di hardware dovrebbero essere esclusi dall'ambito di applicazione della presente direttiva.
Emendamento 6 Proposta di direttiva Considerando 4 ter (nuovo)
Testo della Commissione	Emendamento
	(4 ter) La cooperazione e il coordinamento tra le competenti autorità dell'Unione con l'alto rappresentante/vicepresidente, il responsabile per la politica estera e di sicurezza comune e la politica di sicurezza e difesa comune, nonché con il coordinatore antiterrorismo dell'UE, dovrebbero essere garantiti nei casi in cui gli incidenti aventi un impatto significativo sono percepiti come rischi di natura esterna e terroristica.
Emendamento 7 Proposta di direttiva Considerando 6
Testo della Commissione	Emendamento
(6) Le capacità esistenti non bastano a garantire un livello elevato di sicurezza delle reti e dell'informazione nell'Unione. I livelli di preparazione negli Stati membri sono molto diversi tra loro il che comporta una frammentazione degli approcci nell'Unione. Ne deriva un livello disomogeneo di protezione dei consumatori e delle imprese che compromette il livello globale di sicurezza delle reti e dell'informazione nell'Unione. La mancanza di obblighi minimi comuni imposti alle pubbliche amministrazioni e agli operatori del mercato rende inoltre impossibile la creazione di un meccanismo globale ed efficace di cooperazione a livello dell'Unione.	(6) Le capacità esistenti non bastano a garantire un livello elevato di sicurezza delle reti e dell'informazione nell'Unione. I livelli di preparazione negli Stati membri sono molto diversi tra loro il che comporta una frammentazione degli approcci nell'Unione. Ne deriva un livello disomogeneo di protezione dei consumatori e delle imprese che compromette il livello globale di sicurezza delle reti e dell'informazione nell'Unione. La mancanza di obblighi minimi comuni imposti agli operatori del mercato rende inoltre impossibile la creazione di un meccanismo globale ed efficace di cooperazione a livello dell’Unione. Le università e i centri di ricerca svolgono un ruolo determinante nell'incentivare la ricerca, lo sviluppo e l'innovazione in tali settori e dovrebbero ricevere fondi adeguati.
Emendamento 8 Proposta di direttiva Considerando 7
Testo della Commissione	Emendamento
(7) Per una risposta efficace alle sfide in materia di sicurezza delle reti e dei sistemi informativi è pertanto necessario un approccio globale a livello di Unione, che contempli la creazione di una capacità minima comune e disposizioni minime in materia di pianificazione, scambio di informazioni e coordinamento delle azioni, nonché obblighi minimi comuni di sicurezza per tutti gli operatori del mercato interessati e le pubbliche amministrazioni.	(7) Per una risposta efficace alle sfide in materia di sicurezza delle reti e dei sistemi informativi è pertanto necessario un approccio globale a livello di Unione, che contempli la creazione di una capacità minima comune e disposizioni minime in materia di pianificazione, lo sviluppo di competenze sufficienti in materia di sicurezza informatica, lo scambio di informazioni e il coordinamento delle azioni, nonché obblighi minimi comuni di sicurezza. È opportuno applicare norme comuni minime conformemente alle raccomandazioni pertinenti dei Cyber Security Coordination Group (CSGC).
Emendamento 9 Proposta di direttiva Considerando 8
Testo della Commissione	Emendamento
(8) Le disposizioni della presente direttiva lasciano impregiudicata la possibilità per ciascuno Stato membro di adottare le misure necessarie per assicurare la tutela dei suoi interessi essenziali in materia di sicurezza, salvaguardare l'ordine pubblico e la pubblica sicurezza e consentire la ricerca, l'individuazione e il perseguimento dei reati. Conformemente all'articolo 346 del TFUE, nessuno Stato membro è tenuto a fornire informazioni la cui divulgazione sia dallo stesso considerata contraria agli interessi essenziali della propria sicurezza.	(8) Le disposizioni della presente direttiva lasciano impregiudicata la possibilità per ciascuno Stato membro di adottare le misure necessarie per assicurare la tutela dei suoi interessi essenziali in materia di sicurezza, salvaguardare l'ordine pubblico e la pubblica sicurezza e consentire la ricerca, l'individuazione e il perseguimento dei reati. Conformemente all'articolo 346 del TFUE, nessuno Stato membro è tenuto a fornire informazioni la cui divulgazione sia dallo stesso considerata contraria agli interessi essenziali della propria sicurezza. Nessuno Stato membro è obbligato a divulgare le informazioni classificate UE ai sensi della decisione del Consiglio, del 31 marzo 2011, sulle norme di sicurezza per la protezione delle informazioni classificate UE (2011/292/UE), le informazioni soggette agli accordi di non divulgazione o agli accordi di non divulgazione informali, quale il Traffic Light Protocol (protocollo sui semafori).
Motivazione
Il presente emendamento intende chiarire il trattamento delle informazioni riservate nell'ambito della presente direttiva.
Emendamento 10 Proposta di direttiva Considerando 9
Testo della Commissione	Emendamento
(9) Per conseguire e mantenere un livello comune elevato di sicurezza delle reti e dei sistemi informativi è opportuno che ogni Stato membro disponga di una strategia nazionale in materia di SRI che definisca gli obiettivi strategici e gli interventi strategici concreti da attuare. Per poter raggiungere una capacità di risposta tale da permettere un'efficiente collaborazione a livello nazionale e unionale in caso di incidenti è necessario che siano elaborati, a livello nazionale, piani di collaborazione in materia di sicurezza delle reti e dell'informazione, rispondenti a condizioni essenziali.	(9) Per conseguire e mantenere un livello comune elevato di sicurezza delle reti e dei sistemi informativi è opportuno che ogni Stato membro disponga di una strategia nazionale in materia di SRI che definisca gli obiettivi strategici e gli interventi strategici concreti da attuare. Per poter raggiungere una capacità di risposta tale da permettere un'efficiente collaborazione a livello nazionale e unionale in caso di incidenti è necessario che siano elaborati, a livello nazionale, sulla base di requisiti minimi stabiliti nella presente direttiva, piani di collaborazione in materia di sicurezza delle reti e dell'informazione, rispondenti a condizioni essenziali, i quali rispettino e tutelino la vita privata e i dati personali. È pertanto opportuno che ogni Stato membro sia obbligato a rispettare norme minime comuni riguardo al formato e alla scambiabilità dei dati da condividere e valutare. Gli Stati membri dovrebbero poter richiedere l'assistenza dell'Agenzia dell'Unione europea per la sicurezza delle reti e dell'informazione (ENISA) ai fini dello sviluppo delle rispettive strategie nazionali in materia di SRI, sulla base di un programma strategico SRI minimo comune.
Emendamento 11 Proposta di direttiva Considerando 10 bis (nuovo)
Testo della Commissione	Emendamento
	(10 bis) In considerazione delle differenze esistenti tra le strutture di governance nazionali e al fine di salvaguardare gli accordi settoriali già esistenti o gli organismi di vigilanza e di regolamentazione dell'Unione ed evitare duplicazioni, è opportuno che gli Stati membri abbiano la facoltà di designare più di un'autorità nazionale competente incaricata di soddisfare i compiti connessi alla sicurezza delle reti e dei sistemi informativi degli operatori di mercato di cui alla presente direttiva. Tuttavia, onde garantire che la cooperazione e la comunicazione transfrontaliere siano fluide, è necessario che ogni Stato membro, fatti salvi gli accordi settoriali in materia di regolamentazione, designi soltanto un unico punto di contatto nazionale incaricato della cooperazione transfrontaliera a livello di Unione. Qualora la sua struttura costituzionale o altre disposizioni lo richiedano, uno Stato membro dovrebbe poter designare soltanto un'autorità per svolgere i compiti dell'autorità competente e del punto di contatto unico. Le autorità competenti e i punti di contatto unici dovrebbero essere organismi di diritto civile, sottoposti al controllo democratico, e non svolgere compiti di intelligence, di applicazione o difesa della legge, o essere collegati dal punto di vista organizzativo, indipendentemente dalla forma, a organismi che operano in tali ambiti.
Emendamento 12 Proposta di direttiva Considerando 11
Testo della Commissione	Emendamento
(11) È necessario che tutti gli Stati membri siano dotati delle capacità tecniche e organizzative necessarie a prevenire, individuare, rispondere e attenuare i rischi e gli incidenti a carico delle reti e dei sistemi informativi. Per questo è necessario che, in tutti gli Stati membri, siano costituite squadre di pronto intervento informatico rispondenti a determinati requisiti essenziali, in modo da garantire l'esistenza di capacità effettive e compatibili per far fronte ai rischi e agli incidenti e garantire un'efficiente collaborazione a livello di Unione.	(11) È necessario che tutti gli Stati membri e gli operatori di mercato siano dotati delle capacità tecniche e organizzative necessarie a prevenire, individuare, rispondere e attenuare in qualsiasi momento i rischi e gli incidenti a carico delle reti e dei sistemi informativi. I sistemi di sicurezza delle pubbliche amministrazioni dovrebbero essere sicuri e sottoposti al controllo democratico. Le attrezzature e le capacità normalmente richieste dovrebbero essere conformi a norme tecniche decise di comune accordo oltre che a procedure operative standard. Per questo è necessario che, in tutti gli Stati membri, siano costituite squadre di pronto intervento informatico (CERT) rispondenti a determinati requisiti essenziali, in modo da garantire l'esistenza di capacità effettive e compatibili per far fronte ai rischi e agli incidenti e garantire un'efficiente collaborazione a livello di Unione. È opportuno che tali squadre CERT possano interagire sulla base di norme tecniche comuni e procedure operative standard. In considerazione delle diverse caratteristiche delle squadre CERT esistenti, che rispondono a diverse esigenze soggettive e a diversi attori, gli Stati membri dovrebbero garantire che a ciascuno dei settori elencati nella presente direttiva siano forniti servizi da almeno una squadra CERT. Relativamente alla cooperazione transfrontaliera delle squadre CERT, gli Stati membri dovrebbero garantire che esse dispongano di mezzi sufficienti per partecipare alle reti di cooperazione internazionali e unionali già esistenti.
Motivazione
È necessario garantire l'interoperabilità.
Emendamento 13 Proposta di direttiva Considerando 12
Testo della Commissione	Emendamento
(12) Basandosi sui notevoli progressi compiuti all'interno del Forum europeo degli Stati membri (EFMS) nel promuovere le discussioni e gli scambi di buone pratiche, come l'elaborazione dei principi della collaborazione europea in caso di crisi cibernetica, è opportuno che la Commissione e gli Stati membri creino una rete che assicuri una comunicazione permanente tra loro e ne sostenga la collaborazione. Tale meccanismo di collaborazione sicuro ed effettivo è destinato a permettere di strutturare e coordinare lo scambio di informazioni e le attività di individuazione e risposta a livello dell'Unione.	(12) Basandosi sui notevoli progressi compiuti all'interno del Forum europeo degli Stati membri (EFMS) nel promuovere le discussioni e gli scambi di buone pratiche, come l'elaborazione dei principi della collaborazione europea in caso di crisi cibernetica, è opportuno che la Commissione e gli Stati membri creino una rete che assicuri una comunicazione permanente tra loro e ne sostenga la collaborazione. Tale meccanismo di collaborazione sicuro ed effettivo, compresa la partecipazione degli operatori di mercato, ove opportuno, è destinato a permettere di strutturare e coordinare lo scambio di informazioni e le attività di individuazione e risposta a livello dell'Unione.
Emendamento 14 Proposta di direttiva Considerando 13
Testo della Commissione	Emendamento
(13) L'Agenzia europea per la sicurezza delle reti e dell'informazione (ENISA) dovrebbe assistere gli Stati membri e la Commissione mettendo loro a disposizione le proprie competenze e consulenze e agevolando lo scambio di buone pratiche. In particolare è opportuno che la Commissione consulti l'ENISA nell'applicazione della presente direttiva. Per garantire un'informazione effettiva e tempestiva degli Stati membri e della Commissione è necessario che gli incidenti e i rischi siano segnalati precocemente attraverso la rete di collaborazione. Per creare capacità e conoscenze tra gli Stati membri, la rete di collaborazione dovrebbe anche servire da strumento di scambio di buone pratiche, assistendo i propri membri a creare capacità e conducendo l'organizzazione di valutazioni tra pari e di esercitazioni in materia di SRI.	(13) L'ENISA dovrebbe assistere gli Stati membri e la Commissione mettendo loro a disposizione le proprie competenze e consulenze e agevolando lo scambio di buone pratiche. In particolare è opportuno che la Commissione e gli Stati membri consultino l'ENISA nell'applicazione della presente direttiva. Per garantire un'informazione effettiva e tempestiva degli Stati membri e della Commissione è necessario che gli incidenti e i rischi siano segnalati precocemente attraverso la rete di collaborazione. Per creare capacità e conoscenze tra gli Stati membri, la rete di collaborazione dovrebbe anche servire da strumento di scambio di buone pratiche, assistendo i propri membri a creare capacità e conducendo l'organizzazione di valutazioni tra pari e di esercitazioni in materia di SRI.
Emendamento 15 Proposta di direttiva Considerando 13 bis nuovo
Testo della Commissione	Emendamento
	(13 bis) Laddove opportuno, gli Stati membri dovrebbero poter utilizzare o adattare le strutture o strategie organizzative esistenti al momento di applicare le disposizioni della presente direttiva.
Emendamento 16 Proposta di direttiva Considerando 14
Testo della Commissione	Emendamento
(14) Nella rete di collaborazione è opportuno creare un'infrastruttura di scambio sicuro di informazioni che consenta lo scambio di informazioni sensibili e riservate tra autorità competenti. Fatto salvo il loro obbligo di segnalare gli incidenti e i rischi di dimensione unionale alla rete di collaborazione, è opportuno che l'accesso a informazioni riservate di altri Stati membri sia concesso soltanto agli Stati membri che dimostrano di possedere processi e risorse finanziarie, tecniche ed umane e un'infrastruttura di comunicazione tali da garantirne la partecipazione effettiva, efficiente e sicura alla rete.	(14) Nella rete di collaborazione è opportuno creare un'infrastruttura di scambio sicuro di informazioni che consenta lo scambio di informazioni sensibili e riservate tra autorità competenti. A tale scopo è opportuno che le strutture esistenti nell'Unione siano utilizzate appieno. Fatto salvo il loro obbligo di segnalare gli incidenti e i rischi di dimensione unionale alla rete di collaborazione, è opportuno che l’accesso a informazioni riservate di altri Stati membri sia concesso soltanto agli Stati membri che dimostrano di possedere processi e risorse finanziarie, tecniche ed umane e un’infrastruttura di comunicazione tali da garantirne la partecipazione effettiva, efficiente e sicura alla rete, utilizzando metodi trasparenti.
Emendamento 17 Proposta di direttiva Considerando 15
Testo della Commissione	Emendamento
(15) La collaborazione tra il settore pubblico e il settore privato è essenziale visto che la maggioranza delle reti e dei sistemi informativi funziona per opera di operatori privati. Gli operatori del mercato devono essere incoraggiati a portare avanti propri meccanismi informali di collaborazione per garantire la sicurezza delle reti e dell'informazione. È necessario che essi collaborino anche con il settore pubblico e scambino informazioni e buone pratiche in cambio di supporto operativo in caso di incidenti.	(15) La collaborazione tra il settore pubblico e il settore privato è essenziale visto che la maggioranza delle reti e dei sistemi informativi funziona per opera di operatori privati. Gli operatori del mercato devono essere incoraggiati a portare avanti propri meccanismi informali di collaborazione per garantire la sicurezza delle reti e dell'informazione. È necessario che essi collaborino anche con il settore pubblico e scambino reciprocamente informazioni e buone pratiche, tra cui lo scambio reciproco di informazioni pertinenti e di supporto operativo, e informazioni analizzate in modo strategico in caso di incidenti. Per incoraggiare efficacemente la condivisione di informazioni e buone pratiche, è essenziale garantire che gli operatori del mercato, che partecipano a tali scambi, non siano svantaggiati in conseguenza della loro cooperazione. Occorrono tutele adeguate per garantire che tale cooperazione non esponga gli operatori a un più elevato rischio di conformità o a nuove responsabilità in materia, tra l'altro, di concorrenza, proprietà intellettuale, protezione dei dati o norme sulla cibercriminalità, né a rischi operativi o di sicurezza più elevati.
Emendamento 18 Proposta di direttiva Considerando 16
Testo della Commissione	Emendamento
(16) Per garantire la trasparenza e una corretta informazione dei cittadini e degli operatori del mercato dell'UE è necessario che le competenti autorità allestiscano un sito comune su cui pubblicare informazioni non riservate sui rischi e sugli incidenti.	(16) Per garantire la trasparenza e una corretta informazione dei cittadini e degli operatori del mercato dell'UE è necessario che i punti di contatto unici allestiscano un sito comune a livello di Unione su cui pubblicare informazioni non riservate sui rischi, sugli incidenti e sui mezzi per attenuare i rischi, nonché, ove necessario, suggerimenti in merito alle opportune misure di manutenzione. È opportuno che le informazioni sul sito web siano accessibili indipendentemente dal dispositivo utilizzato. I dati personali pubblicati su questo sito web dovrebbero essere limitati esclusivamente a quanto necessario e dovrebbero essere quanto più possibile anonimi.
Emendamento 19 Proposta di direttiva Considerando 18
Testo della Commissione	Emendamento
(18) In base in particolare alle esperienze nazionali in materia di gestione delle crisi e in collaborazione con l'ENISA è opportuno che la Commissione e gli Stati membri elaborino un piano unionale di collaborazione in materia di SRI che definisce meccanismi di collaborazione nella lotta contro i rischi e gli incidenti. Occorre tenere debitamente conto di tale piano ai fini della segnalazione di preallarmi all'interno della rete di collaborazione.	(18) In base in particolare alle esperienze nazionali in materia di gestione delle crisi e in collaborazione con l'ENISA è opportuno che la Commissione e gli Stati membri elaborino un piano unionale di collaborazione in materia di SRI che definisce meccanismi di collaborazione, buone prassi e modelli operativi per prevenire, individuare, segnalare e contrastare i rischi e gli incidenti. Occorre tenere debitamente conto di tale piano ai fini della segnalazione di preallarmi all'interno della rete di collaborazione.
Emendamento 20 Proposta di direttiva Considerando 19
Testo della Commissione	Emendamento
(19) È necessario notificare un preallarme nella rete solo se la portata e la gravità dell'incidente o del rischio di cui si tratta sono o potrebbero essere così significative da richiedere l'informazione o il coordinamento della risposta a livello dell'Unione. È quindi necessario che i preallarmi si limitino agli incidenti o ai rischi, effettivi o potenziali, che presentano una crescita rapida, che superano le capacità nazionali di risposta o che colpiscono più di uno Stato membro. Per garantirne la corretta valutazione è necessario che siano comunicate alla rete di collaborazione tutte le informazioni pertinenti alla valutazione del rischio o dell'incidente.	(19) È necessario notificare un preallarme nella rete solo se la portata e la gravità dell'incidente o del rischio di cui si tratta sono o potrebbero essere così significative da richiedere l'informazione o il coordinamento della risposta a livello dell'Unione. È quindi necessario che i preallarmi si limitino agli incidenti o ai rischi che presentano una crescita rapida, che superano le capacità nazionali di risposta o che colpiscono più di uno Stato membro. Per garantirne la corretta valutazione è necessario che siano comunicate alla rete di collaborazione tutte le informazioni pertinenti alla valutazione del rischio o dell'incidente.
Emendamento 21 Proposta di direttiva Considerando 20
Testo della Commissione	Emendamento
(20) Dopo aver ricevuto e valutato un preallarme, è opportuno che le autorità competenti adottino una risposta coordinata nell'ambito del piano unionale di collaborazione in materia di SRI. È necessario che le autorità competenti e la Commissione siano informate delle misure adottate a livello nazionale in esito alla risposta coordinata.	(20) Dopo aver ricevuto e valutato un preallarme, è opportuno che i punti di contatto unici adottino una risposta coordinata nell’ambito del piano unionale di collaborazione in materia di SRI. È necessario che i punti di contatto unici, l'ENISA e la Commissione siano informati delle misure adottate a livello nazionale in esito alla risposta coordinata.
Emendamento 22 Proposta di direttiva Considerando 21
Testo della Commissione	Emendamento
(21) Data la natura planetaria dei problemi che interessano la sicurezza delle reti e dell'informazione è necessaria una cooperazione internazionale più stretta per migliorare le norme di sicurezza e gli scambi di informazioni e promuovere un approccio globale comune agli aspetti della SRI.	(21) Data la natura planetaria dei problemi che interessano la sicurezza delle reti e dell'informazione è necessaria una cooperazione internazionale più stretta per migliorare le norme di sicurezza e gli scambi di informazioni e promuovere un approccio globale comune agli aspetti della SRI. Qualsiasi quadro per tale cooperazione internazionale dovrebbe essere soggetto alle disposizioni della direttiva 95/46/CE e del regolamento (CE) n. 45/2001.
Emendamento 23 Proposta di direttiva Considerando 22
Testo della Commissione	Emendamento
(22) La responsabilità di garantire la sicurezza delle reti e dell'informazione incombe in larga misura alle pubbliche amministrazioni e agli operatori del mercato. È opportuno promuovere e sviluppare attraverso adeguati obblighi regolamentari e pratiche industriali volontarie una cultura della gestione del rischio, che comprende la valutazione del rischio e l'attuazione di misure di sicurezza commisurate al rischio corso. È altresì fondamentale creare pari condizioni per l'efficace funzionamento della rete di collaborazione in modo da garantire la collaborazione effettiva di tutti gli Stati membri.	(22) La responsabilità di garantire la sicurezza delle reti e dell’informazione incombe in larga misura agli operatori del mercato. È opportuno promuovere e sviluppare attraverso adeguati obblighi regolamentari e pratiche industriali volontarie una cultura della gestione del rischio, della stretta collaborazione e della fiducia, che comprende la valutazione del rischio e l'attuazione di misure di sicurezza commisurate ai rischi e agli incidenti, dolosi o accidentali. È altresì fondamentale creare pari condizioni affidabili per l'efficace funzionamento della rete di collaborazione in modo da garantire la collaborazione effettiva di tutti gli Stati membri.
Emendamento 24 Proposta di direttiva Considerando 24
Testo della Commissione	Emendamento
(24) È opportuno che tali obblighi imposti al settore delle comunicazioni elettroniche siano estesi ai principali fornitori di servizi della società dell’informazione, quali definiti dalla direttiva 98/34/CE del Parlamento europeo e del Consiglio, del 22 giugno 1998, che prevede una procedura d’informazione nel settore delle norme e delle regolamentazioni tecniche e delle regole relative ai servizi della società dell’informazione, che supportano i servizi della società dell’informazione a valle o attività online come le piattaforme del commercio elettronico, i portali di pagamento su internet, le reti sociali, i motori di ricerca, i servizi nella nuvola e i negozi online di applicazioni. Le eventuali perturbazioni che colpiscono questi servizi essenziali della società dell'informazione impediscono la fornitura di altri servizi della società dell'informazione che si basano sui primi. Gli sviluppatori di programmi informatici e i costruttori di hardware non sono fornitori di servizi della società dell'informazione e sono pertanto esclusi. È necessario che i suddetti obblighi siano estesi anche alle pubbliche amministrazioni e agli operatori di infrastrutture critiche che dipendono pesantemente dalla tecnologia dell'informazione e delle comunicazioni e che sono essenziali per il mantenimento di funzioni vitali, in termini economici o societali, come l'elettricità e il gas, i trasporti, gli enti creditizi, le borse e la sanità. Le eventuali perturbazioni a carico di tali reti e sistemi informativi avrebbero ripercussioni sul mercato interno.	(24) È opportuno che tali obblighi imposti al settore delle comunicazioni elettroniche siano estesi agli operatori di infrastrutture che dipendono pesantemente dalla tecnologia dell'informazione e delle comunicazioni e che sono essenziali per il mantenimento di funzioni vitali, in termini economici o societali, come l'elettricità e il gas, i trasporti, gli enti creditizi, le infrastrutture dei mercati finanziari e la sanità. Le perturbazioni a carico di tali reti e sistemi informativi avrebbero ripercussioni sul mercato interno. Anche se è opportuno non estendere gli obblighi stabiliti nella presente direttiva ai principali fornitori di servizi della società dell'informazione, quali definiti dalla direttiva 98/34/CE del Parlamento europeo e del Consiglio, del 22 giugno 1998, che prevede una procedura d'informazione nel settore delle norme e delle regolamentazioni tecniche e delle regole relative ai servizi della società dell'informazione, che supportano i servizi della società dell'informazione a valle o attività online come le piattaforme del commercio elettronico, i portali di pagamento su internet, le reti sociali, i motori di ricerca, i servizi nella nuvola in generale o i negozi online di applicazioni, essi potrebbero, su base volontaria, informare l'autorità competente o il punto di contatto unico in merito agli incidenti relativi alla sicurezza delle reti che essi reputano appropriati. È opportuno che l'autorità competente o il punto di contatto unico presentino, se del caso, agli operatori del mercato che hanno segnalato l'incidente, le informazioni analizzate in modo strategico che contribuiranno a superare la minaccia alla sicurezza.
Emendamento 25 Proposta di direttiva Considerando 24 bis (nuovo)
Testo della Commissione	Emendamento
	(24 bis) Anche se i fornitori di hardware e software non sono operatori di mercato comparabili a quelli disciplinati dalla presente direttiva, i loro prodotti agevolano la sicurezza della rete e dei sistemi informativi. Essi svolgono pertanto un ruolo importante nel permettere agli operatori di mercato di mettere in sicurezza le loro reti e le loro strutture informative. Dato che i prodotti hardware e software sono già soggetti alle norme esistenti sulla garanzia dei prodotti, è opportuno che gli Stati membri provvedano a che tali norme vengano applicate.
Emendamento 26 Proposta di direttiva Considerando 25
Testo della Commissione	Emendamento
(25) Le misure tecniche e organizzative imposte alle amministrazioni pubbliche e agli operatori del mercato non devono richiedere che una particolare informazione commerciale o un particolare prodotto della tecnologia delle comunicazioni siano concepiti, sviluppati e fabbricati in una maniera particolare.	(25) Le misure tecniche e organizzative imposte agli operatori del mercato non devono richiedere che una particolare informazione commerciale o un particolare prodotto della tecnologia delle comunicazioni siano concepiti, sviluppati e fabbricati in una maniera particolare.
Emendamento 27 Proposta di direttiva Considerando 26
Testo della Commissione	Emendamento
(26) È necessario che le amministrazioni pubbliche e gli operatori di mercato garantiscano la sicurezza delle reti e dei sistemi di cui hanno il controllo. Si tratta in particolare di reti e sistemi privati gestiti dal loro personale IT interno, oppure la cui sicurezza sia stata esternalizzata. Gli obblighi di notifica e di sicurezza devono applicarsi agli operatori del mercato e alle amministrazioni pubbliche indipendentemente dal fatto che la manutenzione delle loro reti e dei loro sistemi informativi sia eseguita al loro interno o sia esternalizzata.	(26) È necessario che gli operatori di mercato garantiscano la sicurezza delle reti e dei sistemi di cui hanno il controllo. Si tratta in particolare di reti e sistemi privati gestiti dal loro personale IT interno, oppure la cui sicurezza sia stata esternalizzata. Gli obblighi di notifica e di sicurezza devono applicarsi agli operatori del mercato indipendentemente dal fatto che la manutenzione delle loro reti e dei loro sistemi informativi sia eseguita al loro interno o sia esternalizzata.
Emendamento 28 Proposta di direttiva Considerando 28
Testo della Commissione	Emendamento
(28) È opportuno che le autorità competenti procurino in particolare di salvaguardare l'esistenza di canali informali e affidabili di scambio di informazioni tra gli operatori del mercato e tra settore pubblico e privato. La pubblicità degli incidenti segnalati alle autorità competenti deve contemperare l'opportunità che il pubblico sia informato delle minacce esistenti con i possibili danni di immagine e commerciali per le pubbliche amministrazioni e gli operatori di mercato che segnalano gli incidenti. Nell'attuare gli obblighi di notifica è necessario che le autorità competenti tengano adeguatamente conto della necessità di mantenere strettamente riservate le informazioni sulle vulnerabilità del prodotto prima di diffondere i rimedi di sicurezza appropriati.	(28) È opportuno che le autorità competenti e i punti di contatto unici procurino in particolare di salvaguardare l’esistenza di canali informali e affidabili di scambio di informazioni tra gli operatori del mercato e tra settore pubblico e privato. Le autorità competenti e i punti di contatto unici dovrebbero informare i produttori e i fornitori di servizi in merito agli incidenti di cui abbiano ricevuto notifica e riguardanti i prodotti e i servizi TIC che hanno un impatto significativo. La pubblicità degli incidenti segnalati alle autorità competenti e ai punti di contatto unici dovrebbe contemperare l’opportunità che il pubblico sia informato delle minacce esistenti con i possibili danni di immagine e commerciali per gli operatori di mercato che segnalano gli incidenti. Nell'attuare gli obblighi di notifica è necessario che le autorità competenti e i punti di contatto unici tengano adeguatamente conto della necessità di mantenere strettamente riservate le informazioni sulle vulnerabilità del prodotto prima di impiegare i rimedi di sicurezza appropriati. Come regola generale, i punti di contatto unici non dovrebbero divulgare i dati personali delle persone fisiche coinvolte negli incidenti. I punti di contatto unici dovrebbero divulgare i dati personali soltanto se tale divulgazione è necessaria e proporzionata rispetto all'obiettivo perseguito.
Emendamento 29 Proposta di direttiva Considerando 29
Testo della Commissione	Emendamento
(29) È necessario che le autorità competenti possiedano i mezzi necessari all'assolvimento dei loro compiti, come la facoltà di ottenere informazioni sufficienti dagli operatori del mercato e dalle amministrazioni pubbliche per valutare il livello di sicurezza delle reti e dei sistemi informativi, nonché dati attendibili e completi su incidenti reali che hanno avuto un impatto sul funzionamento delle reti e dei sistemi informativi.	(29) È necessario che le autorità competenti possiedano i mezzi necessari all'assolvimento dei loro compiti, come la facoltà di ottenere informazioni sufficienti dagli operatori del mercato per valutare il livello di sicurezza delle reti e dei sistemi informativi, constatare il numero, la portata e l'ambito degli incidenti, nonché dati attendibili e completi su incidenti reali che hanno avuto un impatto sul funzionamento delle reti e dei sistemi informativi.
Emendamento 30 Proposta di direttiva Considerando 30
Testo della Commissione	Emendamento
(30) In molti casi alla base di un incidente vi sono attività criminali. Si può sospettare la natura dolosa di incidenti anche se non vi sono prove sufficientemente chiare fin dall'inizio. Al riguardo, una risposta effettiva e esauriente alla minaccia di incidenti di sicurezza presuppone un'adeguata collaborazione tra autorità competenti e autorità di contrasto. In particolare, la promozione di un ambiente sicuro, affidabile e più resiliente richiede la segnalazione sistematica, alle autorità di contrasto, degli incidenti di cui si sospetta la natura dolosa grave. La natura dolosa grave degli incidenti va valutata alla luce delle norme dell'UE sulla cibercriminalità.	(30) In molti casi alla base di un incidente vi sono attività criminali. Si può sospettare la natura dolosa di incidenti anche se non vi sono prove sufficientemente chiare fin dall'inizio. Al riguardo, una risposta effettiva ed esauriente alla minaccia di incidenti di sicurezza presuppone un'adeguata collaborazione tra autorità competenti, punti di contatto unici e autorità di contrasto nonché una cooperazione con l'EC3 (Europol Cybercrime Center) e l'ENISA. In particolare, la promozione di un ambiente sicuro, affidabile e più resiliente richiede la segnalazione sistematica, alle autorità di contrasto, degli incidenti di cui si sospetta la natura dolosa grave. La natura dolosa grave degli incidenti va valutata alla luce delle norme dell'UE sulla cibercriminalità.
Emendamento 31 Proposta di direttiva Considerando 31
Testo della Commissione	Emendamento
(31) I molti casi gli incidenti compromettono dati personali. Al riguardo è opportuno che le autorità competenti e le autorità responsabili della protezione dei dati collaborino e si scambino informazioni su tutti gli aspetti pertinenti per affrontare le violazioni ai dati personali determinate dagli incidenti. Gli Stati membri devono adempiere l'obbligo di segnalazione degli incidenti di sicurezza in modo da minimizzare gli oneri amministrativi nel caso in cui l'incidente di sicurezza costituisca anche una violazione di dati personali, in conformità al regolamento del Parlamento europeo e del Consiglio concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati. Coordinandosi con le autorità competenti e le autorità responsabili della protezione dei dati, l'ENISA può contribuire alla messa a punto di meccanismi e modelli per lo scambio di informazioni, evitando in questo modo che siano necessari due modelli di notifica. Un modello di notifica unico può facilitare la segnalazione di incidenti che compromettono dati personali, alleviando in questo modo gli oneri amministrativi per le imprese e le pubbliche amministrazioni.	(31) I molti casi gli incidenti compromettono dati personali. È opportuno che gli Stati membri e gli operatori del mercato tutelino i dati personali archiviati, trattati o trasmessi, da distruzioni accidentali o illecite, perdite accidentali o alterazione, nonché archiviazione, accesso, divulgazione o diffusione non autorizzati o illeciti; è altresì opportuno assicurare l'attuazione di una strategia di sicurezza concernente il trattamento dei dati personali. Al riguardo è opportuno che le autorità competenti, i punti di contatto unici e le autorità responsabili della protezione dei dati collaborino e si scambino informazioni, anche, se del caso, con gli operatori del mercato, al fine di affrontare le violazioni ai dati personali determinate dagli incidenti conformemente alla normativa applicabile in materia di protezione dei dati. L'obbligo di segnalazione degli incidenti di sicurezza dovrebbe essere espletato in modo da minimizzare gli oneri amministrativi nel caso in cui l'incidente di sicurezza costituisca anche una violazione di dati personali che va notificata a norma del diritto unionale sulla protezione dei dati. L’ENISA dovrebbe contribuire alla messa a punto di meccanismi per lo scambio di informazioni e di un modello di notifica unico il quale può facilitare la segnalazione di incidenti che compromettono dati personali, alleviando in questo modo gli oneri amministrativi per le imprese e le pubbliche amministrazioni.
Emendamento 32 Proposta di direttiva Considerando 32
Testo della Commissione	Emendamento
(32) La standardizzazione degli obblighi di sicurezza è un'esigenza che nasce dal mercato. Per garantire un'applicazione convergente delle norme di sicurezza è opportuno che gli Stati membri incoraggino il rispetto o la conformità a norme specifiche volte a garantire un livello elevato di sicurezza in tutta l'Unione. A tal fine potrebbe essere necessario elaborare norme armonizzate in conformità al regolamento (UE) n. 1025/2012 del Parlamento europeo e del Consiglio, del 25 ottobre 2012, sulla normazione europea, che modifica le direttive 89/686/CEE e 93/15/CEE del Consiglio nonché le direttive 94/9/CE, 94/25/CE, 95/16/CE, 97/23/CE, 98/34/CE, 2004/22/CE, 2007/23/CE, 2009/23/CE e 2009/105/CE del Parlamento europeo e del Consiglio e che abroga la decisione 87/95/CEE del Consiglio e la decisione n. 1673/2006/CE del Parlamento europeo e del Consiglio⁶.	(32) La standardizzazione degli obblighi di sicurezza è un'esigenza che nasce dal mercato a carattere volontario che dovrebbe consentire agli operatori del mercato di utilizzare mezzi alternativi per ottenere, almeno, risultati simili. Per garantire un'applicazione convergente delle norme di sicurezza è opportuno che gli Stati membri incoraggino il rispetto o la conformità a norme interoperabili specifiche volte a garantire un livello elevato di sicurezza in tutta l'Unione. A tal fine è opportuno valutare l'applicazione di norme internazionali aperte in tema di sicurezza dell'informazione in rete oppure la definizione di strumenti in tal senso. Potrebbe inoltre essere necessario elaborare norme armonizzate in conformità al regolamento (UE) n. 1025/2012 del Parlamento europeo e del Consiglio, del 25 ottobre 2012, sulla normazione europea, che modifica le direttive 89/686/CEE e 93/15/CEE del Consiglio nonché le direttive 94/9/CE, 94/25/CE, 95/16/CE, 97/23/CE, 98/34/CE, 2004/22/CE, 2007/23/CE, 2009/23/CE e 2009/105/CE del Parlamento europeo e del Consiglio e che abroga la decisione 87/95/CEE del Consiglio e la decisione n. 1673/2006/CE del Parlamento europeo e del Consiglio⁶. In particolare, è opportuno conferire all'Istituto europeo per le norme di telecomunicazioni (ETSI), al Comitato europeo di normalizzazione (CEN) e al Comitato europeo di normalizzazione elettrotecnica (CENELEC) il mandato a proporre norme di sicurezza unionali aperte, efficienti ed efficaci, in cui le preferenze tecnologiche siano quanto più possibile evitate, e che siano facilmente gestibili da operatori del mercato di piccole e medie dimensioni. È opportuno che le norme internazionali in materia di cibersicurezza siano esaminate con cura per garantire che non siano compromesse e che offrano adeguati livelli di sicurezza, facendo sì che l'obbligo di conformità alle norme in materia di cibersicurezza migliori il livello generale di sicurezza informatica dell'Unione e non il contrario.
__________________	__________________
⁶ GU L 316 del 14.11.2012, pag. 12.	⁶ GU L 316 del 14.11.2012, pag. 12.
Emendamento 33 Proposta di direttiva Considerando 33
Testo della Commissione	Emendamento
(33) È opportuno che la Commissione riesamini le disposizioni della presente direttiva a scadenze regolari, in particolare per valutare la necessità di modificarle in funzione dell'evoluzione delle tecnologie o delle condizioni del mercato.	(33) È opportuno che la Commissione riesamini le disposizioni della presente direttiva a scadenze regolari, in consultazione con tutte le parti interessate, in particolare per valutare la necessità di modificarle in funzione dell'evoluzione sociale, politica e tecnologica o delle condizioni del mercato.
Emendamento 34 Proposta di direttiva Considerando 34
Testo della Commissione	Emendamento
(34) Per garantire il corretto funzionamento della rete di collaborazione deve essere conferito alla Commissione il potere di adottare atti a norma dell'articolo 290 del trattato sul funzionamento dell'Unione europea per quanto riguarda la definizione dei criteri che devono essere rispettati perché uno Stato membro sia autorizzato a partecipare al sistema sicuro di scambio di informazioni, la specificazione più precisa degli eventi che richiedono l'invio di un preallarme e la definizione delle circostanze alle quali gli operatori del mercato e le amministrazioni pubbliche sono tenuti a notificare gli incidenti.	(34) Per garantire il corretto funzionamento della rete di collaborazione deve essere conferito alla Commissione il potere di adottare atti a norma dell'articolo 290 del trattato sul funzionamento dell'Unione europea per quanto riguarda l'insieme comune di norme concernenti l'interconnessione e la sicurezza per l'infrastruttura dello scambio sicuro di informazioni e la specificazione più precisa degli eventi che richiedono l'invio di un preallarme.
Emendamento 35 Proposta di direttiva Considerando 36
Testo della Commissione	Emendamento
(36) Al fine di garantire condizioni uniformi di esecuzione della presente direttiva è opportuno attribuire alla Commissione competenze di esecuzione per quanto riguarda la collaborazione tra le autorità competenti e la Commissione nel quadro della rete di collaborazione, l'accesso all'infrastruttura sicura di scambio di informazioni, il piano unionale di collaborazione in materia di SRI, il formato e le procedure applicabili all'informazione del pubblico in merito agli incidenti e le pertinenti norme e/o le specifiche tecniche in materia di SRI. Tali competenze di esecuzione devono essere esercitate in conformità al regolamento (UE) n. 182/2011 del Parlamento europeo e del Consiglio, del 16 febbraio 2011, che stabilisce le regole e i principi generali relativi alle modalità di controllo da parte degli Stati membri dell'esercizio delle competenze di esecuzione attribuite alla Commissione.	(36) Al fine di garantire condizioni uniformi di esecuzione della presente direttiva è opportuno attribuire alla Commissione competenze di esecuzione per quanto riguarda la collaborazione tra i punti di contatto unici e la Commissione nel quadro della rete di collaborazione, fatti salvi i meccanismi di cooperazione esistenti a livello nazionale, il piano unionale di collaborazione in materia di SRI e il formato e le procedure applicabili alla segnalazione degli incidenti che hanno un impatto significativo. Tali competenze di esecuzione devono essere esercitate in conformità al regolamento (UE) n. 182/2011 del Parlamento europeo e del Consiglio, del 16 febbraio 2011, che stabilisce le regole e i principi generali relativi alle modalità di controllo da parte degli Stati membri dell'esercizio delle competenze di esecuzione attribuite alla Commissione.
Motivazione
Sostituisce l'emendamento 20. L'emendamento intende correggere un errore presente nella proposta della Commissione per quanto riguarda il contenuto dell'atto di esecuzione pianificato e intende riflettere il nuovo emendamento proposto all'articolo 9, paragrafo 3.
Emendamento 36 Proposta di direttiva Considerando 37
Testo della Commissione	Emendamento
(37) Nell'applicazione della presente direttiva la Commissione deve coordinarsi adeguatamente con i comitati settoriali competenti e gli altri organi costituiti a livello dell'Unione in particolare nei settori dell'energia, dei trasporti, delle banche e della sanità.	(37) Nell'applicazione della presente direttiva la Commissione dovrebbe coordinarsi adeguatamente con i comitati settoriali competenti e gli altri organi costituiti a livello dell'Unione in particolare nei settori dell'e-government, dell'energia, dei trasporti, della sanità e della difesa.
Emendamento 37 Proposta di direttiva Considerando 38
Testo della Commissione	Emendamento
(38) Le informazioni considerate riservate da un'autorità competente, in conformità con la normativa unionale e nazionale sulla riservatezza degli affari, possono essere scambiate con la Commissione e con altre autorità competenti solo nella misura in cui tale scambio sia strettamente necessario ai fini dell'applicazione della presente direttiva. Lo scambio deve limitarsi alle sole informazioni pertinenti ed essere commisurato allo scopo.	(38) Le informazioni considerate riservate da un'autorità competente o da un punto di contatto unico, in conformità con la normativa unionale e nazionale sulla riservatezza degli affari, possono essere scambiate con la Commissione, con le sue agenzie pertinenti, i punti di contatto unici e/o le altre autorità nazionali competenti solo nella misura in cui tale scambio sia strettamente necessario ai fini dell'applicazione della presente direttiva. Lo scambio dovrebbe limitarsi alle sole informazioni pertinenti, necessarie e commisurate allo scopo, e rispettare i criteri di riservatezza e sicurezza prestabiliti, a norma della decisione del Consiglio del 31 marzo 2011 sulle norme di sicurezza per la protezione delle informazioni classificate UE (2011/292/UE), e delle informazioni soggette agli accordi di non divulgazione o agli accordi di non divulgazione informali, quale il Traffic Light Protocol (protocollo sui semafori).
Emendamento 38 Proposta di direttiva Considerando 39
Testo della Commissione	Emendamento
(39) Lo scambio di informazioni sui rischi e sugli incidenti all'interno della rete di collaborazione e il rispetto degli obblighi di notifica degli incidenti alle autorità nazionali competenti possono richiedere il trattamento di dati personali. Tale trattamento di dati personali è necessario per conseguire gli obiettivi di interesse pubblico perseguiti dalla presente direttiva ed è quindi legittimo in virtù dell'articolo 7 della direttiva 95/46/CE. In relazione a tali obiettivi legittimi esso non costituisce un intervento sproporzionato ed inammissibile che pregiudicherebbe la sostanza stessa del diritto di protezione dei dati personali sancito dall'articolo 8 della Carta dei diritti fondamentali. Nell'applicazione della presente direttiva si applica, per quanto di ragione, il regolamento (CE) n. 1049/2001 del Parlamento europeo e del Consiglio, del 30 maggio 2001, relativo all'accesso del pubblico ai documenti del Parlamento europeo, del Consiglio e della Commissione. In caso di trattamento di dati da parte di istituzioni ed organismi dell'Unione, tale trattamento ai fini dell'attuazione della presente direttiva deve rispettare le disposizioni del regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio, del 18 dicembre 2000, concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati.	(39) Lo scambio di informazioni sui rischi e sugli incidenti all'interno della rete di collaborazione e il rispetto degli obblighi di notifica degli incidenti alle autorità nazionali competenti o al punto di contatto unico possono richiedere il trattamento di dati personali. Tale trattamento di dati personali è necessario per conseguire gli obiettivi di interesse pubblico perseguiti dalla presente direttiva ed è quindi legittimo in virtù dell'articolo 7 della direttiva 95/46/CE. In relazione a tali obiettivi legittimi esso non costituisce un intervento sproporzionato ed inammissibile che pregiudicherebbe la sostanza stessa del diritto di protezione dei dati personali sancito dall'articolo 8 della Carta dei diritti fondamentali. Nell'applicazione della presente direttiva si applica, per quanto di ragione, il regolamento (CE) n. 1049/2001 del Parlamento europeo e del Consiglio, del 30 maggio 2001, relativo all'accesso del pubblico ai documenti del Parlamento europeo, del Consiglio e della Commissione. In caso di trattamento di dati da parte di istituzioni ed organismi dell'Unione, tale trattamento ai fini dell'attuazione della presente direttiva deve rispettare le disposizioni del regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio, del 18 dicembre 2000, concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati.
Emendamento 39 Proposta di direttiva Considerando 41 bis (nuovo)
Testo della Commissione	Emendamento
	(41 bis) Conformemente alla dichiarazione politica congiunta degli Stati membri e della Commissione sui documenti esplicativi del 28 settembre 2011, gli Stati membri si sono impegnati ad accompagnare, ove ciò sia giustificato, la notifica delle loro misure di recepimento con uno o più documenti intesi a precisare il rapporto tra gli elementi di una direttiva e le parti corrispondenti delle misure nazionali di attuazione. In relazione alla presente direttiva il legislatore ritiene che la trasmissione di tali documenti sia giustificata.
Emendamento 40 Proposta di direttiva Articolo 1 – paragrafo 2 – lettera b
Testo della Commissione	Emendamento
b) crea un meccanismo di collaborazione tra gli Stati membri per garantire un'applicazione uniforme della presente direttiva nell'Unione e, se necessario, una risposta e un trattamento coordinati ed efficienti dei rischi di incidenti a carico delle reti e dei sistemi informativi;	b) crea un meccanismo di collaborazione tra gli Stati membri per garantire un'applicazione uniforme della presente direttiva nell'Unione e, se necessario, una risposta e un trattamento coordinati, efficienti ed efficaci dei rischi di incidenti a carico delle reti e dei sistemi informativi con la partecipazione delle parti interessate pertinenti;
Emendamento 41 Proposta di direttiva Articolo 1 – paragrafo 2 – lettera c
Testo della Commissione	Emendamento
c) stabilisce obblighi di sicurezza per gli operatori del mercato e le amministrazioni pubbliche.	c) stabilisce obblighi di sicurezza per gli operatori del mercato.
Emendamento 42 Proposta di direttiva Articolo 1 – paragrafo 5
Testo della Commissione	Emendamento
5. La presente direttiva lascia impregiudicate anche le disposizioni della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, della direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche e del regolamento del Parlamento europeo e del Consiglio concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati.	5. La presente direttiva lascia impregiudicate anche le disposizioni della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, della direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche e del regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio, del 18 dicembre 2000, concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari e la libera circolazione di tali dati. Eventuali usi dei dati personali devono limitarsi a quanto strettamente necessario ai fini della presente direttiva e tali dati devono essere quanto più anonimi possibili, se non completamente anonimi.
Emendamento 43 Proposta di direttiva Articolo 1 bis (nuovo)
Testo della Commissione	Emendamento
	Articolo 1 bis
	Protezione e trattamento dei dati personali
	1. Il trattamento dei dati personali negli Stati membri a norma della presente direttiva è effettuato conformemente alle direttive 95/46/CE e 2002/58/CE.
	2. Il trattamento dei dati personali da parte della Commissione e dell'ENISA a norma del presente regolamento è effettuato secondo il regolamento (CE) n. 45/2001.
	3. Ai fini della presente direttiva il trattamento dei dati personali da parte del Centro europeo per la lotta alla criminalità informatica nell'ambito di Europol è effettuato conformemente alla decisione 2009/371/GAI.
	4. Il trattamento dei dati personali è equo e conforme alla legge e strettamente limitato ai dati minimi necessari per le finalità di tale trattamento. I dati personali sono conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati.
	5. Le segnalazioni degli incidenti di cui all'articolo 14 lasciano impregiudicate le disposizioni e gli obblighi riguardo alle notifiche di violazioni dei dati personali stabilite all'articolo 4 della direttiva 2002/58/CE e nel regolamento (UE) n. 611/2013.
Emendamento 44 Proposta di direttiva Articolo 3 – punto 1 – lettera b
Testo della Commissione	Emendamento
b) qualsiasi dispositivo o gruppo di dispositivi interconnessi o collegati, uno o più dei quali eseguono, in base ad un programma, un trattamento automatico di dati elettronici e	b) qualsiasi dispositivo o gruppo di dispositivi interconnessi o collegati, uno o più dei quali eseguono, in base ad un programma, un trattamento automatico di dati digitali e
Emendamento 45 Proposta di direttiva Articolo 3 – punto 1 – lettera c
Testo della Commissione	Emendamento
c) i dati elettronici conservati, trattati, estratti o trasmessi per mezzo di reti o dispositivi di cui alle lettere a) e b), per il loro funzionamento, uso, protezione e manutenzione;	c) i dati digitali conservati, trattati, estratti o trasmessi per mezzo di reti o dispositivi di cui alle lettere a) e b), per il loro funzionamento, uso, protezione e manutenzione;
Emendamento 46 Proposta di direttiva Articolo 3 – punto 2
Testo della Commissione	Emendamento
(2) "sicurezza", la capacità di una rete o di un sistema informativo di resistere, a un determinato livello di riservatezza, a eventi imprevisti o dolosi che compromettano la disponibilità, l'autenticità, l'integrità e la riservatezza dei dati conservati o trasmessi e dei relativi servizi offerti o accessibili tramite tale rete o sistema informativo;	(2) "sicurezza", la capacità di una rete o di un sistema informativo di resistere, a un determinato livello di riservatezza, a eventi imprevisti o dolosi che compromettano la disponibilità, l'autenticità, l'integrità e la riservatezza dei dati conservati o trasmessi e dei relativi servizi offerti o accessibili tramite tale rete o sistema informativo; il concetto di "sicurezza" include i dispositivi tecnici nonché le soluzioni e le procedure operative idonei a garantire i requisiti di sicurezza di cui alla presente direttiva.
Emendamento 47 Proposta di direttiva Articolo 3 – punto 3
Testo della Commissione	Emendamento
(3) "rischio", ogni circostanza o evento con potenziali effetti pregiudizievoli per la sicurezza;	(3) "rischio", ogni circostanza o evento ragionevolmente individuabile con potenziali effetti pregiudizievoli per la sicurezza;
Emendamento 48 Proposta di direttiva Articolo 3 – punto 4
Testo della Commissione	Emendamento
(4) "incidente", ogni circostanza o evento con un reale effetto pregiudizievole per la sicurezza;	(4) “incidente”, ogni evento con un reale effetto pregiudizievole per la sicurezza;
Emendamento 49 Proposta di direttiva Articolo 3 – punto 5
Testo della Commissione	Emendamento
(5) "servizi della società dell’informazione", i servizi ai sensi dell’articolo 1, punto 2, della direttiva 98/34/CE;	soppresso
Emendamento 50 Proposta di direttiva Articolo 3 – punto 7
Testo della Commissione	Emendamento
(7) "trattamento dell’incidente", tutte le procedure necessarie per l’analisi, il contenimento e la risposta a un incidente;	(7) “trattamento dell'incidente”, tutte le procedure necessarie per l'identificazione, la prevenzione, l'analisi, il contenimento e la risposta a un incidente;
Emendamento 51 Proposta di direttiva Articolo 3 – punto 8 – lettera a
Testo della Commissione	Emendamento
a) fornitore di servizi della società dell'informazione che consentono la fornitura di altri servizi della società dell'informazione; un elenco non esaustivo di tali operatori figura nell'allegato II;	soppressa
Emendamento 52 Proposta di direttiva Articolo 3 – punto 8 – lettera b
Testo della Commissione	Emendamento
b) operatore di infrastrutture critiche che sono essenziali per il mantenimento di attività vitali per l'economia e la società nei campi dell'energia, dei trasporti, delle banche, delle borse e della sanità; un elenco non esaustivo di tali operatori figura nell'allegato II;	b) operatore di infrastrutture che sono essenziali per il mantenimento di attività vitali per l’economia e la società nei campi dell’energia, dei trasporti, delle banche, delle infrastrutture dei mercati finanziari, dei punti di scambio internet, della catena di approvvigionamento alimentare e della sanità, la cui interruzione o distruzione avrebbe un impatto significativo in uno Stato membro in conseguenza dell'incapacità di mantenere tali funzioni; un elenco non esaustivo di tali operatori figura nell’allegato II, nella misura in cui la rete e i sistemi informativi interessati sono correlati ai suoi servizi principali;
Emendamento 53 Proposta di direttiva Articolo 3 – punto 8 bis (nuovo)
Testo della Commissione	Emendamento
	(8 bis) "incidente avente un impatto significativo", incidente che pregiudica la sicurezza e la continuità di una rete o di un sistema informativi provocando gravi perturbazioni di funzioni vitali per l'economia o la società;
Emendamento 54 Proposta di direttiva Articolo 3 – punto 11 bis (nuovo)
Testo della Commissione	Emendamento
	(11 bis) "mercato regolamentato", mercato regolamentato ai sensi della definizione di cui all'articolo 4, punto 14, della direttiva 2004/39/CE del Parlamento europeo e del Consiglio^{1 bis};
	________________
	^{1 bis} Direttiva 2004/39/CE del Parlamento europeo e del Consiglio, del 21 aprile 2004, relativa ai mercati degli strumenti finanziari (GU L 45 del 16.2.2005, pag. 18).
Motivazione
Lo scopo è di allineare la definizione con quanto stabilito nel regolamento, non ancora adottato, del Parlamento europeo e del Consiglio sui mercati degli strumenti finanziari e che modifica il regolamento [EMIR] sugli strumenti derivati OTC, le controparti centrali e i repertori di dati sulle negoziazioni.
Emendamento 55 Proposta di direttiva Articolo 3 – punto 11 ter (nuovo)
Testo della Commissione	Emendamento
	(11 ter) "sistema multilaterale di negoziazione", sistema multilaterale di negoziazione così come definito all'articolo 4, punto 15, della direttiva 2004/39/CE;
Motivazione
Lo scopo è di allineare la definizione con quanto stabilito nel regolamento, non ancora adottato, del Parlamento europeo e del Consiglio sui mercati degli strumenti finanziari e che modifica il regolamento [EMIR] sugli strumenti derivati OTC, le controparti centrali e i repertori di dati sulle negoziazioni.
Emendamento 56 Proposta di direttiva Articolo 3 – punto 11 quater (nuovo)
Testo della Commissione	Emendamento
	(11 quater) "sistema organizzato di negoziazione", un sistema o un regime multilaterale diverso da un mercato regolamentato, da un sistema multilaterale di negoziazione o da una controparte centrale, gestito da una società di investimenti o da un operatore di mercato, che consente l'interazione tra interessi multipli di acquisto e di vendita di terzi relativi a obbligazioni, prodotti finanziari strutturati, quote di emissione o strumenti derivati, in modo da dare luogo a un contratto conformemente alle disposizioni del titolo II della direttiva 2004/39/CE;
Motivazione
L'introduzione della definizione è conforme e subordinata all'esito del regolamento, non ancora adottato, del Parlamento europeo e del Consiglio sui mercati degli strumenti finanziari e che modifica il regolamento [EMIR] sugli strumenti derivati OTC, le controparti centrali e i repertori di dati sulle negoziazioni.
Emendamento 57 Proposta di direttiva Articolo 5 – paragrafo 1 – lettera e bis (nuova)
Testo della Commissione	Emendamento
	e bis) gli Stati membri hanno la facoltà di chiedere l'assistenza dell'ENISA nell'elaborazione di strategie e piani nazionali di collaborazione in materia di SRI, sulla base di strategie minime comuni di SRI.
Emendamento 58 Proposta di direttiva Articolo 5 – paragrafo 2 – lettera a
Testo della Commissione	Emendamento
a) un piano di valutazione dei rischi per individuare i rischi e valutare le conseguenze di potenziali incidenti;	a) un quadro per la gestione dei rischi finalizzato all'elaborazione di una metodologia per l'identificazione, l'ordine di priorità, la valutazione e il trattamento dei rischi, l'esame delle conseguenze di potenziali incidenti, le scelte di prevenzione e di controllo, così come la definizione dei criteri per la selezione delle possibili contromisure;
Motivazione
Sostituisce l'emendamento 29. La proposta della Commissione avrebbe avuto una portata troppo vasta per quanto riguarda le questioni di sicurezza nazionale degli Stati membri e avrebbe reso il piano di collaborazione impraticabile e troppo complesso per essere efficace.
Emendamento 59 Proposta di direttiva Articolo 5 – paragrafo 2 – lettera b
Testo della Commissione	Emendamento
b) la definizione dei ruoli e delle responsabilità dei vari attori implicati nell'attuazione del piano;	b) la definizione dei ruoli e delle responsabilità delle varie autorità e degli altri attori implicati nell'attuazione del quadro;
Emendamento 60 Proposta di direttiva Articolo 5 – paragrafo 3
Testo della Commissione	Emendamento
3. La strategia nazionale e il piano nazionale di collaborazione in materia di SRI sono comunicati alla Commissione entro un mese dalla loro adozione.	3. La strategia nazionale e il piano nazionale di collaborazione in materia di SRI sono comunicati alla Commissione entro tre mesi dalla loro adozione.
Emendamento 61 Proposta di direttiva Articolo 6 – titolo
Testo della Commissione	Emendamento
Autorità nazionale competente in materia di sicurezza delle reti e dei sistemi informativi	Autorità nazionali competenti e punti di contatto unici in materia di sicurezza delle reti e dei sistemi informativi
Emendamento 62 Proposta di direttiva Articolo 6 – paragrafo 1
Testo della Commissione	Emendamento
1. Ogni Stato membro designa un'autorità nazionale competente in materia di sicurezza delle reti e dei sistemi informativi (la "autorità competente").	1. Ogni Stato membro designa una o più autorità nazionali civili competenti in materia di sicurezza delle reti e dei sistemi informativi (in seguito la/le "autorità competente/i").
Motivazione
Sostituisce l'emendamento 32 e mira a specificare ulteriormente il tipo di istituzione che deve svolgere il ruolo di autorità nazionale competente.
Emendamento 63 Proposta di direttiva Articolo 6 – paragrafo 2 bis (nuovo)
Testo della Commissione	Emendamento
	2 bis. Se uno Stato membro designa più di una autorità competente, esso procede con la nomina di un'autorità nazionale civile, per esempio un'autorità competente, come punto di contatto unico nazionale per la sicurezza delle reti e dei sistemi informativi (di seguito "punto di contatto unico"). Se uno Stato membro designa soltanto un'autorità competente, quest'ultima è anche il punto di contatto unico.
Motivazione
Sostituisce l'emendamento 33 ed è allineato al nuovo emendamento all'articolo 6, paragrafo 1, del relatore. Mira a specificare ulteriormente il tipo di istituzione che deve svolgere il ruolo di punto di contatto unico.
Emendamento 64 Proposta di direttiva Articolo 6 – paragrafo 2 ter (nuovo)
Testo della Commissione	Emendamento
	2 ter. Le autorità competenti e il punto di contatto unico di uno stesso Stato membro collaborano a stretto contatto per quanto concerne gli obblighi di cui alla presente direttiva.
Emendamento 65 Proposta di direttiva Articolo 6 – paragrafo 2 quater (nuovo)
Testo della Commissione	Emendamento
	2 quater. Il punto di contatto unico provvede alla collaborazione transfrontaliera con gli altri punti di contatto unici.
Emendamento 66 Proposta di direttiva Articolo 6 – paragrafo 3
Testo della Commissione	Emendamento
3. Gli Stati membri garantiscono che le autorità competenti siano dotate di risorse adeguate sul piano tecnico, finanziario e umano per eseguire in modo efficiente ed efficace i compiti loro assegnati e conseguire in questo modo gli obiettivi della presente direttiva. Gli Stati membri provvedono a garantire la collaborazione effettiva, efficiente e sicura delle autorità competenti attraverso la rete di cui all'articolo 8.	3. Gli Stati membri garantiscono che le autorità competenti e i punti di contatto unici siano dotati di risorse adeguate sul piano tecnico, finanziario e umano per eseguire in modo efficiente ed efficace i compiti loro assegnati e conseguire in questo modo gli obiettivi della presente direttiva. Gli Stati membri provvedono a garantire la collaborazione effettiva, efficiente e sicura dei punti di contatto unici attraverso la rete di cui all'articolo 8.
Emendamento 67 Proposta di direttiva Articolo 6 – paragrafo 4
Testo della Commissione	Emendamento
4. Gli Stati membri procurano che le autorità competenti ricevano le notifiche degli incidenti da parte delle amministrazioni pubbliche e degli operatori del mercato come specificato all'articolo 14, paragrafo 2 e che siano loro attribuiti i poteri di attuazione e di controllo di cui all'articolo 15.	4. Gli Stati membri procurano che le autorità competenti e i punti di contatto unici, se del caso in conformità del paragrafo 2 bis del presente articolo, ricevano le notifiche degli incidenti da parte degli operatori del mercato come specificato all'articolo 14, paragrafo 2 e che siano loro attribuiti i poteri di attuazione e di controllo di cui all'articolo 15.
Motivazione
Sostituisce l'emendamento 37 e intende chiarire il ruolo delle varie autorità al fine di evitare duplicazioni delle notifiche sia alle autorità competenti sia ai punti di contatto unici. Considerato che in alcuni settori le notifiche degli incidenti sono già fornite agli organismi dell'Unione, è necessario evitare duplicazioni.
Emendamento 68 Proposta di direttiva Articolo 6 – paragrafo 4 bis (nuovo)
Testo della Commissione	Emendamento
	4 bis. Qualora il diritto dell'Unione preveda un organismo di vigilanza o di regolamentazione settoriale dell'Unione, tra l'altro per la sicurezza delle reti e dei sistemi informativi, tale organismo riceve le notifiche degli incidenti in conformità dell'articolo 14, paragrafo 2, da parte degli operatori del mercato interessati in tale settore e gli sono attribuiti i poteri di attuazione e di controllo di cui all'articolo 15. L'organismo dell'Unione collabora a stretto contatto con le autorità competenti e il punto di contatto unico dello Stato membro ospitante per quanto concerne detti obblighi. Il punto di contatto unico dello Stato membro ospitante rappresenta l'organismo dell'Unione per quanto concerne gli obblighi di cui al capo III.
Emendamento 69 Proposta di direttiva Articolo 6 – paragrafo 5
Testo della Commissione	Emendamento
5. Le autorità competenti consultano le competenti autorità nazionali di contrasto e le autorità nazionali competenti per la protezione dei dati e collaborano con le stesse come necessario.	5. Le autorità competenti e i punti di contatto unici consultano le competenti autorità nazionali di contrasto e le autorità nazionali competenti per la protezione dei dati e collaborano con le stesse come necessario.
Emendamento 70 Proposta di direttiva Articolo 6 – paragrafo 6
Testo della Commissione	Emendamento
6. Ogni Stato membro comunica senza indugio alla Commissione l'autorità competente designata, i suoi compiti e qualsiasi ulteriore modifica dei medesimi. Ogni Stato membro rende pubblica l'autorità competente designata.	6. Ogni Stato membro comunica senza indugio alla Commissione le autorità competenti designate e il punto di contatto unico, i loro compiti e qualsiasi ulteriore modifica dei medesimi. Ogni Stato membro rende pubbliche le autorità competenti designate.
Emendamento 71 Proposta di direttiva Articolo 7 – paragrafo 1
Testo della Commissione	Emendamento
1. Ogni Stato membro costituisce una squadra di pronto intervento informatico (in seguito "CERT") col compito di trattare gli incidenti e i rischi secondo una procedura ben definita e conforme ai requisiti di cui all'allegato I, punto 1. È possibile creare una squadra CERT all'interno dell'autorità competente.	1. Ogni Stato membro costituisce almeno una squadra di pronto intervento informatico (in seguito "CERT") per ciascuno dei settori di cui all'allegato II col compito di trattare gli incidenti e i rischi secondo una procedura ben definita e conforme ai requisiti di cui all'allegato I, punto 1. È possibile creare una squadra CERT all'interno dell'autorità competente.
Emendamento 72 Proposta di direttiva Articolo 7 – paragrafo 5
Testo della Commissione	Emendamento
5. La squadra CERT opera sotto la supervisione dell'autorità competente la quale rivede periodicamente l'adeguatezza delle sue risorse, il mandato e l'efficacia della procedura di trattamento degli incidenti.	5. Le squadre CERT operano sotto la supervisione dell'autorità competente o del punto di contatto unico, il quale rivede periodicamente l'adeguatezza delle loro risorse, il mandato e l'efficacia della loro procedura di trattamento degli incidenti.
Emendamento 73 Proposta di direttiva Articolo 7 – paragrafo 5 bis (nuovo)
Testo della Commissione	Emendamento
	5 bis. Gli Stati membri assicurano che le squadre CERT siano dotate di risorse umane e finanziarie adeguate per partecipare attivamente alle reti di collaborazione internazionali e, in particolare, dell'Unione.
Emendamento 74 Proposta di direttiva Articolo 7 – paragrafo 5 ter (nuovo)
Testo della Commissione	Emendamento
	5 ter. Le squadre CERT hanno la facoltà, di cui sono incoraggiate ad avvalersi, di avviare esercitazioni congiunte con altre CERT, con squadre CERT che includano tutti gli Stati membri, con le opportune istituzioni di paesi terzi nonché con CERT di istituzioni multinazionali e internazionali come la NATO e le Nazioni Unite, con la possibilità di prendervi parte.
Emendamento 75 Proposta di direttiva Articolo 7 – paragrafo 5 quater (nuovo)
Testo della Commissione	Emendamento
	5 quater. Gli Stati membri possono richiedere l'assistenza dell'ENISA o di altri Stati membri nello sviluppo delle rispettive squadre CERT nazionali.
Emendamento 76 Proposta di direttiva Articolo 8 – paragrafo 1
Testo della Commissione	Emendamento
1. Le autorità competenti e la Commissione costituiscono una rete (rete di collaborazione) per collaborare in caso di rischi e incidenti a carico delle reti e dei sistemi informativi.	1. I punti di contatto unici, la Commissione e l'ENISA costituiscono una rete (in prosieguo "rete di collaborazione") per collaborare in caso di rischi e incidenti a carico delle reti e dei sistemi informativi.
Emendamento 77 Proposta di direttiva Articolo 8 – paragrafo 2
Testo della Commissione	Emendamento
2. La rete di collaborazione assicura la comunicazione permanente tra la Commissione e le autorità competenti. Se richiesta, l'Agenzia europea per la sicurezza delle reti e dell'informazione (ENISA) assiste la rete di collaborazione mettendole a disposizione le proprie competenze e consulenze.	2. La rete di collaborazione assicura la comunicazione permanente tra la Commissione e i punti di contatto unici. Se richiesta, l'ENISA assiste la rete di collaborazione mettendole a disposizione le proprie competenze e consulenze. Se del caso, gli operatori del mercato e i fornitori di soluzioni di cibersicurezza possono essere inoltre invitati a partecipare alle attività della rete di collaborazione di cui al paragrafo 3, lettere g) e i).
	La rete di collaborazione, ove opportuno, coopera con le autorità competenti per la protezione dei dati.
	La Commissione informa regolarmente la rete di collaborazione della ricerca nell'ambito della sicurezza e di altri programmi pertinenti di Orizzonte 2020.
Emendamento 78 Proposta di direttiva Articolo 8 – paragrafo 3
Testo della Commissione	Emendamento
3. All'interno della rete di collaborazione le autorità competenti:	3. All'interno della rete di collaborazione i punti di contatto unici:
a) diffondono preallarmi in merito a rischi e a incidenti in conformità all'articolo 10;	a) diffondono preallarmi in merito a rischi e a incidenti in conformità all'articolo 10;
b) garantiscono una risposta coordinata in conformità all'articolo 11;	b) garantiscono una risposta coordinata in conformità all'articolo 11;
c) pubblicano periodicamente informazioni non riservate sui preallarmi in corso e sulla risposta coordinata su un sito comune;	c) pubblicano periodicamente informazioni non riservate sui preallarmi in corso e sulla risposta coordinata su un sito comune;
d) discutono e valutano insieme, su richiesta di uno Stato membro o della Commissione, una o più strategie nazionali e uno o più piani nazionali di collaborazione in materia di SRI ai sensi dell'articolo 5, nell'ambito della presente direttiva;	d) discutono e valutano insieme una o più strategie nazionali e uno o più piani nazionali di collaborazione in materia di SRI ai sensi dell'articolo 5, nell'ambito della presente direttiva;
e) discutono e valutano insieme, su richiesta di uno Stato membro o della Commissione, l'efficacia delle squadre CERT, in particolare in occasione di esercitazioni in materia di SRI eseguite a livello di Unione;	e) discutono e valutano insieme l'efficacia delle squadre CERT, in particolare in occasione di esercitazioni in materia di SRI eseguite a livello di Unione;
f) collaborano e scambiano informazioni su tutti gli aspetti pertinenti col Centro europeo per la lotta alla criminalità informatica di Europol e con altri organismi europei competenti in particolare nei campi della protezione dei dati, dell'energia, dei trasporti, delle banche, delle borse e della sanità;	f) collaborano e scambiano competenze sugli aspetti pertinenti in materia di sicurezza delle reti e dell'informazione col Centro europeo per la lotta alla criminalità informatica di Europol e con altri organismi europei competenti, in particolare nei campi della protezione dei dati, dell'energia, dei trasporti, delle banche, dei mercati finanziari e della sanità;
	f bis) informano, se del caso, il coordinatore antiterrorismo dell'UE, mediante segnalazione, e lo invitano a fornire assistenza per l'analisi, i lavori preparatori e l'azione della rete di cooperazione;
g) si scambiano reciprocamente e comunicano alla Commissione informazioni e buone pratiche e si assistono reciprocamente ai fini della creazione di capacità in materia di SRI;	g) si scambiano reciprocamente e comunicano alla Commissione informazioni e buone pratiche e si assistono reciprocamente ai fini della creazione di capacità in materia di SRI;
h) organizzano periodicamente revisioni tra pari in materia di capacità e preparazione;
i) organizzano esercitazioni in materia di SRI al livello di Unione e partecipano, secondo il caso, a esercitazioni internazionali in materia di SRI.	i) organizzano esercitazioni in materia di SRI al livello di Unione e partecipano, secondo il caso, a esercitazioni internazionali in materia di SRI.
	i bis) interagiscono, si consultano e scambiano informazioni, se del caso, con gli operatori di mercato in merito ai rischi e agli incidenti a carico delle reti e dei sistemi informativi;
	i ter) elaborano, in collaborazione con l'ENISA, orientamenti per i criteri settoriali per la notifica di incidenti rilevanti, oltre ai parametri di cui all'articolo 14, paragrafo 2, ai fini di un'interpretazione comune, un'applicazione coerente e un'attuazione armoniosa all'interno dell'Unione.
Emendamento 79 Proposta di direttiva Articolo 8 – paragrafo 3 bis (nuovo)
Testo della Commissione	Emendamento
	3 bis. La rete di collaborazione pubblica una volta all'anno una relazione basata sulle attività della rete e sulla relazione sintetica presentata ai sensi dell'articolo 14, paragrafo 4, della presente direttiva, per i 12 mesi precedenti.
Emendamento 80 Proposta di direttiva Articolo 8 – paragrafo 4
Testo della Commissione	Emendamento
4. La Commissione stabilisce, mediante atti di esecuzione, le modalità necessarie per agevolare la collaborazione di cui ai paragrafi 2 e 3 tra le autorità competenti e con la Commissione. Tali atti di esecuzione sono adottati secondo la procedura di consultazione di cui all'articolo 19, paragrafo 2.	4. La Commissione stabilisce, mediante atti di esecuzione, le modalità necessarie per agevolare la collaborazione di cui ai paragrafi 2 e 3 tra i punti di contatto unici, la Commissione e l'ENISA. Tali atti di esecuzione sono adottati secondo la procedura di esame di cui all'articolo 19, paragrafo 3.
Emendamento 81 Proposta di direttiva Articolo 9 – paragrafo 1 bis (nuovo)
Testo della Commissione	Emendamento
	1 bis. I partecipanti all'infrastruttura sicura rispettano, tra l'altro, adeguate misure in materia di riservatezza e di sicurezza conformemente alla direttiva 95/46/CE e al regolamento (CE) n. 45/2001 in tutte le fasi del trattamento.
Emendamento 82 Proposta di direttiva Articolo 9 – paragrafo 2
Testo della Commissione	Emendamento
2. Alla Commissione è conferito il potere di adottare atti delegati, conformemente all'articolo 18, relativi alla definizione dei criteri che devono essere rispettati perché uno Stato membro sia autorizzato a partecipare al sistema sicuro di scambio di informazioni, riguardanti:	soppresso
a) la disponibilità di un'infrastruttura di informazione e comunicazione sicura e resiliente a livello nazionale, che sia compatibile e interoperabile con l'infrastruttura sicura della rete di collaborazione a norma dell'articolo 7, paragrafo 3, e
b) l'esistenza di processi e risorse umane, tecniche e finanziarie adeguate per le proprie autorità competenti e squadre CERT, che ne permettano la partecipazione effettiva, efficiente e sicura al sistema sicuro di scambio di informazioni a norma dell'articolo 6, paragrafo 3, articolo 7, paragrafo 2 e articolo 7, paragrafo 3.
Emendamento 83 Proposta di direttiva Articolo 9 – paragrafo 3
Testo della Commissione	Emendamento
3. La Commissione adotta, mediante atti di esecuzione, decisioni sull'accesso degli Stati membri a tale infrastruttura sicura, in base ai criteri di cui ai paragrafi 2 e 3. Tali atti di esecuzione sono adottati secondo la procedura di esame di cui all'articolo 19, paragrafo 3.	3. La Commissione adotta, mediante atti delegati, un insieme comune di norme di interconnessione e di sicurezza a cui i punti di contatto unici si conformano prima dello scambio di informazioni sensibili e riservate nella rete di collaborazione.
Emendamento 84 Proposta di direttiva Articolo 10 – paragrafo 1
Testo della Commissione	Emendamento
1. Le autorità competenti o la Commissione trasmettono preallarmi all'interno della rete di collaborazione in merito ai rischi e agli incidenti che rispondono ad una o più delle seguenti condizioni:	1. I punti di contatto unici o la Commissione trasmettono preallarmi all'interno della rete di collaborazione in merito ai rischi e agli incidenti che rispondono ad una o più delle seguenti condizioni:
a) la cui portata aumenta o è suscettibile di aumentare rapidamente;
b) che superano o sono suscettibili di superare la capacità nazionale di risposta;	b) il punto di contatto unico ritiene che il rischio o l'incidente superi potenzialmente la capacità nazionale di risposta;
c) che colpiscono o sono suscettibili di colpire più di uno Stato membro.	c) i punti di contatto unici o la Commissione ritengono che il rischio o l'incidente colpisca più di uno Stato membro.
Emendamento 85 Proposta di direttiva Articolo 10 – paragrafo 2
Testo della Commissione	Emendamento
2. Nei preallarmi le autorità competenti e la Commissione comunicano tutte le informazioni pertinenti in loro possesso che possono essere utili a valutare il rischio o l'incidente.	2. Nei preallarmi i punti di contatto unici e la Commissione comunicano senza indebito ritardo tutte le informazioni pertinenti in loro possesso che possono essere utili a valutare il rischio o l'incidente.
Emendamento 86 Proposta di direttiva Articolo 10 – paragrafo 3
Testo della Commissione	Emendamento
3. Su richiesta di uno Stato membro o di propria iniziativa la Commissione può chiedere a uno Stato membro di fornire qualunque informazione pertinente su uno specifico rischio o incidente.	soppresso
Emendamento 87 Proposta di direttiva Articolo 10 – paragrafo 4
Testo della Commissione	Emendamento
4. Qualora il preallarme riguardi un rischio o un incidente di sospetta natura dolosa, le autorità competenti o la Commissione ne informano il Centro europeo per la lotta alla criminalità informatica di Europol.	4. Qualora il preallarme riguardi un rischio o un incidente di sospetta natura dolosa e qualora l'operatore del mercato interessato abbia segnalato incidenti di cui sospetta la natura dolosa grave a norma dell'articolo 15, paragrafo 4, gli Stati membri garantiscono che il Centro europeo per la lotta alla criminalità informatica di Europol sia informato, se del caso.
Emendamento 88 Proposta di direttiva Articolo 10 – paragrafo 4 bis (nuovo)
Testo della Commissione	Emendamento
	4 bis. I membri della rete di collaborazione non rendono pubbliche informazioni ricevute sui rischi e gli incidenti di cui al paragrafo 1 senza aver ricevuto previa approvazione del punto di contatto unico che ha effettuato la segnalazione.
	Inoltre, prima della condivisione delle informazioni nella rete di collaborazione, il punto di contatto unico notificante informa l'operatore del mercato a cui le informazioni fanno riferimento in merito alla sua intenzione, e laddove lo ritenga opportuno, rende anonime le informazioni in questione.
Emendamento 89 Proposta di direttiva Articolo 10 – paragrafo 4 ter (nuovo)
Testo della Commissione	Emendamento
	4 ter. Qualora il preallarme riguardi un rischio o un incidente di sospetta natura tecnica grave a livello transfrontaliero, i punti di contatto unici o la Commissione ne informano l'ENISA.
Emendamento 90 Proposta di direttiva Articolo 11 – paragrafo 1
Testo della Commissione	Emendamento
1. In seguito ad un preallarme a norma dell'articolo 10 le autorità competenti adottano, dopo aver valutato le informazioni pertinenti, una risposta coordinata in conformità al piano unionale di collaborazione in materia di SRI di cui all'articolo 12.	1. In seguito ad un preallarme a norma dell'articolo 10 i punti di contatto unici adottano senza indebito ritardo, dopo aver valutato le informazioni pertinenti, una risposta coordinata in conformità al piano unionale di collaborazione in materia di SRI di cui all'articolo 12.
Emendamento 91 Proposta di direttiva Articolo 12 – paragrafo 2 – lettera a – trattino 1
Testo della Commissione	Emendamento
– una definizione del formato e delle procedure di raccolta e scambio di informazioni compatibili e comparabili sui rischi e sugli incidenti da parte delle autorità competenti,	– una definizione del formato e delle procedure di raccolta e scambio di informazioni compatibili e comparabili sui rischi e sugli incidenti da parte dei punti di contatto unici,
Emendamento 92 Proposta di direttiva Articolo 12 – paragrafo 3
Testo della Commissione	Emendamento
3. Il piano unionale di collaborazione in materia di SRI è adottato non oltre l'anno successivo all'entrata in vigore della presente direttiva ed è riveduto periodicamente.	3. Il piano unionale di collaborazione in materia di SRI è adottato non oltre l'anno successivo all'entrata in vigore della presente direttiva ed è riveduto periodicamente. I risultati di ciascuna revisione sono comunicati al Parlamento europeo.
Emendamento 93 Proposta di direttiva Articolo 12 – paragrafo 3 bis (nuovo)
Testo della Commissione	Emendamento
	3 bis. È assicurata la coerenza tra il piano unionale di collaborazione in materia di SRI e le strategie e i piani nazionali di collaborazione in materia di SRI, conformemente all'articolo 5 della presente direttiva.
Emendamento 94 Proposta di direttiva Articolo 13
Testo della Commissione	Emendamento
Ferma restando la possibilità, per la rete di collaborazione, di intrattenere una cooperazione informale a livello internazionale, l'Unione può concludere accordi internazionali con paesi terzi o organizzazioni internazionali che permettono o organizzano la loro partecipazione ad alcune delle attività della rete di collaborazione. Tali accordi tengono conto della necessità di garantire la protezione adeguata dei dati personali che circolano nella rete di collaborazione.	Ferma restando la possibilità, per la rete di collaborazione, di intrattenere una cooperazione informale a livello internazionale, l'Unione può concludere accordi internazionali con paesi terzi o organizzazioni internazionali che permettono o organizzano la loro partecipazione ad alcune delle attività della rete di collaborazione. Tali accordi tengono conto della necessità di garantire la protezione adeguata dei dati personali che circolano nella rete di collaborazione e specificano la procedura di controllo da seguire per garantire la protezione di tali dati personali. Il Parlamento europeo è informato in merito alla negoziazione degli accordi. Qualsiasi trasferimento di dati personali a destinatari ubicati in paesi al di fuori dell'Unione deve essere effettuato ai sensi degli articoli 25 e 26 della direttiva 95/46/CE e dell'articolo 9 del regolamento (CE) n. 45/2001.
Emendamento 95 Proposta di direttiva Articolo 13 bis (nuovo)
Testo della Commissione	Emendamento
	Articolo 13 bis
	Livello di criticità degli operatori del mercato
	Gli Stati membri possono determinare il livello di criticità degli operatori del mercato, tenendo conto delle peculiarità dei settori, di parametri quali l'importanza per un determinato operatore del mercato di mantenere un livello sufficiente del servizio settoriale, il numero di parti fornite dall'operatore e il periodo di tempo fino a quando la discontinuità dei servizi principali dell'operatore del mercato non avrà un impatto negativo sul mantenimento di attività vitali per l'economia e la società.
Motivazione
Il presente emendamento rientra nel capo IV e deve precedere il relativo articolo 14. Tali articoli intendono consentire una classificazione maggiormente differenziata dell'allegato II e di conseguenza degli obblighi di cui al capo IV. La notifica degli incidenti è effettuata da tutti gli operatori del mercato indipendentemente dal loro livello di criticità, mentre il formato degli audit sulla sicurezza può essere adattato al livello specifico di criticità dell'operatore del mercato.
Emendamento 96 Proposta di direttiva Articolo 14 – paragrafo 1
Testo della Commissione	Emendamento
1. Gli Stati membri procurano che le amministrazioni pubbliche e gli operatori del mercato adottino misure tecniche e organizzative adeguate alla gestione dei rischi che corre la sicurezza delle reti e dei sistemi informativi di cui hanno il controllo e che usano nelle loro operazioni. Tenuto conto delle conoscenze più aggiornate in materia, dette misure assicurano un livello di sicurezza adeguato al rischio in essere. In particolare sono adottate misure per prevenire e minimizzare l'impatto di incidenti a carico delle reti e dei sistemi informativi relativi ai servizi principali prestati, assicurando in questo modo la continuità dei servizi supportati da tali reti e sistemi informativi.	1. Gli Stati membri procurano che gli operatori del mercato adottino misure tecniche e organizzative adeguate e proporzionate all'individuazione e alla gestione efficace dei rischi che corre la sicurezza delle reti e dei sistemi informativi di cui hanno il controllo e che usano nelle loro operazioni. Tenuto conto delle conoscenze più aggiornate in materia, dette misure assicurano un livello di sicurezza adeguato al rischio in essere. In particolare sono adottate misure per prevenire e minimizzare l'impatto di incidenti a carico della sicurezza delle reti e dei sistemi informativi sui servizi principali prestati, assicurando in questo modo la continuità dei servizi supportati da tali reti e sistemi informativi.
Emendamento 97 Proposta di direttiva Articolo 14 – paragrafo 2
Testo della Commissione	Emendamento
2. Gli Stati membri procurano che le amministrazioni pubbliche e gli operatori del mercato notifichino all'autorità competente gli incidenti aventi un impatto significativo sulla sicurezza dei servizi principali prestati.	2. Gli Stati membri procurano che gli operatori del mercato notifichino senza indebito ritardo all'autorità competente o al punto di contatto unico gli incidenti aventi un impatto significativo sulla continuità dei servizi principali prestati. La notifica non espone la parte che la effettua a una maggiore responsabilità.
	Per determinare l'entità dell'impatto di un incidente si tiene conto, tra le altre cose, dei seguenti parametri:
Emendamento 98 Proposta di direttiva Articolo 14 – paragrafo 2 – lettera a (nuova)
Testo della Commissione	Emendamento
	a) il numero degli utenti i cui servizi essenziali sono stati colpiti;
Emendamento 99 Proposta di direttiva Articolo 14 – paragrafo 2 – lettera b (nuova)
Testo della Commissione	Emendamento
	b) la durata dell'incidente;
Emendamento 100 Proposta di direttiva Articolo 14 – paragrafo 2 – lettera c (nuova)
Testo della Commissione	Emendamento
	c) la diffusione geografica relativamente all'area interessata dall'incidente.
Emendamento 101 Proposta di direttiva Articolo 14 – paragrafo 2 – comma 1 bis (nuovo)
Testo della Commissione	Emendamento
	Tali parametri sono ulteriormente specificati ai sensi dell'articolo 8, paragrafo 3, lettera i ter).
Emendamento 102 Proposta di direttiva Articolo 14 – paragrafo 2 bis (nuovo)
Testo della Commissione	Emendamento
	2 bis. Gli operatori di mercato notificano gli incidenti di cui ai paragrafi 1 e 2 all'autorità competente o al punto unico di contatto dello Stato membro in cui si trova il servizio essenziale interessato. Qualora siano interessati i servizi essenziali di più di uno Stato membro, il punto di contatto unico che ha ricevuto la notifica allerta, sulla base delle informazioni fornite dall'operatore di mercato, gli altri punti di contatto unici interessati. L'operatore del mercato è informato quanto prima in merito agli altri punti di contatto informati dell'incidente nonché delle eventuali azioni intraprese, dei risultati o di qualsiasi informazione pertinente per l'incidente.
Emendamento 103 Proposta di direttiva Articolo 14 – paragrafo 2 ter (nuovo)
Testo della Commissione	Emendamento
	2 ter. Se la notifica contiene dati personali, questi sono divulgati unicamente ai destinatari dell'autorità competente notificata o del punto di contatto unico, che devono trattarli per lo svolgimento dei propri compiti, conformemente alla normativa in materia di protezione dei dati. La divulgazione dei dati si limita a quanto necessario per lo svolgimento di tali compiti.
Emendamento 104 Proposta di direttiva Articolo 14 – paragrafo 2 quater (nuovo)
Testo della Commissione	Emendamento
	2 quater. Gli operatori di mercato che non rientrano nell'allegato II possono segnalare incidenti a norma dell'articolo 14, paragrafo 2, su base volontaria.
Emendamento 105 Proposta di direttiva Articolo 14 – paragrafo 4
Testo della Commissione	Emendamento
4. L'autorità competente può informare il pubblico, oppure richiedere alle amministrazioni pubbliche e agli operatori del mercato di informarlo, se ritiene che la divulgazione dell'incidente sia di pubblico interesse. Una volta l'anno l'autorità competente trasmette alla rete di collaborazione una relazione sintetica delle notifiche ricevute e delle misure adottate conformemente al presente paragrafo.	4. Dopo essersi consultato con l'autorità competente notificata e l'operatore di mercato interessato, il punto di contatto unico può informare il pubblico sui singoli incidenti, se determina che l'informazione al pubblico è necessaria per evitare un incidente o gestire un incidente in corso, o se l'operatore di mercato, in caso di incidente, si rifiuta di affrontare quanto prima una grave vulnerabilità strutturale connessa all'incidente.
	Prima di un'eventuale divulgazione pubblica, l'autorità competente notificata garantisce che l'operatore di mercato interessato abbia la possibilità di essere ascoltato e che la decisione in merito alla divulgazione pubblica sia debitamente controbilanciata dall'interesse pubblico.
	Se sono rese pubbliche le informazioni sui singoli incidenti, l'autorità competente notificata o il punto di contatto unico garantiscono che siano quanto più anonime possibile.
	L'autorità competente o il punto di contatto unico forniscono all'operatore di mercato interessato, se ragionevolmente possibile, le informazioni a sostegno del trattamento efficace dell'incidente notificato.
Una volta l'anno l'autorità competente trasmette alla rete di collaborazione una relazione sintetica delle notifiche ricevute e delle misure adottate conformemente al presente paragrafo.	Una volta l'anno il punto di contatto unico trasmette alla rete di collaborazione una relazione sintetica delle notifiche ricevute, compreso il loro numero e i parametri degli incidenti di cui al paragrafo 2 del presente articolo, nonché delle misure adottate conformemente al presente paragrafo.
Emendamento 106 Proposta di direttiva Articolo 14 – paragrafo 4 bis (nuovo)
Testo della Commissione	Emendamento
	4 bis. Gli Stati membri incoraggiano gli operatori di mercato a pubblicare nei rendiconti finanziari, su base volontaria, gli incidenti che coinvolgono le loro società.
Emendamento 107 Proposta di direttiva Articolo 14 – paragrafo 5
Testo della Commissione	Emendamento
5. Alla Commissione è conferito il potere di adottare atti delegati conformemente all'articolo 18 riguardanti la definizione delle circostanze alle quali le amministrazioni pubbliche e gli operatori del mercato sono tenuti a notificare gli incidenti.	soppresso
Emendamento 108 Proposta di direttiva Articolo 14 – paragrafo 6
Testo della Commissione	Emendamento
6. Fatti salvi gli atti delegati adottati a norma del paragrafo 5, le autorità competenti possono adottare orientamenti e, se necessario, emanare istruzioni sulle circostanze alle quali le amministrazioni pubbliche e gli operatori del mercato sono tenuti a notificare gli incidenti.	6. Le autorità competenti o i punti di contatto unici possono adottare orientamenti sulle circostanze alle quali gli operatori del mercato sono tenuti a notificare gli incidenti.
Emendamento 109 Proposta di direttiva Articolo 14 – paragrafo 8
Testo della Commissione	Emendamento
8. Il disposto dei paragrafi 1 e 2 non si applica alle microimprese quali definite nella raccomandazione 2003/361/CE della Commissione, del 6 maggio 2003, relativa alla definizione delle microimprese, piccole e medie imprese¹².	8. Il disposto dei paragrafi 1 e 2 non si applica alle microimprese quali definite nella raccomandazione 2003/361/CE della Commissione, del 6 maggio 2003, relativa alla definizione delle microimprese, piccole e medie imprese¹², a meno che le microimprese non fungano da affiliate per un operatore di mercato quale definito all'articolo 3, paragrafo 8, lettera b).
_____________	_____________
¹² GU L 124 del 20.5.2003, pag. 36.	¹²GU L 124 del 20.5.2003, pag. 36.
Emendamento 110 Proposta di direttiva Articolo 14 – paragrafo 8 bis (nuovo)
Testo della Commissione	Emendamento
	8 bis. Gli Stati membri possono decidere di applicare, mutatis mutandis, il presente articolo e l'articolo 15 alle amministrazioni pubbliche.
Emendamento 111 Proposta di direttiva Articolo 15 – paragrafo 1
Testo della Commissione	Emendamento
1. Gli Stati membri procurano che le autorità competenti siano dotate di tutti i poteri necessari per indagare i casi di mancato rispetto, da parte delle amministrazioni pubbliche o degli operatori del mercato, degli obblighi loro imposti dall'articolo 14 e gli effetti di tale mancato rispetto sulla sicurezza delle reti e dei sistemi informativi.	1. Gli Stati membri procurano che le autorità competenti e i punti di contatto unici siano dotati dei poteri necessari per garantire il rispetto degli obblighi imposti agli operatori di mercato dall'articolo 14 e degli effetti di tale mancato rispetto sulla sicurezza delle reti e dei sistemi informativi.
Emendamento 112 Proposta di direttiva Articolo 15 – paragrafo 2 – parte introduttiva
Testo della Commissione	Emendamento
2. Gli Stati membri procurano che le autorità competenti abbiano il potere di richiedere agli operatori del mercato e alle amministrazioni pubbliche di:	2. Gli Stati membri procurano che le autorità competenti e i punti di contatto unici abbiano il potere di richiedere agli operatori del mercato di:
Emendamento 113 Proposta di direttiva Articolo 15 – paragrafo 2 – lettera b
Testo della Commissione	Emendamento
b) sottoporsi ad audit condotto da un organismo qualificato indipendente o da un'autorità nazionale e metterne i risultati a disposizione dell'autorità competente.	b) comprovare l'efficace attuazione delle politiche di sicurezza, anche mediante i risultati di un audit sulla sicurezza condotto da un organismo qualificato indipendente o da un'autorità nazionale, mettendo i riscontri a disposizione dell'autorità competente o del punto di contatto unico.
Emendamento 114 Proposta di direttiva Articolo 15 – paragrafo 2 – comma 1 bis (nuovo)
Testo della Commissione	Emendamento
	Quando tale richiesta viene presentata, le autorità competenti e i punti di contatto unici indicano lo scopo della stessa specificando adeguatamente il tipo di informazioni richieste.
Emendamento 115 Proposta di direttiva Articolo 15 – paragrafo 3
Testo della Commissione	Emendamento
3. Gli Stati membri procurano che le autorità competenti abbiano il potere di emanare istruzioni vincolanti per gli operatori del mercato e le amministrazioni pubbliche.	3. Gli Stati membri procurano che le autorità competenti e i punti di contatto unici abbiano il potere di emanare istruzioni vincolanti per gli operatori del mercato:
Emendamento 116 Proposta di direttiva Articolo 15 – paragrafi 3 bis e 3 ter (nuovi)
Testo della Commissione	Emendamento
	3 bis. In deroga al paragrafo 2, lettera b), del presente articolo, gli Stati membri possono decidere che le autorità competenti o i punti di contatto unici, se del caso, devono applicare una diversa procedura a determinati operatori del mercato, in base al loro livello di criticità stabilito ai sensi dell'articolo 13 bis. Nel caso in cui gli Stati membri decidano in tal senso:
	a) le autorità competenti o i punti di contatto unici, se del caso, hanno il potere di inviare una richiesta sufficientemente specifica agli operatori del mercato in base alla quale si richiede loro di comprovare l'efficace attuazione delle politiche di sicurezza, anche mediante i risultati di un audit sulla sicurezza condotto da un revisore interno qualificato, mettendo i riscontri a disposizione dell'autorità competente o del punto di contatto unico;
	b) laddove necessario, a seguito dell'invio da parte dell'operatore del mercato della richiesta di cui alla lettera a), l'autorità competente o il punto di contatto unico può richiedere ulteriori prove o lo svolgimento di un audit aggiuntivo da parte di un organismo qualificato indipendente o di un'autorità nazionale.
	3 ter. Gli Stati membri possono decidere di ridurre il numero e l'intensità degli audit per un operatore di mercato interessato se il relativo audit sulla sicurezza indica il rispetto delle disposizioni del capo IV in modo coerente.
Emendamento 117 Proposta di direttiva Articolo 15 – paragrafo 4
Testo della Commissione	Emendamento
4. Le autorità competenti notificano alle autorità di contrasto gli incidenti di cui sospettano la natura dolosa grave.	4. Le autorità competenti e i punti di contatto unici informano gli operatori del mercato interessati in merito alla possibilità di segnalare alle autorità di contrasto gli incidenti di cui sospettano la natura dolosa grave.
Emendamento 118 Proposta di direttiva Articolo 15 – paragrafo 5
Testo della Commissione	Emendamento
5. Le autorità competenti operano in stretta cooperazione con le autorità competenti della protezione dei dati personali nei casi di incidenti che comportano violazioni di dati personali.	5. Fatte salve le norme di legge applicabili in materia di protezione dei dati, le autorità competenti e i punti di contatto unici operano in stretta cooperazione con le autorità competenti della protezione dei dati personali nei casi di incidenti che comportano violazioni di dati personali. I punti di contatto unici e le autorità competenti della protezione dei dati mettono a punto, in collaborazione con l'ENISA, meccanismi per lo scambio di informazioni e un modello unico da utilizzare tanto per le notifiche di cui all'articolo 14, paragrafo 2, della presente direttiva quanto per altre norme dell'Unione in materia di protezione dei dati.
Emendamento 119 Proposta di direttiva Articolo 15 – paragrafo 6
Testo della Commissione	Emendamento
6. Gli Stati membri garantiscono che gli obblighi imposti dal presente capo alle pubbliche amministrazioni e agli operatori del mercato possano essere soggetti a controllo giurisdizionale.	6. Gli Stati membri garantiscono che gli obblighi imposti dal presente capo agli operatori del mercato possano essere soggetti a controllo giurisdizionale.
Emendamento 120 Proposta di direttiva Articolo 15 – paragrafo 6 bis (nuovo)
Testo della Commissione	Emendamento
	6 bis. Gli Stati membri possono decidere di applicare, mutatis mutandis, l'articolo 14 e il presente articolo alle amministrazioni pubbliche.
Emendamento 121 Proposta di direttiva Articolo 16 – paragrafo 1
Testo della Commissione	Emendamento
1. Per garantire l'attuazione convergente del disposto dell'articolo 14, paragrafo 1, gli Stati membri incoraggiano l'uso di norme e/o specifiche relative alla sicurezza delle reti e dell'informazione.	1. Per garantire l'attuazione convergente del disposto dell'articolo 14, paragrafo 1, gli Stati membri, senza prescrivere l'uso di una particolare tecnologia, incoraggiano l'uso di norme e/o specifiche interoperabili europee o internazionali relative alla sicurezza delle reti e dell'informazione.
Emendamento 122 Proposta di direttiva Articolo 16 – paragrafo 2
Testo della Commissione	Emendamento
2. Mediante atti di esecuzione la Commissione redige un elenco delle norme di cui al paragrafo 1. L'elenco è pubblicato nella Gazzetta ufficiale dell'Unione europea.	2. La Commissione dà mandato a un pertinente organismo di normazione europeo di redigere, in consultazione con le parti interessate, un elenco delle norme e/o delle specifiche di cui al paragrafo 1. L'elenco è pubblicato nella Gazzetta ufficiale dell'Unione europea.
Emendamento 123 Proposta di direttiva Articolo 17 – paragrafo 1 bis (nuovo)
Testo della Commissione	Emendamento
	1 bis. Gli Stati membri garantiscono che le sanzioni di cui al paragrafo 1 del presente articolo vengano applicate solo se l'operatore del mercato è venuto meno intenzionalmente o per grave negligenza agli obblighi di cui al capo IV.
Emendamento 124 Proposta di direttiva Articolo 18 – paragrafo 3
Testo della Commissione	Emendamento
3. La delega di potere di cui all'articolo 9, paragrafo 2, all'articolo 10, paragrafo 5 e all'articolo 14, paragrafo 5, può essere revocata in qualsiasi momento dal Parlamento europeo o dal Consiglio. La decisione di revoca pone fine alla delega di potere ivi specificata. Gli effetti della decisione decorrono dal giorno successivo alla sua pubblicazione nella Gazzetta ufficiale dell'Unione europea o da una data successiva ivi specificata. Essa non pregiudica la validità degli atti delegati già in vigore.	3. La delega di potere di cui all'articolo 9, paragrafo 2, può essere revocata in qualsiasi momento dal Parlamento europeo o dal Consiglio. La decisione di revoca pone fine alla delega di potere ivi specificata. Gli effetti della decisione decorrono dal giorno successivo alla sua pubblicazione nella Gazzetta ufficiale dell'Unione europea o da una data successiva ivi specificata. Essa non pregiudica la validità degli atti delegati già in vigore.
Emendamento 125 Proposta di direttiva Articolo 18 – paragrafo 5
Testo della Commissione	Emendamento
5. L'atto delegato adottato ai sensi dell'articolo 9, paragrafo 2, dell'articolo 10, paragrafo 5 e dell'articolo 14, paragrafo 5, entra in vigore solo se né il Parlamento europeo né il Consiglio hanno sollevato obiezioni entro il termine di due mesi dalla data in cui esso è stato loro notificato o se, prima della scadenza di tale termine, sia il Parlamento europeo che il Consiglio hanno informato la Commissione che non intendono sollevare obiezioni. Tale termine è prorogato di due mesi su iniziativa del Parlamento europeo o del Consiglio.	5. L'atto delegato adottato ai sensi dell'articolo 9, paragrafo 2, entra in vigore solo se né il Parlamento europeo né il Consiglio hanno sollevato obiezioni entro il termine di due mesi dalla data in cui esso è stato loro notificato o se, prima della scadenza di tale termine, sia il Parlamento europeo che il Consiglio hanno informato la Commissione che non intendono sollevare obiezioni. Tale termine è prorogato di due mesi su iniziativa del Parlamento europeo o del Consiglio.
Emendamento 126 Proposta di direttiva Articolo 20
Testo della Commissione	Emendamento
La Commissione riesamina periodicamente il funzionamento della presente direttiva e presenta una relazione in proposito al Parlamento europeo e al Consiglio. La prima relazione è presentata entro tre anni dalla data di attuazione di cui all'articolo 21. A tal fine la Commissione può chiedere agli Stati membri di fornire informazioni senza ritardi.	La Commissione riesamina periodicamente il funzionamento della presente direttiva, in particolare l'elenco di cui all'allegato II, e presenta una relazione in proposito al Parlamento europeo e al Consiglio. La prima relazione è presentata entro tre anni dalla data di attuazione di cui all'articolo 21. A tal fine la Commissione può chiedere agli Stati membri di fornire informazioni senza ritardi.
Emendamento 127 Proposta di direttiva Allegato 1 – titolo 1
Testo della Commissione	Emendamento
Requisiti e compiti delle squadre di pronto intervento informatico (CERT)	(Non concerne la versione italiana)
Emendamento 128 Proposta di direttiva Allegato 1 – comma 1 – punto 1 – lettera a
Testo della Commissione	Emendamento
a) La squadra CERT garantisce un'elevata disponibilità dei propri servizi di comunicazione, evitando singoli punti di guasto, e dispone di vari mezzi che le permettono di essere contattata e di contattare altri. Inoltre, i canali di comunicazione sono chiaramente specificati e ben noti alla sua base di utenti e ai partner con cui collabora.	a) Le squadre CERT garantiscono un'elevata disponibilità dei propri servizi di comunicazione, evitando singoli punti di guasto, e dispongono di vari mezzi che permettono loro di essere contattate e di contattare altri in qualsiasi momento. Inoltre, i canali di comunicazione sono chiaramente specificati e ben noti alla sua base di utenti e ai partner con cui collabora.
Emendamento 129 Proposta di direttiva Allegato 1 – comma 1 – punto 1 – lettera c
Testo della Commissione	Emendamento
c) Gli uffici della squadra CERT e i sistemi informativi di supporto sono ubicati in siti sicuri.	c) Gli uffici delle squadre CERT e i sistemi informativi di supporto sono ubicati in siti sicuri, con reti e sistemi informativi protetti.
Emendamento 130 Proposta di direttiva Allegato 1 – comma 1 – punto 2 – lettera a – trattino 1
Testo della Commissione	Emendamento
– monitoraggio degli incidenti a livello nazionale,	– identificazione e monitoraggio degli incidenti a livello nazionale,
Emendamento 131 Proposta di direttiva Allegato 1 – comma 1 – punto 2 – lettera a – trattino 5 bis (nuovo)
Testo della Commissione	Emendamento
	– partecipazione attiva alle reti di collaborazione delle squadre CERT internazionali e dell'Unione,
Emendamento 132 Proposta di direttiva Allegato II – parte introduttiva
Testo della Commissione	Emendamento
Elenco degli operatori del mercato	Elenco degli operatori del mercato
Operatori di cui all'articolo 3, paragrafo 8, lettera a):
1. Piattaforme di commercio elettronico
2. Portali di pagamento su internet
3. Reti sociali
4. Motori di ricerca
5. Servizi nella nuvola (cloud computing)
6. Negozi online di applicazioni
Operatori di cui all'articolo 3, paragrafo 8, lettera b):
Emendamento 133 Proposta di direttiva Allegato II – punto 1
Testo della Commissione	Emendamento
Elenco degli operatori del mercato	Elenco degli operatori del mercato
1. Energia	1. Energia
	a) Elettricità
- Fornitori di elettricità e di gas	- Fornitori
- Operatori dei sistemi di distribuzione dell'elettricità e/o del gas e distributori al dettaglio ai consumatori finali	- Operatori dei sistemi di distribuzione e distributori al dettaglio ai consumatori finali
- Gestori dei sistemi di trasporto, di impianti di stoccaggio o di impianti di GNL nel settore del gas naturale
- Operatori dei sistemi di trasmissione nel settore dell'energia elettrica	- Operatori dei sistemi di trasmissione nel settore dell'energia elettrica
	b) Petrolio
- Oleodotti e depositi di petrolio	- Oleodotti e depositi di petrolio
	- Operatori di impianti di produzione, raffinazione, trattamento, deposito e trasporto di petrolio
	c) Gas
- Operatori del mercato dell'energia elettrica e del gas	- Fornitori
	- Operatori dei sistemi di distribuzione e distributori al dettaglio ai consumatori finali
	- Operatori dei sistemi di trasporto, di impianti di stoccaggio e di GNL nel settore del gas naturale
- Operatori di impianti di produzione, raffinazione e trattamento di petrolio e gas naturale	- Operatori di impianti di produzione, raffinazione, trattamento, deposito e trasporto di gas naturale
	- Operatori del mercato del gas
Emendamento 134 Proposta di direttiva Allegato II – punto 2
Testo della Commissione	Emendamento
2. Trasporti	2. Trasporti
- Vettori aerei (trasporto aereo di merci e passeggeri)	a) Trasporti su strada
- Vettori marittimi (compagnie di navigazione per il trasporto marittimo e costiero di passeggeri e per il trasporto marittimo e costiero di merci)	i) Operatori attivi nel controllo della gestione del traffico
- Trasporto ferroviario (gestori dell'infrastruttura, imprese integrate e operatori di trasporto ferroviario)	ii) Servizi logistici ausiliari:
- Aeroporti	- deposito e stoccaggio,
- Porti	- movimentazione merci, e
- Operatori attivi nel controllo della gestione del traffico	- altre attività di supporto ai trasporti
- Servizi logistici ausiliari a) deposito e stoccaggio, b) movimentazione merci e c) altre attività di supporto ai trasporti)	b) Trasporto ferroviario
	i) Trasporto ferroviario (gestori dell'infrastruttura, imprese integrate e operatori di trasporto ferroviario)
	ii) Operatori attivi nel controllo della gestione del traffico
	iii) Servizi logistici ausiliari:
	- deposito e stoccaggio,
	- movimentazione merci, e
	- altre attività di supporto ai trasporti
	c) Trasporto aereo
	i) Vettori aerei (trasporto aereo di merci e passeggeri)
	ii) Aeroporti
	iii) Operatori attivi nel controllo della gestione del traffico
	iv) Servizi logistici ausiliari:
	- depositi,
	- movimentazione merci, e
	- altre attività di supporto ai trasporti
	d) Trasporti marittimi
	i) Vettori marittimi (compagnie di navigazione per il trasporto terrestre, marittimo e costiero di passeggeri e per il trasporto terrestre, marittimo e costiero di merci)
Emendamento 135 Proposta di direttiva Allegato II – punto 4
Testo della Commissione	Emendamento
4. Infrastrutture dei mercati finanziari: Borse e stanze di compensazione di tipo controparte centrale	4. Infrastrutture dei mercati finanziari: mercati regolamentati, strutture multilaterali di negoziazione, strutture organizzate di negoziazione e stanze di compensazione di tipo controparte centrale
Emendamento 136 Proposta di direttiva Allegato II – punto 5 bis (nuovo)
Testo della Commissione	Emendamento
	5 bis. Produzione e approvvigionamento idrico
Emendamento 137 Proposta di direttiva Allegato II – punto 5 ter (nuovo)
Testo della Commissione	Emendamento
	5 ter. Catena di approvvigionamento alimentare
Emendamento 138 Proposta di direttiva Allegato II – punto 5 quater (nuovo)
Testo della Commissione	Emendamento
	5 quater. Punti di scambio Internet

[1] GU C 0, 0.0.0000, pag.0 /Non ancora pubblicato nella Gazzetta ufficiale.
[2] Testi approvati, P7_TA(2013)0376.

MOTIVAZIONE

1. Contesto

L'Agenda digitale europea sollecitava già nel 2010 l'introduzione di strumenti legislativi per una politica di alto livello in materia di sicurezza delle reti e delle informazioni. Tenendo conto dell'interconnessione delle reti e dei sistemi informativi, gravi perturbazioni di tali sistemi in uno Stato membro possono ripercuotersi sugli altri Stati membri e avere conseguenze in tutta l'UE. La resilienza e la stabilità delle reti e dei sistemi informativi nonché la continuità dei servizi principali sono fondamentali per l'armonioso funzionamento del mercato interno, in particolare per l'ulteriore sviluppo del mercato unico digitale.

Alla luce dei diversi livelli di capacità e della frammentazione degli approcci nell'Unione, la Commissione europea, nella sua proposta di direttiva recante misure volte a garantire un livello comune elevato di sicurezza delle reti e dell'informazione nell'Unione, mira a migliorare la sicurezza di Internet e delle reti e dei sistemi informativi privati che sostengono il funzionamento delle nostre società e delle nostre economie.

A tale scopo, la Commissione chiede agli Stati membri di aumentare il loro grado di preparazione e di migliorare la collaborazione reciproca. Di conseguenza, gli operatori di infrastrutture critiche, come l'energia, i trasporti e i principali fornitori di servizi della società dell'informazione nonché le pubbliche amministrazioni dovrebbero adottare misure adeguate per gestire i rischi di sicurezza e segnalare alle autorità competenti gli incidenti gravi.

2. Progetto di relazione

Il relatore sostiene l'obiettivo generale della direttiva proposta, ovvero garantire un livello comune elevato di sicurezza delle reti e dell'informazione. Al fine di rafforzare l'efficacia delle misure proposte, il relatore ritiene che, in primo luogo, la direttiva dovrebbe limitarsi ad alcuni operatori, tutelare gli investimenti già effettuati nella sicurezza delle reti e dell'informazione ed evitare duplicazioni delle strutture istituzionali e degli obblighi imposti agli operatori di mercato. Inoltre, il relatore è del parere che la direttiva dovrebbe sostenere lo sviluppo di relazioni e scambi affidabili tra gli attori pubblici e privati e che si dovrebbero evitare effetti negativi sotto forma di una mera "cultura della conformità" invece dell'auspicata "cultura della gestione del rischio". Alla luce di tali considerazioni, il relatore propone di rafforzare l'impatto della direttiva con le seguenti modifiche principali.

A. Ambito di applicazione

Il progetto di direttiva mira a imporre obblighi alle pubbliche amministrazioni e agli operatori di mercato, in particolare nel campo delle infrastrutture critiche e dei servizi della società dell'informazione. Al fine di perseguire la proporzionalità e i risultati concreti della direttiva, il relatore ritiene che le misure obbligatorie di cui al capo IV dovrebbero limitarsi alle infrastrutture che sono critiche in senso stretto. Ritiene che i servizi della società dell'informazione non dovrebbero pertanto essere inclusi nell'allegato II della direttiva. La direttiva dovrebbe invece incentrarsi sugli operatori di mercato che forniscono i servizi, in particolare nei settori dell'energia e dei trasporti nonché delle infrastrutture dei mercati finanziari o della salute.

In ragione della loro missione pubblica, le pubbliche amministrazioni devono esercitare la dovuta diligenza nella gestione delle proprie reti e dei rispettivi sistemi informatici. Il relatore non ritiene pertanto proporzionato imporre loro gli stessi obblighi degli operatori di mercato.

Oltre alle modifiche dell'ambito di applicazione, il relatore sostiene il carattere non esaustivo dell'allegato II ed è favorevole a una revisione periodica della direttiva, anche nella prospettiva dei nuovi sviluppi tecnologici.

B. Autorità nazionali competenti

La proposta di direttiva prevede la designazione di un'autorità competente nazionale per Stato membro, responsabile del controllo dell'applicazione della direttiva. Il relatore ritiene che non si tenga adeguatamente conto delle strutture già esistenti.

In alcuni settori coperti dall'ambito della direttiva, gli operatori di mercato comunicano già formalmente o informalmente alla propria autorità di regolamentazione settoriale alcuni incidenti di sicurezza delle reti e dell'informazione. Alla luce del legame diretto e delle strette relazioni con i loro rispettivi settori, tali autorità hanno una conoscenza approfondita delle minacce e delle vulnerabilità specifiche del settore e si trovano pertanto in una posizione privilegiata per valutare l'impatto degli incidenti potenziali o in corso del loro settore.

Oltre agli investimenti settoriali esistenti, alcuni Stati membri possono dover designare più di un'autorità competente nazionale a causa della loro struttura costituzionale o per altre motivazioni. Di conseguenza, il relatore propone di modificare la direttiva in modo da consentire la designazione di più di un'autorità competente per Stato membro. Tuttavia, al fine di garantire un'applicazione coerente all'interno dello Stato membro e consentire una cooperazione efficace e semplificata a livello dell'Unione, ogni Stato membro dovrebbe nominare un unico punto di contatto responsabile, tra l'altro, della partecipazione alla rete di collaborazione di cui all'articolo 8 e della presentazione dei preallarmi di cui all'articolo 10.

C. Rete di collaborazione

Al fine di rafforzare le attività della rete di collaborazione, il relatore ritiene che gli operatori di mercato dovrebbero essere invitati a partecipare alle attività, laddove opportuno. Inoltre, una relazione annuale sulle attività della rete fornirebbe informazioni preziose sui progressi nello scambio delle migliori pratiche tra gli Stati membri e sullo sviluppo delle notifiche degli incidenti in tutta l'Unione.

D. Obblighi in materia di sicurezza e notifica degli incidenti

La principale novità della proposta di direttiva è l'introduzione della notifica obbligatoria da parte degli operatori di mercato degli incidenti che hanno un impatto significativo sulla sicurezza dei servizi principali. Allo scopo di chiarire la portata degli obblighi e integrarli nell'atto di base, il relatore propone di sostituire gli atti delegati di cui all'articolo 14, paragrafo 5, con criteri chiari per determinare la rilevanza degli incidenti da notificare. Alla luce del previsto allineamento alla direttiva 2009/140/CE, indicatori simili a quelli previsti negli orientamenti tecnici ENISA sulla segnalazione degli incidenti per la direttiva 2009/140/CE chiarirebbero l'ambito e i criteri per la notifica. Inoltre, il relatore raccomanda di rafforzare le tutele in materia di pubblicazione delle informazioni relative agli incidenti e chiarisce l'applicabilità della legge in caso di un incidente che interessi i servizi fondamentali in diversi Stati membri, al fine di non imporre obblighi di notifica multipli o non chiari.

E. Attuazione e controllo

Il relatore ritiene fondamentale promuovere una cultura di gestione del rischio e basarsi sulle iniziative attuali degli operatori di mercato. A tal proposito, è del parere che sia importante non tanto la forma con cui vengono fornite le informazioni sulle attività concrete di gestione del rischio, quanto la collaborazione globale e le misure concrete adottate dagli operatori di mercato.

Di conseguenza, nel contesto dell'articolo 15, è necessario consentire una certa flessibilità per quanto concerne la dimostrazione della conformità agli obblighi di sicurezza imposti agli operatori. Le prove di conformità fornite in forma diversa dagli audit di sicurezza dovrebbero essere ammissibili.

F. Sanzioni

Mentre il relatore ritiene necessario prevedere sanzioni per gli operatori di mercato non conformi al fine di rafforzare l'efficacia della direttiva, è del parere che le sanzioni potenziali non dovrebbero disincentivare la notifica degli incidenti e creare effetti negativi. Occorre evitare che la notifica rapida degli incidenti sia pregiudicata dal rischio di sanzioni, in particolare per il semplice mancato rispetto dei requisiti procedurali. Di conseguenza, il relatore propone di chiarire che le sanzioni non vengono applicate laddove l'operatore di mercato non abbia rispettato gli obblighi di cui al capo IV senza agire intenzionalmente o con grave negligenza.

PARERE della commissione per l'industria, la ricerca e l'energia* (19.12.2013)

destinato alla commissione per il mercato interno e la protezione dei consumatori

sulla proposta di direttiva del Parlamento europeo e del Consiglio recante misure volte a garantire un livello comune elevato di sicurezza delle reti e dell'informazione nell'Unione.
(COM(2013)0048 – C7‑0035/2013 – 2013/0027(COD))

Relatore per parere (*): Pilar del Castillo Vera

(*) Procedura con le commissioni associate – Articolo 50 del regolamento

BREVE MOTIVAZIONE

Nel febbraio 2013, la Commissione europea, come richiesto dal Parlamento europeo nella sua relazione d'iniziativa sull'Agenda digitale europea, ha presentato una proposta di direttiva recante misure volte a garantire un livello comune elevato di sicurezza delle reti e dell'informazione nell'Unione, insieme alla prima strategia di sicurezza informatica dell'UE. Il relatore accoglie con favore la proposta, tenendo in considerazione il fatto che dall'analisi dei dati disponibili si può stimare che gli incidenti di natura malevola correlati alle tecnologie dell'informazione e della comunicazione possono comportare costi diretti di oltre 560 milioni di euro all'anno per le sole PMI e che tutti i tipi di incidenti (compresi i problemi fisici o ambientali a monte come le catastrofi naturali) possono comportare costi diretti di oltre 2,3 miliardi.

In merito alla sua struttura, il relatore concorda con diverse misure proposte, come l'estensione ad altri settori infrastrutturali chiave delle disposizioni sulla segnalazione di incidenti di sicurezza attualmente limitati ai prestatori di servizi di telecomunicazione ai sensi dell'articolo 13 bis della direttiva quadro del 2009. Di conseguenza, proposte quali il requisito secondo cui tutti gli Stati membri devono disporre di squadre di pronto intervento informatico correttamente funzionanti e designare un'autorità competente che faccia parte di una rete paneuropea per lo scambio elettronico di dati al fine di garantire la condivisione e lo scambio di informazioni correlate alla sicurezza informatica sono accolte con favore e hanno il potenziale di contribuire fortemente all'obiettivo della proposta di direttiva, in particolare per garantire un livello comune elevato di sicurezza delle reti e dell'informazione nell'Unione.

Il relatore è, tuttavia, del parere che vi sia spazio per migliorare la proposta applicando due principi essenziali: efficienza e fiducia.

Primo principio – Efficienza

Per quanto concerne gli obblighi degli Stati membri di designare un'autorità competente responsabile del monitoraggio e dell'applicazione della direttiva per tutti i settori di cui all'allegato II della proposta, il relatore è del parere che ciascuno Stato membro non debba solo poter scegliere liberamente il modello di governance in materia di sicurezza informatica che ritiene più adeguato, ma anche che ciò sia essenziale al fine di evitare duplicazioni delle strutture istituzionali che potrebbero potenzialmente portare a conflitti di competenze e a interruzioni delle comunicazioni. Di conseguenza, il relatore è del parere che le attuali strutture nazionali che sono già attive ed efficienti e che corrispondono alle esigenze e ai requisiti costituzionali di uno Stato membro non debbano essere rimosse. Ritiene, tuttavia, che al fine di garantire lo scambio di informazioni a livello dell'Unione, la notifica dei preallarmi per le minacce e una partecipazione efficiente alla rete di collaborazione, ciascuno Stato membro debba nominare un punto di contatto unico.

Nello stesso spirito inteso a massimizzare l'efficienza della direttiva proposta, il relatore è del parere che le misure proposte relativamente all'istituzione di una squadra di pronto intervento informatico (CERT) possano non rivelarsi il requisito più adeguato, dal momento che non tiene in considerazione le diversità in termini di caratteristiche e composizione delle squadre di pronto intervento informatico esistenti. Non solo la maggior parte degli Stati membri hanno più di una CERT, ma queste affrontano inoltre diversi tipi di incidenti. Vi sono differenze anche in termini di quantità e qualità delle attività a seconda che siano ospitate e gestite da istituti accademici o di ricerca, governi o dal settore privato. Inoltre, l'attuale proposta interromperebbe le attuali reti di collaborazione internazionali ed europee, a cui già appartengono alcune CERT, che si sono dimostrati efficaci nel coordinare le risposte internazionali ed europee agli incidenti. Di conseguenza, il relatore è del parere che anziché far riferimento a un'unica CERT nazionale, la direttiva dovrebbe riferirsi a quelle CERT che prestano i propri servizi ai settori di cui all'allegato II, così che, per esempio, una CERT presti servizi a tutti i settori dell'allegato II o che diverse CERT prestino servizi allo stesso settore. Il relatore è, tuttavia, del parere che gli Stati membri debbano garantire la piena operabilità delle rispettive CERT in ogni momento e assicurare che dispongano di risorse tecniche, finanziarie e umane sufficienti per operare adeguatamente e partecipare alle reti di collaborazione internazionale e dell'Unione.

Il principio dell'efficienza richiede, inoltre, modifiche alla direttiva proposta per quanto riguarda la portata. Sebbene il relatore concordi sul fatto che gli obblighi del sistema di segnalazione debbano essere estesi ai settori dell'energia, dei trasporti, della sanità e dei servizi finanziari, la proposta di ampliare le misure obbligatorie definite nel capo IV a tutti gli operatori del mercato dell'"economia di Internet" è sproporzionata e ingestibile. Sproporzionata perché l'imposizione indiscriminata di nuovi obblighi a una categoria aperta e non definita come qualsiasi "fornitore di servizi della società dell'informazione che consentono la fornitura di altri servizi della società dell'informazione" non è solo incomprensibile, ma non è nemmeno debitamente giustificata per quanto riguarda i possibili danni causati da un incidente di sicurezza e comporta potenzialmente l'aggiunta di un ulteriore livello di burocrazia al nostro settore industriale e più in particolare alle PMI. Ingestibile perché emergono forti dubbi sul fatto che le autorità competenti siano in grado di gestire tutte le possibili notifiche in un modo proattivo che possa incoraggiare un dialogo bidirezionale con gli operatori del mercato al fine di risolvere eventuali minacce di sicurezza.

Per quanto riguarda le pubbliche amministrazioni, la direttiva deve bilanciare la necessità di un ulteriore sviluppo di servizi di e-government con gli obblighi di dovuta diligenza esistenti per le pubbliche amministrazioni relativamente alla gestione e alla protezione delle reti e dei sistemi informativi. Di conseguenza, il relatore è del parere che sebbene i requisiti relativi allo scambio di informazioni stabiliti dall'articolo 14 debbano applicarsi pienamente alle pubbliche amministrazioni, esse non debbano essere soggette agli obblighi di cui all'articolo 15.

Secondo principio – Fiducia

Il parere del relatore è che gran parte del successo della direttiva dipenda dalla sua capacità di incentivare la partecipazione degli operatori del mercato, portando alla creazione di un ambiente per la sicurezza delle reti e dell'informazione affidabile al quale siano proattivamente interessati a partecipare gli operatori sul campo. Se non riuscirà a raggiungere tale obiettivo, fallirà. A tale proposito, il relatore propone di garantire che la partecipazione e le comunicazioni degli operatori del mercato non siano pregiudicate dalla pubblicazione non necessaria degli incidenti di sicurezza che hanno segnalato oppure che essi possano essere ritenuti responsabili della perdita di informazioni da parte delle autorità competenti o dei punti di contatto unici. Inoltre, deve esistere un dialogo bidirezionale tra gli operatori e le autorità competenti e la partecipazione degli operatori del mercato deve essere incoraggiata in tutte le sedi, compresa la rete di collaborazione.

Il relatore ritiene inoltre che la fiducia debba essere il pilastro della partecipazione delle autorità competenti e/o dei punti di contatto unici, in particolare per quanto riguarda lo scambio di informazioni. Al fine di garantire ciò, la direttiva deve contenere disposizioni relative ai requisiti di confidenzialità e di sicurezza della rete.

EMENDAMENTI

La commissione per l'industria, la ricerca e l'energia invita la commissione per il mercato interno e la protezione dei consumatori, competente per il merito, a includere nella sua relazione i seguenti emendamenti:

Emendamento 1 Proposta di direttiva Considerando 1
Testo della Commissione	Emendamento
(1) Le reti e i sistemi e servizi di informazione svolgono un ruolo vitale nella società. È essenziale che essi siano affidabili e sicuri per l'attività economica e il benessere sociale e in particolare ai fini del funzionamento del mercato interno.	(1) Le reti e i sistemi e servizi di informazione svolgono un ruolo vitale nella società. È essenziale che essi siano affidabili e sicuri per la libertà e la sicurezza globale dei cittadini dell'UE oltre che per l'attività economica e il benessere sociale e in particolare ai fini del funzionamento del mercato interno.
Emendamento 2 Proposta di direttiva Considerando 2
Testo della Commissione	Emendamento
(2) La portata e la frequenza degli incidenti dolosi o accidentali a carico della sicurezza stanno aumentando e rappresentano una grave minaccia per il funzionamento delle reti e dei sistemi informativi. Tali incidenti possono impedire il proseguimento di attività economiche, provocare notevoli perdite finanziarie, minare la fiducia degli utenti e causare gravi danni all'economia dell'Unione.	(2) La portata, la frequenza e l'impatto degli incidenti a carico della sicurezza stanno aumentando e rappresentano una grave minaccia per il funzionamento delle reti e dei sistemi informativi. Tali sistemi possono inoltre diventare un facile bersaglio per azioni intenzionalmente tese a danneggiare o interrompere il funzionamento dei sistemi. Tali incidenti possono minacciare la salute e la sicurezza della popolazione, impedire il proseguimento di attività economiche, provocare notevoli perdite finanziarie, minare la fiducia degli utenti e degli investitori e causare gravi danni all'economia dell'Unione.
Motivazione
Gli attacchi informatici contro le società quotate sono diffusi e includono il furto di attività finanziarie e di proprietà intellettuale oppure la perturbazione delle operazioni dei clienti o partner commerciali; si tratta di attività che potrebbero inoltre avere ripercussioni sulle relazioni con gli azionisti nonché sulle decisioni dei potenziali investitori.
Emendamento 3 Proposta di direttiva Considerando 3
Testo della Commissione	Emendamento
(3) In quanto strumenti di comunicazione non vincolati a frontiere, i sistemi informativi digitali - e in prima linea internet - svolgono un ruolo essenziale per agevolare i movimenti transnazionali di beni, servizi e persone. Tenendo conto di questa dimensione transnazionale, gravi perturbazioni di tali sistemi in uno Stato membro possono ripercuotersi sugli altri Stati membri e avere conseguenze in tutta l'UE. La resilienza e la stabilità delle reti e dei sistemi informativi è quindi essenziale per l'armonioso funzionamento del mercato interno.	(3) In quanto strumenti di comunicazione non vincolati a frontiere tradizionali, i sistemi informativi digitali - e in prima linea Internet - svolgono un ruolo essenziale per agevolare i movimenti transnazionali di beni, servizi, idee e persone. Tenendo conto di questa dimensione transnazionale, gravi perturbazioni di tali sistemi in uno Stato membro possono ripercuotersi sugli altri Stati membri e avere conseguenze in tutta l'UE. La resilienza e la stabilità delle reti e dei sistemi informativi sono quindi essenziali per l'armonioso funzionamento del mercato interno, oltre che per il funzionamento dei mercati esterni.
Motivazione
La resilienza e la stabilità delle reti e dei sistemi informativi del mercato interno sono essenziali anche per l'interazione con i mercati globali e regionali come l'America settentrionale o l'Asia, tra gli altri.
Emendamento 4 Proposta di direttiva Considerando 4
Testo della Commissione	Emendamento
(4) È opportuno istituire un meccanismo di cooperazione a livello dell'Unione che permetta lo scambio di informazioni e il coordinamento delle attività di individuazione e di risposta attinenti alla sicurezza delle reti e dell'informazione (SRI). Perché tale meccanismo sia effettivo e inclusivo è importante che tutti gli Stati membri dispongano di un livello minimo di capacità e si dotino di una strategia per garantire un livello elevato di sicurezza delle reti e dell'informazione sul loro territorio. È opportuno che anche alle pubbliche amministrazioni e agli operatori di infrastrutture informatiche critiche si applichino obblighi minimi di sicurezza, per promuovere una cultura della gestione dei rischi e garantire la segnalazione degli incidenti più gravi.	(4) È opportuno istituire un meccanismo di cooperazione a livello dell'Unione che permetta lo scambio di informazioni e il coordinamento delle attività di prevenzione, di individuazione e di risposta attinenti alla sicurezza delle reti e dell'informazione (SRI). Perché tale meccanismo sia effettivo e inclusivo è importante che tutti gli Stati membri dispongano di un livello minimo di capacità e si dotino di una strategia per garantire un livello elevato di sicurezza delle reti e dell'informazione sul loro territorio. È opportuno che anche agli operatori pubblici e privati di infrastrutture informatiche e alle società quotate sui mercati azionari si applichino obblighi minimi di sicurezza, per promuovere una cultura della gestione dei rischi e garantire la segnalazione degli incidenti più gravi. È opportuno che il quadro giuridico si basi sull'esigenza di tutelare la riservatezza e l'integrità dei cittadini. È opportuno che la rete informativa di allarme sulle infrastrutture critiche (CIWIN) sia estesa ai particolari operatori citati.
Motivazione
Le violazioni della sicurezza di società quotate potrebbero avere ripercussioni sostanziali sui prodotti, i servizi, i rapporti con i clienti o i fornitori della società e sulle condizioni di concorrenza in generale; pertanto potrebbe avere pesanti conseguenze per il funzionamento del mercato interno (ed esterno). Anche le società quotate dovrebbero quindi rientrare nell'ambito di applicazione della presente direttiva.
Emendamento 5 Proposta di direttiva Considerando 4 bis (nuovo)
Testo della Commissione	Emendamento
	(4 bis) La direttiva dovrebbe concentrarsi sull'infrastruttura critica essenziale per il mantenimento di attività economiche e sociali essenziali nei campi dell'energia, dei trasporti, dei servizi bancari, delle infrastrutture del mercato finanziario e della sanità.
Emendamento 6 Proposta di direttiva Considerando 4 ter (nuovo)
Testo della Commissione	Emendamento
	(4 ter) Per far sì che i governi non eccedano o utilizzino in modo improprio i loro poteri, è essenziale che i sistemi informativi e di sicurezza delle autorità pubbliche siano trasparenti, legittimi, correttamente definiti e adottati in modo trasparente attraverso un processo democratico.
Emendamento 7 Proposta di direttiva Considerando 6
Testo della Commissione	Emendamento
(6) Le capacità esistenti non bastano a garantire un livello elevato di sicurezza delle reti e dell'informazione nell'Unione. I livelli di preparazione negli Stati membri sono molto diversi tra loro il che comporta una frammentazione degli approcci nell'Unione. Ne deriva un livello disomogeneo di protezione dei consumatori e delle imprese che compromette il livello globale di sicurezza delle reti e dell'informazione nell'Unione. La mancanza di obblighi minimi comuni imposti alle pubbliche amministrazioni e agli operatori del mercato rende inoltre impossibile la creazione di un meccanismo globale ed efficace di cooperazione a livello dell'Unione.	(6) Le capacità esistenti non bastano a garantire un livello elevato di sicurezza delle reti e dell'informazione nell'Unione. I livelli di preparazione negli Stati membri sono molto diversi tra loro il che comporta una frammentazione degli approcci nell'Unione. Ne deriva un livello disomogeneo di protezione dei consumatori e delle imprese che compromette il livello globale di sicurezza delle reti e dell'informazione nell'Unione. La mancanza di obblighi minimi comuni imposti agli operatori del mercato rende inoltre impossibile la creazione di un meccanismo globale ed efficace di cooperazione a livello dell'Unione, danneggiando inoltre l'efficacia della cooperazione internazionale e di conseguenza la lotta contro le sfide di sicurezza globale, compromettendo altresì il ruolo guida dell'Unione a livello internazionale nella tutela e nella promozione di un Internet aperto, efficiente e sicuro.
Emendamento 8 Proposta di direttiva Considerando 7
Testo della Commissione	Emendamento
(7) Per una risposta efficace alle sfide in materia di sicurezza delle reti e dei sistemi informativi è pertanto necessario un approccio globale a livello di Unione, che contempli la creazione di una capacità minima comune e disposizioni minime in materia di pianificazione, scambio di informazioni e coordinamento delle azioni, nonché obblighi minimi comuni di sicurezza per tutti gli operatori del mercato interessati e le pubbliche amministrazioni.	(7) Per una risposta efficace alle sfide in materia di sicurezza delle reti e dei sistemi informativi è pertanto necessario un approccio globale a livello di Unione, che contempli la creazione di una capacità minima comune e disposizioni minime in materia di pianificazione, lo sviluppo di competenze sufficienti in materia di sicurezza informatica, lo scambio di informazioni e il coordinamento delle azioni, nonché obblighi minimi comuni di sicurezza. È opportuno applicare norme comuni minime conformemente alle raccomandazioni pertinenti dei Cyber Security Co-ordination Group (CSGC).
Emendamento 9 Proposta di direttiva Considerando 9
Testo della Commissione	Emendamento
(9) Per conseguire e mantenere un livello comune elevato di sicurezza delle reti e dei sistemi informativi è opportuno che ogni Stato membro disponga di una strategia nazionale in materia di SRI che definisca gli obiettivi strategici e gli interventi strategici concreti da attuare. Per poter raggiungere una capacità di risposta tale da permettere un'efficiente collaborazione a livello nazionale e unionale in caso di incidenti è necessario che siano elaborati, a livello nazionale, piani di collaborazione in materia di sicurezza delle reti e dell'informazione, rispondenti a condizioni essenziali.	(9) Per conseguire e mantenere un livello comune elevato di sicurezza delle reti e dei sistemi informativi è opportuno che ogni Stato membro disponga di una strategia nazionale in materia di SRI che definisca gli obiettivi strategici e gli interventi strategici concreti da attuare. Per poter raggiungere una capacità di risposta tale da permettere un'efficiente collaborazione a livello nazionale e unionale in caso di incidenti è necessario che siano elaborati, a livello nazionale, sulla base di requisiti minimi stabiliti nella presente direttiva, piani di collaborazione in materia di sicurezza delle reti e dell'informazione, rispondenti a condizioni essenziali. È pertanto opportuno che ogni Stato membro sia obbligato a rispettare norme minime comuni riguardo al formato e alla scambiabilità dei dati da condividere e valutare. Gli Stati membri possono richiedere l'assistenza dell'Agenzia dell'Unione europea per la sicurezza delle reti e dell'informazione (ENISA) ai fini dello sviluppo delle rispettive strategie nazionali in materia di SRI, sulla base di una strategia generale SRI minima comune.
Motivazione
L'ENISA è già riconosciuta dai soggetti interessati pertinenti come un centro di eccellenza altamente competente e strumento degno di fiducia per la promozione della sicurezza informatica nell'UE. L'UE dovrebbe evitare la duplicazione degli sforzi e delle strutture sfruttando il know-how dell'ENISA affidando a quest'ultima il compito di offrire servizi di consulenza agli Stati membri privi di istituzioni e competenze SRI che avanzino una richiesta in tal senso.
Emendamento 10 Proposta di direttiva Considerando 10
Testo della Commissione	Emendamento
(10) Per permettere l'efficace attuazione delle disposizioni adottate a norma della presente direttiva è necessario che sia istituito o individuato in ogni Stato membro un organismo responsabile del coordinamento degli aspetti della SRI, che funga da perno della cooperazione transnazionale a livello unionale. Questi organismi devono essere dotati di risorse adeguate sul piano tecnico, finanziario e umano per permettere loro di eseguire in modo efficiente ed efficace i compiti loro assegnati e conseguire in questo modo gli obiettivi della presente direttiva.	(10) Per permettere l'efficace attuazione delle disposizioni adottate a norma della presente direttiva è necessario che sia istituito o individuato in ogni Stato membro un organismo responsabile del coordinamento degli aspetti della SRI, che funga da perno unico del coordinamento interno e della cooperazione transnazionale a livello unionale. I punti di contatto unici nazionali in questione dovrebbero essere concepiti in maniera tale da lasciare impregiudicata la possibilità per ogni Stato membro di designare più di un'autorità competente nazionale incaricata della sicurezza delle reti informative, nel rispetto dei loro obblighi costituzionali, giurisdizionali o amministrativi; dovrebbe tuttavia essere assegnato loro un mandato di coordinamento a livello nazionale e di Unione. Gli organismi in questione dovrebbero essere dotati di risorse adeguate sul piano tecnico, finanziario e umano per permettere loro di eseguire in modo continuativo, efficiente ed efficace i compiti loro assegnati e conseguire in questo modo gli obiettivi della presente direttiva.
Emendamento 11 Proposta di direttiva Considerando 10 bis (nuovo)
Testo della Commissione	Emendamento
	(10 bis) In considerazione delle differenze esistenti tra le strutture di governance nazionali e al fine di salvaguardare gli accordi settoriali già esistenti ed evitare duplicazioni, gli Stati membri devono poter designare più di un'autorità competente nazionale incaricata di svolgere i compiti connessi alla sicurezza delle reti e ai sistemi informatici degli operatori del mercato di cui alla presente direttiva. Tuttavia, onde garantire che la cooperazione e le comunicazioni transfrontaliere siano fluide, è necessario che ogni Stato membri designi soltanto un punto di contatto unico nazionale incaricato della cooperazione transfrontaliera a livello di Unione. Qualora la sua struttura costituzionale o altre formule lo richiedano, uno Stato membro deve poter designare soltanto un'autorità per svolgere i compiti dell'autorità competente e del punto di contatto unico.
Emendamento 12 Proposta di direttiva Considerando 11
Testo della Commissione	Emendamento
(11) È necessario che tutti gli Stati membri siano dotati delle capacità tecniche e organizzative necessarie a prevenire, individuare, rispondere e attenuare i rischi e gli incidenti a carico delle reti e dei sistemi informativi. Per questo è necessario che, in tutti gli Stati membri, siano costituite squadre di pronto intervento informatico rispondenti a determinati requisiti essenziali, in modo da garantire l'esistenza di capacità effettive e compatibili per far fronte ai rischi e agli incidenti e garantire un'efficiente collaborazione a livello di Unione.	(11) È necessario che tutti gli Stati membri e gli operatori del mercato siano dotati delle capacità tecniche e organizzative necessarie a prevenire, individuare, rispondere e attenuare i rischi e gli incidenti a carico delle reti e dei sistemi informativi in qualsiasi momento. I sistemi di sicurezza delle pubbliche amministrazioni devono essere sicuri e soggetti al controllo democratico. Le attrezzature e le capacità normalmente richieste dovrebbero essere conformi a norme tecniche decise di comune accordo oltre che a procedure operative standard. Per questo è necessario che, in tutti gli Stati membri, siano costituite squadre di pronto intervento informatico (CERT) rispondenti a determinati requisiti essenziali, in modo da garantire l'esistenza di capacità effettive e compatibili per far fronte ai rischi e agli incidenti e garantire un'efficiente collaborazione a livello di Unione. È opportuno che tali squadre CERT possano interagire sulla base di norme tecniche comuni e SPO. In considerazione delle diverse caratteristiche delle attuali squadre CERT, che rispondono a diverse esigenze soggettive e attori, gli Stati membri devono garantire che a ciascuno dei settori di cui all'allegato II siano forniti servizi da almeno una squadra CERT. Relativamente alla cooperazione transfrontaliera delle squadre CERT, gli Stati membri devono assicurare che esse dispongano di mezzi sufficienti per partecipare alle reti di collaborazione internazionali ed europee già esistenti.
Motivazione
È necessario garantire l'interoperabilità.
Emendamento 13 Proposta di direttiva Considerando 12
Testo della Commissione	Emendamento
(12) Basandosi sui notevoli progressi compiuti all'interno del Forum europeo degli Stati membri (EFMS) nel promuovere le discussioni e gli scambi di buone pratiche, come l'elaborazione dei principi della collaborazione europea in caso di crisi cibernetica, è opportuno che la Commissione e gli Stati membri creino una rete che assicuri una comunicazione permanente tra loro e ne sostenga la collaborazione. Tale meccanismo di collaborazione sicuro ed effettivo è destinato a permettere di strutturare e coordinare lo scambio di informazioni e le attività di individuazione e risposta a livello dell'Unione.	(12) Basandosi sui notevoli progressi compiuti all'interno del Forum europeo degli Stati membri (EFMS) nel promuovere le discussioni e gli scambi di buone pratiche, come l'elaborazione dei principi della collaborazione europea in caso di crisi cibernetica, è opportuno che la Commissione e gli Stati membri creino una rete che assicuri una comunicazione permanente tra loro e ne sostenga la collaborazione. Tale meccanismo di collaborazione sicuro ed effettivo, in cui è assicurata la partecipazione degli operatori del mercato, è destinato a permettere di strutturare e coordinare lo scambio di informazioni e le attività di individuazione e risposta a livello dell'Unione.
Emendamento 14 Proposta di direttiva Considerando 13
Testo della Commissione	Emendamento
(13) L'Agenzia europea per la sicurezza delle reti e dell'informazione (ENISA) dovrebbe assistere gli Stati membri e la Commissione mettendo loro a disposizione le proprie competenze e consulenze e agevolando lo scambio di buone pratiche. In particolare è opportuno che la Commissione consulti l'ENISA nell'applicazione della presente direttiva. Per garantire un'informazione effettiva e tempestiva degli Stati membri e della Commissione è necessario che gli incidenti e i rischi siano segnalati precocemente attraverso la rete di collaborazione. Per creare capacità e conoscenze tra gli Stati membri, la rete di collaborazione dovrebbe anche servire da strumento di scambio di buone pratiche, assistendo i propri membri a creare capacità e conducendo l'organizzazione di valutazioni tra pari e di esercitazioni in materia di SRI.	(13) L'Agenzia europea per la sicurezza delle reti e dell'informazione (ENISA) dovrebbe assistere gli Stati membri e la Commissione mettendo loro a disposizione le proprie competenze e consulenze e agevolando lo scambio di buone pratiche. In particolare è opportuno che la Commissione e gli Stati membri consultino l'ENISA nell'applicazione della presente direttiva. Per garantire un'informazione effettiva e tempestiva degli Stati membri e della Commissione è necessario che gli incidenti e i rischi siano segnalati precocemente attraverso la rete di collaborazione. Per creare capacità e conoscenze tra gli Stati membri, la rete di collaborazione dovrebbe anche servire da strumento di scambio di buone pratiche, assistendo i propri membri a creare capacità e conducendo l'organizzazione di valutazioni tra pari e di esercitazioni in materia di SRI.
Emendamento 15 Proposta di direttiva Considerando 14
Testo della Commissione	Emendamento
(14) Nella rete di collaborazione è opportuno creare un'infrastruttura di scambio sicuro di informazioni che consenta lo scambio di informazioni sensibili e riservate tra autorità competenti. Fatto salvo il loro obbligo di segnalare gli incidenti e i rischi di dimensione unionale alla rete di collaborazione, è opportuno che l'accesso a informazioni riservate di altri Stati membri sia concesso soltanto agli Stati membri che dimostrano di possedere processi e risorse finanziarie, tecniche ed umane e un'infrastruttura di comunicazione tali da garantirne la partecipazione effettiva, efficiente e sicura alla rete.	(14) Nella rete di collaborazione è opportuno creare un'infrastruttura di scambio sicuro di informazioni, sotto la supervisione dell'ENISA, che consenta lo scambio di informazioni sensibili e riservate tra autorità competenti. Fatto salvo il loro obbligo di segnalare gli incidenti e i rischi di dimensione unionale alla rete di collaborazione, è opportuno che l'accesso a informazioni riservate di altri Stati membri sia concesso soltanto agli Stati membri che dimostrano di possedere processi e risorse finanziarie, tecniche ed umane e un'infrastruttura di comunicazione tali da garantirne la partecipazione effettiva, efficiente e sicura alla rete. Affinché la rete di collaborazione possa espletare efficacemente la propria missione, la Commissione deve istituire una linea di bilancio per la rete.
Emendamento 16 Proposta di direttiva Considerando 14 bis (nuovo)
Testo della Commissione	Emendamento
	(14 bis) Ove opportuno, gli operatori del mercato possono essere inoltre invitati a partecipare alle attività della rete di collaborazione.
Emendamento 17 Proposta di direttiva Considerando 15
Testo della Commissione	Emendamento
(15) La collaborazione tra il settore pubblico e il settore privato è essenziale visto che la maggioranza delle reti e dei sistemi informativi funziona per opera di operatori privati. Gli operatori del mercato devono essere incoraggiati a portare avanti propri meccanismi informali di collaborazione per garantire la sicurezza delle reti e dell'informazione. È necessario che essi collaborino anche con il settore pubblico e scambino informazioni e buone pratiche in cambio di supporto operativo in caso di incidenti.	(15) La collaborazione tra il settore pubblico e il settore privato è essenziale visto che la maggioranza delle reti e dei sistemi informativi funziona per opera di operatori privati. Gli operatori del mercato devono essere incoraggiati a portare avanti propri meccanismi informali di collaborazione per garantire la sicurezza delle reti e dell'informazione. È necessario che essi collaborino anche con il settore pubblico e scambino reciprocamente informazioni e buone pratiche in cambio di informazioni pertinenti e di supporto operativo e informazioni analizzate in modo strategico in caso di incidenti. Per incoraggiare efficacemente la condivisione di informazioni e migliori prassi, è essenziale garantire che gli operatori del mercato, che partecipano a tali scambi, non siano in condizione di svantaggio per effetto della loro cooperazione. Occorrono tutele adeguate per evitare in ogni caso che tale cooperazione esponga detti operatori a un più elevato rischio di conformità o a nuove responsabilità in materia, tra l'altro, di legislazione sulla concorrenza, la proprietà intellettuale, la protezione dei dati o i reati informatici, né a rischi più elevati a livello operativo o di sicurezza.
Emendamento 18 Proposta di direttiva Considerando 16
Testo della Commissione	Emendamento
(16) Per garantire la trasparenza e una corretta informazione dei cittadini e degli operatori del mercato dell'UE è necessario che le competenti autorità allestiscano un sito comune su cui pubblicare informazioni non riservate sui rischi e sugli incidenti.	(16) Per garantire la trasparenza e una corretta informazione dei cittadini e degli operatori del mercato dell'UE è necessario che i punti di contatto unici allestiscano un sito comune a livello di Unione su cui pubblicare informazioni non riservate sugli incidenti, sui rischi e su come attenuarli, nonché fornire eventuali suggerimenti in merito alle opportune misure di manutenzione.
Emendamento 19 Proposta di direttiva Considerando 17
Testo della Commissione	Emendamento
(17) Qualora le informazioni siano considerate riservate in virtù di norme unionali e nazionali sulla riservatezza degli affari, è necessario che tale riservatezza sia garantita nello svolgimento delle attività e nella realizzazione degli obiettivi stabiliti dalla presente direttiva.	(17) La politica di classificazione delle informazioni di cui al considerando 14 dovrebbe seguire il protocollo sulle modalità di condivisione delle informazioni (Information Sharing Traffic Light Protocol) raccomandato dall'ENISA. Qualsiasi informazione scambiata è classificata e gestita in base al suo livello di sensibilità, quale stabilito dalla fonte dell'informazione stessa. Qualora le informazioni siano considerate riservate in virtù di norme unionali e nazionali sulla riservatezza degli affari, è necessario che tale riservatezza sia garantita nello svolgimento delle attività e nella realizzazione degli obiettivi stabiliti dalla presente direttiva.
Emendamento 20 Proposta di direttiva Considerando 18
Testo della Commissione	Emendamento
(18) In base in particolare alle esperienze nazionali in materia di gestione delle crisi e in collaborazione con l'ENISA è opportuno che la Commissione e gli Stati membri elaborino un piano unionale di collaborazione in materia di SRI che definisce meccanismi di collaborazione nella lotta contro i rischi e gli incidenti. Occorre tenere debitamente conto di tale piano ai fini della segnalazione di preallarmi all'interno della rete di collaborazione.	(18) In base in particolare alle esperienze nazionali in materia di gestione delle crisi e in collaborazione con l'ENISA è opportuno che la Commissione e gli Stati membri elaborino un piano unionale di collaborazione in materia di SRI che definisce meccanismi di collaborazione, migliori prassi e modelli di funzionamento per prevenire, individuare, segnalare e contrastare i rischi e gli incidenti. Occorre tenere debitamente conto di tale piano ai fini della segnalazione di preallarmi all'interno della rete di collaborazione.
Emendamento 21 Proposta di direttiva Considerando 19
Testo della Commissione	Emendamento
(19) È necessario notificare un preallarme nella rete solo se la portata e la gravità dell'incidente o del rischio di cui si tratta sono o potrebbero essere così significative da richiedere l'informazione o il coordinamento della risposta a livello dell'Unione. È quindi necessario che i preallarmi si limitino agli incidenti o ai rischi, effettivi o potenziali, che presentano una crescita rapida, che superano le capacità nazionali di risposta o che colpiscono più di uno Stato membro. Per garantirne la corretta valutazione è necessario che siano comunicate alla rete di collaborazione tutte le informazioni pertinenti alla valutazione del rischio o dell'incidente.	(19) È necessario notificare un preallarme nella rete solo se la portata e la gravità dell'incidente o del rischio di cui si tratta sono o potrebbero essere così significative da richiedere l'informazione o il coordinamento della risposta a livello dell'Unione. È quindi necessario che i preallarmi si limitino agli incidenti o ai rischi che presentano una crescita rapida, che superano le capacità nazionali di risposta o che colpiscono più di uno Stato membro. Per garantirne la corretta valutazione è necessario che siano comunicate alla rete di collaborazione tutte le informazioni pertinenti alla valutazione del rischio o dell'incidente.
Emendamento 22 Proposta di direttiva Considerando 20
Testo della Commissione	Emendamento
(20) Dopo aver ricevuto e valutato un preallarme, è opportuno che le autorità competenti adottino una risposta coordinata nell'ambito del piano unionale di collaborazione materia di SRI. È necessario che le autorità competenti e la Commissione siano informate delle misure adottate a livello nazionale in esito alla risposta coordinata.	(20) Dopo aver ricevuto e valutato un preallarme, è opportuno che i punti di contatto unici adottino una risposta coordinata nell'ambito del piano unionale di collaborazione materia di SRI. È necessario che i punti di contatto unici, l'ENISA e la Commissione siano informati delle misure adottate a livello nazionale in esito alla risposta coordinata.
Emendamento 23 Proposta di direttiva Considerando 22
Testo della Commissione	Emendamento
(22) La responsabilità di garantire la sicurezza delle reti e dell'informazione incombe in larga misura alle pubbliche amministrazioni e agli operatori del mercato. È opportuno promuovere e sviluppare attraverso adeguati obblighi regolamentari e pratiche industriali volontarie una cultura della gestione del rischio, che comprende la valutazione del rischio e l'attuazione di misure di sicurezza commisurate al rischio corso. È altresì fondamentale creare pari condizioni per l'efficace funzionamento della rete di collaborazione in modo da garantire la collaborazione effettiva di tutti gli Stati membri.	(22) La responsabilità di garantire la sicurezza delle reti e dell'informazione incombe in larga misura alle pubbliche amministrazioni e agli operatori del mercato. È opportuno promuovere e sviluppare attraverso adeguati obblighi regolamentari e pratiche industriali volontarie una cultura della gestione del rischio, di stretta collaborazione e di fiducia, che comprende la valutazione del rischio e l'attuazione di misure di sicurezza commisurate al rischio corso. È altresì fondamentale creare pari condizioni affidabili per l'efficace funzionamento della rete di collaborazione in modo da garantire la collaborazione effettiva di tutti gli Stati membri.
Emendamento 24 Proposta di direttiva Considerando 24
Testo della Commissione	Emendamento
(24) È opportuno che tali obblighi imposti al settore delle comunicazioni elettroniche siano estesi ai principali fornitori di servizi della società dell'informazione, quali definiti dalla direttiva 98/34/CE del Parlamento europeo e del Consiglio, del 22 giugno 1998, che prevede una procedura d'informazione nel settore delle norme e delle regolamentazioni tecniche e delle regole relative ai servizi della società dell'informazione, che supportano i servizi della società dell'informazione²⁷ a valle o attività online come le piattaforme del commercio elettronico, i portali di pagamento su internet, le reti sociali, i motori di ricerca, i servizi nella nuvola e i negozi online di applicazioni. Le eventuali perturbazioni che colpiscono questi servizi essenziali della società dell'informazione impediscono la fornitura di altri servizi della società dell'informazione che si basano sui primi. Gli sviluppatori di programmi informatici e i costruttori di hardware non sono fornitori di servizi della società dell'informazione e sono pertanto esclusi. È necessario che i suddetti obblighi siano estesi anche alle pubbliche amministrazioni e agli operatori di infrastrutture critiche che dipendono pesantemente dalla tecnologia dell'informazione e delle comunicazioni e che sono essenziali per il mantenimento di funzioni vitali, in termini economici o societali, come l'elettricità e il gas, i trasporti, gli enti creditizi, le borse e la sanità. Le eventuali perturbazioni a carico di tali reti e sistemi informativi avrebbero ripercussioni sul mercato interno.	(24) È opportuno che tali obblighi imposti al settore delle comunicazioni elettroniche siano estesi agli operatori di infrastrutture che dipendono pesantemente dalla tecnologia dell'informazione e delle comunicazioni e che sono essenziali per il mantenimento di funzioni vitali, in termini economici o societali, come l'elettricità e il gas, i trasporti, gli enti creditizi, le infrastrutture dei mercati finanziari e la sanità. Le eventuali perturbazioni a carico di tali reti e sistemi informativi avrebbero ripercussioni sul mercato interno. Sebbene gli obblighi previsti dalla presente direttiva non si estendono ai principali fornitori di servizi della società dell'informazione, quali definiti dalla direttiva 98/34/CE del Parlamento europeo e del Consiglio, del 22 giugno 1998, che prevede una procedura d'informazione nel settore delle norme e delle regolamentazioni tecniche e delle regole relative ai servizi della società dell'informazione, che supportano i servizi della società dell'informazione²⁷ a valle o attività online come le piattaforme del commercio elettronico, i portali di pagamento su Internet, le reti sociali, i motori di ricerca, i servizi di cloud computing in generale o i negozi online di applicazioni, questi possono, su base volontaria, informare le autorità competenti o il punto di contatto unico degli incidenti di sicurezza delle reti che ritengono opportuni, e l'autorità competente o il punto di contatto unico dovrebbe, se ragionevolmente possibile, fornire agli operatori del mercato che hanno segnalato l'incidente le informazioni analizzate in modo strategico che consentano di superare la minaccia di sicurezza.
__________________	__________________
²⁷ GU L 204 del 21.07.98, pag. 37.	²⁷ GU L 204 del 21.07.98, pag. 37.
Emendamento 25 Proposta di direttiva Considerando 25
Testo della Commissione	Emendamento
(25) Le misure tecniche e organizzative imposte alle amministrazioni pubbliche e agli operatori del mercato non devono richiedere che una particolare informazione commerciale o un particolare prodotto della tecnologia delle comunicazioni siano concepiti, sviluppati e fabbricati in una maniera particolare.	(25) Le misure tecniche e organizzative imposte agli operatori del mercato non devono richiedere che una particolare informazione commerciale o un particolare prodotto della tecnologia delle comunicazioni siano concepiti, sviluppati e fabbricati in una maniera particolare. D'altro canto, dovrebbe essere prescritto l'uso di norme internazionali nell'ambito della sicurezza informatica.
Emendamento 26 Proposta di direttiva Considerando 28
Testo della Commissione	Emendamento
(28) È opportuno che le autorità competenti procurino in particolare di salvaguardare l'esistenza di canali informali e affidabili di scambio di informazioni tra gli operatori del mercato e tra settore pubblico e privato. La pubblicità degli incidenti segnalati alle autorità competenti deve contemperare l'opportunità che il pubblico sia informato delle minacce esistenti con i possibili danni di immagine e commerciali per le pubbliche amministrazioni e gli operatori di mercato che segnalano gli incidenti. Nell'attuare gli obblighi di notifica è necessario che le autorità competenti tengano adeguatamente conto della necessità di mantenere strettamente riservate le informazioni sulle vulnerabilità del prodotto prima di diffondere i rimedi di sicurezza appropriati.	(28) È opportuno che le autorità competenti e i punti di contatto unici procurino in particolare di salvaguardare l'esistenza di canali informali e affidabili di scambio di informazioni tra gli operatori del mercato e tra settore pubblico e privato. Le vulnerabilità precedentemente non note o gli incidenti segnalati alle autorità competenti dovrebbero essere notificati ai costruttori e ai fornitori dei prodotti e servizi TIC interessati. La pubblicità degli incidenti segnalati alle autorità competenti e ai punti di contatto unici deve contemperare l'opportunità che il pubblico sia informato delle minacce esistenti con i possibili danni di immagine e commerciali per gli operatori del mercato che segnalano gli incidenti. Al fine di salvaguardare la fiducia e l'efficienza, la pubblicità degli incidenti avviene solo dopo una consultazione con chi ha segnalato l'incidente e solo quando strettamente necessario per conseguire gli obiettivi della direttiva. Nell'attuare gli obblighi di notifica è necessario che le autorità competenti e i punti di contatto unici tengano adeguatamente conto della necessità di mantenere strettamente riservate le informazioni sulle vulnerabilità del prodotto prima della diffusione degli opportuni rimedi di sicurezza, senza tuttavia ritardare la notifica più di quanto assolutamente necessario. Come regola generale i punti di contatto unici non devono divulgare i dati personali dei soggetti coinvolti negli incidenti. I punti di contatto unici divulgano i dati personali soltanto se tale divulgazione è necessaria e proporzionata rispetto all'obiettivo perseguito.
Motivazione
Nel caso in cui le autorità vengano a conoscenza di vulnerabilità relative a determinati prodotti o servizi TIC esse dovrebbero comunicarlo ai costruttori e fornitori di servizi per consentire loro di adattare tempestivamente i loro prodotti e servizi.
Emendamento 27 Proposta di direttiva Considerando 29
Testo della Commissione	Emendamento
(29) È necessario che le autorità competenti possiedano i mezzi necessari all'assolvimento dei loro compiti, come la facoltà di ottenere informazioni sufficienti dagli operatori del mercato e dalle amministrazioni pubbliche per valutare il livello di sicurezza delle reti e dei sistemi informativi, nonché dati attendibili e completi su incidenti reali che hanno avuto un impatto sul funzionamento delle reti e dei sistemi informativi.	(29) È necessario che le autorità competenti e i punti di contatto unici possiedano i mezzi necessari all'assolvimento dei loro compiti, come la facoltà di ottenere informazioni sufficienti dagli operatori del mercato per valutare il livello di sicurezza delle reti e dei sistemi informativi, constatare il numero, la portata e le dimensioni degli incidenti, nonché dati attendibili e completi su incidenti reali che hanno avuto un impatto sul funzionamento delle reti e dei sistemi informativi.
Emendamento 28 Proposta di direttiva Considerando 30
Testo della Commissione	Emendamento
(30) In molti casi alla base di un incidente vi sono attività criminali. Si può sospettare la natura dolosa di incidenti anche se non vi sono prove sufficientemente chiare fin dall'inizio. Al riguardo, una risposta effettiva e esauriente alla minaccia di incidenti di sicurezza presuppone un'adeguata collaborazione tra autorità competenti e autorità di contrasto. In particolare, la promozione di un ambiente sicuro, affidabile e più resiliente richiede la segnalazione sistematica, alle autorità di contrasto, degli incidenti di cui si sospetta la natura dolosa grave. La natura dolosa grave degli incidenti va valutata alla luce delle norme dell'UE sulla cibercriminalità.	(30) In molti casi alla base di un incidente vi sono attività criminali o di guerra informatica. Si può sospettare la natura dolosa di incidenti anche se non vi sono prove sufficientemente chiare fin dall'inizio. Al riguardo, una risposta effettiva ed esauriente alla minaccia di incidenti di sicurezza presuppone un'adeguata collaborazione tra autorità competenti, punti di contatto unici e autorità di contrasto nonché una cooperazione con l'EC3 (Europol Cybercrime Center) e l'ENISA. In particolare, la promozione di un ambiente sicuro, affidabile e più resiliente richiede la segnalazione sistematica, alle autorità di contrasto, degli incidenti di cui si sospetta la natura dolosa grave. La natura dolosa grave degli incidenti va valutata alla luce delle norme dell'UE sulla cibercriminalità.
Emendamento 29 Proposta di direttiva Considerando 31
Testo della Commissione	Emendamento
(31) I molti casi gli incidenti compromettono dati personali. Al riguardo è opportuno che le autorità competenti e le autorità responsabili della protezione dei dati collaborino e si scambino informazioni su tutti gli aspetti pertinenti per affrontare le violazioni ai dati personali determinate dagli incidenti. Gli Stati membri devono adempiere l'obbligo di segnalazione degli incidenti di sicurezza in modo da minimizzare gli oneri amministrativi nel caso in cui l'incidente di sicurezza costituisca anche una violazione di dati personali, in conformità al regolamento del Parlamento europeo e del Consiglio concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati²⁸. Coordinandosi con le autorità competenti e le autorità responsabili della protezione dei dati, l'ENISA può contribuire alla messa a punto di meccanismi e modelli per lo scambio di informazioni, evitando in questo modo che siano necessari due modelli di notifica. Un modello di notifica unico può facilitare la segnalazione di incidenti che compromettono dati personali, alleviando in questo modo gli oneri amministrativi per le imprese e le pubbliche amministrazioni.	(31) I molti casi gli incidenti compromettono dati personali. È opportuno che gli Stati membri e gli operatori del mercato tutelino i dati personali archiviati, trattati o trasmessi, da eventuali distruzioni (accidentali o illecite), perdite accidentali nonché alterazione, archiviazione, accesso, divulgazione o diffusione non autorizzate o illecite; è altresì opportuno assicurare l'attuazione di una strategia di sicurezza in relazione al trattamento dei dati personali. Al riguardo è opportuno che le autorità competenti, i punti di contatto unici e le autorità responsabili della protezione dei dati collaborino e si scambino informazioni su tutti gli aspetti pertinenti per affrontare le violazioni ai dati personali determinate dagli incidenti. L'obbligo di segnalazione degli incidenti di sicurezza dovrebbe essere espletato in modo da minimizzare gli oneri amministrativi nel caso in cui l'incidente di sicurezza costituisca anche una violazione di dati personali che va notificata ai sensi della normativa applicabile. L'ENISA dovrebbe contribuire alla messa a punto di meccanismi per lo scambio di informazioni e di un modello di notifica unico il quale faciliterebbe la segnalazione di incidenti che compromettono dati personali, alleviando in questo modo gli oneri amministrativi per le imprese e le pubbliche amministrazioni.
__________________
²⁸ SEC(2012) 72 definitivo.
Motivazione
Allineamento al progetto di direttiva sulla protezione dei dati.
Emendamento 30 Proposta di direttiva Considerando 32
Testo della Commissione	Emendamento
(32) La standardizzazione degli obblighi di sicurezza è un'esigenza che nasce dal mercato. Per garantire un'applicazione convergente delle norme di sicurezza è opportuno che gli Stati membri incoraggino il rispetto o la conformità a norme specifiche volte a garantire un livello elevato di sicurezza in tutta l'Unione. A tal fine potrebbe essere necessario elaborare norme armonizzate in conformità al regolamento (UE) n. 1025/2012 del Parlamento europeo e del Consiglio, del 25 ottobre 2012, sulla normazione europea, che modifica le direttive 89/686/CEE e 93/15/CEE del Consiglio nonché le direttive 94/9/CE, 94/25/CE, 95/16/CE, 97/23/CE, 98/34/CE, 2004/22/CE, 2007/23/CE, 2009/23/CE e 2009/105/CE del Parlamento europeo e del Consiglio e che abroga la decisione 87/95/CEE del Consiglio e la decisione n. 1673/2006/CE del Parlamento europeo e del Consiglio²⁹.	(32) La standardizzazione degli obblighi di sicurezza è un'esigenza che nasce dal mercato a carattere volontario che deve consentire agli operatori del mercato di utilizzare mezzi alternativi per ottenere, almeno, risultati simili. Per garantire un'applicazione convergente delle norme di sicurezza è opportuno che gli Stati membri incoraggino il rispetto o la conformità a norme interoperabili specifiche volte a garantire un livello elevato di sicurezza in tutta l'Unione. A tal fine occorre valutare l'applicazione di norme internazionali aperte in tema di sicurezza delle informazioni in rete oppure la definizione di strumenti in tal senso. Potrebbe inoltre essere necessario procedere elaborando norme armonizzate in conformità al regolamento (UE) n. 1025/2012 del Parlamento europeo e del Consiglio, del 25 ottobre 2012, sulla normazione europea, che modifica le direttive 89/686/CEE e 93/15/CEE del Consiglio nonché le direttive 94/9/CE, 94/25/CE, 95/16/CE, 97/23/CE, 98/34/CE, 2004/22/CE, 2007/23/CE, 2009/23/CE e 2009/105/CE del Parlamento europeo e del Consiglio e che abroga la decisione 87/95/CEE del Consiglio e la decisione n. 1673/2006/CE del Parlamento europeo e del Consiglio²⁹. In particolare, è opportuno conferire all'Istituto europeo per le norme di telecomunicazioni (ETSI), al Comitato europeo di normalizzazione (CEN) e al Comitato europeo di normalizzazione elettrotecnica (CENELEC) il mandato a proporre norme di sicurezza UE aperte, efficienti ed efficaci, in cui le preferenze tecnologiche siano quanto più possibile evitate, e che siano facilmente gestibili da operatori del mercato di piccole e medie dimensioni. Le norme internazionali in materia di sicurezza informatica andrebbero esaminate con cura per assicurarsi che non siano state compromesse e che offrano adeguati livelli di sicurezza, garantendo così che sia l'obbligo di conformità alle norme in materia di sicurezza informatica a migliorare il livello generale di sicurezza informatica dell'Unione e non il contrario.
__________________	__________________
²⁹ GU L 316 del 14.11.12, pag. 12.	²⁹ GU L 316 del 14.11.12, pag. 12.
Emendamento 31 Proposta di direttiva Considerando 33
Testo della Commissione	Emendamento
(33) È opportuno che la Commissione riesamini le disposizioni della presente direttiva a scadenze regolari, in particolare per valutare la necessità di modificarle in funzione dell'evoluzione delle tecnologie o delle condizioni del mercato.	(33) È opportuno che la Commissione riesamini le disposizioni della presente direttiva a scadenze regolari, in consultazione con tutte le parti interessate, in particolare per valutare la necessità di modificarle in funzione dell'evoluzione sociale, politica e tecnologica o delle condizioni del mercato.
Emendamento 32 Proposta di direttiva Considerando 34
Testo della Commissione	Emendamento
(34) Per garantire il corretto funzionamento della rete di collaborazione deve essere conferito alla Commissione il potere di adottare atti a norma dell'articolo 290 del trattato sul funzionamento dell'Unione europea per quanto riguarda la definizione dei criteri che devono essere rispettati perché uno Stato membro sia autorizzato a partecipare al sistema sicuro di scambio di informazioni, la specificazione più precisa degli eventi che richiedono l'invio di un preallarme e la definizione delle circostanze alle quali gli operatori del mercato e le amministrazioni pubbliche sono tenuti a notificare gli incidenti.	soppresso
Emendamento 33 Proposta di direttiva Considerando 35
Testo della Commissione	Emendamento
(35) È particolarmente importante che la Commissione, nel corso del suo lavoro preparatorio, svolga consultazioni adeguate, anche a livello di esperti. Quando elabora e redige atti delegati la Commissione è tenuta a procedere alla trasmissione contestuale, tempestiva ed appropriata dei relativi documenti al Parlamento europeo e al Consiglio.	(35) È particolarmente importante che la Commissione, nel corso del suo lavoro preparatorio, svolga consultazioni adeguate, anche presso tutte le parti interessate e in particolare a livello di esperti. La Commissione è tenuta a procedere alla trasmissione contestuale, tempestiva ed appropriata dei relativi documenti al Parlamento europeo e al Consiglio.
Emendamento 34 Proposta di direttiva Considerando 36
Testo della Commissione	Emendamento
(36) Al fine di garantire condizioni uniformi di esecuzione della presente direttiva è opportuno attribuire alla Commissione competenze di esecuzione per quanto riguarda la collaborazione tra le autorità competenti e la Commissione nel quadro della rete di collaborazione, l'accesso all'infrastruttura sicura di scambio di informazioni, il piano unionale di collaborazione in materia di SRI, il formato e le procedure applicabili all'informazione del pubblico in merito agli incidenti e le pertinenti norme e/o le specifiche tecniche in materia di SRI. Tali competenze di esecuzione devono essere esercitate in conformità al regolamento (UE) n. 182/2011 del Parlamento europeo e del Consiglio, del 16 febbraio 2011, che stabilisce le regole e i principi generali relativi alle modalità di controllo da parte degli Stati membri dell'esercizio delle competenze di esecuzione attribuite alla Commissione³⁰.	(36) Al fine di garantire condizioni uniformi di esecuzione della presente direttiva è opportuno attribuire alla Commissione competenze di esecuzione per quanto riguarda la collaborazione tra i punti di contatto unici e la Commissione nel quadro della rete di collaborazione, fatti salvi i meccanismi di cooperazione esistenti a livello nazionale, l'insieme comune di norme per l'interconnessione e la sicurezza per l'infrastruttura sicura di scambio di informazioni, il piano unionale di collaborazione in materia di SRI e il formato e le procedure applicabili per la notifica di incidenti rilevanti. Tali competenze di esecuzione devono essere esercitate in conformità al regolamento (UE) n. 182/2011 del Parlamento europeo e del Consiglio, del 16 febbraio 2011, che stabilisce le regole e i principi generali relativi alle modalità di controllo da parte degli Stati membri dell'esercizio delle competenze di esecuzione attribuite alla Commissione³⁰.
__________________	__________________
³⁰ GU L 55 del 28.2.2011, pag. 13.	³⁰ GU L 55 del 28.2.2011, pag. 13.
Emendamento 35 Proposta di direttiva Considerando 37
Testo della Commissione	Emendamento
(37) Nell'applicazione della presente direttiva la Commissione deve coordinarsi adeguatamente con i comitati settoriali competenti e gli altri organi costituiti a livello dell'Unione in particolare nei settori dell'energia, dei trasporti, delle banche e della sanità.	(37) Nell'applicazione della presente direttiva la Commissione deve coordinarsi adeguatamente con i comitati settoriali competenti e gli altri organi costituiti a livello dell'Unione in particolare nei settori dell'e-government, dell'energia, dei trasporti, delle banche e della sanità.
Emendamento 36 Proposta di direttiva Considerando 38
Testo della Commissione	Emendamento
(38) Le informazioni considerate riservate da un'autorità competente, in conformità con la normativa unionale e nazionale sulla riservatezza degli affari, possono essere scambiate con la Commissione e con altre autorità competenti solo nella misura in cui tale scambio sia strettamente necessario ai fini dell'applicazione della presente direttiva. Lo scambio deve limitarsi alle sole informazioni pertinenti ed essere commisurato allo scopo.	(38) Le informazioni considerate riservate da un'autorità competente o da un punto di contatto unico, in conformità con la normativa unionale e nazionale sulla riservatezza degli affari, possono essere scambiate con la Commissione, con le sue agenzie pertinenti, punti di contatto unici e/o altre autorità nazionali competenti solo nella misura in cui tale scambio sia strettamente necessario ai fini dell'applicazione della presente direttiva. Lo scambio deve limitarsi alle sole informazioni pertinenti e necessarie ed essere commisurato allo scopo, nel rispetto dei criteri predefiniti in materia di riservatezza e sicurezza nonché dei protocolli di classificazione che disciplinano la procedura di condivisione delle informazioni.
Emendamento 37 Proposta di direttiva Considerando 39
Testo della Commissione	Emendamento
(39) Lo scambio di informazioni sui rischi e sugli incidenti all'interno della rete di collaborazione e il rispetto degli obblighi di notifica degli incidenti alle autorità nazionali competenti possono richiedere il trattamento di dati personali. Tale trattamento di dati personali è necessario per conseguire gli obiettivi di interesse pubblico perseguiti dalla presente direttiva ed è quindi legittimo in virtù dell'articolo 7 della direttiva 95/46/CE. In relazione a tali obiettivi legittimi esso non costituisce un intervento sproporzionato ed inammissibile che pregiudicherebbe la sostanza stessa del diritto di protezione dei dati personali sancito dall'articolo 8 della Carta dei diritti fondamentali. Nell'applicazione della presente direttiva si applica, per quanto di ragione, il regolamento (CE) n. 1049/2001 del Parlamento europeo e del Consiglio, del 30 maggio 2001, relativo all'accesso del pubblico ai documenti del Parlamento europeo, del Consiglio e della Commissione³¹. In caso di trattamento di dati da parte di istituzioni ed organismi dell'Unione, tale trattamento ai fini dell'attuazione della presente direttiva deve rispettare le disposizioni del regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio, del 18 dicembre 2000, concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati.	(39) Lo scambio di informazioni sui rischi e sugli incidenti all'interno della rete di collaborazione e il rispetto degli obblighi di notifica degli incidenti alle autorità nazionali competenti o ai punti di contatto unici possono richiedere il trattamento di dati personali. Tale trattamento di dati personali è necessario per conseguire gli obiettivi di interesse pubblico perseguiti dalla presente direttiva ed è quindi legittimo in virtù dell'articolo 7 della direttiva 95/46/CE. In relazione a tali obiettivi legittimi esso non costituisce un intervento sproporzionato ed inammissibile che pregiudicherebbe la sostanza stessa del diritto di protezione dei dati personali sancito dall'articolo 8 della Carta dei diritti fondamentali. Nell'applicazione della presente direttiva si applica, per quanto di ragione, il regolamento (CE) n. 1049/2001 del Parlamento europeo e del Consiglio, del 30 maggio 2001, relativo all'accesso del pubblico ai documenti del Parlamento europeo, del Consiglio e della Commissione³¹. In caso di trattamento di dati da parte di istituzioni ed organismi dell'Unione, tale trattamento ai fini dell'attuazione della presente direttiva deve rispettare le disposizioni del regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio, del 18 dicembre 2000, concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati.
__________________	__________________
³¹ GU L 145 del 31.05.01, pag. 43.	³¹ GU L 145 del 31.05.01, pag. 43.
Emendamento 38 Proposta di direttiva Considerando 41 bis (nuovo)
Testo della Commissione	Emendamento
	(41 bis) Conformemente alla dichiarazione politica comune, del 28 settembre 2011, degli Stati membri e della Commissione sui documenti esplicativi, gli Stati membri si sono impegnati ad accompagnare, ove ciò sia giustificato, la notifica delle loro misure di recepimento con uno o più documenti intesi a chiarire il rapporto tra le componenti di una direttiva e le parti corrispondenti degli strumenti nazionali di recepimento. In relazione alla presente direttiva il legislatore ritiene che la trasmissione di tali documenti sia giustificata.
Emendamento 39 Proposta di direttiva Articolo 1 – paragrafo 2 – lettera b
Testo della Commissione	Emendamento
(b) crea un meccanismo di collaborazione tra gli Stati membri per garantire un'applicazione uniforme della presente direttiva nell'Unione e, se necessario, una risposta e un trattamento coordinati ed efficienti dei rischi di incidenti a carico delle reti e dei sistemi informativi;	(b) crea un meccanismo di collaborazione tra gli Stati membri per garantire un'applicazione uniforme della presente direttiva nell'Unione e, se necessario, una risposta e un trattamento coordinati ed efficienti dei rischi di incidenti a carico delle reti e dei sistemi informativi con la partecipazione delle parti interessate rilevanti;
Emendamento 40 Proposta di direttiva Articolo 1 – paragrafo 6
Testo della Commissione	Emendamento
6. Lo scambio di informazioni all'interno della rete di collaborazione in virtù delle disposizioni del capo III e le notifiche di incidenti a carico della SRI in virtù dell'articolo 14 possono comportare il trattamento di dati personali. Tale trattamento, necessario per conseguire gli obiettivi di pubblico interesse perseguiti dalla presente direttiva, è soggetto all'autorizzazione degli Stati membri a norma dell'articolo 7 della direttiva 95/46/CE e in virtù della direttiva 2002/58/CE quali recepite negli ordinamenti nazionali.	6. Lo scambio di informazioni all'interno della rete di collaborazione in virtù delle disposizioni del capo III e le notifiche di incidenti a carico della SRI in virtù dell'articolo 14 possono comportare la comunicazione a terzi affidabili e il trattamento di dati personali. Tale trattamento, necessario per conseguire gli obiettivi di pubblico interesse perseguiti dalla presente direttiva, è soggetto all'autorizzazione degli Stati membri a norma dell'articolo 7 della direttiva 95/46/CE e in virtù della direttiva 2002/58/CE quali recepite negli ordinamenti nazionali. Gli Stati membri adottano misure legislative ai sensi dell'articolo 13 della direttiva 95/46/CE per garantire che le pubbliche amministrazioni, gli operatori del mercato e le autorità competenti non siano ritenuti responsabili del trattamento di dati personali necessari alla condivisione delle informazioni nell'ambito della rete di cooperazione e della notifica di incidenti.
Emendamento 41 Proposta di direttiva Articolo 2 – comma 1
Testo della Commissione	Emendamento
Nulla osta a che gli Stati membri adottino o mantengano in vigore disposizioni atte a garantire un livello di sicurezza più elevato, fermi restando gli obblighi loro imposti dal diritto dell'Unione.	Nulla osta a che gli Stati membri adottino o mantengano in vigore disposizioni atte a garantire un livello di sicurezza più elevato in linea con la Carta dei diritti fondamentali dell'UE, fermi restando gli obblighi loro imposti dal diritto dell'Unione.
Motivazione
La discrezionalità di cui godono gli Stati membri in materia di sicurezza deve essere subordinata al rispetto dei diritti riconosciuti nella Carta dei diritti fondamentali dell'UE, nello specifico, tra gli altri, del diritto al rispetto della vita privata e delle comunicazioni, del diritto alla protezione dei dati di carattere personale, del diritto alla libertà d'impresa e del diritto a un ricorso effettivo dinanzi a un giudice.
Emendamento 42 Proposta di direttiva Articolo 3 – comma 1 – punto 1 – lettera b
Testo della Commissione	Emendamento
b) qualsiasi dispositivo o gruppo di dispositivi interconnessi o collegati, uno o più dei quali eseguono, in base ad un programma, un trattamento automatico di dati elettronici e	b) qualsiasi dispositivo o gruppo di dispositivi interconnessi o collegati, uno o più dei quali eseguono, in base ad un programma, un trattamento automatico di dati digitali e
Emendamento 43 Proposta di direttiva Articolo 3 – comma 1 – punto 1 – lettera c
Testo della Commissione	Emendamento
c) i dati elettronici conservati, trattati, estratti o trasmessi per mezzo di reti o dispositivi di cui alle lettere a) e b), per il loro funzionamento, uso, protezione e manutenzione;	c) i dati digitali conservati, trattati, estratti o trasmessi per mezzo di reti o dispositivi di cui alle lettere a) e b), per il loro funzionamento, uso, protezione e manutenzione;
Emendamento 44 Proposta di direttiva Articolo 3 – comma 1 – punto 2
Testo della Commissione	Emendamento
2) "sicurezza", la capacità di una rete o di un sistema informativo di resistere, a un determinato livello di riservatezza, a eventi imprevisti o dolosi che compromettano la disponibilità, l'autenticità, l'integrità e la riservatezza dei dati conservati o trasmessi e dei relativi servizi offerti o accessibili tramite tale rete o sistema informativo;	2) "sicurezza", la capacità di una rete o di un sistema informativo di resistere, a un determinato livello di riservatezza, a eventi imprevisti o dolosi che compromettano la disponibilità, l'autenticità, l'integrità e la riservatezza dei dati conservati o trasmessi e dei relativi servizi offerti o accessibili tramite tale rete o sistema informativo; ai sensi della definizione qui riportata, il concetto di "sicurezza" include i dispositivi tecnici nonché le soluzioni e procedure operative idonei a garantire i requisiti di sicurezza di cui alla presente direttiva.
Emendamento 45 Proposta di direttiva Articolo 3 – comma 1 – punto 4
Testo della Commissione	Emendamento
4) "incidente", ogni circostanza o evento con un reale effetto pregiudizievole per la sicurezza;	4) "incidente", ogni circostanza o evento ragionevolmente identificabile con un reale effetto pregiudizievole per la sicurezza;
Motivazione
La formulazione originale era troppo ampia e avrebbe complicato l'applicazione della definizione.
Emendamento 46 Proposta di direttiva Articolo 3 – comma 1 – punto 5
Testo della Commissione	Emendamento
5) "servizi della società dell'informazione", i servizi ai sensi dell'articolo 1, punto 2, della direttiva 98/34/CE;	soppresso
Emendamento 47 Proposta di direttiva Articolo 3 – comma 1 – punto 8 – lettera a
Testo della Commissione	Emendamento
a) fornitore di servizi della società dell'informazione che consentono la fornitura di altri servizi della società dell'informazione; un elenco non esaustivo di tali operatori figura nell'allegato II;	soppresso
Emendamento 48 Proposta di direttiva Articolo 3 – comma 1 – punto 7
Testo della Commissione	Emendamento
7) "trattamento dell'incidente", tutte le procedure necessarie per l'analisi, il contenimento e la risposta a un incidente;	7) "trattamento dell'incidente", tutte le procedure necessarie per l'identificazione, la prevenzione, l'analisi, il contenimento e la risposta a un incidente;
Emendamento 49 Proposta di direttiva Articolo 3 – comma 1 – punto 8 – lettere a e b
Testo della Commissione	Emendamento
a) fornitore di servizi della società dell'informazione che consentono la fornitura di altri servizi della società dell'informazione; un elenco non esaustivo di tali operatori figura nell'allegato II;
b) operatore di infrastrutture critiche che sono essenziali per il mantenimento di attività vitali per l'economia e la società nei campi dell'energia, dei trasporti, delle banche, delle borse e della sanità; un elenco non esaustivo di tali operatori figura nell'allegato II;	b) operatore pubblico o privato di infrastrutture che sono essenziali per il mantenimento di attività vitali per l'economia e la società nei campi dell'energia, dei trasporti, delle banche, dei mercati finanziari e della sanità, la cui interruzione o distruzione avrebbe un impatto negativo significativo in uno Stato membro in conseguenza dell'incapacità di mantenere tali funzioni; un elenco di tali operatori figura nell'allegato II;
Emendamento 50 Proposta di direttiva Articolo 3 – comma 1 – punto 8 bis (nuovo)
Testo della Commissione	Emendamento
	8 bis) "incidente avente un impatto significativo", incidente che pregiudica la sicurezza e la continuità di una rete o di un sistema informativi provocando gravi perturbazioni di funzioni vitali per l'economia o la società;
Emendamento 51 Proposta di direttiva Articolo 3 – comma 1 – punto 8 ter (nuovo)
Testo della Commissione	Emendamento
	8 ter) "servizio", il servizio erogato da un operatore del mercato, con l'esclusione di qualsiasi altro servizio della medesima entità;
Emendamento 52 Proposta di direttiva Articolo 3 – comma 1 – punto 11 bis (nuovo)
Testo della Commissione	Emendamento
	11 bis) "mercato regolamentato", mercato regolamentato ai sensi della definizione di cui all'articolo 4, punto 14, della direttiva 2004/39/CE del Parlamento europeo e del Consiglio^28a;
	__________________
	^28a Direttiva 2004/39/CE del Parlamento europeo e del Consiglio, del 21 aprile 2004, relativa ai mercati degli strumenti finanziari (GU L 45 del 16.2.2005, pag. 18).
Emendamento 53 Proposta di direttiva Articolo 3 – comma 1 – punto 11 ter (nuovo)
Testo della Commissione	Emendamento
	11 ter) "sistema multilaterale di negoziazione", sistema multilaterale di negoziazione così come definito all'articolo 4, punto 15, della direttiva 2004/39/CE;
Emendamento 54 Proposta di direttiva Articolo 3 – comma 1 – punto 11 quater (nuovo)
Testo della Commissione	Emendamento
	11 quater) "sistema organizzato di negoziazione", un sistema o un regime multilaterale diverso da un mercato regolamentato, da un sistema multilaterale di negoziazione o da una controparte centrale, gestito da una società di investimento o da un operatore del mercato, che consente l'interazione tra interessi multipli di acquisto e di vendita di terzi relativi a obbligazioni, prodotti finanziari strutturati, quote di emissione o strumenti derivati, in modo da dare luogo a contratti conformemente alle disposizioni del titolo II della direttiva 2004/39/CE;
Emendamento 55 Proposta di direttiva Articolo 4 – comma 1
Testo della Commissione	Emendamento
Gli Stati membri assicurano un livello elevato di sicurezza delle reti e dei sistemi informativi nel loro territorio in conformità alla presente direttiva.	Gli Stati membri assicurano un livello costantemente elevato di sicurezza delle reti e dei sistemi informativi nel loro territorio in conformità con la Carta dei diritti fondamentali dell'UE e la presente direttiva.
Motivazione
La discrezionalità di cui godono gli Stati membri in materia di sicurezza deve essere subordinata al rispetto dei diritti riconosciuti nella Carta dei diritti fondamentali dell'UE, nello specifico, tra gli altri, del diritto al rispetto della vita privata e delle comunicazioni, del diritto alla protezione dei dati di carattere personale, del diritto alla libertà d'impresa e del diritto a un ricorso effettivo dinanzi a un giudice.
Emendamento 56 Proposta di direttiva Articolo 5 – paragrafo 1 – lettera e bis (nuova)
Testo della Commissione	Emendamento
	e bis) gli Stati membri possono richiedere l'assistenza dell'Agenzia dell'Unione europea per la sicurezza delle reti e dell'informazione (ENISA) ai fini dello sviluppo delle strategie nazionali e dei piani nazionali in materia di SRI di competenza, sulla base di una strategia SRI minima comune e di un programma di cooperazione;
Emendamento 57 Proposta di direttiva Articolo 5 – paragrafo 2 – lettera a
Testo della Commissione	Emendamento
a) un piano di valutazione dei rischi per individuare i rischi e valutare le conseguenze di potenziali incidenti;	a) un quadro per la gestione dei rischi che comprenda l'identificazione, l'ordine di priorità, la valutazione e il trattamento dei rischi, l'esame delle conseguenze di potenziali incidenti, le scelte di prevenzione e di controllo, così come i criteri per la selezione delle possibili contromisure;
Emendamento 58 Proposta di direttiva Articolo 5 – paragrafo 2 – lettera b
Testo della Commissione	Emendamento
b) la definizione dei ruoli e delle responsabilità dei vari attori implicati nell'attuazione del piano;	b) la definizione dei ruoli e delle responsabilità delle varie autorità e degli altri attori implicati nell'attuazione del quadro;
Emendamento 59 Proposta di direttiva Articolo 6 – titolo
Testo della Commissione	Emendamento
Autorità nazionale competente in materia di sicurezza delle reti e dei sistemi informativi	Autorità nazionali competenti e punti di contatto unici in materia di sicurezza delle reti e dei sistemi informativi
Emendamento 60 Proposta di direttiva Articolo 6 – paragrafo 1
Testo della Commissione	Emendamento
1. Ogni Stato membro designa un'autorità nazionale competente in materia di sicurezza delle reti e dei sistemi informativi (la "autorità competente").	1. Ogni Stato membro designa una o più autorità nazionali competenti in materia di sicurezza delle reti e dei sistemi informativi (in prosieguo la "autorità competente").
Emendamento 61 Proposta di direttiva Articolo 6 – paragrafo 2 bis (nuovo)
Testo della Commissione	Emendamento
	2 bis. Se uno Stato membro designa più di una autorità competente, esso procede con la nomina di un'autorità nazionale, ad esempio un'autorità competente, come punto di contatto unico nazionale per la sicurezza delle reti e dei sistemi informativi (in prosieguo "punto di contatto unico"). Se uno Stato membro designa soltanto una autorità competente, quest'ultima è anche il punto di contatto unico.
Emendamento 62 Proposta di direttiva Articolo 6 – paragrafo 2 ter (nuovo)
Testo della Commissione	Emendamento
	2 ter. Le autorità competenti e il punto di contatto unico di uno stesso Stato membro collaborano a stretto contatto per quanto concerne gli obblighi di cui alla presente direttiva.
Emendamento 63 Proposta di direttiva Articolo 6 – paragrafo 2 quater (nuovo)
Testo della Commissione	Emendamento
	2 quater. Il punto di contatto unico provvede alla collaborazione transfrontaliera con gli altri punti di contatto unici.
Emendamento 64 Proposta di direttiva Articolo 6 – paragrafo 3
Testo della Commissione	Emendamento
3. Gli Stati membri garantiscono che le autorità competenti siano dotate di risorse adeguate sul piano tecnico, finanziario e umano per eseguire in modo efficiente ed efficace i compiti loro assegnati e conseguire in questo modo gli obiettivi della presente direttiva. Gli Stati membri provvedono a garantire la collaborazione effettiva, efficiente e sicura delle autorità competenti attraverso la rete di cui all'articolo 8.	3. Gli Stati membri garantiscono che le autorità competenti e i punti di contatto unici siano dotati di risorse adeguate sul piano tecnico, finanziario e umano per eseguire in modo efficiente ed efficace i compiti loro assegnati e conseguire in questo modo gli obiettivi della presente direttiva. Gli Stati membri provvedono a garantire la collaborazione effettiva, efficiente e sicura dei punti di contatto unici attraverso la rete di cui all'articolo 8.
Emendamento 65 Proposta di direttiva Articolo 6 – paragrafo 4
Testo della Commissione	Emendamento
4. Gli Stati membri procurano che le autorità competenti ricevano le notifiche degli incidenti da parte delle amministrazioni pubbliche e degli operatori del mercato come specificato all'articolo 14, paragrafo 2 e che siano loro attribuiti i poteri di attuazione e di controllo di cui all'articolo 15.	4. Gli Stati membri garantiscono che le autorità competenti e i punti di contatto unici ricevano le notifiche degli incidenti da parte degli operatori del mercato come specificato all'articolo 14, paragrafo 2 e che siano loro attribuiti i poteri di attuazione e di controllo di cui all'articolo 15.
Emendamento 66 Proposta di direttiva Articolo 6 – paragrafo 5
Testo della Commissione	Emendamento
5. Le autorità competenti consultano le competenti autorità nazionali di contrasto e le autorità nazionali competenti per la protezione dei dati e collaborano con le stesse come necessario.	5. Le autorità competenti sono tenute a consultare le autorità competenti per la protezione dei dati e a collaborare, se necessario, con le competenti autorità nazionali di contrasto.
Motivazione
L'esistenza di un'unica autorità competente per l'esercizio del potere di controllo a livello nazionale senza la collaborazione di altri organismi di compensazione non è proporzionata in termini di equilibrio tra la salvaguardia della sicurezza e la tutela della libertà.
Emendamento 67 Proposta di direttiva Articolo 6 – paragrafo 5
Testo della Commissione	Emendamento
5. Le autorità competenti consultano le competenti autorità nazionali di contrasto e le autorità nazionali competenti per la protezione dei dati e collaborano con le stesse come necessario.	5. Le autorità competenti e i punti di contatto unici consultano le competenti autorità nazionali di contrasto e le autorità nazionali competenti per la protezione dei dati e collaborano con le stesse come necessario.
Emendamento 68 Proposta di direttiva Articolo 6 – paragrafo 6
Testo della Commissione	Emendamento
6. Ogni Stato membro comunica senza indugio alla Commissione l'autorità competente designata, i suoi compiti e qualsiasi ulteriore modifica dei medesimi. Ogni Stato membro rende pubblica l'autorità competente designata.	6. Ogni Stato membro comunica senza indugio alla Commissione le autorità competenti designate e il punto di contatto unico, i loro compiti e qualsiasi ulteriore modifica dei medesimi. Ogni Stato membro rende pubbliche le autorità competenti designate.
Emendamento 69 Proposta di direttiva Articolo 7 – paragrafo 1
Testo della Commissione	Emendamento
1. Ogni Stato membro costituisce una squadra di pronto intervento informatico (in seguito "CERT") col compito di trattare gli incidenti e i rischi secondo una procedura ben definita e conforme ai requisiti di cui all'allegato I, punto 1. È possibile creare una squadra CERT all'interno dell'autorità competente.	1. Ogni Stato membro costituisce almeno una squadra di pronto intervento informatico (in seguito "CERT") per ciascuno dei settori di cui all'allegato II col compito di trattare gli incidenti e i rischi secondo una procedura ben definita e conforme ai requisiti di cui all'allegato I, punto 1. È possibile creare una squadra CERT all'interno dell'autorità competente.
Emendamento 70 Proposta di direttiva Articolo 7 – paragrafo 5
Testo della Commissione	Emendamento
5. La squadra CERT opera sotto la supervisione dell'autorità competente la quale rivede periodicamente l'adeguatezza delle sue risorse, il mandato e l'efficacia della procedura di trattamento degli incidenti.	5. Le squadre CERT operano sotto la supervisione dell'autorità competente o del punto di contatto unico il quale rivede periodicamente l'adeguatezza delle loro risorse, il mandato e l'efficacia della loro procedura di trattamento degli incidenti.
Emendamento 71 Proposta di direttiva Articolo 7 – paragrafo 5 bis (nuovo)
Testo della Commissione	Emendamento
	5 bis. Gli Stati membri assicurano che le squadre CERT siano dotate di risorse umane e finanziarie adeguate per partecipare attivamente alle reti di collaborazione internazionali e, in particolare, dell'Unione.
Emendamento 72 Proposta di direttiva Articolo 7 – paragrafo 5 – paragrafo 1 (nuovo)
Testo della Commissione	Emendamento
	1) Le squadre CERT hanno la facoltà, di cui sono incoraggiate ad avvalersi, di avviare esercitazioni congiunte con altre CERT, con squadre CERT che includano tutti gli Stati membri, con le opportune istituzioni di paesi terzi nonché con CERT di istituzioni multinazionali e internazionali come la NATO e le Nazioni Unite, con la possibilità di prendervi parte.
Emendamento 73 Proposta di direttiva Articolo 7 – paragrafo 5 bis (nuovo)
Testo della Commissione	Emendamento
	5 bis. Gli Stati membri possono richiedere l'assistenza dell'Agenzia europea per la sicurezza delle reti e dell'informazione (ENISA) o di altri Stati membri nello sviluppo delle rispettive squadre CERT nazionali.
Emendamento 74 Proposta di direttiva Articolo 8
Testo della Commissione	Emendamento
1. Le autorità competenti e la Commissione costituiscono una rete (rete di collaborazione) per collaborare in caso di rischi e incidenti a carico delle reti e dei sistemi informativi.	1. I punti di contatto unici, l'Agenzia europea per la sicurezza delle reti e dell'informazione (ENISA) e la Commissione costituiscono una rete (rete di collaborazione) in cui collaborare in caso di rischi e incidenti a carico delle reti e dei sistemi informativi.
2. La rete di collaborazione assicura la comunicazione permanente tra la Commissione e le autorità competenti. Se richiesta, l'Agenzia europea per la sicurezza delle reti e dell'informazione (ENISA) assiste la rete di collaborazione mettendole a disposizione le proprie competenze e consulenze.	2. La rete di collaborazione assicura la comunicazione permanente tra la Commissione e i punti di contatto unici. L'Agenzia europea per la sicurezza delle reti e dell'informazione (ENISA) assiste la rete di collaborazione mettendole a disposizione le proprie competenze e consulenze. La rete di collaborazione, ove opportuno, coopera con le autorità competenti per la protezione dei dati.
3. All'interno della rete di collaborazione le autorità competenti:	3. All'interno della rete di collaborazione i punti di contatto unici:
a) diffondono preallarmi in merito a rischi e a incidenti in conformità all'articolo 10;	a) diffondono preallarmi in merito a rischi e a incidenti in conformità all'articolo 10;
b) garantiscono una risposta coordinata in conformità all'articolo 11;	b) garantiscono una risposta coordinata in conformità all'articolo 11;
c) pubblicano periodicamente informazioni non riservate sui preallarmi in corso e sulla risposta coordinata su un sito comune;	c) pubblicano periodicamente informazioni non riservate sui preallarmi in corso e sulla risposta coordinata su un sito comune;
	c bis) discutono, concordano un'interpretazione comune, un'applicazione coerente e coordinano insieme le misure relative ai requisiti di sicurezza e alla notifica degli incidenti di cui all'articolo 14 anche per quanto riguarda l'attuazione e il controllo di cui all'articolo 15;
d) discutono e valutano insieme, su richiesta di uno Stato membro o della Commissione, una o più strategie nazionali e uno o più piani nazionali di collaborazione in materia di SRI ai sensi dell'articolo 5, nell'ambito della presente direttiva;	d) discutono e valutano insieme una o più strategie nazionali e uno o più piani nazionali di collaborazione in materia di SRI ai sensi dell'articolo 5, nell'ambito della presente direttiva;
e) discutono e valutano insieme, su richiesta di uno Stato membro o della Commissione, l'efficacia delle squadre CERT, in particolare in occasione di esercitazioni in materia di SRI eseguite a livello di Unione;	e) discutono e valutano insieme, su richiesta dell'ENISA, di uno Stato membro o della Commissione, l'efficacia delle squadre CERT, in particolare in occasione di esercitazioni in materia di SRI eseguite a livello di Unione e attuano misure volte a porre rimedio alle carenze identificate senza indebiti ritardi;
f) collaborano e scambiano informazioni su tutti gli aspetti pertinenti col Centro europeo per la lotta alla criminalità informatica di Europol e con altri organismi europei competenti in particolare nei campi della protezione dei dati, dell'energia, dei trasporti, delle banche, delle borse e della sanità;	f) collaborano e scambiano informazioni su tutti gli aspetti pertinenti relativi alla sicurezza delle reti e dell'informazione con altri organismi europei competenti in particolare nei campi dell'energia, dei trasporti, delle banche, dei mercati finanziari e della sanità;
	f bis) discutono e concordano insieme l'interpretazione comune, l'applicazione coerente e l'attuazione armoniosa delle disposizioni del capo IV all'interno dell'Unione ;
g) si scambiano reciprocamente e comunicano alla Commissione informazioni e buone pratiche e si assistono reciprocamente ai fini della creazione di capacità in materia di SRI;	g) si scambiano reciprocamente e comunicano alla Commissione informazioni e buone pratiche e si assistono reciprocamente ai fini della creazione di capacità in materia di SRI;
h) organizzano periodicamente revisioni tra pari in materia di capacità e preparazione;	h) organizzano periodicamente revisioni tra pari in materia di capacità e preparazione;
i) organizzano esercitazioni in materia di SRI al livello di Unione e partecipano, secondo il caso, a esercitazioni internazionali in materia di SRI.	i) organizzano esercitazioni in materia di SRI al livello di Unione e partecipano, secondo il caso, a esercitazioni internazionali in materia di SRI.
	i bis) promuovono attivamente la partecipazione degli operatori del mercato, li consultano e scambiano informazioni con loro;
	La Commissione informa regolarmente la rete di collaborazione della ricerca nell'ambito della sicurezza e di altri programmi pertinenti di Orizzonte 2020.
	3 bis. Laddove opportuno, le amministrazioni pubbliche competenti e gli operatori del mercato sono invitati a partecipare alle attività della rete di collaborazione di cui al paragrafo 3, lettere c), g), h) e i).
	3 ter. Quando le informazioni, i preallarmi o le migliori prassi che hanno origine dagli operatori del mercato o dalle pubbliche amministrazioni sono condivisi all'interno della rete di cooperazione o divulgati da quest'ultima, tale condivisione o divulgazione avviene conformemente alla classificazione delle informazioni determinata dalla fonte originale ai sensi dell'articolo 9, paragrafo 1.
	3 quater. La Commissione pubblica una volta all'anno una relazione basata sulle attività della rete e sulla relazione sintetica presentata ai sensi dell'articolo 14, paragrafo 4, della presente direttiva, per i 12 mesi precedenti. La pubblicità di ogni singolo incidente segnalato alle autorità competenti e ai punti di contatto unici deve contemperare l'opportunità che il pubblico sia informato delle minacce esistenti con i possibili danni di immagine e commerciali per gli operatori del mercato che li hanno segnalati e può avvenire solo dopo una consultazione preventiva.
4. La Commissione stabilisce, mediante atti di esecuzione, le modalità necessarie per agevolare la collaborazione di cui ai paragrafi 2 e 3 tra le autorità competenti e con la Commissione. Tali atti di esecuzione sono adottati secondo la procedura di consultazione di cui all'articolo 19, paragrafo 2.	4. La Commissione stabilisce, mediante atti di esecuzione, le modalità necessarie per agevolare la collaborazione di cui ai paragrafi 2 e 3 tra i punti di contatto unici, l'ENISA e con la Commissione. Tali atti di esecuzione sono adottati secondo la procedura di consultazione di cui all'articolo 19, paragrafo 2.
Emendamento 75 Proposta di direttiva Articolo 9 – paragrafo 1
Testo della Commissione	Emendamento
1. Lo scambio di informazioni sensibili e riservate all'interno della rete di collaborazione avviene attraverso un'infrastruttura sicura.	1. Lo scambio di informazioni sensibili e riservate all'interno della rete di collaborazione avviene attraverso un'infrastruttura sicura gestita nel quadro della supervisione dell'ENISA. Gli Stati membri assicurano che le informazioni riservate o sensibili condivise da altri Stati o dalla Commissione non siano comunicate a paesi terzi o utilizzate per altri scopi, ad esempio per operazioni di intelligence o decisioni di carattere economico;
Emendamento 76 Proposta di direttiva Articolo 9 – paragrafo 2 – parte introduttiva
Testo della Commissione	Emendamento
2. Alla Commissione è conferito il potere di adottare atti delegati, conformemente all'articolo 18, relativi alla definizione dei criteri che devono essere rispettati perché uno Stato membro sia autorizzato a partecipare al sistema sicuro di scambio di informazioni, riguardanti:	2. Alla Commissione è conferito il potere di adottare atti di esecuzione, conformemente all'articolo 19, riguardo alla definizione dei criteri che devono essere rispettati perché un punto di contatto unico sia autorizzato a partecipare al sistema sicuro di scambio di informazioni, riguardanti:
Emendamento 77 Proposta di direttiva Articolo 9 – paragrafo 3
Testo della Commissione	Emendamento
3. La Commissione adotta, mediante atti di esecuzione, decisioni sull'accesso degli Stati membri a tale infrastruttura sicura, in base ai criteri di cui ai paragrafi 2 e 3. Tali atti di esecuzione sono adottati secondo la procedura di esame di cui all'articolo 19, paragrafo 3.	3. La Commissione adotta, mediante atti di esecuzione, un insieme comune di norme per l'interconnessione e la sicurezza che devono essere rispettate dai punti di contatto unici per lo scambio di informazioni. Tali atti di esecuzione sono adottati secondo la procedura di esame di cui all'articolo 19, paragrafo 3.
Emendamento 78 Proposta di direttiva Articolo 10
Testo della Commissione	Emendamento
1. Le autorità competenti o la Commissione trasmettono preallarmi all'interno della rete di collaborazione in merito ai rischi e agli incidenti che rispondono ad una o più delle seguenti condizioni:	1. I punti di contatto unici o la Commissione trasmettono preallarmi all'interno della rete di collaborazione in merito ai rischi e agli incidenti che rispondono ad una o più delle seguenti condizioni:
a) la cui portata aumenta o è suscettibile di aumentare rapidamente;
b) che superano o sono suscettibili di superare la capacità nazionale di risposta;	b) il punto di contatto unico valuta che la portata del rischio o dell'incidente aumenta o è suscettibile di aumentare rapidamente e che può superare la capacità nazionale di risposta
c) che colpiscono o sono suscettibili di colpire più di uno Stato membro.	c) i punti di contatto unici o la Commissione ritengono che il rischio o l'incidente colpisca più di uno Stato membro.
2. Nei preallarmi le autorità competenti e la Commissione comunicano tutte le informazioni pertinenti in loro possesso che possono essere utili a valutare il rischio o l'incidente.	2. Nei preallarmi i punti di contatto unici e la Commissione comunicano senza indebito ritardo tutte le informazioni pertinenti in loro possesso che possono essere utili a valutare il rischio o l'incidente. Le informazioni considerate classificate o riservate dall'operatore del mercato interessato e l'identità di quest'ultimo sono forniti solo nella misura necessaria a valutare il rischio o l'incidente.
3. Su richiesta di uno Stato membro o di propria iniziativa la Commissione può chiedere a uno Stato membro di fornire qualunque informazione pertinente su uno specifico rischio o incidente.	3. Su richiesta di uno Stato membro o di propria iniziativa la Commissione può chiedere a uno Stato membro di fornire qualunque informazione pertinente non classificata su uno specifico rischio o incidente.
4. Qualora il preallarme riguardi un rischio o un incidente di sospetta natura dolosa, le autorità competenti o la Commissione ne informano il Centro europeo per la lotta alla criminalità informatica di Europol.	4. Qualora il preallarme riguardi un rischio o un incidente di sospetta natura dolosa grave, i punti di contatto unici o la Commissione, ove opportuno, si coordinano con le autorità nazionali per la lotta ai reati informatici, per consentire loro di collaborare e scambiare informazioni con il Centro europeo per la lotta alla criminalità informatica di Europol.
	4 bis. I membri della rete di collaborazione non rendono pubbliche informazioni ricevute sui rischi e gli incidenti a norma del paragrafo 1 senza aver ricevuto previa approvazione del punto di contatto unico che ha effettuato la segnalazione.
	4 ter. Qualora il preallarme riguardi un rischio o un incidente di sospetta natura tecnica grave a livello transfrontaliero, i punti di contatto unici o la Commissione ne informano l'ENISA;
5. Alla Commissione è conferito il potere di adottare atti delegati, conformemente all'articolo 18, per precisare ulteriormente i rischi e gli incidenti per i quali è necessaria la trasmissione dei preallarmi di cui al paragrafo 1.	5. Alla Commissione è conferito il potere di adottare atti di esecuzione, conformemente all'articolo 19, per precisare ulteriormente i rischi e gli incidenti per i quali è necessaria la trasmissione dei preallarmi di cui al paragrafo 1, nonché le procedure per la condivisione di informazioni sensibili per gli operatori del mercato.
Emendamento 79 Proposta di direttiva Articolo 11 – paragrafo 1
Testo della Commissione	Emendamento
1. In seguito ad un preallarme a norma dell'articolo 10 le autorità competenti adottano, dopo aver valutato le informazioni pertinenti, una risposta coordinata in conformità al piano unionale di collaborazione in materia di SRI di cui all'articolo 12.	1. In seguito ad un preallarme a norma dell'articolo 10 i punti di contatto unici adottano senza indebito ritardo, dopo aver valutato le informazioni pertinenti, una risposta coordinata in conformità al piano unionale di collaborazione in materia di SRI di cui all'articolo 12.
Emendamento 80 Proposta di direttiva Articolo 12 – paragrafo 2 – lettera a – trattino 1
Testo della Commissione	Emendamento
– una definizione del formato e delle procedure di raccolta e scambio di informazioni compatibili e comparabili sui rischi e sugli incidenti da parte delle autorità competenti,	una definizione del formato e delle procedure di raccolta e scambio di informazioni compatibili e comparabili sui rischi e sugli incidenti da parte dei punti di contatto unici,
Emendamento 81 Proposta di direttiva Articolo 12 – paragrafo 3
Testo della Commissione	Emendamento
3. Il piano unionale di collaborazione in materia di SRI è adottato non oltre l'anno successivo all'entrata in vigore della presente direttiva ed è riveduto periodicamente.	3. Il piano unionale di collaborazione in materia di SRI è adottato non oltre l'anno successivo all'entrata in vigore della presente direttiva ed è riveduto periodicamente. I risultati di ciascuna revisione sono comunicati al Parlamento europeo.
Emendamento 82 Proposta di direttiva Articolo 12 – paragrafo 3 bis (nuovo)
Testo della Commissione	Emendamento
	3 bis. La Commissione prevede un bilancio per lo sviluppo del piano unionale di collaborazione in materia di SRI.
Emendamento 83 Proposta di direttiva Articolo 13 – comma 1
Testo della Commissione	Emendamento
Ferma restando la possibilità, per la rete di collaborazione, di intrattenere una cooperazione informale a livello internazionale, l'Unione può concludere accordi internazionali con paesi terzi o organizzazioni internazionali che permettono o organizzano la loro partecipazione ad alcune delle attività della rete di collaborazione. Tali accordi tengono conto della necessità di garantire la protezione adeguata dei dati personali che circolano nella rete di collaborazione.	Ferma restando la possibilità, per la rete di collaborazione, di intrattenere una cooperazione informale a livello internazionale, l'Unione può concludere accordi internazionali con paesi terzi o organizzazioni internazionali che permettono o organizzano la loro partecipazione ad alcune delle attività della rete di collaborazione. Negli accordi è specificata la procedura di controllo che deve essere seguita per garantire la protezione dei dati personali che circolano nella rete di collaborazione. Il Parlamento europeo è informato in merito alla negoziazione dell'accordo, della quale è garantita la trasparenza. Qualsiasi trasferimento di dati personali a destinatari ubicati in paesi al di fuori dell'Unione deve essere effettuato ai sensi degli articoli 25 e 26 della direttiva 95/46/CE e dell'articolo 9 del regolamento (CE) n. 45/2001.
Motivazione
Gli accordi internazionali conclusi con altri paesi o con altri organismi competenti in materia di sicurezza devono prevedere obbligatoriamente un meccanismo di controllo per quanto riguarda il rispetto dei diritti civili. È necessario inoltre che il Parlamento europeo, che deve essere informato in tempo utile sul contenuto dei negoziati, eserciti un controllo democratico effettivo sugli accordi.
Emendamento 84 Proposta di direttiva Articolo 14
Testo della Commissione	Emendamento
1. Gli Stati membri procurano che le amministrazioni pubbliche e gli operatori del mercato adottino misure tecniche e organizzative adeguate alla gestione dei rischi che corre la sicurezza delle reti e dei sistemi informativi di cui hanno il controllo e che usano nelle loro operazioni. Tenuto conto delle conoscenze più aggiornate in materia, dette misure assicurano un livello di sicurezza adeguato al rischio in essere. In particolare sono adottate misure per prevenire e minimizzare l'impatto di incidenti a carico delle reti e dei sistemi informativi relativi ai servizi principali prestati, assicurando in questo modo la continuità dei servizi supportati da tali reti e sistemi informativi.	1. Gli Stati membri provvedono a che gli operatori del mercato adottino misure tecniche e organizzative adeguate all'individuazione e alla gestione efficace gestione dei rischi che corre la sicurezza delle reti e dei sistemi informativi di cui hanno il controllo e che usano nelle loro operazioni. Tenuto conto dello sviluppo tecnologico, dette misure adeguate assicurano un livello di sicurezza adeguato al rischio esistente. In particolare sono adottate misure per prevenire incidenti a carico della sicurezza delle reti e dei sistemi informativi e ridurre al minimo il loro impatto sui servizi principali prestati, assicurando in questo modo la continuità dei servizi supportati da tali reti e sistemi informativi.
2. Gli Stati membri procurano che le amministrazioni pubbliche e gli operatori del mercato notifichino all'autorità competente gli incidenti aventi un impatto significativo sulla sicurezza dei servizi principali prestati.	2. Gli Stati membri attuano meccanismi per garantire che gli operatori del mercato notifichino senza indebito ritardo all'autorità competente o al punto di contatto unico gli incidenti aventi un impatto sulla sicurezza o continuità dei servizi principali prestati. La notifica non espone la parte che la effettua a una maggiore responsabilità. Per determinare l'entità dell'impatto di un incidente si tiene conto, tra le altre cose, dei seguenti parametri:
	a) il numero degli utenti i cui servizi essenziali sono stati colpiti;
	b) la durata dell'incidente;
	c) la diffusione geografica relativamente all'area interessata dall'incidente.
	I criteri sono ulteriormente specificati a norma dell'articolo 8, paragrafo 3, punto c bis (nuovo).
	2 bis. I soggetti che non rientrano nell'allegato II possono segnalare incidenti a norma dell'articolo 14, paragrafo 2, su base volontaria.
	2 ter. I destinatari di una segnalazione di incidente riferiscono quanto prima al soggetto che ha segnalato un'incidente le azioni, decisioni o raccomandazioni adottate nonché gli eventuali terzi informati, indicando altresì i protocolli di sicurezza e riservatezza che disciplinano la condivisione delle informazioni.
3. Gli obblighi di cui ai paragrafi 1 e 2 si applicano a tutti gli operatori del mercato che prestano servizi all'interno dell'Unione europea.	3. Gli obblighi di cui ai paragrafi 1 e 2 si applicano a tutti gli operatori del mercato che prestano servizi all'interno dell'Unione europea. Gli operatori del mercato che non prestano servizi all'interno dell'Unione europea possono segnalare incidenti su base volontaria.
	3 bis. Gli Stati membri garantiscono che operatori del mercato notifichino gli incidenti di cui ai paragrafi 1 e 2 all'autorità competente o al punto di contatto unico dello Stato membro in cui si trova il servizio essenziale interessato. Qualora siano interessati i servizi essenziali di più di uno Stato membro, il punto di contatto unico che ha ricevuto la notifica allerta, sulla base delle informazioni fornite dall'operatore del mercato, gli altri punti di contatto unici interessati. L'operatore del mercato è informato quanto prima in merito agli altri punti di contatto informati dell'incidente nonché delle eventuali azioni intraprese, dei risultati o di qualsiasi informazione pertinente per l'incidente.
4. L'autorità competente può informare il pubblico, oppure richiedere alle amministrazioni pubbliche e agli operatori del mercato di informarlo, se ritiene che la divulgazione dell'incidente sia di pubblico interesse. Una volta l'anno l'autorità competente trasmette alla rete di collaborazione una relazione sintetica delle notifiche ricevute e delle misure adottate conformemente al presente paragrafo.	4. Dopo essersi consultato con l'autorità competente e l'operatore del mercato interessato, il punto di contatto unico può informare il pubblico sui singoli incidenti, se stabilisce che l'informazione al pubblico è necessaria per evitare un incidente o gestire un incidente in corso, per provvede affinché i cittadini abbiano la possibilità di attenuare in prima persona i rischi derivanti da un incidente o se l'operatore del mercato, in caso di incidente, si rifiuta di affrontare quanto prima una grave vulnerabilità strutturale connessa all'incidente. Il punto di contatto unico deve giustificare adeguatamente tale decisione. L'autorità competente o il punto di contatto unico presenta, se ragionevolmente possibile, agli operatori del mercato che hanno segnalato l'incidente le informazioni analizzate in modo strategico che consentano di superare la minaccia di sicurezza. Due volte l'anno il punto di contatto unico trasmette alla rete di collaborazione una relazione sintetica delle notifiche ricevute e delle misure adottate conformemente al presente paragrafo. La pubblicità di ogni singolo incidente segnalato alle autorità competenti e ai punti di contatto unici deve contemperare l'opportunità che il pubblico sia informato delle minacce esistenti con i possibili danni di immagine e commerciali per gli operatori del mercato che li hanno segnalati e può avvenire solo dopo una consultazione preventiva.
	Per quanto riguarda gli incidenti notificati alla rete di collaborazione di cui all'articolo 8, le altre autorità nazionali competenti si astengono dal rendere pubblica qualunque informazione ricevuta sui rischi o gli incidenti senza l'approvazione dell'autorità competente che effettua la notifica.
5. Alla Commissione è conferito il potere di adottare atti delegati conformemente all'articolo 18 riguardanti la definizione delle circostanze alle quali le amministrazioni pubbliche e gli operatori del mercato sono tenuti a notificare gli incidenti.
6. Fatti salvi gli atti delegati adottati a norma del paragrafo 5, le autorità competenti possono adottare orientamenti e, se necessario, emanare istruzioni sulle circostanze alle quali le amministrazioni pubbliche e gli operatori del mercato sono tenuti a notificare gli incidenti.	6. Le autorità competenti o i punti di contatto unici adottano orientamenti sulle circostanze alle quali gli operatori del mercato sono tenuti a notificare gli incidenti.
7. Alla Commissione è conferito il potere di definire, mediante atti di esecuzione, i formati e le procedure applicabili ai fini del paragrafo 2. Tali atti di esecuzione sono adottati secondo la procedura di esame di cui all'articolo 19, paragrafo 3.	7. Alla Commissione è conferito il potere di definire, mediante atti di esecuzione, i formati e le procedure applicabili ai fini del paragrafo 2. Tali atti di esecuzione sono adottati secondo la procedura di esame di cui all'articolo 19, paragrafo 3.
8. Il disposto dei paragrafi 1 e 2 non si applica alle microimprese quali definite nella raccomandazione 2003/361/CE della Commissione, del 6 maggio 2003, relativa alla definizione delle microimprese, piccole e medie imprese³⁵.	8. Il disposto dei paragrafi 1 e 2 non si applica alle microimprese quali definite nella raccomandazione 2003/361/CE della Commissione, del 6 maggio 2003, relativa alla definizione delle microimprese, piccole e medie imprese³⁵.
_______________	______________
³⁵ GU L 124 del 20.5.2003, pag. 36.	³⁵ GU L 124 del 20.5.2003, pag. 36.
Emendamento 85 Proposta di direttiva Articolo 14 – paragrafo 4 – comma 1 (nuovo)
Testo della Commissione	Emendamento
	Oltre a riferire all'autorità competente, gli operatori del mercato sono incoraggiati ad annunciare gli incidenti che coinvolgono la loro società nelle relazioni finanziarie (su base volontaria).
Motivazione
Gli incidenti informatici potrebbero provocare perdite finanziarie elevate e costi notevoli. Gli azionisti e gli investitori dovrebbero essere informati delle conseguenze di tali incidenti. Incoraggiando le società a pubblicare gli incidenti informatici su base volontaria, si potrebbe stimolare il dibattito intersettoriale sulla probabilità di futuri incidenti, sulla portata dei rischi in questione nonché sull'appropriatezza delle azioni preventive adottate per ridurre le violazioni della sicurezza informatica.
Emendamento 86 Proposta di direttiva Articolo 15
Testo della Commissione	Emendamento
1. Gli Stati membri procurano che le autorità competenti siano dotate di tutti i poteri necessari per indagare i casi di mancato rispetto, da parte delle amministrazioni pubbliche o degli operatori del mercato, degli obblighi loro imposti dall'articolo 14 e gli effetti di tale mancato rispetto sulla sicurezza delle reti e dei sistemi informativi.	1. Gli Stati membri provvedono affinché le autorità competenti e i punti di contatto unici siano dotati dei poteri necessari per garantire il rispetto degli obblighi di cui all'articolo 14 e gli effetti di tale mancato rispetto sulla sicurezza delle reti e dei sistemi informativi.
2. Gli Stati membri procurano che le autorità competenti abbiano il potere di richiedere agli operatori del mercato e alle amministrazioni pubbliche di:	2. Gli Stati membri garantiscono che le autorità competenti e i punti di contatto unici abbiano il potere di richiedere agli operatori del mercato di:
a) fornire le informazioni necessarie per valutare la sicurezza delle loro reti e dei loro sistemi informativi, compresi i documenti relativi alle politiche di sicurezza;	a) fornire le informazioni necessarie per valutare la sicurezza delle loro reti e dei loro sistemi informativi, compresi i documenti relativi alle politiche di sicurezza;
b) sottoporsi ad audit condotto da un organismo qualificato indipendente o da un'autorità nazionale e metterne i risultati a disposizione dell'autorità competente.	b) comprovare l'effettiva attuazione delle politiche di sicurezza, anche mediante i risultati di un audit sulla sicurezza condotto da revisori interni, da un organismo qualificato indipendente o da un'autorità nazionale, mettendo i riscontri a disposizione dell'autorità competente o del punto di contatto unico. Ove necessario, l'autorità competente o il punto di contatto unico possono chiedere un riscontro supplementare o in via eccezionale, e fornendone una debita motivazione, condurre un audit aggiuntivo.
	Quando tale richiesta viene presentata, le autorità competenti e i punti di contatto unici indicano lo scopo della stessa specificando adeguatamente il tipo di informazioni richieste.
3. Gli Stati membri procurano che le autorità competenti abbiano il potere di emanare istruzioni vincolanti per gli operatori del mercato e le amministrazioni pubbliche.	3. Gli Stati membri provvedono a che le autorità competenti e i punti di contatto unici abbiano il potere di emanare istruzioni vincolanti per tutti gli operatori del mercato di cui all'allegato II:
4. Le autorità competenti notificano alle autorità di contrasto gli incidenti di cui sospettano la natura dolosa grave.	4. Le autorità competenti e il punto di contatto unico informano gli operatori del mercato interessati della possibilità di presentare azioni penali alle autorità di contrasto nel caso di incidenti di cui sospettano la natura dolosa grave.
5. Le autorità competenti operano in stretta cooperazione con le autorità competenti della protezione dei dati personali nei casi di incidenti che comportano violazioni di dati personali.	5. Fatte salve le norme di legge applicabili in materia di protezione dei dati, le autorità competenti e i punti di contatto unici operano in stretta collaborazione con le autorità competenti della protezione dei dati personali nei casi di incidenti che comportano violazioni di dati personali. I punti di contatto unici e le autorità della protezione dei dati sviluppano, in collaborazione con l'ENISA, meccanismi per lo scambio di informazioni e un modello unico da utilizzare tanto per le notifiche di cui all'articolo 14, paragrafo 2, della presente direttiva quanto per il regolamento 95/46 del Parlamento europeo e del Consiglio concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati.
	La Commissione può adottare, mediante atti di esecuzione, tenendo debitamente conto dei meccanismi per lo scambio di informazioni e del modello unico eventualmente messi a punto dai punti di contatto unici e dalle autorità competenti della protezione dei dati, in collaborazione con l'ENISA, procedure per istituire meccanismi per lo scambio di informazioni e un modello unico.
6. Gli Stati membri garantiscono che gli obblighi imposti dal presente capo alle pubbliche amministrazioni e agli operatori del mercato possano essere soggetti a controllo giurisdizionale.	6. Gli Stati membri garantiscono che gli obblighi imposti dal presente capo agli operatori del mercato possano essere soggetti a controllo giurisdizionale.
Emendamento 87 Proposta di direttiva Articolo 16
Testo della Commissione	Emendamento
1. Per garantire l'attuazione convergente del disposto dell'articolo 14, paragrafo 1, gli Stati membri incoraggiano l'uso di norme e/o specifiche relative alla sicurezza delle reti e dell'informazione.	1. Per garantire l'attuazione convergente del disposto dell'articolo 14, paragrafo 1, gli Stati membri, senza prescrivere l'uso di una particolare tecnologia, incoraggiano l'uso di norme e/o specifiche dell'UE e internazionali aperte e interoperabili relative alla sicurezza delle reti e dell'informazione, conformi alla normativa dell'Unione.
2. Mediante atti di esecuzione la Commissione redige un elenco delle norme di cui al paragrafo 1. L'elenco è pubblicato nella Gazzetta ufficiale dell'Unione europea.	2. La Commissione dà mandato a un pertinente organismo di normazione europeo di redigere, in consultazione con le parti interessate, un elenco delle norme e/o delle specifiche di cui al paragrafo 1 L'elenco è pubblicato nella Gazzetta ufficiale dell'Unione europea.
Emendamento 88 Proposta di direttiva Articolo 17 – paragrafo 1
Testo della Commissione	Emendamento
1. Gli Stati membri stabiliscono le norme relative alle sanzioni da irrogare in caso di violazione delle disposizioni nazionali di attuazione della presente direttiva e prendono tutti i provvedimenti necessari per la loro applicazione. Le sanzioni previste devono essere effettive, proporzionate e dissuasive. Gli Stati membri notificano tali disposizioni alla Commissione entro la data di attuazione della presente direttiva e provvedono a dare immediata notifica di ogni successiva modifica.	1. Gli Stati membri stabiliscono le norme relative alle sanzioni da irrogare in caso di violazione dolosa e per negligenza delle disposizioni nazionali di attuazione della presente direttiva e prendono tutti i provvedimenti necessari per la loro applicazione. Le sanzioni previste devono essere effettive, proporzionate e dissuasive. Gli Stati membri notificano tali disposizioni alla Commissione entro la data di attuazione della presente direttiva e provvedono a dare immediata notifica di ogni successiva modifica.
Motivazione
È opportuno chiarire che le sanzioni possono essere applicate solo in caso di violazioni in cui gli operatori del mercato hanno omesso di adottare tutte le misure che ci si sarebbero potute legittimamente attendere da parte loro. In caso contrario, la segnalazione di incidenti da parte degli operatori del mercato potrebbero essere disincentivata.
Emendamento 89 Proposta di direttiva Articolo 17 – paragrafo 1 bis (nuovo)
Testo della Commissione	Emendamento
	1 bis. Gli Stati membri garantiscono che le sanzioni di cui al paragrafo 1 del presente articolo si applicano solo laddove l'operatore del mercato non abbia adempiuto, intenzionalmente o in seguito a grave negligenza, ai suoi obblighi previsti dal capo IV.
Emendamento 90 Proposta di direttiva Articolo 18
Testo della Commissione	Emendamento
Articolo 18	soppresso
Esercizio della delega
1. Il potere di adottare atti delegati è conferito alla Commissione alle condizioni stabilite nel presente articolo.
2. È conferito alla Commissione il potere di adottare gli atti delegati di cui all'articolo 9, paragrafo 2, all'articolo 10, paragrafo 5, e all'articolo 14, paragrafo 5. La Commissione elabora una relazione sulla delega di potere al più tardi nove mesi prima della scadenza del periodo di cinque anni. La delega di potere è tacitamente prorogata per periodi di identica durata, a meno che il Parlamento europeo o il Consiglio non si oppongano a tale proroga al più tardi tre mesi prima della scadenza di ciascun periodo.
3. La delega di potere di cui all'articolo 9, paragrafo 2, all'articolo 10, paragrafo 5 e all'articolo 14, paragrafo 5, può essere revocata in qualsiasi momento dal Parlamento europeo o dal Consiglio. La decisione di revoca pone fine alla delega di potere ivi specificata. Gli effetti della decisione decorrono dal giorno successivo alla sua pubblicazione nella Gazzetta ufficiale dell'Unione europea o da una data successiva ivi specificata. Essa non pregiudica la validità degli atti delegati già in vigore.
4. Non appena adotta un atto delegato, la Commissione lo notifica simultaneamente al Parlamento europeo e al Consiglio.
5. L'atto delegato adottato ai sensi dell'articolo 9, paragrafo 2, dell'articolo 10, paragrafo 5 e dell'articolo 14, paragrafo 5, entra in vigore solo se né il Parlamento europeo né il Consiglio hanno sollevato obiezioni entro il termine di due mesi dalla data in cui esso è stato loro notificato o se, prima della scadenza di tale termine, sia il Parlamento europeo che il Consiglio hanno informato la Commissione che non intendono sollevare obiezioni. Tale termine è prorogato di due mesi su iniziativa del Parlamento europeo o del Consiglio.
Emendamento 91 Proposta di direttiva Articolo 20 – comma 1
Testo della Commissione	Emendamento
La Commissione riesamina periodicamente il funzionamento della presente direttiva e presenta una relazione in proposito al Parlamento europeo e al Consiglio. La prima relazione è presentata entro tre anni dalla data di attuazione di cui all'articolo 21. A tal fine la Commissione può chiedere agli Stati membri di fornire informazioni senza ritardi.	La Commissione riesamina ogni tre anni il funzionamento della presente direttiva e presenta una relazione in proposito al Parlamento europeo e al Consiglio. La prima relazione è presentata entro due anni dalla data di attuazione di cui all'articolo 21. A tal fine la Commissione può chiedere agli Stati membri di fornire informazioni senza ritardi.
Motivazione
Per tenere il passo dell'evoluzione delle minacce e delle condizioni nel settore della sicurezza informatica, è opportuno rivedere e modificare regolarmente l'allegato II.
Emendamento 92 Proposta di direttiva Allegato 1 – titolo 1
Testo della Commissione	Emendamento
Requisiti e compiti delle squadre di pronto intervento informatico (CERT)	(non concerne la versione italiana)
Emendamento 93 Proposta di direttiva Allegato 1 – comma 1 – parte introduttiva
Testo della Commissione	Emendamento
I requisiti e i compiti delle squadre CERT devono essere adeguatamente e chiaramente definiti nel quadro di una strategia e/o di una regolamentazione nazionale. Essi includono quanto segue:	I requisiti e i compiti delle squadre CERT sono adeguatamente e chiaramente definiti nel quadro di una strategia e/o di una regolamentazione nazionale. Essi includono quanto segue:
	(Questo emendamento si applica a tutto il testo dell'allegato 1)
Emendamento 94 Proposta di direttiva Allegato 1 – comma 1 – punto 1 – lettera a
Testo della Commissione	Emendamento
a) La squadra CERT garantisce un'elevata disponibilità dei propri servizi di comunicazione, evitando singoli punti di guasto, e dispone di vari mezzi che le permettono di essere contattata e di contattare altri. Inoltre, i canali di comunicazione sono chiaramente specificati e ben noti alla sua base di utenti e ai partner con cui collabora.	a) Le squadre CERT garantiscono un'elevata disponibilità dei propri servizi di comunicazione, evitando singoli punti di guasto, e dispongono di vari mezzi che permettono di essere contattate e di contattare altri in qualsiasi momento. Inoltre, i canali di comunicazione sono chiaramente specificati e ben noti alla base di utenti e ai partner con cui collaborano.
Emendamento 95 Proposta di direttiva Allegato 1 – comma 1 – punto 1 – lettera c
Testo della Commissione	Emendamento
c) Gli uffici della squadra CERT e i sistemi informativi di supporto sono ubicati in siti sicuri.	c) Gli uffici delle squadre CERT e i sistemi informativi di supporto sono ubicati in siti sicuri, con reti e sistemi informativi protetti.
Emendamento 96 Proposta di direttiva Allegato 1 – comma 1 – punto 2 – lettera a – trattino 1
Testo della Commissione	Emendamento
– monitoraggio degli incidenti a livello nazionale,	– identificazione e monitoraggio degli incidenti a livello nazionale,
Emendamento 97 Proposta di direttiva Allegato 1 – comma 1 – punto 2 – lettera a – trattino 5 bis (nuovo)
Testo della Commissione	Emendamento
	- partecipazione attiva alle reti di collaborazione delle squadre CERT internazionali e dell'Unione,
Emendamento 98 Proposta di direttiva Allegato II
Testo della Commissione	Emendamento
Elenco degli operatori del mercato	Elenco degli operatori del mercato
1. Energia	1. Energia
	a) Elettricità
	- Fornitori
	- Operatori dei sistemi di distribuzione e distributori al dettaglio ai consumatori finali
	- Operatori dei sistemi di trasmissione nel settore dell'energia elettrica
	- Operatori del mercato dell'energia elettrica
	b) Petrolio
	- Oleodotti e depositi di petrolio
	- Operatori di impianti di produzione, raffinazione, trattamento, deposito e trasporto di petrolio
	c) Gas naturale
	- Fornitori
	- Operatori dei sistemi di distribuzione e distributori al dettaglio ai consumatori finali
	- Operatori dei sistemi di trasporto, di impianti di stoccaggio e di GNL nel settore del gas naturale
	- Operatori di impianti di produzione, raffinazione, trattamento, deposito e trasporto di gas naturale
	- Operatori del mercato del gas
2. Trasporti	2. Trasporti
	a) Trasporti su strada
	i) Operatori attivi nel controllo della gestione del traffico
	ii) Servizi logistici ausiliari:
	- deposito e stoccaggio,
	- movimentazione merci, e
	- altre attività di supporto ai trasporti
	b) Trasporto ferroviario
	i) Trasporto ferroviario (gestori dell'infrastruttura, imprese integrate e operatori di trasporto ferroviario)
	ii) Operatori attivi nel controllo della gestione del traffico
	iii) Servizi logistici ausiliari:
	- deposito e stoccaggio,
	- movimentazione merci, e
	- altre attività di supporto ai trasporti
	c) Trasporto aereo
	i) Vettori aerei (trasporto aereo di merci e passeggeri)
	ii) Aeroporti
	iii) Operatori attivi nel controllo della gestione del traffico
	iv) Servizi logistici ausiliari:
	- depositi,
	- movimentazione merci, e
	- altre attività di supporto ai trasporti
	d) Trasporti marittimi
	i) Vettori marittimi (compagnie di navigazione per il trasporto su vie navigabili, marittimo e costiero di passeggeri e per il trasporto su vie navigabili, marittimo e costiero di merci)
	ii) Porti
	iii) Operatori attivi nel controllo della gestione del traffico
	iv) Servizi logistici ausiliari:
	- deposito e stoccaggio,
	- movimentazione merci, e
	- altre attività di supporto ai trasporti
	2 bis. Servizi idrici
3. Settore bancario: enti creditizi ai sensi dell'articolo 4, punto 1, della direttiva 2006/48/CE.	3. Settore bancario: enti creditizi ai sensi dell'articolo 4, punto 1, della direttiva 2006/48/CE.
4. Infrastrutture dei mercati finanziari: Borse e stanze di compensazione di tipo controparte centrale.	4. Infrastrutture dei mercati finanziari: mercati regolamentati, strutture multilaterali di negoziazione, strutture organizzate di negoziazione, portali di pagamento su internet e stanze di compensazione di tipo controparte centrale
5. Settore sanitario: istituti sanitari (compresi ospedali e cliniche private) e altri soggetti che forniscono assistenza sanitaria.	5. Settore sanitario: istituti sanitari (compresi ospedali e cliniche private) e altri soggetti che forniscono assistenza sanitaria
	6. TIC: servizi di cloud computing utilizzati da un operatore per fornire i servizi di cui ai punti da 1 a 5.
	Tale elenco è sottoposto a revisione ogni due anni.

PROCEDURA

Titolo	Livello comune elevato di sicurezza delle reti e dell'informazione nell'Unione
Riferimenti	COM(2013)0048 – C7-0035/2013 – 2013/0027(COD)
Commissione competente per il merito Annuncio in Aula	IMCO 15.4.2013
Parere espresso da Annuncio in Aula	ITRE 15.4.2013
Commissioni associate - annuncio in aula	12.9.2013
Relatore per parere Nomina	Pilar del Castillo Vera 23.5.2013
Esame in commissione	14.10.2013	4.11.2013
Approvazione	16.12.2013
Esito della votazione finale	+: –: 0:	36 5 0
Membri titolari presenti al momento della votazione finale	Amelia Andersdotter, Josefa Andrés Barea, Bendt Bendtsen, Fabrizio Bertot, Reinhard Bütikofer, Maria Da Graça Carvalho, Giles Chichester, Pilar del Castillo Vera, Christian Ehler, Vicky Ford, Adam Gierek, Norbert Glante, Robert Goebbels, Fiona Hall, Romana Jordan, Philippe Lamberts, Marisa Matias, Judith A. Merkies, Angelika Niebler, Jaroslav Paška, Vittorio Prodi, Miloslav Ransdorf, Herbert Reul, Teresa Riera Madurell, Paul Rübig, Amalia Sartori, Salvador Sedó i Alabart, Evžen Tošenovský, Claude Turmes, Marita Ulvskog, Vladimir Urutchev
Supplenti presenti al momento della votazione finale	Daniel Caspary, António Fernando Correia de Campos, Françoise Grossetête, Roger Helmer, Jolanta Emilia Hibner, Seán Kelly, Eija-Riitta Korhola, Holger Krahmer, Zofija Mazej Kukovič, Silvia-Adriana Ţicău, Lambert van Nistelrooij
Supplenti (art. 187, par. 2) presenti al momento della votazione finale	María Auxiliadora Correa Zamora

PARERE DELLA COMMISSIONE PER LE LIBERTà CIVILI, LA GIUSTIZIA E GLI AFFARI INTERNI* (15.1.2014)

destinato alla commissione per il mercato interno e la protezione dei consumatori

sulla proposta di direttiva del Parlamento europeo e del Consiglio recante misure volte a garantire un livello comune elevato di sicurezza delle reti e dell'informazione nell'Unione
(COM(2013)0048 – C7‑0035/2013 – 2013/0027(COD))

Relatore per parere(*) : Carl Schlyter

(*) Procedura con le commissioni associate – Articolo 50 del regolamento

BREVE MOTIVAZIONE

La proposta mira a conseguire un livello comune elevato di sicurezza delle reti e dell'informazione nell'Unione. Il relatore è favorevole agli obiettivi che la proposta persegue, raccomandando alcuni emendamenti che miglioreranno la certezza giuridica e rafforzeranno la salvaguardia e la protezione delle persone e della loro vita privata, al fine di garantire che le persone possano avere il controllo dei propri dati personali e abbiano fiducia nell'ambiente digitale, creare una cultura della gestione del rischio e migliorare lo scambio di informazioni fra soggetti pubblici e privati.

Gli emendamenti proposti mirano a rafforzare il riferimento alla legislazione in materia di protezione dei dati, chiarire che le "infrastrutture critiche" non dovrebbero includere le reti sociali e i negozi online di applicazioni (cfr. la modifica dell'elenco all'allegato II) e assicurare il rispetto del principio di proporzionalità, sottolineando l'aspetto civile dell'attività: la maggior parte delle perturbazioni e le cause più comuni di guasti del sistema non sono dovute ad attacchi informatici intenzionali condotti da terroristi, criminali o spie straniere, ma a errori umani involontari ed eventi naturali. È di cruciale importanza che l'UE distingua l'attuazione della legislazione proposta da eventuali "militarizzazioni" dell'argomento, escludendo gli obiettivi del settore della sicurezza e vigilanza e tenendo conto del contesto di un mercato digitale globalizzato.

Una questione fondamentale che rimane irrisolta riguarda la relazione fra il sistema proposto e il meccanismo di notifica proposto nel quadro del regolamento generale sulla protezione dei dati e la loro coesistenza efficace, il che costituisce uno dei motivi per sottolineare che tutte le normative dell'UE in materia di sicurezza informatica dovrebbero seguire l'approvazione del regolamento generale sulla protezione dei dati, e non precederlo. Vanno poi considerate le reali implicazioni finanziarie e amministrative, tra cui i costi totali per le società, e non soltanto i costi di effettuazione delle notifiche. Le società di software che producono programmi informatici scadenti per risparmiare, esponendo così i loro clienti, non possono essere sistematicamente tutelate dalla clausola, contenuta nelle condizioni d'utilizzo, che esclude qualsiasi responsabilità per il malfunzionamento dei loro prodotti. È necessario che siano incentivate ad adoperarsi per essere ragionevolmente al riparo. Infine, i concetti fondamentali dovrebbero essere chiariti e non lasciati aperti all'interpretazione degli Stati membri (come ad esempio il significato delle espressioni "amministrazioni pubbliche" e "impatto significativo" e una definizione concreta di "criminalità informatica").

EMENDAMENTI

La commissione per le libertà civili, la giustizia e gli affari interni invita la commissione per il mercato interno e la protezione dei consumatori, competente per il merito, a includere nella sua relazione i seguenti emendamenti:

Emendamento 1 Proposta di direttiva Considerando 1
Testo della Commissione	Emendamento
(1) Le reti e i sistemi e servizi di informazione svolgono un ruolo vitale nella società. È essenziale che essi siano affidabili e sicuri per l'attività economica e il benessere sociale e in particolare ai fini del funzionamento del mercato interno.	(1) Le reti e i sistemi e servizi di informazione svolgono un ruolo vitale nella società. È essenziale che essi siano affidabili e sicuri per l'attività economica, il benessere sociale e le comunicazioni e gli scambi fra le persone, le organizzazioni della società civile e le imprese, come pure per la protezione e il rispetto della vita privata e dei dati personali.
Emendamento 2 Proposta di direttiva Considerando 2
Testo della Commissione	Emendamento
(2) La portata e la frequenza degli incidenti dolosi o accidentali a carico della sicurezza stanno aumentando e rappresentano una grave minaccia per il funzionamento delle reti e dei sistemi informativi. Tali incidenti possono impedire il proseguimento di attività economiche, provocare notevoli perdite finanziarie, minare la fiducia degli utenti e causare gravi danni all'economia dell'Unione.	(2) La portata e la frequenza degli incidenti dolosi o accidentali a carico della sicurezza stanno aumentando e rappresentano una grave minaccia per il funzionamento delle reti e dei sistemi informativi. Tali incidenti possono impedire il proseguimento di attività economiche, provocare notevoli perdite finanziarie, minare la fiducia degli utenti e causare gravi danni all'economia dell'Unione. È ormai sempre più assodato che i sistemi di controllo sono vulnerabili agli attacchi informatici provenienti da numerose fonti, tra cui governi ostili, gruppi terroristici e altri intrusi con finalità dolose. Gli attacchi intelligenti e gli attacchi coordinati potrebbero avere gravi conseguenze per la stabilità, le prestazioni e i parametri economici dell'infrastruttura.
Emendamento 3 Proposta di direttiva Considerando 3
Testo della Commissione	Emendamento
(3) In quanto strumenti di comunicazione non vincolati a frontiere, i sistemi informativi digitali - e in prima linea internet - svolgono un ruolo essenziale per agevolare i movimenti transnazionali di beni, servizi e persone. Tenendo conto di questa dimensione transnazionale, gravi perturbazioni di tali sistemi in uno Stato membro possono ripercuotersi sugli altri Stati membri e avere conseguenze in tutta l'UE. La resilienza e la stabilità delle reti e dei sistemi informativi è quindi essenziale per l'armonioso funzionamento del mercato interno.	(3) In quanto strumenti di comunicazione non vincolati a frontiere, i sistemi informativi digitali ‒ e in prima linea internet ‒ svolgono un ruolo essenziale per agevolare i movimenti transnazionali di beni, servizi e persone. Tenendo conto di questa dimensione transnazionale, gravi perturbazioni di tali sistemi in uno Stato membro possono ripercuotersi sugli altri Stati membri e avere conseguenze in tutta l'UE. La resilienza e la stabilità delle reti e dei sistemi informativi è quindi essenziale per l'armonioso funzionamento del mercato interno e per le comunicazioni e gli scambi fra le persone, le organizzazioni della società civile e le imprese.
Emendamento 4 Proposta di direttiva Considerando 3 bis (nuovo)
Testo della Commissione	Emendamento
	(3 bis) Poiché le cause più comuni di guasto dei sistemi continuano a essere involontarie, come eventi naturali o errori umani, le infrastrutture dovrebbero essere resilienti sia alle perturbazioni intenzionali che a quelle involontarie e gli operatori delle infrastrutture critiche dovrebbero progettare sistemi orientati alla resilienza, che continuino a funzionare anche quando altri sistemi al di fuori del loro controllo vanno in avaria.
Emendamento 5 Proposta di direttiva Considerando 6 bis (nuovo)
Testo della Commissione	Emendamento
	(6 bis) È fondamentale riconoscere l'incertezza insita nei sistemi complessi cui ci affidiamo. Ciò richiede una migliore comprensione comune della nozione di "critico", che dovrebbe essere condivisa da quanti sono preposti alla protezione di un'organizzazione e da quanti ne definiscono l'orientamento strategico.
Emendamento 6 Proposta di direttiva Considerando 8
Testo della Commissione	Emendamento
(8) Le disposizioni della presente direttiva lasciano impregiudicata la possibilità per ciascuno Stato membro di adottare le misure necessarie per assicurare la tutela dei suoi interessi essenziali in materia di sicurezza, salvaguardare l'ordine pubblico e la pubblica sicurezza e consentire la ricerca, l'individuazione e il perseguimento dei reati. Conformemente all'articolo 346 del TFUE, nessuno Stato membro è tenuto a fornire informazioni la cui divulgazione sia dallo stesso considerata contraria agli interessi essenziali della propria sicurezza.	(8) Le disposizioni della presente direttiva lasciano impregiudicata la possibilità per ciascuno Stato membro di adottare le misure necessarie per assicurare la tutela dei suoi interessi essenziali in materia di sicurezza, salvaguardare l'ordine pubblico e la pubblica sicurezza e consentire la ricerca, l'individuazione e il perseguimento dei reati, a condizione che ciò non costituisca un pretesto per non osservare gli obblighi più generali che incombono agli Stati membri in materia di rispetto della protezione della vita privata e dei dati personali. Conformemente all'articolo 346 del TFUE, nessuno Stato membro è tenuto a fornire informazioni la cui divulgazione sia dallo stesso considerata contraria agli interessi essenziali della propria sicurezza.
Emendamento 7 Proposta di direttiva Considerando 9
Testo della Commissione	Emendamento
(9) Per conseguire e mantenere un livello comune elevato di sicurezza delle reti e dei sistemi informativi è opportuno che ogni Stato membro disponga di una strategia nazionale in materia di SRI che definisca gli obiettivi strategici e gli interventi strategici concreti da attuare. Per poter raggiungere una capacità di risposta tale da permettere un'efficiente collaborazione a livello nazionale e unionale in caso di incidenti è necessario che siano elaborati, a livello nazionale, piani di collaborazione in materia di sicurezza delle reti e dell'informazione, rispondenti a condizioni essenziali.	(9) Per conseguire e mantenere un livello comune elevato di sicurezza delle reti e dei sistemi informativi è opportuno che ogni Stato membro disponga di una strategia nazionale in materia di SRI che definisca gli obiettivi strategici e gli interventi strategici concreti da attuare. Per poter raggiungere una capacità di risposta tale da permettere un'efficiente collaborazione a livello nazionale e unionale in caso di incidenti è necessario che siano elaborati, a livello nazionale, piani di collaborazione in materia di sicurezza delle reti e dell'informazione, rispondenti a condizioni essenziali, che assicurino il rispetto e la protezione della vita privata e dei dati personali.
Emendamento 8 Proposta di direttiva Considerando 10
Testo della Commissione	Emendamento
(10) Per permettere l'efficace attuazione delle disposizioni adottate a norma della presente direttiva è necessario che sia istituito o individuato in ogni Stato membro un organismo responsabile del coordinamento degli aspetti della SRI, che funga da perno della cooperazione transnazionale a livello unionale. Questi organismi devono essere dotati di risorse adeguate sul piano tecnico, finanziario e umano per permettere loro di eseguire in modo efficiente ed efficace i compiti loro assegnati e conseguire in questo modo gli obiettivi della presente direttiva.	(10) Per permettere l'efficace attuazione delle disposizioni adottate a norma della presente direttiva è necessario che sia istituita o individuata in ogni Stato membro un'autorità nazionale competente sottoposta al controllo civile, le cui attività siano trasparenti e soggette a una piena vigilanza democratica, che sia responsabile del coordinamento degli aspetti della SRI e che funga da perno della cooperazione transnazionale a livello unionale. Questi organismi devono essere dotati di risorse adeguate sul piano tecnico, finanziario e umano per permettere loro di eseguire in modo efficiente ed efficace i compiti loro assegnati e conseguire in questo modo gli obiettivi della presente direttiva.
Emendamento 9 Proposta di direttiva Considerando 14 bis (nuovo)
Testo della Commissione	Emendamento
	(14 bis) Sono sempre più numerosi i settori che adottano servizi di "cloud computing" nei propri ambienti di elaborazione, tra cui servizi informatici che presiedono alle infrastrutture critiche. Misure di sicurezza sufficienti devono garantire la riservatezza, l'integrità e la disponibilità dei dati nel cloud. I servizi per infrastrutture di hosting e l'archiviazione di dati sensibili nel cloud comportano requisiti di sicurezza e di resilienza che i servizi nel cloud esistenti non sono in grado di assicurare del tutto. Pertanto deve esserci la garanzia che l'ambiente di elaborazione nel cloud possa fornire una protezione efficace dei dati dell'infrastruttura critica sensibile.
Emendamento 10 Proposta di direttiva Considerando 15
Testo della Commissione	Emendamento
(15) La collaborazione tra il settore pubblico e il settore privato è essenziale visto che la maggioranza delle reti e dei sistemi informativi funziona per opera di operatori privati. Gli operatori del mercato devono essere incoraggiati a portare avanti propri meccanismi informali di collaborazione per garantire la sicurezza delle reti e dell'informazione. È necessario che essi collaborino anche con il settore pubblico e scambino informazioni e buone pratiche in cambio di supporto operativo in caso di incidenti.	(15) La collaborazione tra il settore pubblico e il settore privato è essenziale visto che la maggioranza delle reti e dei sistemi informativi funziona per opera di operatori privati. Gli operatori del mercato devono essere incoraggiati a portare avanti propri meccanismi informali di collaborazione per garantire la sicurezza delle reti e dell'informazione. È necessario che essi collaborino anche con il settore pubblico e si scambino vicendevolmente informazioni e buone pratiche nonché supporto operativo reciproco, in base alle necessità, in caso di incidenti.
Emendamento 11 Proposta di direttiva Considerando 15 bis (nuovo)
Testo della Commissione	Emendamento
	(15 bis) I meccanismi di cooperazione nazionale già in essere tra operatori pubblici e privati dovrebbero essere, ove possibile, pienamente rispettati e conformi alla direttiva 95/46/CE e le disposizioni stabilite da tale direttiva non dovrebbero pregiudicare gli accordi di cooperazione in atto.
Emendamento 12 Proposta di direttiva Considerando 16
Testo della Commissione	Emendamento
(16) Per garantire la trasparenza e una corretta informazione dei cittadini e degli operatori del mercato dell'UE è necessario che le competenti autorità allestiscano un sito comune su cui pubblicare informazioni non riservate sui rischi e sugli incidenti.	(16) Per garantire la trasparenza e una corretta informazione dei cittadini e degli operatori del mercato dell'UE è necessario che le competenti autorità allestiscano un sito comune su cui pubblicare in modo tempestivo informazioni esaustive non riservate sui rischi e sugli incidenti.
Emendamento 13 Proposta di direttiva Considerando 21
Testo della Commissione	Emendamento
(21) Data la natura planetaria dei problemi che interessano la sicurezza delle reti e dell'informazione è necessaria una cooperazione internazionale più stretta per migliorare le norme di sicurezza e gli scambi di informazioni e promuovere un approccio globale comune agli aspetti della SRI.	(21) Datala natura planetaria dei problemi che interessano la sicurezza delle reti e dell'informazione è necessaria una cooperazione internazionale più stretta per migliorare le norme di sicurezza e gli scambi di informazioni e promuovere un approccio globale comune agli aspetti della SRI, a condizione che gli Stati con i quali si intende avviare tale cooperazione dispongano di strumenti di controllo e di protezione dei dati atti a garantire lo stesso livello di sicurezza di quelli dell'UE.
Emendamento 14 Proposta di direttiva Considerando 22
Testo della Commissione	Emendamento
(22) La responsabilità di garantire la sicurezza delle reti e dell'informazione incombe in larga misura alle pubbliche amministrazioni e agli operatori del mercato. È opportuno promuovere e sviluppare attraverso adeguati obblighi regolamentari e pratiche industriali volontarie una cultura della gestione del rischio, che comprende la valutazione del rischio e l'attuazione di misure di sicurezza commisurate al rischio corso. È altresì fondamentale creare pari condizioni per l'efficace funzionamento della rete di collaborazione in modo da garantire la collaborazione effettiva di tutti gli Stati membri.	(22) La responsabilità di garantire la sicurezza delle reti e dell'informazione incombe in larga misura alle pubbliche amministrazioni e alle imprese. È opportuno promuovere e sviluppare, attraverso adeguati obblighi regolamentari e pratiche industriali volontarie, una cultura della gestione del rischio che comprenda la valutazione del rischio e l'attuazione di misure di sicurezza intese ad anticipare gli incidenti legati alla sicurezza, siano essi dolosi o accidentali. Ove già esista una siffatta cultura di gestione del rischio e, in particolare, ove sia basata su pratiche volontarie, essa dovrebbe essere sostenuta, rafforzata e condivisa. È altresì fondamentale creare pari condizioni per l'efficace funzionamento della rete di collaborazione in modo da garantire la collaborazione effettiva di tutti gli Stati membri.
Emendamento 15 Proposta di direttiva Considerando 22 bis (nuovo)
Testo della Commissione	Emendamento
	(22 bis) Le amministrazioni pubbliche e le imprese private, tra cui i fornitori di servizi di rete, di informazioni e di programmi informatici, dovrebbero considerare la protezione dei propri sistemi informatici e dei dati in essi contenuti come parte dei loro obblighi di diligenza. È opportuno garantire livelli di protezione adeguati rispetto a minacce e vulnerabilità ragionevolmente individuabili. Il costo e l'onere di tale protezione dovrebbero riflettere il probabile danno che un attacco informatico arrecherebbe ai soggetti interessati.
Emendamento 16 Proposta di direttiva Considerando 26 bis (nuovo)
Testo della Commissione	Emendamento
	(26 bis) I minori sono esposti, fin dalla più tenera età, a Internet e ad altre tecnologie moderne nonché alle minacce che esse comportano. Una governance adeguata relativa a uno spazio online favorevole ai minori è decisiva per limitare i danni e garantire che la protezione dei minori e dei loro diritti non sia compromessa.
Emendamento 17 Proposta di direttiva Considerando 28
Testo della Commissione	Emendamento
(28) È opportuno che le autorità competenti procurino in particolare di salvaguardare l'esistenza di canali informali e affidabili di scambio di informazioni tra gli operatori del mercato e tra settore pubblico e privato. La pubblicità degli incidenti segnalati alle autorità competenti deve contemperare l'opportunità che il pubblico sia informato delle minacce esistenti con i possibili danni di immagine e commerciali per le pubbliche amministrazioni e gli operatori di mercato che segnalano gli incidenti. Nell'attuare gli obblighi di notifica è necessario che le autorità competenti tengano adeguatamente conto della necessità di mantenere strettamente riservate le informazioni sulle vulnerabilità del prodotto prima di diffondere i rimedi di sicurezza appropriati.	(28) È opportuno che le autorità competenti procurino in particolare di salvaguardare l'esistenza di canali informali e affidabili di scambio di informazioni tra gli operatori del mercato e tra settore pubblico e privato. In relazione alla pubblicità degli incidenti segnalati alle autorità competenti, è necessario che l'interesse dei cittadini a essere informati delle minacce esistenti prevalga sulle considerazioni economiche a breve termine.
Emendamento 18 Proposta di direttiva Considerando 29 bis (nuovo)
Testo della Commissione	Emendamento
	(29 bis) L'uso fraudolento di Internet consente alla criminalità organizzata di espandere le proprie attività online ai fini del riciclaggio di denaro, della contraffazione e di altri prodotti e servizi che violano i diritti di proprietà intellettuale, nonché di sperimentare nuove attività criminose, il che dimostra una preoccupante capacità di adattarsi alla tecnologia moderna.
Emendamento 19 Proposta di direttiva Considerando 30 bis (nuovo)
Testo della Commissione	Emendamento
	(30 bis) La criminalità informatica arreca danni economici e sociali significativi e crescenti a milioni di consumatori e determina perdite annuali stimate a 290 miliardi di EUR^{4 bis}.
	__________________
	^{4 bis} In base alla relazione Norton 2012 sulla criminalità informatica.
Emendamento 20 Proposta di direttiva Considerando 33
Testo della Commissione	Emendamento
(33) È opportuno che la Commissione riesamini le disposizioni della presente direttiva a scadenze regolari, in particolare per valutare la necessità di modificarle in funzione dell'evoluzione delle tecnologie o delle condizioni del mercato.	(33) È opportuno che la Commissione riesamini le disposizioni della presente direttiva a scadenze regolari, in particolare per valutare la necessità di modificarle in funzione dell'evoluzione delle tecnologie o delle condizioni del mercato, nonché degli obblighi intesi a garantire il massimo livello di sicurezza e integrità delle reti e dell'informazione, come pure di protezione della vita privata e dei dati personali.
Emendamento 21 Proposta di direttiva Considerando 39
Testo della Commissione	Emendamento
(39) Lo scambio di informazioni sui rischi e sugli incidenti all'interno della rete di collaborazione e il rispetto degli obblighi di notifica degli incidenti alle autorità nazionali competenti possono richiedere il trattamento di dati personali. Tale trattamento di dati personali è necessario per conseguire gli obiettivi di interesse pubblico perseguiti dalla presente direttiva ed è quindi legittimo in virtù dell'articolo 7 della direttiva 95/46/CE. In relazione a tali obiettivi legittimi esso non costituisce un intervento sproporzionato ed inammissibile che pregiudicherebbe la sostanza stessa del diritto di protezione dei dati personali sancito dall'articolo 8 della Carta dei diritti fondamentali. Nell'applicazione della presente direttiva si applica, per quanto di ragione, il regolamento (CE) n. 1049/2001 del Parlamento europeo e del Consiglio, del 30 maggio 2001, relativo all'accesso del pubblico ai documenti del Parlamento europeo, del Consiglio e della Commissione³¹. In caso di trattamento di dati da parte di istituzioni ed organismi dell'Unione, tale trattamento ai fini dell'attuazione della presente direttiva deve rispettare le disposizioni del regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio, del 18 dicembre 2000, concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati.	(39) Lo scambio di informazioni sui rischi e sugli incidenti all'interno della rete di collaborazione e il rispetto degli obblighi di notifica degli incidenti alle autorità nazionali competenti possono richiedere il trattamento di dati personali. Se tale trattamento di dati personali è necessario per conseguire gli obiettivi di interesse pubblico perseguiti dalla presente direttiva, può essere legittimo in virtù dell'articolo 7 della direttiva 95/46/CE. Esso tuttavia non dispensa le autorità competenti dall'obbligo di agire in modo proporzionato, in modo tale da non pregiudicare il diritto di protezione dei dati personali sancito dall'articolo 8 della Carta dei diritti fondamentali. Nell'applicazione della presente direttiva si applica, per quanto di ragione, il regolamento (CE) n. 1049/2001 del Parlamento europeo e del Consiglio, del 30 maggio 2001, relativo all'accesso del pubblico ai documentidel Parlamento europeo, del Consiglio e della Commissione⁸. In caso di trattamento di dati da parte di istituzioni ed organismi dell'Unione, tale trattamento ai fini dell'attuazione della presente direttiva deve rispettare le disposizioni del regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio, del 18 dicembre 2000, concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati.
__________________	__________________
³¹ GU L 145 del 31.5.2001, pag. 43.	⁸ GU L 145 del 31.5.2001, pag. 43.
Emendamento 22 Proposta di direttiva Considerando 41 bis (nuovo)
Testo della Commissione	Emendamento
	(41 bis) Tutte le misure adottate dovrebbero assicurare la protezione dei diritti umani fondamentali, con particolare riferimento a quelli specificati nella Convenzione europea dei diritti dell'uomo (articolo 8, rispetto della vita privata), e garantire il rispetto del principio di proporzionalità.
Emendamento 23 Proposta di direttiva Articolo 1 – paragrafo 5
Testo della Commissione	Emendamento
5. La presente direttiva lascia impregiudicate anche le disposizioni della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, della direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche e del regolamento del Parlamento europeo e del Consiglio concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati.	5. La presente direttiva rispetta pienamente le disposizioni della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, della direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche e del regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio, del 18 dicembre 2000, concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati.
Emendamento 24 Proposta di direttiva Articolo 2
Testo della Commissione	Emendamento
Nulla osta a che gli Stati membri adottino o mantengano in vigore disposizioni atte a garantire un livello di sicurezza più elevato, fermi restando gli obblighi loro imposti dal diritto dell'Unione.	Nulla osta a che gli Stati membri adottino o mantengano in vigore disposizioni atte a garantire un livello di sicurezza più elevato, fermi restando gli obblighi loro imposti dal diritto dell'Unione, ma tali disposizioni devono conformarsi con le aspettative minime comuni applicabili nel caso di specie, che sono sancite nella presente direttiva.
Emendamento 25 Proposta di direttiva Articolo 3 – punto 2
Testo della Commissione	Emendamento
(2) "sicurezza", la capacità di una rete o di un sistema informativo di resistere, a un determinato livello di riservatezza, a eventi imprevisti o dolosi che compromettano la disponibilità, l'autenticità, l'integrità e la riservatezza dei dati conservati o trasmessi e dei relativi servizi offerti o accessibili tramite tale rete o sistema informativo;	(2) ''sicurezza'', la capacità di una rete o di un sistema informativo di resistere a eventi imprevisti o dolosi che compromettano la disponibilità, l'autenticità, l'integrità e la riservatezza dei dati conservati o trasmessi e dei relativi servizi offerti o accessibili tramite tale rete o sistema informativo;
Emendamento 26 Proposta di direttiva Articolo 3 – punto 2 – lettera a (nuovo)
Testo della Commissione	Emendamento
	a) "resilienza informatica", la capacità di una rete o di un sistema informativo di resistere, recuperando successivamente la piena operatività, a incidenti tra cui, a titolo esemplificativo ma non esaustivo, guasti tecnici, interruzioni della corrente o incidenti di sicurezza;
Emendamento 27 Proposta di direttiva Articolo 3 – punto 4
Testo della Commissione	Emendamento
(4) "incidente", ogni circostanza o evento con un reale effetto pregiudizievole per la sicurezza;	(4) "incidente", ogni circostanza o evento con un reale effetto pregiudizievole per la sicurezza e per la prestazione di servizi di base;
Emendamento 28 Proposta di direttiva Articolo 3 – punto 8 – lettera b)
Testo della Commissione	Emendamento
b) operatore di infrastrutture critiche che sono essenziali per il mantenimento di attività vitali per l'economia e la società nei campi dell'energia, dei trasporti, delle banche, delle borse e della sanità; un elenco non esaustivo di tali operatori figura nell'allegato II.	b) operatore di infrastrutture critiche che sono essenziali per il mantenimento di attività vitali per la società e l'economia nei campi dell'energia, dei trasporti, delle banche, delle borse, della catena di approvvigionamento alimentare e della sanità; un elenco non esaustivo di tali operatori figura nell'allegato II;
Emendamento 29 Proposta di direttiva Articolo 5 – paragrafo 2 – lettera a
Testo della Commissione	Emendamento
a) un piano di valutazione dei rischi per individuare i rischi e valutare le conseguenze di potenziali incidenti;	a) un quadro di gestione dei rischi che includa quanto meno una valutazione periodica dei rischi, per individuarli e valutare le conseguenze di potenziali incidenti, e misure intese a garantire la sicurezza e l'integrità delle informazioni, tra cui un allarme rapido;
Motivazione
Un piano di valutazione non è sufficiente e non comprende le altre misure necessarie alla gestione dei rischi in materia di sicurezza delle reti e dell'informazione. Il garante europeo della protezione dei dati raccomanda l'istituzione di un quadro di gestione dei rischi che includa una valutazione dei rischi.
Emendamento 30 Proposta di direttiva Articolo 5 – paragrafo 3
Testo della Commissione	Emendamento
3. La strategia nazionale e il piano nazionale di collaborazione in materia di SRI sono comunicati alla Commissione entro un mese dalla loro adozione.	3. La strategia nazionale e il piano nazionale di collaborazione in materia di SRI sono comunicati alla Commissione, al Parlamento europeo, al Consiglio e al garante europeo della protezione dei dati entro un mese dalla loro adozione, che ha luogo non oltre 12 mesi dall'entrata in vigore della presente direttiva.
Emendamento 31 Proposta di direttiva Articolo 5 – paragrafo 3 bis (nuovo)
Testo della Commissione	Emendamento
	3 bis. La Commissione sintetizza le strategie in materia SRI di tutti gli Stati membri e le invia a tutti gli Stati membri in forma organizzata.
Motivazione
È opportuno che Stati membri prendano conoscenza anche dei piani degli altri paesi. In tal modo potranno meglio determinare il proprio approccio e possono anche emergere possibilità di scambio delle migliori pratiche.
Emendamento 32 Proposta di direttiva Articolo 5 – paragrafo 3 ter (nuovo)
Testo della Commissione	Emendamento
	3 ter. Entro sei mesi dall'adozione della presente direttiva, la Commissione compila una guida sulla struttura della strategia in materia di SRI. Essa mira ad aiutare gli Stati membri a redigere e ad adottare documenti aventi all'incirca la stessa struttura.
Motivazione
Il lavoro di organizzazione e di sintesi a livello dell'UE può essere più efficace se i 28 documenti su cui si basa aderiscono a una determinata struttura generale. Benché la guida della Commissione non abbia carattere vincolante, avrebbe comunque l'effetto di indurre gli Stati membri ad aderire al modello/struttura raccomandati, in sede di elaborazione delle proprie strategie nazionali.
Emendamento 33 Proposta di direttiva Articolo 6 – paragrafo 1
Testo della Commissione	Emendamento
1. Ogni Stato membro designa un'autorità nazionale competente in materia di sicurezza delle reti e dei sistemi informativi (la "autorità competente").	1. Ogni Stato membro designa un'autorità nazionale civile competente in materia di sicurezza delle reti e dei sistemi informativi (la "autorità competente").
Emendamento 34 Proposta di direttiva Articolo 6 – paragrafo 5
Testo della Commissione	Emendamento
5. Le autorità competenti consultano le competenti autorità nazionali di contrasto e le autorità nazionali competenti per la protezione dei dati e collaborano con le stesse come necessario.	5. Le autorità competenti consultano le competenti autorità nazionali di contrasto e le autorità nazionali competenti per la protezione dei dati e collaborano strettamente con le stesse, ogniqualvolta sia opportuno e tenendo conto del principio di proporzionalità.
Emendamento 35 Proposta di direttiva Articolo 6 – paragrafo 5 bis (nuovo)
Testo della Commissione	Emendamento
	5 bis. Per quanto concerne i dati raccolti, trattati e scambiati, le autorità competenti rispettano i requisiti in materia di protezione dei dati personali di cui all'articolo 17 della direttiva 95/46/CE.
Emendamento 36 Proposta di direttiva Articolo 7 – paragrafo 1
Testo della Commissione	Emendamento
1. Ogni Stato membro costituisce una squadra di pronto intervento informatico (in seguito "CERT") col compito di trattare gli incidenti e i rischi secondo una procedura ben definita e conforme ai requisiti di cui all'allegato I, punto 1. È possibile creare una squadra CERT all'interno dell'autorità competente.	1. Ogni Stato membro costituisce squadre di pronto intervento informatico (in seguito "CERT") col compito di trattare gli incidenti e i rischi secondo una procedura ben definita e conforme ai requisiti di cui all'allegato I, punto 1. Se del caso, è creata una squadra CERT all'interno dell'autorità competente.
Emendamento 37 Proposta di direttiva Articolo 8 – paragrafo 2
Testo della Commissione	Emendamento
2. La rete di collaborazione assicura la comunicazione permanente tra la Commissione e le autorità competenti. Se richiesta, l'Agenzia europea per la sicurezza delle reti e dell'informazione (ENISA) assiste la rete di collaborazione mettendole a disposizione le proprie competenze e consulenze.	2. La rete di collaborazione assicura la comunicazione permanente tra la Commissione e le autorità competenti. Se richiesta, l'Agenzia europea per la sicurezza delle reti e dell'informazione (ENISA) assiste la rete di collaborazione mettendole a disposizione orientamenti neutri sul piano tecnologico unitamente a misure idonee sia per il settore pubblico che per quello privato.
Emendamento 38 Proposta di direttiva Articolo 9 – paragrafo 2 – lettera b bis (nuova)
Testo della Commissione	Emendamento
	b bis) i criteri per la partecipazione degli Stati membri al sistema sicuro di scambio di informazioni per far sì che tutti i partecipanti garantiscano un livello elevato di sicurezza e resilienza in tutte le fasi del trattamento, anche adottando misure adeguate in materia di riservatezza e sicurezza a norma degli articoli 16 e 17 della direttiva 95/46/CE e degli articoli 21 e 22 del regolamento (CE) n. 45/2001.
Emendamento 39 Proposta di direttiva Articolo 9 – paragrafo 3
Testo della Commissione	Emendamento
3. La Commissione adotta, mediante atti di esecuzione, decisioni sull'accesso degli Stati membri a tale infrastruttura sicura, in base ai criteri di cui ai paragrafi 2 e 3. Tali atti di esecuzione sono adottati secondo la procedura di esame di cui all'articolo 19, paragrafo 3.	soppresso
Emendamento 40 Proposta di direttiva Articolo 12 – paragrafo 2 – lettera a – trattino 2
Testo della Commissione	Emendamento
– una definizione delle procedure e dei criteri di valutazione dei rischi e degli incidenti da parte della rete di collaborazione;	– una definizione dei criteri di valutazione dei rischi e degli incidenti da parte della rete di collaborazione;
Emendamento 41 Proposta di direttiva Articolo 13
Testo della Commissione	Emendamento
Ferma restando la possibilità, per la rete di collaborazione, di intrattenere una cooperazione informale a livello internazionale, l'Unione può concludere accordi internazionali con paesi terzi o organizzazioni internazionali che permettono o organizzano la loro partecipazione ad alcune delle attività della rete di collaborazione. Tali accordi tengono conto della necessità di garantire la protezione adeguata dei dati personali che circolano nella rete di collaborazione.	Ferma restando la possibilità, per la rete di collaborazione, di intrattenere una cooperazione informale a livello internazionale, l'Unione può concludere accordi internazionali con paesi terzi o organizzazioni internazionali che permettono o organizzano la loro partecipazione ad alcune delle attività della rete di collaborazione. Tali accordi sono conclusi soltanto se può essere assicurato un livello di protezione dei dati personali che circolano nella rete di collaborazione adeguato e comparabile a quello dell'Unione.
Emendamento 42 Proposta di direttiva Articolo 14 – paragrafo 1
Testo della Commissione	Emendamento
1. Gli Stati membri procurano che le amministrazioni pubbliche e gli operatori del mercato adottino misure tecniche e organizzative adeguate alla gestione dei rischi che corre la sicurezza delle reti e dei sistemi informativi di cui hanno il controllo e che usano nelle loro operazioni. Tenuto conto delle conoscenze più aggiornate in materia, dette misure assicurano un livello di sicurezza adeguato al rischio in essere. In particolare sono adottate misure per prevenire e minimizzare l'impatto di incidenti a carico delle reti e dei sistemi informativi relativi ai servizi principali prestati, assicurando in questo modo la continuità dei servizi supportati da tali reti e sistemi informativi.	1. Gli Stati membri procurano che le amministrazioni pubbliche e gli operatori del mercato adottino misure tecniche e organizzative adeguate all'individuazione, alla gestione efficace e alla limitazione dei rischi che corre la sicurezza delle reti e dei sistemi informativi di cui hanno il controllo e che usano nelle loro operazioni. Tenuto conto delle conoscenze più aggiornate in materia, dette misure assicurano un livello di sicurezza adeguato e proporzionato al rischio in essere. In particolare sono adottate misure per prevenire e minimizzare l'impatto di incidenti a carico delle reti e dei sistemi informativi relativi ai servizi principali prestati, assicurando in questo modo la continuità dei servizi e la sicurezza dei dati supportati da tali reti e sistemi informativi.
Emendamento 43 Proposta di direttiva Articolo 14 – paragrafo 2 – lettera a (nuovo)
	Emendamento
	a) In caso di negligenza grave in materia di sicurezza, i produttori di programmi informatici commerciali sono ritenuti responsabili, a prescindere dalla presenza di clausole sull'esonero di responsabilità nei contratti stipulati con gli utenti.
Motivazione
Nell'accordo di licenza, i produttori di programmi informatici commerciali si esonerano da qualsiasi responsabilità che possa derivare da precauzioni insufficienti in materia di sicurezza e da una programmazione mediocre. Affinché i produttori di programmi informatici siano incentivati a investire nelle misure di sicurezza, è necessario instaurare una cultura diversa. Ciò si può realizzare soltanto se i produttori di programmi informatici sono ritenuti responsabili per eventuali difetti attinenti alla sicurezza.
Emendamento 44 Proposta di direttiva Articolo 14 – paragrafo 3
Testo della Commissione	Emendamento
3. Gli obblighi di cui ai paragrafi 1 e 2 si applicano a tutti gli operatori del mercato che prestano servizi all'interno dell'Unione europea.	3. Gli obblighi di cui ai paragrafi 1 e 2 si applicano a tutti gli operatori del mercato e ai produttori di programmi informatici che prestano servizi all'interno dell'Unione europea.
Emendamento 45 Proposta di direttiva Articolo 14 – paragrafo 6
Testo della Commissione	Emendamento
6. Fatti salvi gli atti delegati adottati a norma del paragrafo 5, le autorità competenti possono adottare orientamenti e, se necessario, emanare istruzioni sulle circostanze alle quali le amministrazioni pubbliche e gli operatori del mercato sono tenuti a notificare gli incidenti.	soppresso
Emendamento 46 Proposta di direttiva Articolo 15 – paragrafo 1
Testo della Commissione	Emendamento
1. Gli Stati membri procurano che le autorità competenti siano dotate di tutti i poteri necessari per indagare i casi di mancato rispetto, da parte delle amministrazioni pubbliche o degli operatori del mercato, degli obblighi loro imposti dall'articolo 14 e gli effetti di tale mancato rispetto sulla sicurezza delle reti e dei sistemi informativi.	1. Gli Stati membri procurano che le autorità competenti siano dotate dei poteri necessari per indagare i casi di mancato rispetto, da parte delle amministrazioni pubbliche o degli operatori del mercato, degli obblighi loro imposti dall'articolo 14 e gli effetti di tale mancato rispetto sulla sicurezza delle reti e dei sistemi informativi.
Emendamento 47 Proposta di direttiva Articolo 15 – paragrafo 5
Testo della Commissione	Emendamento
5. Le autorità competenti operano in stretta cooperazione con le autorità competenti della protezione dei dati personali nei casi di incidenti che comportano violazioni di dati personali.	5. Senza pregiudizio delle norme di legge applicabili in materia di protezione dei dati e in piena consultazione con i responsabili del trattamento e del controllo dei dati, le autorità competenti e i punti di contatto unici operano in stretta cooperazione con le autorità competenti della protezione dei dati personali nei casi di incidenti che comportano violazioni di dati personali.
Emendamento 48 Proposta di direttiva Articolo 19 bis (nuovo)
Testo della Commissione	Emendamento
	Articolo 19 bis
	Protezione e trattamento dei dati personali
	1. Il trattamento dei dati personali negli Stati membri a norma della presente direttiva è effettuato conformemente alle direttive 95/46/CE e 2002/58/CE.
	2. Il trattamento dei dati personali da parte della Commissione e dell'ENISA a norma del presente regolamento è effettuato conformemente al regolamento (CE) n. 45/2001.
	3. Il trattamento dei dati personali da parte del Centro per la lotta alla criminalità informatica di Europol ai fini della presente direttiva è effettuato conformemente alla decisione 2009/371/GAI.
	4. Il trattamento dei dati personali è equo e strettamente limitato ai dati minimi necessari per le finalità di tale trattamento. I dati personali sono conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati.
	5. Le notifiche degli incidenti di cui all'articolo 14 lasciano impregiudicate le disposizioni e gli obblighi riguardo alle notifiche di violazioni in materia di dati personali stabiliti all'articolo 4 della direttiva 2002/5/CE e al regolamento (UE) n. 611/2013.
	6. I riferimenti alla direttiva 95/46/CE sono formulati come riferimenti al regolamento del Parlamento europeo e del Consiglio concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati (regolamento generale sulla protezione dei dati) una volta questo sia entrato in vigore.
Emendamento 49 Proposta di direttiva Articolo 20 – comma 1
Testo della Commissione	Emendamento
La Commissione riesamina periodicamente il funzionamento della presente direttiva e presenta una relazione in proposito al Parlamento europeo e al Consiglio. La prima relazione è presentata entro tre anni dalla data di attuazione di cui all'articolo 21. A tal fine la Commissione può chiedere agli Stati membri di fornire informazioni senza ritardi.	La Commissione riesamina periodicamente il funzionamento della presente direttiva e presenta una relazione in proposito al Parlamento europeo e al Consiglio. La prima relazione è presentata entro due anni dalla data di attuazione di cui all'articolo 21. A tal fine la Commissione può chiedere agli Stati membri di fornire informazioni senza ritardi.
Emendamento 50 Proposta di direttiva Allegato I – paragrafo 1 – lettera b
Testo della Commissione	Emendamento
b) La squadra CERT attua e gestisce misure di sicurezza che garantiscono la riservatezza, l'integrità, la disponibilità e l'autenticità delle informazioni che riceve e tratta.	b) La squadra CERT attua e gestisce misure di sicurezza che garantiscono la riservatezza, l'integrità, la disponibilità e l'autenticità delle informazioni che riceve e tratta e assicura la protezione dei dati.
Emendamento 51 Proposta di direttiva Allegato II – comma 1
Testo della Commissione	Emendamento
Elenco degli operatori del mercato	Elenco degli operatori del mercato
Di cui all'articolo 3, paragrafo 8, lettera a)	Di cui all'articolo 3, paragrafo 8, lettera a)
1. Piattaforme di commercio elettronico	1. Piattaforme di commercio elettronico
2. Portali di pagamento su internet	2. Portali di pagamento su internet
3. Reti sociali
4. Motori di ricerca	3. Motori di ricerca
5. Servizi nella nuvola (cloud computing)	4. Servizi nella nuvola (cloud computing) che memorizzano dati dell'infrastruttura critica dell'Unione europea
6. Negozi online di applicazioni
Emendamento 52 Proposta di direttiva Allegato II – paragrafo 2 – punto 5 bis (nuovo)
Testo della Commissione	Emendamento
	5 bis. Catena di approvvigionamento alimentare

PROCEDURA

Titolo	Livello comune elevato di sicurezza delle reti e dell'informazione nell'Unione
Riferimenti	COM(2013)0048 – C7-0035/2013 – 2013/0027(COD)
Commissione competente per il merito Annuncio in Aula	IMCO 15.4.2013
Parere espresso da Annuncio in Aula	LIBE 15.4.2013
Commissioni associate - annuncio in aula	12.9.2013
Relatore per parere Nomina	Carl Schlyter 7.3.2013
Esame in commissione	25.4.2013	18.9.2013	4.11.2013	13.1.2014
Approvazione	13.1.2014
Esito della votazione finale	+: –: 0:	36 6 0
Membri titolari presenti al momento della votazione finale	Jan Philipp Albrecht, Roberta Angelilli, Edit Bauer, Rita Borsellino, Arkadiusz Tomasz Bratkowski, Philip Claeys, Frank Engel, Cornelia Ernst, Tanja Fajon, Monika Flašíková Beňová, Kinga Gál, Kinga Göncz, Salvatore Iacolino, Sophia in 't Veld, Timothy Kirkhope, Juan Fernando López Aguilar, Baronessa Sarah Ludford, Monica Luisa Macovei, Svetoslav Hristov Malinov, Véronique Mathieu Houillon, Anthea McIntyre, Nuno Melo, Roberta Metsola, Claude Moraes, Jacek Protasiewicz, Carmen Romero López, Birgit Sippel, Csaba Sógor, Renate Sommer, Axel Voss, Renate Weber, Josef Weidenholzer, Cecilia Wikström, Tatjana Ždanoka, Auke Zijlstra
Supplenti presenti al momento della votazione finale	Monika Hohlmeier, Jean Lambert, Ulrike Lunacek, Jan Mulder, Carl Schlyter, Marco Scurria
Supplenti (art. 187, par. 2) presenti al momento della votazione finale	Katarína Neveďalová

PARERE della commissione per gli affari esteri (6.12.2013)

destinato alla commissione per il mercato interno e la protezione dei consumatori

sulla proposta di direttiva del Parlamento europeo e del Consiglio recante misure volte a garantire un livello comune elevato di sicurezza delle reti e dell'informazione nell'Unione
(COM(2013)0048 – C7‑0035/2013 – 2013/0027(COD))

Relatore per parere: Ana Gomes

EMENDAMENTI

La commissione per gli affari esteri invita la commissione per il mercato interno e la protezione dei consumatori, competente per il merito, a includere nella sua relazione i seguenti emendamenti:

Emendamento 1 Proposta di direttiva Considerando 1
Testo della Commissione	Emendamento
(1) Le reti e i sistemi e servizi di informazione svolgono un ruolo vitale nella società. È essenziale che essi siano affidabili e sicuri per l'attività economica e il benessere sociale e in particolare ai fini del funzionamento del mercato interno.	(1) Le reti e i sistemi e servizi di informazione svolgono un ruolo vitale nella società. È essenziale che essi siano affidabili e sicuri per l'attività economica e il benessere sociale e in particolare ai fini del funzionamento del mercato interno, nonché della sicurezza esterna dell'UE.
Emendamento 2 Proposta di direttiva Considerando 2
Testo della Commissione	Emendamento
(2) La portata e la frequenza degli incidenti dolosi o accidentali a carico della sicurezza stanno aumentando e rappresentano una grave minaccia per il funzionamento delle reti e dei sistemi informativi. Tali incidenti possono impedire il proseguimento di attività economiche, provocare notevoli perdite finanziarie, minare la fiducia degli utenti e causare gravi danni all'economia dell'Unione.	(2) La portata e la frequenza degli incidenti dolosi o accidentali a carico della sicurezza stanno aumentando e rappresentano una grave minaccia per il funzionamento delle reti e dei sistemi informativi. Tali incidenti possono impedire il proseguimento di attività economiche, provocare notevoli perdite finanziarie, minare la fiducia degli utenti e causare gravi danni all'economia dell'Unione e, infine, mettere in pericolo il benessere dei cittadini dell'UE e la capacità degli Stati membri dell'UE di proteggere se stessi e garantire la sicurezza delle infrastrutture critiche.
Emendamento 3 Proposta di direttiva Considerando 2 bis (nuovo)
Testo della Commissione	Emendamento
	(2 bis) La clausola di solidarietà, introdotta dall'articolo 222 del TFUE, costituisce il quadro appropriato per l'assistenza e l'azione concertata tra gli Stati membri dell'UE in caso di attacco terroristico o di attività criminali che mettono in pericolo la sicurezza delle reti e delle informazioni. Allo stesso modo, la clausola di difesa reciproca, di cui all'articolo 42, paragrafo 7 del TUE, costituisce il quadro per l'azione all'interno dell'UE qualora uno Stato membro sia vittima di un'aggressione armata che compromette la sicurezza delle reti e delle informazioni. Nei casi pertinenti, è opportuno applicare in modo complementare l'articolo 222 del TFUE e l'articolo 42, paragrafo 7 del TUE.
Emendamento 4 Proposta di direttiva Considerando 2 bis (nuovo)
Testo della Commissione	Emendamento
	(2 bis) Molti incidenti informatici si verificano a causa della mancanza di resilienza e solidità dell'infrastruttura di rete pubblica e privata, di banche dati scarsamente protette o sicure e di altre lacune nell'infrastruttura critica informatizzata; che solo pochi Stati membri ritengono che la protezione delle loro reti e dei loro sistemi di informazione e dati associati rientri nel loro rispettivo dovere di diligenza, il che spiega l'assenza di investimenti nella tecnologia di sicurezza all'avanguardia, nella formazione e nello sviluppo di linee guida adeguate.
Emendamento 5 Proposta di direttiva Considerando 3
Testo della Commissione	Emendamento
(3) In quanto strumenti di comunicazione non vincolati a frontiere, i sistemi informativi digitali - e in prima linea internet - svolgono un ruolo essenziale per agevolare i movimenti transnazionali di beni, servizi e persone. Tenendo conto di questa dimensione transnazionale, gravi perturbazioni di tali sistemi in uno Stato membro possono ripercuotersi sugli altri Stati membri e avere conseguenze in tutta l'UE. La resilienza e la stabilità delle reti e dei sistemi informativi è quindi essenziale per l'armonioso funzionamento del mercato interno.	(3) In quanto strumenti di comunicazione non vincolati a frontiere, i sistemi informativi digitali - e in prima linea internet - svolgono un ruolo essenziale per agevolare i movimenti transnazionali di beni, servizi e persone. Tenendo conto di questa dimensione transnazionale, gravi perturbazioni di tali sistemi in uno Stato membro possono ripercuotersi sugli altri Stati membri e avere conseguenze in tutta l'UE. La resilienza e la stabilità delle reti e dei sistemi informativi è quindi essenziale per l'armonioso funzionamento del mercato interno ed è di vitale importanza per la sicurezza interna ed esterna dell'UE. La necessità di migliorare la sicurezza delle reti e delle informazioni dovrebbe quindi essere debitamente evidenziata nella strategia di sicurezza interna dell'Unione e nella strategia europea di sicurezza, in particolare in vista della futura revisione di tali documenti.
Emendamento 6 Proposta di direttiva Considerando 3 bis (nuovo)
Testo della Commissione	Emendamento
	(3 bis) la sensibilizzazione e l'educazione degli utenti delle tecnologie dell'informazione e della comunicazione in fatto di migliori pratiche in merito alla protezione dei dati personali e alla manutenzione sostenibile dei servizi di comunicazione dovrebbero rappresentare il fondamento di qualsiasi strategia complessiva in materia di sicurezza informatica.
Emendamento 7 Proposta di direttiva Considerando 4 bis (nuovo)
Testo della Commissione	Emendamento
	(4 bis) La cooperazione e il coordinamento tra le competenti autorità europee con l'Alto rappresentante/Vicepresidente, con la responsabilità per la politica estera e di sicurezza comune e la politica di sicurezza e difesa comune, nonché il coordinatore antiterrorismo dell'UE, dovrebbero essere garantiti in tutti i casi in cui si possano percepire rischi di natura esterna e terroristica.
Emendamento 8 Proposta di direttiva Considerando 4 ter (nuovo)
Testo della Commissione	Emendamento
	(4 ter) La condivisione di informazioni di intelligence e sensibili tra Stati membri e tra gli Stati membri e le pertinenti autorità competenti dell'UE dovrebbe essere rafforzata, ancorato a principi di fiducia, solidarietà e cooperazione. Ogni piano d'azione volto a migliorare la sicurezza della rete e del sistema dovrebbe quindi mettere in pieno utilizzo le strutture già esistenti all'interno dell'UE, come il SitCen e l'IntCen, e assicurare il coordinamento tra tutte le strutture relative alla sicurezza delle informazioni sensibili per la sicurezza interna ed esterna dell'UE.
Emendamento 9 Proposta di direttiva Considerando 4 quater (nuovo)
Testo della Commissione	Emendamento
	(4 quater) La cooperazione e la condivisione delle informazioni a livello globale, con i relativi partner internazionali, è di vitale importanza per una efficace strategia di sicurezza informatica e per un'azione cogente volta a migliorare la sicurezza della rete e delle informazioni all'interno dell'UE, alla luce della natura transnazionale della minaccia.
Emendamento 10 Proposta di direttiva Considerando 8 bis (nuovo)
Testo della Commissione	Emendamento
	(8 bis) Le misure di sicurezza devono rispettare i diritti fondamentali ai quali devono attenersi l'UE e gli Stati membri conformemente agli articoli 2, 6 e 21 del TFUE, per esempio la libertà di espressione, la protezione dei dati e la privacy; che il diritto alla privacy e alla protezione dei dati è sancito nella Carta dell'UE e all'articolo 16 del TFUE.
Emendamento 11 Proposta di direttiva Considerando 11 bis (nuovo)
Testo della Commissione	Emendamento
	(11 bis) Tutti gli Stati membri adottano ed attuano strategie, linee guida e strumenti che forniscano livelli di protezione ragionevoli contro livelli di minacce ragionevolmente identificabili, in cui i costi e gli oneri della protezione siano commisurati al possibile danno per le parti interessate. Invita tutti gli Stati membri ad adottare misure appropriate per obbligare le persone giuridiche nella loro giurisdizione a proteggere i dati personali loro affidati.
Emendamento 12 Proposta di direttiva Considerando 16
Testo della Commissione	Emendamento
(16) Per garantire la trasparenza e una corretta informazione dei cittadini e degli operatori del mercato dell'UE è necessario che le competenti autorità allestiscano un sito comune su cui pubblicare informazioni non riservate sui rischi e sugli incidenti.	(16) Per garantire la trasparenza e una corretta informazione dei cittadini e degli operatori del mercato dell'UE è necessario che le competenti autorità allestiscano un sito comune su cui pubblicare informazioni non riservate sui rischi e sugli incidenti. È opportuno che i dati personali pubblicati su questo sito internet siano limitati esclusivamente a ciò che è necessario e siano quanto più possibile anonimi.
Emendamento 13 Proposta di direttiva Considerando 30 bis (nuovo)
Testo della Commissione	Emendamento
	(30 bis) La presente direttiva non pregiudica l'acquis dell'Unione relativo alla protezione dei dati. Tutti i dati personali utilizzati ai sensi delle disposizioni della presente direttiva dovrebbero essere mantenuti ad un minimo di dati personali strettamente necessari e trasmessi solo agli attori strettamente necessari, ed essere quanto più possibile anonimi, se non completamente anonimi.
Emendamento 14 Proposta di direttiva Considerando 32 bis (nuovo)
Testo della Commissione	Emendamento
	(32 bis) La presente direttiva (direttiva SRI) non pregiudica la necessaria adozione della legislazione UE in materia di protezione dei dati generali.
Emendamento 15 Proposta di direttiva Considerando 34 bis (nuovo)
Testo della Commissione	Emendamento
	(34 bis) Vi è la necessità di disciplinare a livello di UE la vendita, la fornitura, il trasferimento o l'esportazione nei paesi terzi di attrezzature o software destinati principalmente al monitoraggio o all'intercettazione di comunicazioni telefoniche o via Internet su reti fisse o mobili, nonché la fornitura di assistenza per l'installazione, il funzionamento o l'aggiornamento di tali attrezzature o software. La Commissione deve predisporre, quanto prima possibile, una normativa che impedisca alle imprese europee di esportare tali prodotti a duplice uso in regimi non democratici, autoritari e repressivi.
Emendamento 16 Proposta di direttiva Articolo 1 – paragrafo 2 – lettera b
Testo della Commissione	Emendamento
b) crea un meccanismo di collaborazione tra gli Stati membri per garantire un'applicazione uniforme della presente direttiva nell'Unione e, se necessario, una risposta e un trattamento coordinati ed efficienti dei rischi di incidenti a carico delle reti e dei sistemi informativi;	b) crea un meccanismo di collaborazione tra gli Stati membri per garantire un'applicazione uniforme della presente direttiva nell'Unione e, se necessario, una risposta e un trattamento coordinati, efficienti ed efficaci dei rischi di incidenti a carico delle reti e dei sistemi informativi;
Emendamento 17 Proposta di direttiva Articolo 3 – punto 1 – lettera b
Testo della Commissione	Emendamento
(b) qualsiasi dispositivo o gruppo di dispositivi interconnessi o collegati, uno o più dei quali eseguono, in base ad un programma, un trattamento automatico di dati elettronici e	(b) qualsiasi gruppo di dispositivi interconnessi o collegati, uno o più dei quali eseguono, in base ad un programma, un trattamento automatico di dati elettronici e
Emendamento 18 Proposta di direttiva Articolo 3 – punto 2 bis (nuovo)
Testo della Commissione	Emendamento
	(2 bis) "resilienza informatica", la capacità di una rete o di un sistema informativo di resistere, recuperando successivamente la piena operatività, a incidenti tra cui, a titolo esemplificativo ma non esaustivo, guasti tecnici, interruzione della corrente o incidenti di sicurezza;
Emendamento 19 Proposta di direttiva Articolo 3 – punto 8 – lettera b
Testo della Commissione	Emendamento
b) operatore di infrastrutture critiche che sono essenziali per il mantenimento di attività vitali per l'economia e la società nei campi dell'energia, dei trasporti, delle banche, delle borse e della sanità; un elenco non esaustivo di tali operatori figura nell'allegato II;	b) operatore di infrastrutture critiche che sono essenziali per il mantenimento di attività vitali per l'economia e la società nei campi dell'energia, dei trasporti, delle banche, delle borse, della sanità, della sicurezza e della difesa; un elenco non esaustivo di tali operatori figura nell'allegato II;
Emendamento 20 Proposta di direttiva Articolo 3 – punto 8 – lettera b bis (nuova)
Testo della Commissione	Emendamento
	b bis) fornitori di dispositivi, reti e sistemi informativi di cui al punto 1, o loro componenti, che sono fondamentali per un elevato livello comune di sicurezza della rete e delle informazioni.
Emendamento 21 Proposta di direttiva Articolo 6 – paragrafo 1
Testo della Commissione	Emendamento
1. Ogni Stato membro designa un'autorità nazionale competente in materia di sicurezza delle reti e dei sistemi informativi (la "autorità competente").	1. Ogni Stato membro designa un'autorità nazionale civile competente in materia di sicurezza delle reti e dei sistemi informativi (l'"autorità competente").
Emendamento 22 Proposta di direttiva Articolo 7 – paragrafo 1
Testo della Commissione	Emendamento
1. Ogni Stato membro costituisce una squadra di pronto intervento informatico (in seguito "CERT") col compito di trattare gli incidenti e i rischi secondo una procedura ben definita e conforme ai requisiti di cui all'allegato I, punto 1. È possibile creare una squadra CERT all'interno dell'autorità competente.	1. Ogni Stato membro costituisce almeno una squadra di pronto intervento informatico (in seguito "CERT") col compito di trattare gli incidenti e i rischi secondo una procedura ben definita e conforme ai requisiti di cui all'allegato I, punto 1. È possibile creare una squadra CERT all'interno dell'autorità competente.
Emendamento 23 Proposta di direttiva Articolo 8 – paragrafo 3 – lettera f bis (nuova)
Testo della Commissione	Emendamento
	f bis) se del caso, data la natura del rischio o della minaccia, il coordinatore antiterrorismo dell'UE dovrebbe essere informato, mediante segnalazione, e può essere invitato a fornire assistenza con l'analisi ai lavori preparatori e all'azione della rete di cooperazione;
Emendamento 24 Proposta di direttiva Articolo 9 – paragrafo 1 bis (nuovo)
Testo della Commissione	Emendamento
	1 bis. I dati personali sono divulgati unicamente a destinatari che devono trattarli per lo svolgimento dei propri compiti, conformemente a una base giuridica adeguata. La divulgazione dei dati si limita a quanto necessario per lo svolgimento di tali compiti. È assicurato il principio di limitazione delle finalità ed è indicato il periodo di conservazione dei dati in relazione alle finalità di cui alla presente direttiva.
Emendamento 25 Proposta di direttiva Articolo 10 – paragrafo 3
Testo della Commissione	Emendamento
3. Su richiesta di uno Stato membro o di propria iniziativa la Commissione può chiedere a uno Stato membro di fornire qualunque informazione pertinente su uno specifico rischio o incidente.	3. Su richiesta di uno Stato membro o di propria iniziativa la Commissione può chiedere a uno Stato membro di fornire qualunque informazione pertinente su uno specifico rischio o incidente, conformemente alle disposizioni del regolamento generale sulla protezione dei dati.
Emendamento 26 Proposta di direttiva Articolo 13 – paragrafo -1 bis (nuovo)
Testo della Commissione	Emendamento
	-1 bis. L'Alto rappresentante/Vicepresidente integra nelle azioni esterne dell'UE (segnatamente in relazione con i paesi terzi) gli aspetti di sicurezza informatica. L'obiettivo è l'intensificazione degli scambi di esperienze acquisite e la cooperazione sulle questioni di sicurezza informatica.
Emendamento 27 Proposta di direttiva Articolo 13 – paragrafo -1 ter (nuovo)
Testo della Commissione	Emendamento
	-1 ter. Il Consiglio e la Commissione, nel quadro dei rapporti e degli accordi di cooperazione con i paesi terzi, in particolare quelli che hanno la cooperazione sulle tecnologie, insistono sugli standard minimi nella sicurezza del sistema informativo.
Emendamento 28 Proposta di direttiva Articolo 20 – Titolo
Testo della Commissione	Emendamento
Revisione	Relazioni e revisione
Emendamento 29 Proposta di direttiva Articolo 20 – paragrafo -1 bis (nuovo)
Testo della Commissione	Emendamento
	-1 bis. La Commissione elabora una relazione annuale, circa gli incidenti e le misure di cui è venuta a conoscenza in virtù della presente direttiva, per il Parlamento europeo e il Consiglio.
Emendamento 30 Proposta di direttiva Allegato I – punto 1 – lettera b
Testo della Commissione	Emendamento
b) La squadra CERT attua e gestisce misure di sicurezza che garantiscono la riservatezza, l'integrità, la disponibilità e l'autenticità delle informazioni che riceve e tratta.	b) La squadra CERT attua e gestisce misure di sicurezza che garantiscono la riservatezza, l'integrità, la disponibilità e l'autenticità delle informazioni che riceve e tratta, rispettando i requisiti in materia di protezione dei dati.
Emendamento 31 Proposta di direttiva Allegato II – secondo sottotitolo (di cui all'articolo 3, paragrafo 8, lettera b) – paragrafo 5 bis (nuovo)
Testo della Commissione	Emendamento
	5 bis. Settore della sicurezza e della difesa: gli operatori economici per opere e servizi di cui alla direttiva 2009/81/CE, in particolare quelli di cui all'articolo 46 della stessa

PROCEDURA

Titolo	Livello comune elevato di sicurezza delle reti e dell'informazione nell'Unione
Riferimenti	COM(2013)0048 – C7-0035/2013 – 2013/0027(COD)
Commissione competente per il merito Annuncio in Aula	IMCO 15.4.2013
Parere espresso da Annuncio in Aula	AFET 15.4.2013
Relatore per parere Nomina	Ana Gomes 19.2.2013
Esame in commissione	18.9.2013
Approvazione	5.12.2013
Esito della votazione finale	+: –: 0:	31 3 8
Membri titolari presenti al momento della votazione finale	Elmar Brok, Jerzy Buzek, Mark Demesmaeker, Marietta Giannakou, Ana Gomes, Andrzej Grzyb, Anna Ibrisagic, Jelko Kacin, Tunne Kelam, Nicole Kiil-Nielsen, Andrey Kovatchev, Eduard Kukan, Marusya Lyubcheva, Annemie Neyts-Uyttebroeck, Norica Nicolai, Raimon Obiols, Kristiina Ojuland, Ria Oomen-Ruijten, Ioan Mircea Paşcu, Alojz Peterle, Mirosław Piotrowski, Bernd Posselt, Hans-Gert Pöttering, Cristian Dan Preda, Libor Rouček, Tokia Saïfi, José Ignacio Salafranca Sánchez-Neyra, György Schöpflin, Werner Schulz, Marek Siwiec, Charles Tannock, Geoffrey Van Orden, Nikola Vuljanić, Boris Zala
Supplenti presenti al momento della votazione finale	Marije Cornelissen, Barbara Lochbihler, Doris Pack, Marietje Schaake, Indrek Tarand, Ivo Vajgl, Paweł Zalewski
Supplenti (art. 187, par. 2) presenti al momento della votazione finale	Hiltrud Breyer

PROCEDURA

Titolo	Livello comune elevato di sicurezza delle reti e dell'informazione nell'Unione
Riferimenti	COM(2013)0048 – C7-0035/2013 – 2013/0027(COD)
Presentazione della proposta al PE	5.2.2013
Commissione competente per il merito Annuncio in Aula	IMCO 15.4.2013
Commissione(i) competente(i) per parere Annuncio in Aula	AFET 15.4.2013	INTA 15.4.2013	BUDG 15.4.2013	ECON 15.4.2013
	ENVI 15.4.2013	ITRE 15.4.2013	TRAN 15.4.2013	JURI 15.4.2013
	LIBE 15.4.2013
Pareri non espressi Decisione	INTA 20.3.2013	BUDG 21.2.2013	ECON 18.6.2013	ENVI 19.2.2013
	TRAN 18.3.2013	JURI 20.2.2013
Commissioni associate Annuncio in Aula	ITRE 12.9.2013	LIBE 12.9.2013
Relatore(i) Nomina	Andreas Schwab 20.3.2013
Esame in commissione	25.4.2013	18.6.2013	5.9.2013	4.11.2013
	9.1.2014
Approvazione	23.1.2014
Esito della votazione finale	+: –: 0:	33 1 1
Membri titolari presenti al momento della votazione finale	Claudette Abela Baldacchino, Pablo Arias Echeverría, Adam Bielan, Preslav Borissov, Sergio Gaetano Cofferati, Lara Comi, Anna Maria Corazza Bildt, Christian Engström, Vicente Miguel Garcés Ramón, Evelyne Gebhardt, Małgorzata Handzlik, Eduard-Raul Hellvig, Sandra Kalniete, Edvard Kožušník, Toine Manders, Hans-Peter Mayer, Franz Obermayr, Sirpa Pietikäinen, Zuzana Roithová, Heide Rühle, Andreas Schwab, Róża Gräfin von Thun und Hohenstein, Bernadette Vergnaud, Barbara Weiler
Supplenti presenti al momento della votazione finale	Regina Bastos, Ashley Fox, María Irigoyen Pérez, Morten Løkkegaard, Tadeusz Ross, Marc Tarabella, Patricia van der Kammen, Sabine Verheyen, Josef Weidenholzer
Supplenti (art. 187, par. 2) presenti al momento della votazione finale	Vital Moreira, Oreste Rossi
Deposito	12.2.2014

Note legali - Informativa sulla privacy