<Date>{04/11/2021}4.11.2021</Date>
<NoDocSe>A9-0313/2021</NoDocSe>
PDF 935kWORD 322k

<TitreType>RELAZIONE</TitreType>     <RefProcLect>***I</RefProcLect>

<Titre>sulla proposta di direttiva del Parlamento europeo e del Consiglio relativa a misure per un livello comune elevato di cibersicurezza nell'Unione, che abroga la direttiva (UE) 2016/1148</Titre>

<DocRef>(COM(2020)0823 – C9-0422/2020 – 2020/0359(COD))</DocRef>


<Commission>{ITRE}Commissione per l'industria, la ricerca e l'energia</Commission>

Relatore: <Depute>Bart Groothuis</Depute>

Relatore per parere (*):

Lukas Mandl, Commissione per le libertà civili, la giustizia e gli affari interni

(*) Procedura con le commissioni associate – articolo 57 del regolamento

PROGETTO DI RISOLUZIONE LEGISLATIVA DEL PARLAMENTO EUROPEO
 MOTIVAZIONE
 PARERE DELLA COMMISSIONE PER LE LIBERTÀ CIVILI, LA GIUSTIZIA E GLI AFFARI INTERNI
 PARERE DELLA COMMISSIONE PER GLI AFFARI ESTERI
 PARERE DELLA COMMISSIONE PER IL MERCATO INTERNO E LA PROTEZIONE DEI CONSUMATORI
 PARERE DELLA COMMISSIONE PER I TRASPORTI E IL TURISMO
 PROCEDURA DELLA COMMISSIONE COMPETENTE PER IL MERITO
 VOTAZIONE FINALE PER APPELLO NOMINALE IN SEDE DI COMMISSIONE COMPETENTE PER IL MERITO

PROGETTO DI RISOLUZIONE LEGISLATIVA DEL PARLAMENTO EUROPEO

sulla proposta di direttiva del Parlamento europeo e del Consiglio relativa a misure per un livello comune elevato di cibersicurezza nell'Unione, che abroga la direttiva (UE) 2016/1148

(COM(2020)0823 – C9-0422/2020 – 2020/0359(COD))

(Procedura legislativa ordinaria: prima lettura)

Il Parlamento europeo,

 vista la proposta della Commissione al Parlamento europeo e al Consiglio (COM(2020)0823),

 visti l'articolo 294, paragrafo 2, e l'articolo 114 del trattato sul funzionamento dell'Unione europea, a norma dei quali la proposta gli è stata presentata dalla Commissione (C9-0422/2020),

 visto l'articolo 294, paragrafo 3, del trattato sul funzionamento dell'Unione europea,

 visto il parere del Comitato economico e sociale europeo del 27 aprile 2021[1],

 previa consultazione del Comitato delle regioni,

 visto l'articolo 59 del suo regolamento,

 visti i pareri della commissione per le libertà civili, la giustizia e gli affari interni, della commissione per gli affari esteri, della commissione per il mercato interno e la protezione dei consumatori e della commissione per i trasporti e il turismo,

 vista la relazione della commissione per l'industria, la ricerca e l'energia (A9-0313/2021),

1. adotta la posizione in prima lettura figurante in appresso;

2. chiede alla Commissione di presentargli nuovamente la proposta qualora la sostituisca, la modifichi sostanzialmente o intenda modificarla sostanzialmente;

3. incarica il suo Presidente di trasmettere la posizione del Parlamento al Consiglio e alla Commissione nonché ai parlamenti nazionali.


<RepeatBlock-Amend><Amend>Emendamento  <NumAm>1</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Titolo</Article>

 

Testo della Commissione

Emendamento

Proposta di

Proposta di

DIRETTIVA DEL PARLAMENTO EUROPEO E DEL CONSIGLIO

DIRETTIVA DEL PARLAMENTO EUROPEO E DEL CONSIGLIO

relativa a misure per un livello comune elevato di cibersicurezza nell'Unione, che abroga la direttiva (UE) 2016/1148

relativa a misure per un livello comune elevato di cibersicurezza nell'Unione (direttiva NIS 2), che abroga la direttiva (UE) 2016/1148

</Amend><Amend>Emendamento  <NumAm>2</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Considerando 1</Article>

 

Testo della Commissione

Emendamento

(1) La direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio11 mirava a sviluppare le capacità di cibersicurezza in tutta l'Unione, ad attenuare le minacce alle reti e ai sistemi informativi utilizzati per fornire servizi essenziali in settori chiave e a garantire la continuità di tali servizi in caso di incidenti di cibersicurezza, contribuendo in tal modo al funzionamento efficace dell'economia e della società dell'Unione.

(1) La direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio11, comunemente nota come "direttiva NIS", mirava a sviluppare le capacità di cibersicurezza in tutta l'Unione, ad attenuare le minacce alle reti e ai sistemi informativi utilizzati per fornire servizi essenziali in settori chiave e a garantire la continuità di tali servizi in caso di incidenti di cibersicurezza, contribuendo in tal modo alla sicurezza e al funzionamento efficace dell'economia e della società dell'Unione.

__________________

__________________

11 Direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell'Unione (GU L 194 del 19.7.2016, pag. 1).

11 Direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell'Unione (GU L 194 del 19.7.2016, pag. 1).

</Amend><Amend>Emendamento  <NumAm>3</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Considerando 3</Article>

 

Testo della Commissione

Emendamento

(3) I sistemi informatici e di rete occupano ormai una posizione centrale nella vita di tutti i giorni, con la rapida trasformazione digitale e l'interconnessione della società, anche negli scambi transfrontalieri. Ciò ha portato a un'espansione del panorama delle minacce alla cibersicurezza, con nuove sfide che richiedono risposte adeguate, coordinate e innovative in tutti gli Stati membri. Il numero, la portata, il livello di sofisticazione, la frequenza e l'impatto degli incidenti di cibersicurezza stanno aumentando e rappresentano una grave minaccia per il funzionamento dei sistemi informatici e di rete. Tali incidenti possono quindi impedire l'esercizio delle attività economiche nel mercato interno, provocare perdite finanziarie, minare la fiducia degli utenti e causare gravi danni all'economia e alla società dell'Unione. Pertanto la preparazione e l'efficacia della cibersicurezza sono oggi più che mai essenziali per il corretto funzionamento del mercato interno.

(3) I sistemi informatici e di rete occupano ormai una posizione centrale nella vita di tutti i giorni, con la rapida trasformazione digitale e l'interconnessione della società, anche negli scambi transfrontalieri. Ciò ha portato a un'espansione del panorama delle minacce alla cibersicurezza, con nuove sfide che richiedono risposte adeguate, coordinate e innovative in tutti gli Stati membri. Il numero, la portata, il livello di sofisticazione, la frequenza e l'impatto degli incidenti di cibersicurezza stanno aumentando e rappresentano una grave minaccia per il funzionamento dei sistemi informatici e di rete. Tali incidenti possono quindi impedire l'esercizio delle attività economiche nel mercato interno, provocare perdite finanziarie, minare la fiducia degli utenti e causare gravi danni all'economia e alla società dell'Unione. Pertanto la preparazione e l'efficacia della cibersicurezza sono oggi più che mai essenziali per il corretto funzionamento del mercato interno. Inoltre, la cibersicurezza è un fattore abilitante fondamentale per molti settori critici, affinché questi possano attuare con successo la trasformazione digitale e cogliere appieno i vantaggi economici, sociali e sostenibili della digitalizzazione.

</Amend><Amend>Emendamento  <NumAm>4</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Considerando 3 bis (nuovo)</Article>

 

Testo della Commissione

Emendamento

 

(3 bis) Gli incidenti e le crisi di cibersicurezza su vasta scala a livello dell'Unione richiedono un'azione coordinata per garantire una risposta rapida ed efficace, a causa dell'elevato grado di interdipendenza tra settori e paesi. La disponibilità di reti e sistemi informativi ciberresilienti e la disponibilità, la riservatezza e l'integrità dei dati sono vitali per la sicurezza dell'Unione sia all'interno che all'esterno dei suoi confini, poiché le minacce informatiche possono originare dall'esterno dell'Unione. L'ambizione dell'Unione di acquisire un ruolo geopolitico più rilevante poggia anche su una difesa e una deterrenza credibili in ambito informatico, compresa la capacità di individuare le azioni malevole in modo tempestivo ed efficace e di reagire adeguatamente.

</Amend><Amend>Emendamento  <NumAm>5</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Considerando 5</Article>

 

Testo della Commissione

Emendamento

(5) Tutte queste divergenze comportano una frammentazione del mercato interno e possono avere un effetto pregiudizievole sul suo funzionamento, con ripercussioni in particolare sulla fornitura transfrontaliera di servizi e sul livello di resilienza della cibersicurezza dovute all'applicazione di norme diverse. La presente direttiva mira a eliminare tali ampie divergenze tra gli Stati membri, in particolare stabilendo norme minime riguardanti il funzionamento di un quadro normativo coordinato, istituendo meccanismi per una cooperazione efficace tra le autorità responsabili in ciascuno Stato membro, aggiornando l'elenco dei settori e delle attività soggetti agli obblighi in materia di cibersicurezza e prevedendo mezzi di ricorso e sanzioni effettivi che siano funzionali all'efficace applicazione di tali obblighi. La direttiva (UE) 2016/1148 dovrebbe pertanto essere abrogata e sostituita dalla presente direttiva.

(5) Tutte queste divergenze comportano una frammentazione del mercato interno e possono avere un effetto pregiudizievole sul suo funzionamento, con ripercussioni in particolare sulla fornitura transfrontaliera di servizi e sul livello di resilienza della cibersicurezza dovute all'applicazione di norme diverse. Dette divergenze possono portare infine a una maggiore vulnerabilità di taluni Stati membri di fronte alle minacce alla cibersicurezza, con potenziali ricadute sull'intera Unione. La presente direttiva mira a eliminare tali ampie divergenze tra gli Stati membri, in particolare stabilendo norme minime riguardanti il funzionamento di un quadro normativo coordinato, istituendo meccanismi per una cooperazione efficace tra le autorità responsabili in ciascuno Stato membro, aggiornando l'elenco dei settori e delle attività soggetti agli obblighi in materia di cibersicurezza e prevedendo mezzi di ricorso e sanzioni effettivi che siano funzionali all'efficace applicazione di tali obblighi. La direttiva (UE) 2016/1148 dovrebbe pertanto essere abrogata e sostituita dalla presente direttiva (direttiva NIS 2).

</Amend><Amend>Emendamento  <NumAm>6</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Considerando 6</Article>

 

Testo della Commissione

Emendamento

(6) La presente direttiva lascia impregiudicata la possibilità, per gli Stati membri, di adottare le misure necessarie a garantire la tutela degli interessi essenziali della loro sicurezza, a salvaguardare l'ordine pubblico e la pubblica sicurezza e a consentire l'indagine, l'accertamento e il perseguimento dei reati, nel rispetto del diritto dell'Unione. Conformemente all'articolo 346 TFUE, nessuno Stato membro è tenuto a fornire informazioni la cui divulgazione sia contraria agli interessi essenziali della propria pubblica sicurezza. In tale contesto sono pertinenti le norme nazionali e dell'Unione per la protezione delle informazioni classificate, gli accordi di non divulgazione o gli accordi di non divulgazione informali, quale il protocollo TLP14.

(6) La presente direttiva lascia impregiudicata la possibilità, per gli Stati membri, di adottare le misure necessarie a garantire la tutela degli interessi essenziali della loro sicurezza, a salvaguardare l'ordine pubblico e la pubblica sicurezza e a consentire la prevenzione, l'indagine, l'accertamento e il perseguimento dei reati, nel rispetto del diritto dell'Unione. Conformemente all'articolo 346 TFUE, nessuno Stato membro è tenuto a fornire informazioni la cui divulgazione sia contraria agli interessi essenziali della propria pubblica sicurezza. In tale contesto sono pertinenti le norme nazionali e dell'Unione per la protezione delle informazioni classificate, gli accordi di non divulgazione o gli accordi di non divulgazione informali, quale il protocollo TLP14.

__________________

__________________

14 Il protocollo TLP (Traffic Light Protocol) è uno strumento che consente a chi condivide informazioni di informare il proprio pubblico in merito a eventuali limitazioni dell'ulteriore diffusione di tali informazioni. È utilizzato in quasi tutte le comunità di CSIRT e in alcuni centri di condivisione e di analisi delle informazioni (ISAC).

14 Il protocollo TLP (Traffic Light Protocol) è uno strumento che consente a chi condivide informazioni di informare il proprio pubblico in merito a eventuali limitazioni dell'ulteriore diffusione di tali informazioni. È utilizzato in quasi tutte le comunità di CSIRT e in alcuni centri di condivisione e di analisi delle informazioni (ISAC).

</Amend><Amend>Emendamento  <NumAm>7</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Considerando 7</Article>

 

Testo della Commissione

Emendamento

(7) Con l'abrogazione della direttiva (UE) 2016/1148, l'ambito di applicazione per settore dovrebbe essere esteso a una parte più ampia dell'economia alla luce delle considerazioni di cui ai considerando da 4 a 6. I settori contemplati dalla direttiva (UE) 2016/1148 dovrebbero pertanto essere ampliati per fornire una copertura completa dei settori e dei servizi di vitale importanza per le principali attività sociali ed economiche nel mercato interno. Le norme non dovrebbero essere diverse a seconda che i soggetti siano operatori di servizi essenziali o fornitori di servizi digitali. Tale differenziazione si è rivelata obsoleta, in quanto non riflette l'effettiva importanza dei settori o dei servizi per le attività sociali ed economiche nel mercato interno.

(7) Con l'abrogazione della direttiva (UE) 2016/1148, l'ambito di applicazione per settore dovrebbe essere esteso a una parte più ampia dell'economia alla luce delle considerazioni di cui ai considerando da 4 a 6. I settori contemplati dalla direttiva (UE) 2016/1148 dovrebbero pertanto essere ampliati per fornire una copertura completa dei settori e dei servizi di vitale importanza per le principali attività sociali ed economiche nel mercato interno. Gli obblighi di gestione e segnalazione dei rischi non dovrebbero essere diversi a seconda che i soggetti siano operatori di servizi essenziali o fornitori di servizi digitali. Tale differenziazione si è rivelata obsoleta, in quanto non riflette l'effettiva importanza dei settori o dei servizi per le attività sociali ed economiche nel mercato interno.

</Amend><Amend>Emendamento  <NumAm>8</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Considerando 8</Article>

 

Testo della Commissione

Emendamento

(8) Conformemente alla direttiva (UE) 2016/1148, gli Stati membri erano responsabili di determinare quali soggetti soddisfacevano i criteri per essere considerati operatori di servizi essenziali ("processo di identificazione"). Al fine di eliminare le ampie divergenze tra gli Stati membri a tale riguardo e garantire la certezza del diritto per quanto riguarda gli obblighi di gestione e segnalazione dei rischi per tutti i soggetti pertinenti, è opportuno stabilire un criterio uniforme che determini quali soggetti rientrano nell'ambito di applicazione della presente direttiva. Tale criterio dovrebbe consistere nell'applicazione della regola della soglia di dimensione, in base alla quale rientrano nell'ambito di applicazione della direttiva tutte le medie e le grandi imprese, quali definite nella raccomandazione 2003/361/CE15 della Commissione, che operano nei settori o forniscono il tipo di servizi contemplati dalla presente direttiva. Gli Stati membri non dovrebbero essere tenuti a redigere un elenco dei soggetti che soddisfano questo criterio relativo alle dimensioni generalmente applicabile.

(8) Conformemente alla direttiva (UE) 2016/1148, gli Stati membri erano responsabili di determinare quali soggetti soddisfacevano i criteri per essere considerati operatori di servizi essenziali ("processo di identificazione"). Al fine di eliminare le ampie divergenze tra gli Stati membri a tale riguardo e garantire la certezza del diritto per quanto riguarda gli obblighi di gestione e segnalazione dei rischi per tutti i soggetti pertinenti, è opportuno stabilire un criterio uniforme che determini quali soggetti rientrano nell'ambito di applicazione della presente direttiva. Tale criterio dovrebbe consistere nell'applicazione della regola della soglia di dimensione, in base alla quale rientrano nell'ambito di applicazione della direttiva tutte le medie e le grandi imprese, quali definite nella raccomandazione 2003/361/CE15 della Commissione, che operano nei settori o forniscono il tipo di servizi contemplati dalla presente direttiva.

__________________

__________________

15 Raccomandazione 2003/361/CE della Commissione, del 6 maggio 2003, relativa alla definizione delle microimprese, piccole e medie imprese (GU L 124 del 20.5.2003, pag. 36).

15 Raccomandazione 2003/361/CE della Commissione, del 6 maggio 2003, relativa alla definizione delle microimprese, piccole e medie imprese (GU L 124 del 20.5.2003, pag. 36).

</Amend><Amend>Emendamento  <NumAm>9</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Considerando 9</Article>

 

Testo della Commissione

Emendamento

(9) La presente direttiva dovrebbe tuttavia applicarsi anche ai piccoli o micro soggetti che soddisfano determinati criteri che indicano un ruolo chiave per le economie o le società degli Stati membri o per particolari settori o tipi di servizi. Gli Stati membri dovrebbero essere responsabili di stabilire un elenco di tali soggetti e presentarlo alla Commissione.

(9) La presente direttiva dovrebbe tuttavia applicarsi anche ai piccoli o micro soggetti che soddisfano determinati criteri che indicano un ruolo chiave per le economie o le società degli Stati membri o per particolari settori o tipi di servizi.

</Amend><Amend>Emendamento  <NumAm>10</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Considerando 9 bis (nuovo)</Article>

 

Testo della Commissione

Emendamento

 

(9 bis) Gli Stati membri dovrebbero stilare un elenco di tutte i soggetti essenziali e importanti. Tale elenco dovrebbe includere i soggetti che soddisfano i criteri relativi alle dimensioni generalmente applicabili, nonché le piccole imprese e le microimprese che soddisfano determinati criteri riguardo al loro ruolo chiave per le economie o le società degli Stati membri. Affinché i gruppi di intervento per la sicurezza informatica in caso di incidente (CSIRT) e le autorità competenti possano fornire assistenza e allertare i soggetti in merito agli incidenti informatici che potrebbero riguardarli, è importante che tali autorità dispongano dei recapiti corretti dei soggetti. I soggetti essenziali e importanti dovrebbero pertanto trasmettere alle autorità competenti almeno le seguenti informazioni: il nome del soggetto, l'indirizzo e i dati di contatto aggiornati, compresi gli indirizzi e-mail e i numeri di telefono, nonché il/i settore/i e il/i sottosettore/i pertinenti di cui agli allegati I e II. I soggetti dovrebbero notificare alle autorità competenti qualsiasi modifica di tali informazioni. Gli Stati membri dovrebbero garantire, senza indebito ritardo, che tali informazioni possano essere facilmente fornite attraverso un unico punto di ingresso. A tal fine l'ENISA, in cooperazione con il gruppo di cooperazione, dovrebbe pubblicare senza indebito ritardo orientamenti e modelli relativi agli obblighi di notifica. Gli Stati membri dovrebbero notificare alla Commissione e al gruppo di cooperazione il numero di soggetti essenziali e importanti. Gli Stati membri dovrebbero inoltre notificare alla Commissione, ai fini del riesame di cui alla presente direttiva, i nomi delle piccole imprese e delle microimprese identificate come soggetti essenziali e importanti, al fine di consentire alla Commissione di valutare la coerenza tra gli approcci degli Stati membri. Tali informazioni dovrebbero essere trattate in modo strettamente riservato.

</Amend><Amend>Emendamento  <NumAm>11</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Considerando 10</Article>

 

Testo della Commissione

Emendamento

(10) La Commissione, in collaborazione con il gruppo di cooperazione, può emanare orientamenti relativi all'attuazione dei criteri applicabili alle microimprese e alle piccole imprese.

(10) La Commissione, in collaborazione con il gruppo di cooperazione e con i pertinenti portatori di interessi, dovrebbe emanare orientamenti relativi all'attuazione dei criteri applicabili alle microimprese e alle piccole imprese. La Commissione dovrebbe inoltre garantire che vengano forniti orientamenti adeguati a tutte le microimprese e le piccole imprese rientranti nell'ambito di applicazione della presente direttiva. La Commissione, con il sostegno degli Stati membri, dovrebbe fornire alle microimprese e alle piccole imprese informazioni al riguardo.

</Amend><Amend>Emendamento  <NumAm>12</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Considerando 10 bis (nuovo)</Article>

 

Testo della Commissione

Emendamento

 

(10 bis) La Commissione dovrebbe inoltre emanare orientamenti volti a sostenere gli Stati membri nella corretta attuazione delle disposizioni sull'ambito di applicazione e a valutare la proporzionalità degli obblighi stabiliti dalla presente direttiva, segnatamente per quanto riguarda i soggetti che rientrano nell'ambito di applicazione, in particolare quando si applicano a soggetti con modelli di business o contesti operativi complessi, in base ai quali un soggetto può soddisfare contemporaneamente i criteri assegnati sia ai soggetti critici che a quelli importanti, o può svolgere simultaneamente attività di cui alcune rientrano nell'ambito di applicazione della presente direttiva e altre no.

</Amend><Amend>Emendamento  <NumAm>13</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Considerando 12</Article>

 

Testo della Commissione

Emendamento

(12) La legislazione e gli strumenti settoriali possono contribuire a garantire livelli elevati di cibersicurezza, tenendo pienamente conto delle specificità e delle complessità di tali settori. Qualora un atto giuridico settoriale dell'Unione imponga ai soggetti essenziali o importanti obblighi relativi all'adozione di misure di gestione dei rischi di cibersicurezza o di notifica di incidenti o minacce informatiche significative di effetto almeno equivalente agli obblighi stabiliti nella presente direttiva, dovrebbero applicarsi tali disposizioni settoriali, anche in materia di vigilanza ed esecuzione. La Commissione può emanare orientamenti in relazione all'attuazione della lex specialis. La presente direttiva non preclude l'adozione di ulteriori atti settoriali dell'Unione riguardanti le misure di gestione dei rischi di cibersicurezza e le notifiche degli incidenti. La presente direttiva lascia impregiudicate le competenze di esecuzione esistenti conferite alla Commissione in una serie di settori, tra cui i trasporti e l'energia.

(12) La legislazione e gli strumenti settoriali possono contribuire a garantire livelli elevati di cibersicurezza, tenendo pienamente conto delle specificità e delle complessità di tali settori. Gli atti giuridici settoriali dell'Unione che impongono ai soggetti essenziali o importanti l'adozione di misure di gestione dei rischi di cibersicurezza o di segnalazione di incidenti significativi dovrebbero, ove possibile, essere coerenti con la terminologia e fare riferimento alle definizioni di cui all'articolo 4 della presente direttiva. Qualora un atto giuridico settoriale dell'Unione imponga ai soggetti essenziali o importanti l'adozione di misure di gestione dei rischi di cibersicurezza o di notifica di incidenti e qualora tali obblighi siano di effetto almeno equivalente agli obblighi stabiliti nella presente direttiva e si applichino alla totalità degli aspetti di sicurezza delle operazioni e dei servizi forniti dai soggetti essenziali e importanti, dovrebbero applicarsi tali disposizioni settoriali, anche in materia di vigilanza ed esecuzione. La Commissione dovrebbe emanare orientamenti globali in relazione all'attuazione della lex specialis, tenendo conto dei pertinenti pareri, competenze e migliori pratiche dell'ENISA e del gruppo di cooperazione. La presente direttiva non preclude l'adozione di ulteriori atti settoriali dell'Unione riguardanti le misure di gestione dei rischi di cibersicurezza e le notifiche degli incidenti che tengono debitamente conto della necessità di un quadro di sicurezza informatica globale e coerente. La presente direttiva lascia impregiudicate le competenze di esecuzione esistenti conferite alla Commissione in una serie di settori, tra cui i trasporti e l'energia.

</Amend><Amend>Emendamento  <NumAm>14</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Considerando 14</Article>

 

Testo della Commissione

Emendamento

(14) In considerazione delle interconnessioni tra la cibersicurezza e la sicurezza fisica dei soggetti, dovrebbe essere garantito un approccio coerente tra la direttiva (UE) XXX/XXX del Parlamento europeo e del Consiglio17 e la presente direttiva. A tal fine, gli Stati membri dovrebbero garantire che i soggetti critici e i soggetti equivalenti a norma della direttiva (UE) XXX/XXX siano considerati soggetti essenziali a norma della presente direttiva. Gli Stati membri dovrebbero inoltre garantire che le loro strategie di cibersicurezza prevedano un quadro strategico per un coordinamento rafforzato tra l'autorità competente a norma della presente direttiva e quella prevista dalla direttiva (UE) XXX/XXX nel contesto della condivisione di informazioni su incidenti e minacce informatiche e dell'esercizio dei compiti di vigilanza. Le autorità a norma di entrambe le direttive dovrebbero cooperare e scambiarsi informazioni, in particolare per quanto riguarda l'individuazione dei soggetti critici, delle minacce informatiche, dei rischi di cibersicurezza, degli incidenti che interessano i soggetti critici, nonché le misure di cibersicurezza adottate dai soggetti critici. Su richiesta delle autorità competenti a norma della direttiva (UE) XXX/XXX, alle autorità competenti a norma della presente direttiva dovrebbe essere consentito di esercitare i propri poteri di vigilanza e di esecuzione nei confronti di un soggetto essenziale individuato come critico. A tal fine entrambe le autorità dovrebbero cooperare e scambiarsi informazioni.

(14) In considerazione delle interconnessioni tra la cibersicurezza e la sicurezza fisica dei soggetti, dovrebbe essere garantito un approccio coerente tra la direttiva (UE) XXX/XXX del Parlamento europeo e del Consiglio17 e la presente direttiva. A tal fine, gli Stati membri dovrebbero garantire che i soggetti critici e i soggetti equivalenti a norma della direttiva (UE) XXX/XXX siano considerati soggetti essenziali a norma della presente direttiva. Gli Stati membri dovrebbero inoltre garantire che le loro strategie di cibersicurezza prevedano un quadro strategico per un coordinamento rafforzato tra le autorità competenti di ciascuno Stato membro e di Stati membri differenti a norma della presente direttiva e quelle previste dalla direttiva (UE) XXX/XXX nel contesto della condivisione di informazioni su incidenti e minacce informatici e dell'esercizio dei compiti di vigilanza. Le autorità a norma di entrambe le direttive dovrebbero cooperare e scambiarsi informazioni senza indebito indugio, in particolare per quanto riguarda l'individuazione dei soggetti critici, delle minacce informatiche, dei rischi di cibersicurezza, degli incidenti che interessano i soggetti critici, nonché le misure di cibersicurezza adottate dai soggetti critici. Su richiesta delle autorità competenti a norma della direttiva (UE) XXX/XXX, alle autorità competenti a norma della presente direttiva dovrebbe essere consentito di esercitare i propri poteri di vigilanza e di esecuzione nei confronti di un soggetto essenziale individuato come critico. A tal fine entrambe le autorità dovrebbero cooperare e scambiarsi informazioni, ove possibile in tempo reale.

__________________

__________________

17 [Inserire il titolo completo e il riferimento della pubblicazione nella GU, non appena noti].

17 [Inserire il titolo completo e il riferimento della pubblicazione nella GU, non appena noti].

</Amend>

<Amend>Emendamento  <NumAm>15</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Considerando 15</Article>

 

Testo della Commissione

Emendamento

(15) Sostenere e preservare un sistema dei nomi di dominio affidabile, resiliente e sicuro è un fattore chiave per mantenere l'integrità di Internet ed è essenziale per il suo funzionamento costante e stabile, da cui dipendono l'economia e la società digitali. La presente direttiva dovrebbe applicarsi a tutti i fornitori di servizi DNS lungo la catena di risoluzione DNS, compresi gli operatori dei server dei nomi radice (root name server), dei server dei nomi di dominio di primo livello (top level domain, TLD), dei server autorevoli dei nomi per i nomi di dominio e dei risolutori ricorsivi.

(15) Sostenere e preservare un sistema dei nomi di dominio affidabile, resiliente e sicuro è un fattore chiave per mantenere l'integrità di Internet ed è essenziale per il suo funzionamento costante e stabile, da cui dipendono l'economia e la società digitali. La presente direttiva dovrebbe applicarsi ai server dei nomi di dominio di primo livello (top level domain, TLD), ai servizi di risoluzione dei nomi di dominio ricorsivi accessibili al pubblico per gli utenti finali di internet e ai servizi di risoluzione autorevoli dei nomi di dominio. La presente direttiva non si applica ai server dei nomi radice (root name server).

</Amend>

<Amend>Emendamento  <NumAm>16</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Considerando 19</Article>

 

Testo della Commissione

Emendamento

(19) I fornitori di servizi postali ai sensi della direttiva 97/67/CE del Parlamento europeo e del Consiglio18, nonché i fornitori di servizi di corriere e di corriere espresso, dovrebbero essere soggetti alla presente direttiva se provvedono ad almeno una delle fasi della catena di consegna postale, in particolare la raccolta, lo smistamento o la distribuzione, compresi i servizi di ritiro. I servizi di trasporto che non sono forniti nell'ambito di una di tali fasi dovrebbero essere esclusi dall'ambito di applicazione dei servizi postali.

(19) I fornitori di servizi postali ai sensi della direttiva 97/67/CE del Parlamento europeo e del Consiglio18, nonché i fornitori di servizi di corriere e di corriere espresso, dovrebbero essere soggetti alla presente direttiva se provvedono ad almeno una delle fasi della catena di consegna postale, in particolare la raccolta, lo smistamento o la distribuzione, compresi i servizi di ritiro, tenendo conto del loro grado di dipendenza dalle reti e dai sistemi di informazione. I servizi di trasporto che non sono forniti nell'ambito di una di tali fasi dovrebbero essere esclusi dall'ambito di applicazione dei servizi postali.

__________________

__________________

18 Direttiva 97/67/CE del Parlamento europeo e del Consiglio, del 15 dicembre 1997, concernente regole comuni per lo sviluppo del mercato interno dei servizi postali comunitari e il miglioramento della qualità del servizio (GU L 15 del 21.1.1998, pag. 14).

18 Direttiva 97/67/CE del Parlamento europeo e del Consiglio, del 15 dicembre 1997, concernente regole comuni per lo sviluppo del mercato interno dei servizi postali comunitari e il miglioramento della qualità del servizio (GU L 15 del 21.1.1998, pag. 14).

</Amend><Amend>Emendamento  <NumAm>17</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Considerando 20</Article>

 

Testo della Commissione

Emendamento

(20) Queste crescenti interdipendenze sono il risultato di una rete di fornitura di servizi sempre più transfrontaliera e interdipendente che utilizza infrastrutture chiave in tutta l'Unione nei settori dell'energia, dei trasporti, delle infrastrutture digitali, delle acque potabili e reflue, della sanità, di determinati aspetti della pubblica amministrazione, nonché dello spazio, per quanto riguarda la fornitura di determinati servizi che dipendono da infrastrutture di terra possedute, gestite e utilizzate dagli Stati membri o da soggetti privati, ad esclusione, pertanto, delle infrastrutture possedute, gestite o utilizzate dall'Unione o per suo conto nell'ambito dei suoi programmi spaziali. Tali interdipendenze implicano che qualsiasi perturbazione, anche se inizialmente limitata a un soggetto o a un settore, possa avere effetti a cascata più ampi, con potenziali ripercussioni negative di ampia portata e di lunga durata sulla fornitura di servizi in tutto il mercato interno. La pandemia di COVID-19 ha mostrato la vulnerabilità delle nostre società sempre più interdipendenti di fronte a rischi di bassa probabilità.

(20) Queste crescenti interdipendenze sono il risultato di una rete di fornitura di servizi sempre più transfrontaliera e interdipendente che utilizza infrastrutture chiave in tutta l'Unione nei settori dell'energia, dei trasporti, delle infrastrutture digitali, delle acque potabili e reflue, della sanità, di determinati aspetti della pubblica amministrazione, nonché dello spazio, per quanto riguarda la fornitura di determinati servizi che dipendono da infrastrutture di terra possedute, gestite e utilizzate dagli Stati membri o da soggetti privati, ad esclusione, pertanto, delle infrastrutture possedute, gestite o utilizzate dall'Unione o per suo conto nell'ambito dei suoi programmi spaziali. Tali interdipendenze implicano che qualsiasi perturbazione, anche se inizialmente limitata a un soggetto o a un settore, possa avere effetti a cascata più ampi, con potenziali ripercussioni negative di ampia portata e di lunga durata sulla fornitura di servizi in tutto il mercato interno. Gli attacchi alle reti e ai sistemi informatici intensificatisi durante la pandemia di COVID-19 hanno mostrato la vulnerabilità delle nostre società sempre più interdipendenti di fronte a rischi di bassa probabilità.

</Amend><Amend>Emendamento  <NumAm>18</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Considerando 24</Article>

 

Testo della Commissione

Emendamento

(24) Gli Stati membri dovrebbero essere adeguatamente dotati delle capacità tecniche e organizzative necessarie a prevenire, rilevare e attenuare i rischi e gli incidenti a carico dei sistemi informatici e di rete, nonché a rispondervi. Gli Stati membri dovrebbero pertanto assicurare la disponibilità di CSIRT, anche noti come squadre di pronto intervento informatico ("CERT"), ben funzionanti e rispondenti a determinati requisiti essenziali, al fine di garantire l'esistenza di capacità efficaci e compatibili per far fronte ai rischi e agli incidenti e garantire un'efficiente collaborazione a livello dell'Unione. Al fine di rafforzare il rapporto di fiducia tra i soggetti e i CSIRT, nei casi in cui un CSIRT faccia parte dell'autorità competente, gli Stati membri dovrebbero prendere in considerazione la separazione funzionale tra i compiti operativi svolti dai CSIRT, in particolare per quanto riguarda la condivisione delle informazioni e il sostegno ai soggetti, e le attività di vigilanza delle autorità competenti.

(24) Gli Stati membri dovrebbero essere adeguatamente dotati delle capacità tecniche e organizzative necessarie a prevenire, rilevare e attenuare i rischi e gli incidenti a carico dei sistemi informatici e di rete, nonché a rispondervi. Gli Stati membri dovrebbero pertanto designare uno o più CSIRT nel quadro della presente direttiva e assicurare che siano ben funzionanti e rispondenti a determinati requisiti essenziali, al fine di garantire l'esistenza di capacità efficaci e compatibili per far fronte ai rischi e agli incidenti e garantire un'efficiente collaborazione a livello dell'Unione. Gli Stati membri possono designare quali CSIRT squadre di pronto intervento informatico ("CERT") esistenti. Al fine di rafforzare il rapporto di fiducia tra i soggetti e i CSIRT, nei casi in cui un CSIRT faccia parte dell'autorità competente, gli Stati membri dovrebbero prendere in considerazione la separazione funzionale tra i compiti operativi svolti dai CSIRT, in particolare per quanto riguarda la condivisione delle informazioni e il sostegno ai soggetti, e le attività di vigilanza delle autorità competenti.

</Amend><Amend>Emendamento  <NumAm>19</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Considerando 25</Article>

 

Testo della Commissione

Emendamento

(25) Per quanto riguarda i dati personali, i CSIRT dovrebbero essere in grado di fornire, in conformità al regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio19 per quanto riguarda i dati personali, per conto e su richiesta di un soggetto a norma della presente direttiva, una scansione proattiva dei sistemi informatici e di rete utilizzati per la fornitura dei suoi servizi. Gli Stati membri dovrebbero mirare a garantire un pari livello di capacità tecniche per tutti i CSIRT settoriali. Gli Stati membri possono chiedere l'assistenza dell'Agenzia dell'Unione europea per la cibersicurezza (ENISA) nello sviluppo di CSIRT nazionali.

(25) Per quanto riguarda i dati personali, i CSIRT dovrebbero essere in grado di fornire, in conformità al regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio19 per quanto riguarda i dati personali, per conto e su richiesta di un soggetto a norma della presente direttiva, o, in caso di grave minaccia alla sicurezza nazionale, una scansione proattiva dei sistemi informatici e di rete utilizzati per la fornitura dei suoi servizi. Gli Stati membri dovrebbero mirare a garantire un pari livello di capacità tecniche per tutti i CSIRT settoriali. Gli Stati membri possono chiedere l'assistenza dell'Agenzia dell'Unione europea per la cibersicurezza (ENISA) nello sviluppo di CSIRT nazionali.

__________________

__________________

19 Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU L 119 del 4.5.2016, pag. 1).

19 Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU L 119 del 4.5.2016, pag. 1).

</Amend> <Amend>Emendamento  <NumAm>20</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Considerando 25 bis (nuovo)</Article>

 

Testo della Commissione

Emendamento

 

(25 bis) Un CSIRT dovrebbe avere la capacità, su richiesta di un soggetto, di individuare, gestire e monitorare continuamente tutte le risorse connesse a Internet, sia in loco che a distanza, per comprendere il loro rischio organizzativo generale per le compromissioni della catena di approvvigionamento individuate di recente o le vulnerabilità critiche. Il fatto di sapere se un soggetto gestisca un'interfaccia di gestione privilegiata influisce sulla velocità con cui sono intraprese le azioni di attenuazione.

</Amend><Amend>Emendamento  <NumAm>21</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Considerando 26</Article>

 

Testo della Commissione

Emendamento

(26) Data l'importanza della cooperazione internazionale in materia di cibersicurezza, i CSIRT dovrebbero poter partecipare a reti di cooperazione internazionale, oltre alla rete di CSIRT istituita dalla presente direttiva.

(26) Data l'importanza della cooperazione internazionale in materia di cibersicurezza, i CSIRT dovrebbero poter partecipare a reti di cooperazione internazionale, anche con CSIRT di paesi terzi laddove lo scambio di informazioni sia reciproco e vada a beneficio della sicurezza dei cittadini e dei soggetti, oltre alla rete di CSIRT istituita dalla presente direttiva al fine di contribuire all'elaborazione di norme dell'Unione che possano strutturare il contesto della cibersicurezza a livello internazionale. Gli Stati membri potrebbero anche esaminare la possibilità di intensificare la cooperazione con i paesi partner che condividono gli stessi principi e con le organizzazioni internazionali, allo scopo di garantire accordi multilaterali su norme informatiche, un comportamento responsabile da parte degli attori statali e non statali nel ciberspazio, una governance digitale globale efficace nonché creare un ciberspazio aperto, libero, stabile e sicuro basato sul diritto internazionale.

</Amend>

<Amend>Emendamento  <NumAm>22</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Considerando 26 bis (nuovo)</Article>

 

Testo della Commissione

Emendamento

 

(26 bis) Le politiche di igiene informatica pongono le fondamenta per la protezione delle infrastrutture delle reti e dei sistemi di informazione, dell'hardware, del software e della sicurezza delle applicazioni online, nonché dei dati aziendali o degli utenti finali su cui si basano i soggetti. Le politiche di igiene informatica, che comprendono uno scenario di riferimento comune delle pratiche, tra cui, ma non solo, gli aggiornamenti del software e dell'hardware, i cambi di password, la gestione delle nuove installazioni, la limitazione degli account di accesso a livello di amministratore e il backup dei dati, consentono un quadro proattivo di preparazione e sicurezza e protezione generale in caso di incidenti o minacce. L'ENISA dovrebbe monitorare e valutare le politiche di igiene informatica degli Stati membri ed esaminare sistemi a livello dell'Unione per consentire controlli transfrontalieri che garantiscano l'equivalenza indipendentemente dai requisiti degli Stati membri.

</Amend><Amend>Emendamento  <NumAm>23</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Considerando 26 ter (nuovo)</Article>

 

Testo della Commissione

Emendamento

 

(26 ter) L'utilizzo dell'intelligenza artificiale (IA) nella cibersicurezza ha il potenziale di migliorare il rilevamento e di arrestare gli attacchi nei confronti delle reti e dei sistemi di informazione, consentendo di dirottare le risorse verso attacchi più sofisticati. Gli Stati membri dovrebbero pertanto incoraggiare, nelle loro strategie nazionali, l'utilizzo di strumenti (semi)automatizzati nella cibersicurezza e la condivisione dei dati necessari per formare e migliorare gli strumenti automatizzati nella cibersicurezza. Al fine di attenuare i rischi di interferenze indebite con i diritti e le libertà delle persone fisiche che i sistemi basati sull'IA potrebbero comportare, si applicano i requisiti relativi alla protezione dei dati fin dalla progettazione e per impostazione predefinita di cui all'articolo 25 del regolamento (UE) 2016/679. L'integrazione di garanzie adeguate quali la pseudonimizzazione, la cifratura, l'accuratezza e la minimizzazione dei dati potrebbe inoltre attenuare tali rischi.

</Amend><Amend>Emendamento  <NumAm>24</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Considerando 26 quater (nuovo)</Article>

 

Testo della Commissione

Emendamento

 

(26 quater) Gli strumenti e le applicazioni di cibersicurezza open source possono contribuire a un livello più elevato di trasparenza e avere un impatto positivo sull'efficienza dell'innovazione industriale. Le norme aperte facilitano l'interoperabilità tra gli strumenti di sicurezza, a vantaggio della sicurezza dei portatori di interessi industriali. Gli strumenti e le applicazioni open source in materia di cibersicurezza possono mobilitare la più ampia comunità di sviluppatori, consentendo ai soggetti di perseguire strategie di diversificazione dei fornitori e di sicurezza aperte. Una sicurezza aperta può portare a un processo di verifica più trasparente degli strumenti connessi alla cibersicurezza e a un processo di individuazione delle vulnerabilità guidato dalla comunità. Gli Stati membri dovrebbero pertanto promuovere l'adozione di software open source e standard aperti, perseguendo politiche relative all'uso di dati aperti e open source come parte della sicurezza attraverso la trasparenza. Le politiche che promuovono l'adozione e l'uso sostenibile di strumenti di sicurezza informatica open source rivestono particolare importanza per le piccole e medie imprese (PMI) che devono sostenere notevoli costi per l'attuazione, che potrebbero essere minimizzati riducendo la necessità di applicazioni o strumenti specifici.

</Amend><Amend>Emendamento  <NumAm>25</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Considerando 26 quinquies (nuovo)</Article>

 

Testo della Commissione

Emendamento

 

(26 quinquies)  I partenariati pubblico-privato (PPP) nel campo della cibersicurezza possono fornire il giusto quadro per lo scambio di conoscenze, la condivisione delle migliori pratiche e la creazione di un livello comune di comprensione tra tutti i portatori di interessi. Gli Stati membri dovrebbero adottare politiche alla base dell'istituzione di PPP specifici della cibersicurezza nell'ambito delle loro strategie nazionali per la cibersicurezza. Tali politiche dovrebbero chiarire, tra l'altro, l'ambito di applicazione e i portatori di interessi coinvolti, il modello di governance, le opzioni di finanziamento disponibili e l'interazione tra i portatori di interessi partecipanti. I PPP possono sfruttare le competenze dei soggetti del settore privato per sostenere le autorità competenti degli Stati membri nello sviluppo di servizi e processi all'avanguardia, compresi, ma non solo, lo scambio di informazioni, i preallarmi, le esercitazioni su minacce e incidenti informatici, la gestione delle crisi e la pianificazione della resilienza.

</Amend><Amend>Emendamento  <NumAm>26</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Considerando 27</Article>

 

Testo della Commissione

Emendamento

(27) Conformemente all'allegato della raccomandazione (UE) 2017/1584 della Commissione relativa alla risposta coordinata agli incidenti e alle crisi di cibersicurezza su vasta scala ("programma")20, per incidente su vasta scala si dovrebbe intendere un incidente che ha un impatto significativo su almeno due Stati membri o che causa perturbazioni che superano la capacità di risposta di uno Stato membro. A seconda della loro causa e del loro impatto, gli incidenti su vasta scala possono aggravarsi e trasformarsi in vere e proprie crisi che non consentono il corretto funzionamento del mercato interno. Data l'ampia portata e, nella maggior parte dei casi, la natura transfrontaliera di tali incidenti, gli Stati membri e le istituzioni, gli organismi e le agenzie pertinenti dell'Unione dovrebbero cooperare a livello tecnico, operativo e politico per coordinare adeguatamente la risposta in tutta l'Unione.

(27) Conformemente all'allegato della raccomandazione (UE) 2017/1584 della Commissione relativa alla risposta coordinata agli incidenti e alle crisi di cibersicurezza su vasta scala ("programma")20, per incidente su vasta scala si dovrebbe intendere un incidente che ha un impatto significativo su almeno due Stati membri o che causa perturbazioni che superano la capacità di risposta di uno Stato membro. A seconda della loro causa e del loro impatto, gli incidenti su vasta scala possono aggravarsi e trasformarsi in vere e proprie crisi che non consentono il corretto funzionamento del mercato interno o che comportano gravi rischi di pubblica sicurezza in svariati Stati membri o nell'intera Unione. Data l'ampia portata e, nella maggior parte dei casi, la natura transfrontaliera di tali incidenti, gli Stati membri e le istituzioni, gli organismi e le agenzie pertinenti dell'Unione dovrebbero cooperare a livello tecnico, operativo e politico per coordinare adeguatamente la risposta in tutta l'Unione.

__________________

__________________

20 Raccomandazione (UE) 2017/1584 della Commissione, del 13 settembre 2017, relativa alla risposta coordinata agli incidenti e alle crisi di cibersicurezza su vasta scala (GU L 239 del 19.9.2017, pag. 36).

20 Raccomandazione (UE) 2017/1584 della Commissione, del 13 settembre 2017, relativa alla risposta coordinata agli incidenti e alle crisi di cibersicurezza su vasta scala (GU L 239 del 19.9.2017, pag. 36).

</Amend><Amend>Emendamento  <NumAm>27</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Considerando 27 bis (nuovo)</Article>

 

Testo della Commissione

Emendamento

 

(27 bis) Gli Stati membri dovrebbero, nelle loro strategie nazionali per la cibersicurezza, rispondere alle esigenze specifiche in materia di cibersicurezza delle PMI. Le PMI rappresentano, nel contesto dell'Unione, un'ampia percentuale del mercato industriale e commerciale e spesso faticano ad adattarsi alle nuove pratiche commerciali in un mondo maggiormente connesso, che naviga nell'ambiente digitale, con dipendenti che lavorano da casa e imprese che sono gestite in misura crescente online. Alcune PMI si confrontano con sfide specifiche in materia di cibersicurezza, come la scarsa consapevolezza informatica, la mancanza di sicurezza informatica a distanza, l'elevato costo delle soluzioni di cibersicurezza e l'aumento del livello di minaccia, dovuto ad esempio ai ransomware, aspetti in relazione ai quali dovrebbero ricevere orientamenti e sostegno. Gli Stati membri dovrebbero disporre di un punto di contatto unico per la cibersicurezza rivolto alle PMI, che fornisca a queste ultime orientamenti e sostegno o che le indirizzi a soggetti idonei a fornire loro orientamenti e sostegno su questioni connesse alla cibersicurezza. Gli Stati membri sono incoraggiati a offrire anche servizi quali la configurazione e la registrazione di siti web, che abilitino le piccole imprese e le microimprese che non dispongono di tali capacità.

</Amend><Amend>Emendamento  <NumAm>28</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Considerando 27 ter (nuovo)</Article>

 

Testo della Commissione

Emendamento

 

(27 ter) Gli Stati membri dovrebbero adottare politiche volte a promuovere la ciberdifesa attiva nell'ambito delle loro strategie nazionali per la cibersicurezza. La ciberdifesa attiva consiste nel prevenire, individuare, monitorare, analizzare e attenuare in maniera proattiva le violazioni della sicurezza della rete, in combinazione con il ricorso a capacità predisposte all'interno e all'esterno della rete vittima. La capacità di condividere e comprendere in modo rapido e automatico informazioni e analisi riguardanti le minacce, segnalazioni di attività informatiche e azioni di risposta è fondamentale per consentire un'unità di sforzi al fine di individuare, prevenire e affrontare con successo gli attacchi informatici nei confronti delle reti e dei sistemi di informazione. La ciberdifesa attiva si basa su una strategia difensiva, che esclude le misure offensive contro le infrastrutture civili critiche.

</Amend><Amend>Emendamento  <NumAm>29</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Considerando 28</Article>

 

Testo della Commissione

Emendamento

(28) Poiché lo sfruttamento delle vulnerabilità nei sistemi informatici e di rete può causare perturbazioni e danni significativi, la rapida individuazione e correzione di tali vulnerabilità è un fattore importante per la riduzione dei rischi di cibersicurezza. I soggetti che sviluppano tali sistemi dovrebbero pertanto stabilire procedure adeguate per gestire le vulnerabilità nel momento in cui vengono scoperte. Poiché le vulnerabilità sono spesso rilevate e segnalate (divulgate) da terzi (soggetti segnalanti), il fabbricante o fornitore di prodotti o servizi TIC dovrebbe anche mettere in atto le procedure necessarie per ricevere informazioni sulla vulnerabilità da terzi. A tale riguardo, le norme internazionali ISO/IEC 30111 e ISO/IEC 29417 forniscono rispettivamente orientamenti sulla gestione delle vulnerabilità e sulla divulgazione delle vulnerabilità. Per quanto riguarda la divulgazione delle vulnerabilità, è particolarmente importante il coordinamento tra i soggetti segnalanti e i fabbricanti o fornitori di prodotti o servizi TIC. La divulgazione coordinata delle vulnerabilità consiste in un processo strutturato attraverso il quale le vulnerabilità sono segnalate alle organizzazioni in modo tale da consentire a queste ultime di diagnosticarle ed eliminarle prima che informazioni dettagliate in merito siano divulgate a terzi o al pubblico. La divulgazione coordinata delle vulnerabilità dovrebbe comprendere anche il coordinamento tra il soggetto segnalante e l'organizzazione per quanto riguarda i tempi per la risoluzione e la pubblicazione delle vulnerabilità.

(28) Poiché lo sfruttamento delle vulnerabilità nei sistemi informatici e di rete può causare perturbazioni e danni significativi, la rapida individuazione e correzione di tali vulnerabilità è un fattore importante per la riduzione dei rischi di cibersicurezza. I soggetti che sviluppano tali sistemi dovrebbero pertanto stabilire procedure adeguate per gestire le vulnerabilità nel momento in cui vengono scoperte. Poiché le vulnerabilità sono spesso rilevate e segnalate (divulgate) da terzi (soggetti segnalanti), il fabbricante o fornitore di prodotti o servizi TIC dovrebbe anche mettere in atto le procedure necessarie per ricevere informazioni sulla vulnerabilità da terzi. A tale riguardo, le norme internazionali ISO/IEC 30111 e ISO/IEC 29417 forniscono rispettivamente orientamenti sulla gestione delle vulnerabilità e sulla divulgazione delle vulnerabilità. Al fine di facilitare il contesto della divulgazione volontaria delle vulnerabilità, è particolarmente importante rafforzare il coordinamento tra i soggetti segnalanti e i fabbricanti o fornitori di prodotti o servizi TIC. La divulgazione coordinata delle vulnerabilità consiste in un processo strutturato attraverso il quale le vulnerabilità sono segnalate alle organizzazioni in modo tale da consentire a queste ultime di diagnosticarle ed eliminarle prima che informazioni dettagliate in merito siano divulgate a terzi o al pubblico. La divulgazione coordinata delle vulnerabilità dovrebbe comprendere anche il coordinamento tra il soggetto segnalante e l'organizzazione per quanto riguarda i tempi per la risoluzione e la pubblicazione delle vulnerabilità.

</Amend><Amend>Emendamento  <NumAm>30</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Considerando 28 bis (nuovo)</Article>

 

Testo della Commissione

Emendamento

 

(28 bis) La Commissione, l'ENISA e gli Stati membri dovrebbero continuare a promuovere l'allineamento su scala internazionale agli standard e alle migliori prassi industriali esistenti nel settore della gestione dei rischi, ad esempio nei settori delle valutazioni della sicurezza della catena di approvvigionamento, della condivisione delle informazioni e della divulgazione delle vulnerabilità.

</Amend><Amend>Emendamento  <NumAm>31</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Considerando 29</Article>

 

Testo della Commissione

Emendamento

(29) Gli Stati membri dovrebbero pertanto adottare misure volte a facilitare la divulgazione coordinata delle vulnerabilità stabilendo una politica nazionale pertinente. A tale riguardo, gli Stati membri dovrebbero designare un CSIRT che assuma il ruolo di "coordinatore", fungendo da intermediario tra i soggetti segnalanti e i fabbricanti o fornitori di prodotti o servizi TIC ove necessario. I compiti del CSIRT coordinatore dovrebbero comprendere in particolare l'individuazione e il contatto dei soggetti interessati, il sostegno ai soggetti segnalanti, la negoziazione dei tempi di divulgazione e la gestione delle vulnerabilità che interessano più organizzazioni (divulgazione multilaterale di vulnerabilità). Qualora le vulnerabilità interessino più fabbricanti o fornitori di prodotti o servizi TIC stabiliti in più di uno Stato membro, i CSIRT designati di ciascuno degli Stati membri interessati dovrebbero cooperare nell'ambito della rete di CSIRT.

(29) Gli Stati membri, in cooperazione con l'ENISA, dovrebbero pertanto adottare misure volte a facilitare la divulgazione coordinata delle vulnerabilità stabilendo una politica nazionale pertinente. Nell'ambito di tale politica nazionale, gli Stati membri dovrebbero affrontare i problemi incontrati da chi cerca di individuare le vulnerabilità. In alcuni Stati membri, le entità e le persone fisiche che effettuano ricerche sulle vulnerabilità possono essere esposte alla responsabilità penale e civile. Gli Stati membri sono pertanto incoraggiati a emanare orientamenti per quanto riguarda il non perseguimento della ricerca in materia di sicurezza delle informazioni e l'esenzione dalla responsabilità civile per tali attività.

</Amend><Amend>Emendamento  <NumAm>32</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Considerando 29 bis (nuovo)</Article>

 

Testo della Commissione

Emendamento

 

(29 bis) Gli Stati membri dovrebbero designare un CSIRT che assuma il ruolo di "coordinatore", fungendo da intermediario tra i soggetti segnalanti e i fabbricanti o fornitori di prodotti o servizi TIC suscettibili di essere interessati dalle vulnerabilità, ove necessario. I compiti del CSIRT coordinatore dovrebbero comprendere in particolare l'individuazione e il contatto dei soggetti interessati, il sostegno ai soggetti segnalanti, la negoziazione dei tempi di divulgazione e la gestione delle vulnerabilità che interessano più organizzazioni (divulgazione multilaterale di vulnerabilità). Qualora le vulnerabilità interessino più fabbricanti o fornitori di prodotti o servizi TIC stabiliti in più di uno Stato membro, i CSIRT designati di ciascuno degli Stati membri interessati dovrebbero cooperare nell'ambito della rete di CSIRT.

</Amend><Amend>Emendamento  <NumAm>33</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Considerando 30</Article>

 

Testo della Commissione

Emendamento

(30) L'accesso a informazioni corrette e tempestive sulle vulnerabilità che interessano i prodotti e i servizi TIC contribuisce a una migliore gestione dei rischi di cibersicurezza. A tale riguardo le fonti di informazioni pubblicamente disponibili sulle vulnerabilità sono uno strumento importante per i soggetti e i loro utenti, ma anche per le autorità nazionali competenti e i CSIRT. Per questo motivo l'ENISA dovrebbe istituire un registro delle vulnerabilità in cui i soggetti essenziali e importanti e i loro fornitori, nonché i soggetti che non rientrano nell'ambito di applicazione della presente direttiva, possano, su base volontaria, divulgare le vulnerabilità e fornire informazioni su di esse che consentano agli utenti di adottare adeguate misure di attenuazione.

(30) L'accesso a informazioni corrette e tempestive sulle vulnerabilità che interessano i prodotti e i servizi TIC contribuisce a una migliore gestione dei rischi di cibersicurezza. Le fonti di informazioni pubblicamente disponibili sulle vulnerabilità sono uno strumento importante per i soggetti e i loro utenti, ma anche per le autorità nazionali competenti e i CSIRT. Per questo motivo l'ENISA dovrebbe istituire una banca dati delle vulnerabilità in cui i soggetti essenziali e importanti e i loro fornitori, nonché i soggetti che non rientrano nell'ambito di applicazione della presente direttiva, possano, su base volontaria, divulgare le vulnerabilità e fornire informazioni su di esse che consentano agli utenti di adottare adeguate misure di attenuazione. Lo scopo di tale banca dati è affrontare le sfide uniche poste dai rischi di cibersicurezza per i soggetti europei. Inoltre, l'ENISA dovrebbe istituire una procedura responsabile relativamente al processo di pubblicazione, al fine di dare ai soggetti il tempo di adottare misure di attenuazione per quanto riguarda le loro vulnerabilità e utilizzare le più avanzate misure di cibersicurezza, nonché le serie di dati leggibili meccanicamente e le corrispondenti interfacce (API). Per incoraggiare una cultura della divulgazione delle vulnerabilità, una divulgazione non dovrebbe andare a scapito del soggetto segnalante.

</Amend><Amend>Emendamento  <NumAm>34</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Considerando 31</Article>

 

Testo della Commissione

Emendamento

(31) Sebbene simili registri o banche dati delle vulnerabilità esistano già, questi sono ospitati e mantenuti da soggetti non stabiliti nell'Unione. Un registro europeo delle vulnerabilità mantenuto dall'ENISA garantirebbe una maggiore trasparenza, per quanto riguarda la procedura di pubblicazione prima della divulgazione ufficiale della vulnerabilità, e resilienza in caso di perturbazioni o interruzioni nella fornitura di servizi analoghi. Per evitare la duplicazione degli sforzi e perseguire, nella misura del possibile, la complementarità, l'ENISA dovrebbe valutare la possibilità di concludere accordi di cooperazione strutturata con registri simili nelle giurisdizioni di paesi terzi.

(31) La banca dati europea delle vulnerabilità mantenuta dall'ENISA dovrebbe sfruttare il registro comune delle vulnerabilità e delle esposizioni usandone il quadro per l'individuazione, la tracciabilità e il rilevamento delle vulnerabilità. Inoltre, l'ENISA dovrebbe valutare la possibilità di concludere accordi di cooperazione strutturata con altri registri o banche dati simili nell'ambito delle giurisdizioni di paesi terzi, per evitare la duplicazione degli sforzi e perseguire la complementarità.

</Amend><Amend>Emendamento  <NumAm>35</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Considerando 33</Article>

 

Testo della Commissione

Emendamento

(33) Nell'elaborare i documenti di orientamento, il gruppo di cooperazione dovrebbe sistematicamente: mappare le soluzioni e le esperienze nazionali, valutare l'impatto dei risultati del gruppo di cooperazione per quanto riguarda gli approcci nazionali, discutere le sfide in materia di attuazione e formulare raccomandazioni specifiche da realizzare attraverso una migliore attuazione delle norme esistenti.

(33) Nell'elaborare i documenti di orientamento, il gruppo di cooperazione dovrebbe sistematicamente: mappare le soluzioni e le esperienze nazionali, valutare l'impatto dei risultati del gruppo di cooperazione per quanto riguarda gli approcci nazionali, discutere le sfide in materia di attuazione e formulare raccomandazioni specifiche, in particolare per quanto riguarda l'agevolazione dell'armonizzazione nel recepimento della presente direttiva tra gli Stati membri, da realizzare attraverso una migliore attuazione delle norme esistenti. Il gruppo di cooperazione dovrebbe anche mappare le soluzioni nazionali al fine di promuovere la compatibilità delle soluzioni di cibersicurezza applicate a ciascun settore specifico in tutta l'Unione. Ciò è particolarmente pertinente per i settori che hanno natura internazionale e transfrontaliera.

</Amend><Amend>Emendamento  <NumAm>36</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Considerando 34</Article>

 

Testo della Commissione

Emendamento

(34) Il gruppo di cooperazione dovrebbe rimanere un forum flessibile ed essere in grado di reagire alle nuove e mutevoli priorità strategiche e alle sfide, tenendo conto nel contempo della disponibilità di risorse. Esso dovrebbe organizzare riunioni congiunte periodiche con i pertinenti portatori di interessi del settore privato di tutta l'Unione per discutere le attività svolte dal gruppo e raccogliere contributi sulle sfide strategiche emergenti. Al fine di rafforzare la cooperazione a livello dell'Unione, il gruppo dovrebbe prendere in considerazione la possibilità di invitare a partecipare ai suoi lavori organismi e agenzie dell'Unione coinvolti nella politica in materia di cibersicurezza, quali il Centro europeo per la lotta alla criminalità informatica (EC3), l'Agenzia dell'Unione europea per la sicurezza aerea (AESA) e l'Agenzia dell'Unione europea per il programma spaziale (EUSPA).

(34) Il gruppo di cooperazione dovrebbe rimanere un forum flessibile ed essere in grado di reagire alle nuove e mutevoli priorità strategiche e alle sfide, tenendo conto nel contempo della disponibilità di risorse. Esso dovrebbe organizzare riunioni congiunte periodiche con i pertinenti portatori di interessi del settore privato di tutta l'Unione per discutere le attività svolte dal gruppo e raccogliere contributi sulle sfide strategiche emergenti. Al fine di rafforzare la cooperazione a livello dell'Unione, il gruppo dovrebbe invitare a partecipare ai suoi lavori pertinenti organismi e agenzie dell'Unione coinvolti nella politica in materia di cibersicurezza, quali Europol, l'Agenzia dell'Unione europea per la sicurezza aerea (AESA) e l'Agenzia dell'Unione europea per il programma spaziale (EUSPA).

</Amend><Amend>Emendamento  <NumAm>37</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Considerando 35</Article>

 

Testo della Commissione

Emendamento

(35) Le autorità competenti e i CSIRT dovrebbero avere la facoltà di partecipare a programmi di scambio per funzionari di altri Stati membri al fine di migliorare la cooperazione. Le autorità competenti dovrebbero adottare le misure necessarie per consentire a funzionari di altri Stati membri di svolgere un ruolo efficace nelle attività dell'autorità competente ospitante.

(35) Le autorità competenti e i CSIRT dovrebbero avere la facoltà di partecipare a programmi di scambio per funzionari di altri Stati membri, nel quadro di norme e meccanismi strutturati a sostegno dell'ambito di applicazione e, se del caso, del necessario nulla osta di sicurezza dei funzionari che partecipano a tali programmi di scambio, al fine di migliorare la cooperazione e rafforzare la fiducia tra gli Stati membri. Le autorità competenti dovrebbero adottare le misure necessarie per consentire a funzionari di altri Stati membri di svolgere un ruolo efficace nelle attività dell'autorità competente ospitante o del CSIRT.

</Amend><Amend>Emendamento  <NumAm>38</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Considerando 36</Article>

 

Testo della Commissione

Emendamento

(36) Ove opportuno l'Unione dovrebbe concludere accordi internazionali, in conformità all'articolo 218 TFUE, con paesi terzi o organizzazioni internazionali, che consentano e organizzino la loro partecipazione ad alcune delle attività del gruppo di cooperazione e della rete di CSIRT. Tali accordi dovrebbero garantire un'adeguata protezione dei dati.

(36) Ove opportuno l'Unione dovrebbe concludere accordi internazionali, in conformità all'articolo 218 TFUE, con paesi terzi o organizzazioni internazionali, che consentano e organizzino la loro partecipazione ad alcune delle attività del gruppo di cooperazione e della rete di CSIRT. Tali accordi dovrebbero garantire gli interessi dell'Unione e un'adeguata protezione dei dati. Ciò non esclude il diritto degli Stati membri di cooperare con paesi terzi che condividono gli stessi principi sulla gestione delle vulnerabilità e sulla gestione dei rischi di cibersicurezza, agevolando la segnalazione e la condivisione delle informazioni generali in conformità al diritto dell'Unione.

</Amend><Amend>Emendamento  <NumAm>39</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Considerando 38</Article>

 

Testo della Commissione

Emendamento

(38) Ai fini della presente direttiva, il termine "rischio" dovrebbe riferirsi alla potenziale perdita o perturbazione causata da un incidente di cibersicurezza e dovrebbe essere espresso come combinazione dell'entità di tale perdita o perturbazione e della probabilità che si verifichi tale incidente.

soppresso

</Amend><Amend>Emendamento  <NumAm>40</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Considerando 39</Article>

 

Testo della Commissione

Emendamento

(39) Ai fini della presente direttiva, l'espressione "quasi incidente" (near miss) dovrebbe riferirsi a un evento che avrebbe potenzialmente potuto causare un danno, ma che è stato efficacemente evitato prima che si verificasse.

soppresso

</Amend><Amend>Emendamento  <NumAm>41</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Considerando 40</Article>

 

Testo della Commissione

Emendamento

(40) Le misure di gestione dei rischi dovrebbero comprendere misure per individuare eventuali rischi di incidenti, per prevenire, rilevare e gestire incidenti, nonché per attenuarne l'impatto. La sicurezza dei sistemi informatici e di rete dovrebbe comprendere la sicurezza dei dati conservati, trasmessi e elaborati.

(40) Le misure di gestione dei rischi dovrebbero comprendere misure per individuare eventuali rischi di incidenti, per prevenire e rilevare incidenti, fornirvi una risposta e riprendersi da essi, nonché per attenuarne l'impatto. La sicurezza dei sistemi informatici e di rete dovrebbe comprendere la sicurezza dei dati conservati, trasmessi e elaborati. Tali sistemi dovrebbero prevedere un'analisi sistemica, scomponendo i vari processi e le interazioni tra i sottosistemi nonché tenendo conto del fattore umano, al fine di avere un quadro completo della sicurezza del sistema informativo.

</Amend><Amend>Emendamento  <NumAm>42</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Considerando 41</Article>

 

Testo della Commissione

Emendamento

(41) Per evitare di imporre un onere finanziario e amministrativo sproporzionato ai soggetti essenziali e importanti, gli obblighi di gestione dei rischi di cibersicurezza dovrebbero essere proporzionati al rischio corso dal sistema informatico e di rete interessato, tenendo conto dello stato dell'arte di tali misure.

(41) Per evitare di imporre un onere finanziario e amministrativo sproporzionato ai soggetti essenziali e importanti, gli obblighi di gestione dei rischi di cibersicurezza dovrebbero essere proporzionati al rischio corso dal sistema informatico e di rete interessato, tenendo conto dello stato dell'arte di tali misure e di norme europee o internazionali quali ISO31000 e ISO/IEC 27005.

</Amend><Amend>Emendamento  <NumAm>43</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Considerando 43</Article>

 

Testo della Commissione

Emendamento

(43) Affrontare i rischi di cibersicurezza derivanti dalla catena di approvvigionamento di un soggetto e dalla sua relazione con i fornitori è particolarmente importante data la prevalenza di incidenti in cui i soggetti sono rimasti vittime di attacchi informatici e in cui i responsabili di atti malevoli sono stati in grado di compromettere la sicurezza dei sistemi informatici e di rete di un soggetto sfruttando le vulnerabilità che interessano prodotti e servizi di terzi. I soggetti dovrebbero pertanto valutare e tenere in considerazione la qualità complessiva dei prodotti e delle pratiche di cibersicurezza dei loro fornitori e fornitori di servizi, comprese le loro procedure di sviluppo sicuro.

(43) Affrontare i rischi di cibersicurezza derivanti dalla catena di approvvigionamento di un soggetto e dalla sua relazione con i fornitori, ad esempio i fornitori di servizi di conservazione ed elaborazione dei dati o di servizi di sicurezza gestiti, è particolarmente importante data la prevalenza di incidenti in cui i soggetti sono rimasti vittime di attacchi contro i sistemi informatici e di rete, e in cui i responsabili di atti malevoli sono stati in grado di compromettere la sicurezza dei sistemi informatici e di rete di un soggetto sfruttando le vulnerabilità che interessano prodotti e servizi di terzi. I soggetti dovrebbero pertanto valutare e tenere in considerazione la qualità e la resilienza complessive dei prodotti e dei servizi, delle misure di cibersicurezza in essi integrate e delle pratiche di cibersicurezza dei loro fornitori e fornitori di servizi, comprese le loro procedure di sviluppo sicuro. In particolare, i soggetti dovrebbero essere incoraggiati a integrare misure di cibersicurezza negli accordi contrattuali con i loro fornitori e fornitori di servizi di primo livello. I soggetti potrebbero prendere in considerazione i rischi di cibersicurezza derivanti da altri livelli di fornitori e fornitori di servizi.

</Amend><Amend>Emendamento  <NumAm>44</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Considerando 44</Article>

 

Testo della Commissione

Emendamento

(44) Tra i fornitori di servizi, i fornitori di servizi di sicurezza gestiti (managed security services providers, MSSP) in settori quali la risposta agli incidenti, i test di penetrazione, gli audit di sicurezza e la consulenza svolgono un ruolo particolarmente importante nell'assistere i soggetti nei loro sforzi per il rilevamento degli incidenti e la risposta agli stessi. Tali MSSP sono stati tuttavia essi stessi bersaglio di attacchi informatici e, a causa della loro stretta integrazione nelle attività degli operatori, presentano un particolare rischio di cibersicurezza. I soggetti dovrebbero pertanto esercitare una maggiore diligenza nella selezione di un MSSP.

(44) Tra i fornitori di servizi, i fornitori di servizi di sicurezza gestiti (managed security services providers, MSSP) in settori quali la risposta agli incidenti, i test di penetrazione, gli audit di sicurezza e la consulenza svolgono un ruolo particolarmente importante nell'assistere i soggetti nei loro sforzi per la prevenzione e il rilevamento degli incidenti, la risposta agli stessi o la ripresa da essi. Tali MSSP sono stati tuttavia essi stessi bersaglio di attacchi informatici e, a causa della loro stretta integrazione nelle attività degli operatori, presentano un particolare rischio di cibersicurezza. I soggetti dovrebbero pertanto esercitare una maggiore diligenza nella selezione di un MSSP.

</Amend><Amend>Emendamento  <NumAm>45</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Considerando 45</Article>

 

Testo della Commissione

Emendamento

(45) I soggetti dovrebbero inoltre affrontare i rischi di cibersicurezza derivanti dalle loro interazioni e relazioni con altri portatori di interessi nell'ambito di un ecosistema più ampio. In particolare, i soggetti dovrebbero adottare misure adeguate per garantire che la loro cooperazione con gli istituti accademici e di ricerca avvenga in linea con le loro politiche in materia di cibersicurezza e segua le buone pratiche per quanto riguarda l'accesso sicuro e la diffusione delle informazioni in generale e la tutela della proprietà intellettuale in particolare. Analogamente, data l'importanza e il valore dei dati per le attività dei soggetti, questi ultimi dovrebbero adottare tutte le opportune misure di cibersicurezza quando si affidano ai servizi di trasformazione e analisi dei dati forniti da terzi.

(45) I soggetti dovrebbero inoltre affrontare i rischi di cibersicurezza derivanti dalle loro interazioni e relazioni con altri portatori di interessi nell'ambito di un ecosistema più ampio, anche per contrastare lo spionaggio industriale e tutelare i segreti commerciali. In particolare, i soggetti dovrebbero adottare misure adeguate per garantire che la loro cooperazione con gli istituti accademici e di ricerca avvenga in linea con le loro politiche in materia di cibersicurezza e segua le buone pratiche per quanto riguarda l'accesso sicuro e la diffusione delle informazioni in generale e la tutela della proprietà intellettuale in particolare. Analogamente, data l'importanza e il valore dei dati per le attività dei soggetti, questi ultimi dovrebbero adottare tutte le opportune misure di cibersicurezza quando si affidano ai servizi di trasformazione e analisi dei dati forniti da terzi.

</Amend><Amend>Emendamento  <NumAm>46</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Considerando 45 bis (nuovo)</Article>

 

Testo della Commissione

Emendamento

 

(45 bis) I soggetti dovrebbero adottare un'ampia gamma di pratiche di igiene informatica di base quali un'architettura zero-trust, gli aggiornamenti del software, la configurazione dei dispositivi, la segmentazione della rete, la gestione dell'identità e dell'accesso o la sensibilizzazione degli utenti, e organizzare per il loro personale una formazione riguardo alle minacce informatiche della posta elettronica aziendale, al phishing o alle tecniche di ingegneria sociale. Inoltre, i soggetti dovrebbero valutare le proprie capacità di cibersicurezza e, se del caso, perseguire l'integrazione delle tecnologie per il rafforzamento della cibersicurezza basate sull'intelligenza artificiale o sui sistemi di apprendimento automatico per automatizzare le loro capacità e la protezione delle architetture di rete.

</Amend><Amend>Emendamento  <NumAm>47</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Considerando 46</Article>

 

Testo della Commissione

Emendamento

(46) Per affrontare ulteriormente i principali rischi relativi alla catena di approvvigionamento e aiutare i soggetti che operano nei settori disciplinati dalla presente direttiva a gestire adeguatamente i rischi di cibersicurezza connessi alla catena di approvvigionamento e ai fornitori, il gruppo di cooperazione, coinvolgendo le autorità nazionali competenti, in cooperazione con la Commissione e l'ENISA, dovrebbe effettuare valutazioni settoriali e coordinate dei rischi relativi alla catena di approvvigionamento, come già fatto per le reti 5G in seguito alla raccomandazione (UE) 2019/534 sulla cibersicurezza delle reti 5G21, al fine di individuare, per settore, quali sono i servizi, i sistemi o i prodotti TIC critici e le minacce e le vulnerabilità pertinenti.

(46) Per affrontare ulteriormente i principali rischi relativi alla catena di approvvigionamento e aiutare i soggetti che operano nei settori disciplinati dalla presente direttiva a gestire adeguatamente i rischi di cibersicurezza connessi alla catena di approvvigionamento e ai fornitori, il gruppo di cooperazione, coinvolgendo le autorità nazionali competenti, in cooperazione con la Commissione e l'ENISA, dovrebbe effettuare valutazioni coordinate dei rischi relativi alla catena di approvvigionamento, come già fatto per le reti 5G in seguito alla raccomandazione (UE) 2019/534 sulla cibersicurezza delle reti 5G21, al fine di individuare, per settore, quali sono i servizi, i sistemi o i prodotti TIC e ICS critici e le minacce e le vulnerabilità pertinenti. Dette valutazioni dei rischi dovrebbero individuare le misure, i piani di attenuazione e le migliori pratiche contro le dipendenze critiche, i potenziali singoli punti di fallimento, le minacce, le vulnerabilità e gli altri rischi associati alla catena di approvvigionamento, ed esplorare modalità per incoraggiare ulteriormente una loro più ampia adozione da parte dei soggetti. I potenziali fattori di rischio non tecnici, come l'indebita influenza di un paese terzo sui fornitori e i fornitori di servizi, in particolare nel caso di modelli alternativi di governance, includono vulnerabilità nascoste o backdoor e potenziali turbative sistemiche dell'approvvigionamento, segnatamente in caso di lock-in tecnologico o di dipendenza dal fornitore.

__________________

__________________

21 Raccomandazione (UE) 2019/534 della Commissione, del 26 marzo 2019, Cibersicurezza delle reti 5G (GU L 88 del 29.3.2019, pag. 42).

21 Raccomandazione (UE) 2019/534 della Commissione, del 26 marzo 2019, Cibersicurezza delle reti 5G (GU L 88 del 29.3.2019, pag. 42).

</Amend><Amend>Emendamento  <NumAm>48</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Considerando 47</Article>

 

Testo della Commissione

Emendamento

(47) Le valutazioni dei rischi relativi alla catena di approvvigionamento, alla luce delle caratteristiche del settore interessato, dovrebbero tenere conto dei fattori tecnici e, se opportuno, non tecnici, compresi quelli definiti nella raccomandazione (UE) 2019/534, nella valutazione dei rischi coordinata a livello dell'UE della sicurezza delle reti 5G e nel pacchetto di strumenti dell'UE sulla cibersicurezza del 5G concordato dal gruppo di cooperazione. Per individuare le catene di approvvigionamento che dovrebbero essere soggette a una valutazione coordinata dei rischi, dovrebbero essere presi in considerazione i seguenti criteri: i) la misura in cui i soggetti essenziali e importanti ricorrono e si affidano a specifici servizi, sistemi o prodotti TIC critici; ii) la pertinenza di specifici servizi, sistemi o prodotti TIC critici per lo svolgimento di funzioni critiche o sensibili, compreso il trattamento dei dati personali; iii) la disponibilità di servizi, sistemi o prodotti TIC alternativi; iv) la resilienza dell'intera catena di approvvigionamento di servizi, sistemi o prodotti TIC contro eventi perturbatori e v) per i servizi, sistemi o prodotti TIC emergenti, la loro potenziale importanza futura per le attività dei soggetti.

(47) Le valutazioni dei rischi relativi alla catena di approvvigionamento, alla luce delle caratteristiche del settore interessato, dovrebbero tenere conto dei fattori tecnici e, se opportuno, non tecnici, compresi quelli definiti nella raccomandazione (UE) 2019/534, nella valutazione dei rischi coordinata a livello dell'UE della sicurezza delle reti 5G e nel pacchetto di strumenti dell'UE sulla cibersicurezza del 5G concordato dal gruppo di cooperazione. Per individuare le catene di approvvigionamento che dovrebbero essere soggette a una valutazione coordinata dei rischi, dovrebbero essere presi in considerazione i seguenti criteri: i) la misura in cui i soggetti essenziali e importanti ricorrono e si affidano a specifici servizi, sistemi o prodotti TIC critici; ii) la pertinenza di specifici servizi, sistemi o prodotti TIC critici per lo svolgimento di funzioni critiche o sensibili, compreso il trattamento dei dati personali; iii) la disponibilità di servizi, sistemi o prodotti TIC alternativi; iv) la resilienza dell'intera catena di approvvigionamento di servizi, sistemi o prodotti TIC, durante tutto il loro ciclo di vita, contro eventi perturbatori e v) per i servizi, sistemi o prodotti TIC emergenti, la loro potenziale importanza futura per le attività dei soggetti. Inoltre, si dovrebbe porre un accento particolare sui servizi, i sistemi o i prodotti TIC che sono soggetti a requisiti specifici derivanti da paesi terzi.

</Amend><Amend>Emendamento  <NumAm>49</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Considerando 47 bis (nuovo)</Article>

 

Testo della Commissione

Emendamento

 

(47 bis) Il gruppo dei portatori di interessi per la certificazione della cibersicurezza, istituito a norma dell'articolo 22 del regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio1 bis, dovrebbe formulare un parere sulle valutazioni dei rischi per la sicurezza di specifiche catene di approvvigionamento critiche di servizi, sistemi o prodotti TIC e ICS. Il gruppo di cooperazione e l'ENISA dovrebbero tenere conto di tale parere.

 

__________________

 

1 bis Regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio, del 17 aprile 2019, relativo all'ENISA, l'Agenzia dell'Unione europea per la cibersicurezza, e alla certificazione della cibersicurezza per le tecnologie dell'informazione e della comunicazione, e che abroga il regolamento (UE) n. 526/2013 ("regolamento sulla cibersicurezza") (GU L 151 del 7.6.2019, pag. 15).

</Amend><Amend>Emendamento  <NumAm>50</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Considerando 50</Article>

 

Testo della Commissione

Emendamento

(50) Vista la crescente importanza dei servizi di comunicazione interpersonale indipendenti dal numero, è necessario assicurare che anche tali servizi siano soggetti ad adeguati requisiti di sicurezza in considerazione della loro specificità e della loro rilevanza economica. I fornitori di tali servizi dovrebbero pertanto garantire un livello di sicurezza dei sistemi informatici e di rete adeguato al rischio esistente. Dato che i fornitori di servizi di comunicazione interpersonale indipendenti dal numero solitamente non esercitano un controllo effettivo sulla trasmissione dei segnali sulle reti, il grado di rischio di tali servizi può essere considerato, per certi aspetti, inferiore a quello dei servizi di comunicazione elettronica tradizionali. Lo stesso vale per i servizi di comunicazione interpersonale che utilizzano numeri e che non esercitano un controllo effettivo sulla trasmissione dei segnali.

(50) Vista la crescente importanza dei servizi di comunicazione interpersonale indipendenti dal numero, è necessario assicurare che anche tali servizi siano soggetti ad adeguati requisiti di sicurezza in considerazione della loro specificità e della loro rilevanza economica. I fornitori di tali servizi dovrebbero pertanto garantire un livello di sicurezza dei sistemi informatici e di rete adeguato al rischio esistente. Dato che i fornitori di servizi di comunicazione interpersonale indipendenti dal numero solitamente non esercitano un controllo effettivo sulla trasmissione dei segnali sulle reti, il grado di rischio per la sicurezza della rete di tali servizi può essere considerato, per certi aspetti, inferiore a quello dei servizi di comunicazione elettronica tradizionali. Lo stesso vale per i servizi di comunicazione interpersonale che utilizzano numeri e che non esercitano un controllo effettivo sulla trasmissione dei segnali. Tuttavia, poiché la superficie di attacco continua ad ampliarsi, i servizi di comunicazione interpersonale indipendenti dal numero, compresa, ma non solo, la messaggistica dei social media, stanno diventando vettori di attacco diffusi. I responsabili di atti malevoli utilizzano piattaforme per comunicare e indurre le vittime ad aprire pagine web compromesse, aumentando così la probabilità di incidenti che interessano lo sfruttamento dei dati personali e, per estensione, la sicurezza dei sistemi informatici.

</Amend><Amend>Emendamento  <NumAm>51</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Considerando 51</Article>

 

Testo della Commissione

Emendamento

(51) Il mercato interno dipende più che mai dal funzionamento di Internet. I servizi di quasi tutti i soggetti essenziali e importanti dipendono dai servizi forniti via Internet. Al fine di garantire l'erogazione senza intoppi dei servizi forniti dai soggetti essenziali e importanti, è fondamentale che le reti pubbliche di comunicazione elettronica, quali ad esempio le dorsali Internet o i cavi di comunicazione sottomarini, dispongano di adeguate misure di cibersicurezza e segnalino gli incidenti connessi.

(51) Il mercato interno dipende più che mai dal funzionamento di Internet. I servizi di quasi tutti i soggetti essenziali e importanti dipendono dai servizi forniti via Internet. Al fine di garantire l'erogazione senza intoppi dei servizi forniti dai soggetti essenziali e importanti, è fondamentale che tutte le reti pubbliche di comunicazione elettronica, quali ad esempio le dorsali Internet o i cavi di comunicazione sottomarini, dispongano di adeguate misure di cibersicurezza e segnalino gli incidenti significativi connessi. Gli Stati membri dovrebbero garantire che l'integrità e la disponibilità di tali reti pubbliche di comunicazione elettronica siano mantenute e dovrebbero prendere in considerazione la necessità di proteggerle dal sabotaggio e dallo spionaggio di interessi vitali per la sicurezza. Gli Stati membri dovrebbero condividere attivamente le informazioni riguardanti gli incidenti, ad esempio sui cavi di comunicazione sottomarini.

</Amend><Amend>Emendamento  <NumAm>52</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Considerando 52</Article>

 

Testo della Commissione

Emendamento

(52) Ove opportuno, i soggetti dovrebbero informare i destinatari dei loro servizi di minacce particolari e significative e delle misure che possono adottare per attenuare i rischi che ne derivano. L'obbligo di informare tali destinatari in merito alle minacce non dovrebbe esonerare i soggetti dall'obbligo di adottare, a proprie spese, provvedimenti adeguati e immediati per prevenire eventuali minacce informatiche o porvi rimedio e ristabilire il normale livello di sicurezza del servizio. La fornitura ai destinatari di tali informazioni riguardanti le minacce alla sicurezza dovrebbe essere gratuita.

(52) Ove opportuno, i soggetti dovrebbero informare i destinatari dei loro servizi di minacce particolari e significative e delle misure che possono adottare per attenuare i rischi che ne derivano. Ciò non dovrebbe esonerare i soggetti dall'obbligo di adottare, a proprie spese, provvedimenti adeguati e immediati per prevenire eventuali minacce informatiche o porvi rimedio e ristabilire il normale livello di sicurezza del servizio. La fornitura ai destinatari di tali informazioni riguardanti le minacce alla sicurezza dovrebbe essere gratuita e avvenire in una lingua facilmente comprensibile.

</Amend><Amend>Emendamento  <NumAm>53</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Considerando 53</Article>

 

Testo della Commissione

Emendamento

(53) In particolare, i fornitori di reti pubbliche di comunicazione elettronica o di servizi di comunicazione elettronica accessibili al pubblico dovrebbero informare i destinatari dei servizi di minacce informatiche particolari e significative e delle misure che questi ultimi possono adottare per proteggere la sicurezza delle loro comunicazioni, ad esempio attraverso l'uso di particolari tipi di programmi o tecnologie di cifratura.

(53) I fornitori di reti pubbliche di comunicazione elettronica o di servizi di comunicazione elettronica accessibili al pubblico dovrebbero attuare la sicurezza fin dalla progettazione e per impostazione predefinita e informare i destinatari dei servizi di minacce informatiche particolari e significative e delle misure che questi ultimi possono adottare per proteggere la sicurezza dei loro dispositivi e delle loro comunicazioni, ad esempio attraverso l'uso di particolari tipi di programmi di cifratura o di altre tecnologie di sicurezza incentrate sui dati.

</Amend><Amend>Emendamento  <NumAm>54</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Considerando 54</Article>

 

Testo della Commissione

Emendamento

(54) Al fine di salvaguardare la sicurezza delle reti e dei servizi di comunicazione elettronica, l'uso della cifratura, in particolare la cifratura end-to-end, dovrebbe essere promosso e, ove necessario, dovrebbe essere reso obbligatorio per i fornitori di tali servizi e reti conformemente ai principi di sicurezza e tutela della vita privata per impostazione predefinita e fin dalla progettazione ai fini dell'articolo 18. L'uso della cifratura end-to-end dovrebbe essere conciliato con i poteri degli Stati membri di garantire la tutela della sicurezza pubblica e dei loro interessi essenziali in materia di sicurezza, nonché di consentire l'indagine, l'accertamento e il perseguimento di reati nel rispetto del diritto dell'Unione. Le soluzioni per l'accesso legittimo alle informazioni nelle comunicazioni che utilizzano la cifratura end-to-end dovrebbero mantenere l'efficacia della cifratura nella protezione della privacy e della sicurezza delle comunicazioni, fornendo nel contempo una risposta efficace alla criminalità.

(54) Al fine di salvaguardare la sicurezza delle reti e dei servizi di comunicazione elettronica, l'uso della cifratura e di altre tecnologie di sicurezza incentrate sui dati, ad esempio la tokenizzazione, la segmentazione, l'accesso rallentato (throttle), la marcatura, l'etichettatura, la gestione rigorosa dell'identità e dell'accesso e le decisioni sull'accesso automatizzato, dovrebbe essere promosso e, ove necessario, dovrebbe essere reso obbligatorio per i fornitori di tali servizi e reti conformemente ai principi di sicurezza e tutela della vita privata per impostazione predefinita e fin dalla progettazione ai fini dell'articolo 18. L'uso della cifratura end-to-end dovrebbe essere conciliato con i poteri degli Stati membri di garantire la tutela della sicurezza pubblica e dei loro interessi essenziali in materia di sicurezza, nonché di consentire l'indagine, l'accertamento e il perseguimento di reati nel rispetto del diritto dell'Unione. Tuttavia, ciò non dovrebbe portare ad alcun tentativo di indebolire la cifratura end-to-end, che è una tecnologia fondamentale per un'efficace protezione dei dati e della vita privata.

</Amend><Amend>Emendamento  <NumAm>55</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Considerando 54 bis (nuovo)</Article>

 

Testo della Commissione

Emendamento

 

(54 bis) Al fine di salvaguardare la sicurezza e prevenire abusi e manipolazioni delle reti e dei servizi di comunicazione elettronica, è opportuno promuovere il ricorso a standard interoperabili in materia di inoltro sicuro per garantire l'integrità e la solidità delle funzioni di inoltro in tutto l'ecosistema dei vettori Internet.

</Amend><Amend>Emendamento  <NumAm>56</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Considerando 54 ter (nuovo)</Article>

 

Testo della Commissione

Emendamento

 

(54 ter) Al fine di salvaguardare la funzionalità e l'integrità di Internet e limitare i problemi di sicurezza relativi al DNS, i portatori di interessi pertinenti, tra cui le imprese dell'Unione, i fornitori di servizi Internet e i fornitori di browser, dovrebbero essere incoraggiati ad adottare una strategia di diversificazione della risoluzione DNS. Inoltre, gli Stati membri dovrebbero incoraggiare lo sviluppo e l'utilizzo di un servizio europeo di risoluzione DNS pubblico e sicuro.

</Amend><Amend>Emendamento  <NumAm>57</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Considerando 55</Article>

 

Testo della Commissione

Emendamento

(55) La presente direttiva stabilisce un approccio in due fasi alla segnalazione degli incidenti al fine di trovare il giusto equilibrio tra, da un lato, una segnalazione rapida che contribuisca ad attenuare la potenziale diffusione di incidenti e consenta ai soggetti di chiedere sostegno e, dall'altro, una segnalazione approfondita che tragga insegnamenti preziosi dai singoli incidenti e migliori nel tempo la resilienza alle minacce informatiche delle singole imprese e di interi settori. Qualora vengano a conoscenza di un incidente, i soggetti dovrebbero essere tenuti a presentare una notifica iniziale entro 24 ore, seguita da una relazione finale entro un mese. La notifica iniziale dovrebbe contenere solo le informazioni strettamente necessarie per informare le autorità competenti dell'incidente e consentire al soggetto di chiedere assistenza, se necessario. Tale notifica, ove applicabile, dovrebbe indicare se l'incidente sia presumibilmente il risultato di un'azione illegittima o malevola. Gli Stati membri dovrebbero garantire che l'obbligo di presentare tale notifica iniziale non sottragga le risorse del soggetto segnalante alle attività relative alla gestione degli incidenti, che dovrebbero essere considerate prioritarie. Per evitare ulteriormente che gli obblighi di segnalazione degli incidenti sottraggano risorse alla gestione della risposta agli incidenti o possano altrimenti compromettere gli sforzi dei soggetti a tale riguardo, gli Stati membri dovrebbero altresì prevedere che, in casi debitamente giustificati e d'intesa con le autorità competenti o con il CSIRT, il soggetto interessato possa derogare dai termini di 24 ore per la notifica iniziale e di un mese per la relazione finale.

(55) La presente direttiva stabilisce un approccio in due fasi alla segnalazione degli incidenti al fine di trovare il giusto equilibrio tra, da un lato, una segnalazione rapida che contribuisca ad attenuare la potenziale diffusione di incidenti e consenta ai soggetti di chiedere sostegno e, dall'altro, una segnalazione approfondita che tragga insegnamenti preziosi dai singoli incidenti e migliori nel tempo la resilienza alle minacce informatiche delle singole imprese e di interi settori. Qualora vengano a conoscenza di un incidente, i soggetti dovrebbero essere tenuti a presentare una notifica iniziale seguita da una relazione globale entro un mese dalla trasmissione della notifica iniziale. Il termine per la notifica iniziale dell'incidente non dovrebbe impedire ai soggetti di segnalare gli incidenti prima, il che permetterebbe loro di chiedere rapidamente supporto ai CSIRT consentendo l'attenuazione e la potenziale diffusione dell'incidente segnalato. I CSIRT possono richiedere una relazione intermedia sugli aggiornamenti della situazione pertinenti, tenendo conto nel contempo degli sforzi di risposta agli incidenti e di riparazione dei soggetti segnalanti.

</Amend><Amend>Emendamento  <NumAm>58</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Considerando 55 bis (nuovo)</Article>

 

Testo della Commissione

Emendamento

 

(55 bis) Un incidente significativo può avere un impatto sulla riservatezza, l'integrità o la disponibilità del servizio. I soggetti essenziali e importanti dovrebbero notificare ai CSIRT gli incidenti significativi che hanno un impatto sulla disponibilità del loro servizio entro 24 ore dal momento in cui vengono a conoscenza dell'incidente. Essi dovrebbero notificare ai CSIRT gli incidenti significativi che violano la riservatezza e l'integrità dei loro servizi entro 72 ore dal momento in cui ne sono venuti a conoscenza. La distinzione tra i vari tipi di incidenti non si basa sulla gravità dell'incidente, ma sulla difficoltà per il soggetto segnalante di valutare l'incidente, la sua importanza e la capacità di segnalare informazioni che possono essere utili per il CSIRT. La notifica iniziale dovrebbe contenere le informazioni necessarie per informare il CSIRT dell'incidente e consentire al soggetto di chiedere assistenza, se necessario. Gli Stati membri dovrebbero garantire che l'obbligo di presentare tale notifica iniziale non sottragga le risorse del soggetto segnalante alle attività relative alla gestione degli incidenti, che dovrebbero essere considerate prioritarie. Per evitare ulteriormente che gli obblighi di segnalazione degli incidenti sottraggano risorse alla gestione della risposta agli incidenti o possano altrimenti compromettere gli sforzi dei soggetti a tale riguardo, gli Stati membri dovrebbero altresì prevedere che, in casi debitamente giustificati e d'intesa con il CSIRT, il soggetto interessato possa derogare dai termini per la notifica iniziale e per la relazione finale.

</Amend><Amend>Emendamento  <NumAm>59</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Considerando 59</Article>

 

Testo della Commissione

Emendamento

(59) Il mantenimento di banche dati precise e complete dei nomi di dominio e dei dati di registrazione (i cosiddetti "dati WHOIS") e la fornitura di un accesso legittimo a tali dati sono essenziali per garantire la sicurezza, la stabilità e la resilienza del DNS, che a sua volta contribuisce a un elevato livello comune di cibersicurezza all'interno dell'Unione. Se l'elaborazione dei dati comprende il trattamento dei dati personali, quest'ultimo deve essere conforme al diritto dell'Unione in materia di protezione dei dati.

(59) Il mantenimento di banche dati precise, verificate e complete dei dati di registrazione dei nomi di dominio (i cosiddetti "dati WHOIS") è essenziale per garantire la sicurezza, la stabilità e la resilienza del DNS, che a sua volta contribuisce a un elevato livello comune di cibersicurezza all'interno dell'Unione e per contrastare le attività illegali. I registri dei TLD e i soggetti che forniscono servizi di registrazione di nomi di dominio dovrebbero pertanto essere tenuti a raccogliere i dati di registrazione dei nomi di dominio, che dovrebbero comprendere almeno il nome dei registranti, il loro indirizzo fisico e di posta elettronica nonché il loro numero di telefono. In pratica, i dati raccolti potrebbero non essere sempre accurati, ma i registri dei TLD e i soggetti che forniscono servizi di registrazione dei nomi di dominio dovrebbero adottare e attuare procedure proporzionate per verificare che le persone fisiche o giuridiche che richiedono o possiedono un nome di dominio abbiano fornito i dati di contatto mediante i quali possono essere raggiunte e sono tenute a rispondere. Utilizzando un approccio basato sul "best effort", tali processi di verifica dovrebbero riflettere le migliori pratiche attualmente utilizzate nel settore. Tali migliori pratiche nel processo di verifica dovrebbero rispecchiare i progressi compiuti nel processo di identificazione elettronica. I registri dei TLD e i soggetti che forniscono servizi di registrazione dei nomi di dominio dovrebbero rendere pubblicamente disponibili le loro politiche e procedure per garantire l'integrità e la disponibilità dei dati di registrazione dei nomi di dominio. Se l'elaborazione dei dati comprende il trattamento dei dati personali, quest'ultimo deve essere conforme al diritto dell'Unione in materia di protezione dei dati.

</Amend><Amend>Emendamento  <NumAm>60</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Considerando 60</Article>

 

Testo della Commissione

Emendamento

(60) La disponibilità e la tempestiva accessibilità di tali dati per le autorità pubbliche, comprese le autorità competenti a norma del diritto dell'Unione o nazionale in materia di prevenzione, indagine o perseguimento di reati, ai CERT, ai CSIRT e, per quanto riguarda i dati dei loro clienti, ai fornitori di reti e servizi di comunicazione elettronica e ai fornitori di tecnologie e servizi di cibersicurezza che agiscono per conto di tali clienti, sono essenziali per prevenire e combattere l'abuso del sistema dei nomi di dominio, in particolare per la prevenzione e il rilevamento degli incidenti di cibersicurezza e la risposta agli stessi. Tale accesso dovrebbe essere conforme al diritto dell'Unione in materia di protezione dei dati nella misura in cui è relativo ai dati personali.

(60) La disponibilità e la tempestiva accessibilità dei dati di registrazione dei nomi di dominio per i legittimi richiedenti l'accesso sono essenziali ai fini della cibersicurezza e della lotta alle attività illegali nell'ecosistema online. I registri dei TLD e i soggetti che forniscono servizi di registrazione dei nomi di dominio dovrebbero quindi essere tenuti a consentire l'accesso legittimo a specifici dati di registrazione dei nomi di dominio, compresi i dati personali, ai legittimi richiedenti l'accesso, in conformità al diritto dell'Unione in materia di protezione dei dati. I legittimi richiedenti l'accesso dovrebbero presentare una richiesta debitamente motivata di accesso ai dati di registrazione dei nomi di dominio sulla base del diritto dell'Unione o nazionale, e potrebbero includere le autorità competenti a norma del diritto dell'Unione o nazionale in materia di prevenzione, indagine o perseguimento di reati, i CERT o i CSIRT nazionali. Gli Stati membri dovrebbero garantire che i registri dei TLD e i soggetti che forniscono loro servizi di registrazione dei nomi di dominio rispondano senza indebito ritardo, e in ogni caso entro 72 ore, alle richieste di divulgazione dei dati di registrazione dei nomi di dominio presentate dai legittimi richiedenti l'accesso. I registri dei TLD e i soggetti che forniscono servizi di registrazione dei nomi di dominio dovrebbero stabilire politiche e procedure per la pubblicazione e la divulgazione dei dati di registrazione, compresi accordi sul livello dei servizi, ai fini del trattamento delle richieste di accesso dei legittimi richiedenti l'accesso. La procedura di accesso può comprendere anche l'uso di un'interfaccia, di un portale o di altri strumenti tecnici per fornire un sistema efficiente per la richiesta dei dati di registrazione e l'accesso agli stessi. Al fine di promuovere pratiche armonizzate in tutto il mercato interno, la Commissione può adottare orientamenti su tali procedure, fatte salve le competenze del comitato europeo per la protezione dei dati.

</Amend>

<Amend>Emendamento  <NumAm>61</NumAm>

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Considerando 61</Article>

 

Testo della Commissione

Emendamento

(61) Al fine di garantire la disponibilità di dati di registrazione dei nomi di dominio accurati e completi, i registri dei TLD e i soggetti che forniscono servizi di registrazione dei nomi di dominio per i TLD (i cosiddetti registrar) dovrebbero raccogliere i dati di registrazione dei nomi di dominio e garantirne l'integrità e la disponibilità. In particolare, i registri dei TLD e i soggetti che forniscono servizi di registrazione dei nomi di dominio per i TLD dovrebbero stabilire politiche e procedure per raccogliere e mantenere i dati di registrazione accurati e completi, nonché per prevenire e rettificare dati di registrazione inesatti in conformità alle norme dell'Unione in materia di protezione dei dati.

soppresso

</Amend><Amend>Emendamento  <NumAm>62</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Considerando 62</Article>

 

Testo della Commissione

Emendamento

(62) I registri dei TLD e i soggetti che forniscono loro servizi di registrazione dei nomi di dominio dovrebbero rendere pubblicamente disponibili i dati di registrazione dei nomi di dominio che non rientrano nell'ambito di applicazione delle norme dell'Unione in materia di protezione dei dati, come i dati riguardanti le persone giuridiche25. I registri dei TLD e i soggetti che forniscono servizi di registrazione dei nomi di dominio per i TLD dovrebbero inoltre consentire l'accesso legittimo a specifici dati di registrazione dei nomi di dominio riguardanti le persone fisiche ai legittimi richiedenti l'accesso, in conformità al diritto dell'Unione in materia di protezione dei dati. Gli Stati membri dovrebbero garantire che i registri dei TLD e i soggetti che forniscono loro servizi di registrazione dei nomi di dominio rispondano senza indebito ritardo alle richieste di divulgazione dei dati di registrazione dei nomi di dominio presentate dai legittimi richiedenti l'accesso. I registri dei TLD e i soggetti che forniscono loro servizi di registrazione dei nomi di dominio dovrebbero stabilire politiche e procedure per la pubblicazione e la divulgazione dei dati di registrazione, compresi gli accordi sul livello dei servizi, ai fini del trattamento delle richieste di accesso dei legittimi richiedenti l'accesso. La procedura di accesso può comprendere anche l'uso di un'interfaccia, di un portale o di un altro strumento tecnico per fornire un sistema efficiente per la richiesta dei dati di registrazione e l'accesso agli stessi. Al fine di promuovere pratiche armonizzate in tutto il mercato interno, la Commissione può adottare orientamenti su tali procedure, fatte salve le competenze del comitato europeo per la protezione dei dati.

(62) I registri dei TLD e i soggetti che forniscono servizi di registrazione dei nomi di dominio dovrebbero essere tenuti a rendere pubblicamente disponibili i dati di registrazione dei nomi di dominio che non contengono dati personali. Dovrebbe essere operata una distinzione tra persone fisiche e persone giuridiche25. Per le persone giuridiche, i registri dei TLD e i soggetti dovrebbero rendere pubblicamente disponibili almeno il nome dei registranti, il loro indirizzo fisico e di posta elettronica nonché il loro numero di telefono. La persona giuridica dovrebbe essere tenuta a fornire un indirizzo e-mail generico che possa essere reso pubblicamente disponibile o a dare il proprio consenso alla pubblicazione di un indirizzo di posta elettronica personale. La persona giuridica dovrebbe essere in grado di dimostrare tale consenso su richiesta dei registri dei TLD e dei soggetti che forniscono servizi di registrazione dei nomi di dominio.

__________________

__________________

25 Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, considerando 14: "Il presente regolamento non disciplina il trattamento dei dati personali relativi a persone giuridiche, in particolare imprese dotate di personalità giuridica, compresi il nome e la forma della persona giuridica e i suoi dati di contatto."

25 Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, considerando 14: "Il presente regolamento non disciplina il trattamento dei dati personali relativi a persone giuridiche, in particolare imprese dotate di personalità giuridica, compresi il nome e la forma della persona giuridica e i suoi dati di contatto."

</Amend>

<Amend>Emendamento  <NumAm>63</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Considerando 63</Article>

 

Testo della Commissione

Emendamento

(63) Tutti i soggetti essenziali e importanti a norma della presente direttiva dovrebbero rientrare nella giurisdizione dello Stato membro in cui forniscono i loro servizi. Se fornisce servizi in più di uno Stato membro, il soggetto dovrebbe rientrare nella giurisdizione separata e concorrente di ciascuno di tali Stati membri. Le autorità competenti di tali Stati membri dovrebbero cooperare, prestarsi assistenza reciproca e, ove opportuno, condurre azioni comuni di vigilanza.

(63) Tutti i soggetti essenziali e importanti a norma della presente direttiva dovrebbero rientrare nella giurisdizione dello Stato membro in cui forniscono i loro servizi o svolgono le loro attività. Se fornisce servizi in più di uno Stato membro, il soggetto dovrebbe rientrare nella giurisdizione separata e concorrente di ciascuno di tali Stati membri. Le autorità competenti di tali Stati membri dovrebbero cooperare, prestarsi assistenza reciproca e, ove opportuno, condurre azioni comuni di vigilanza.

</Amend><Amend>Emendamento  <NumAm>64</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Considerando 64</Article>

 

Testo della Commissione

Emendamento

(64) Per tener conto della natura transfrontaliera dei servizi e delle attività dei fornitori di servizi DNS, dei registri dei nomi di dominio di primo livello, dei fornitori di reti di distribuzione dei contenuti, dei fornitori di servizi di cloud computing, dei fornitori di servizi di data center e dei fornitori di servizi digitali, tali soggetti dovrebbero essere posti sotto la giurisdizione di un solo Stato membro. La giurisdizione dovrebbe essere attribuita allo Stato membro in cui il rispettivo soggetto ha lo stabilimento principale nell'Unione. Il criterio dello stabilimento ai fini della presente direttiva implica l'esercizio effettivo dell'attività nel quadro di un'organizzazione stabile. A tale riguardo non è determinante la forma giuridica assunta, sia essa una succursale o una filiale dotata di personalità giuridica. Il rispetto di tale criterio non dovrebbe dipendere dal fatto che i sistemi informatici e di rete siano situati fisicamente in un determinato luogo; la presenza e l'utilizzo dei sistemi in questione non costituiscono di per sé lo stabilimento principale e non sono pertanto criteri decisivi per la sua determinazione. Lo stabilimento principale dovrebbe essere il luogo in cui sono adottate nell'Unione le decisioni relative alle misure di gestione dei rischi di cibersicurezza. Ciò corrisponderà di norma alla sede dell'amministrazione centrale delle società nell'Unione. Se tali decisioni non sono adottate nell'Unione, si dovrebbe considerare che lo stabilimento principale sia nello Stato membro in cui il soggetto ha lo stabilimento con il maggior numero di dipendenti nell'Unione. Qualora i servizi siano forniti da un gruppo di imprese, si dovrebbe considerare lo stabilimento principale dell'impresa controllante come lo stabilimento principale del gruppo di imprese.

(64) Per tener conto della natura transfrontaliera dei servizi e delle attività dei fornitori di servizi DNS, dei registri dei nomi di dominio di primo livello, dei fornitori di reti di distribuzione dei contenuti, dei fornitori di servizi di cloud computing, dei fornitori di servizi di data center e dei fornitori di servizi digitali, tali soggetti dovrebbero essere posti sotto la giurisdizione di un solo Stato membro. La giurisdizione dovrebbe essere attribuita allo Stato membro in cui il rispettivo soggetto ha lo stabilimento principale nell'Unione. Il criterio dello stabilimento ai fini della presente direttiva implica l'esercizio effettivo dell'attività nel quadro di un'organizzazione stabile. A tale riguardo non è determinante la forma giuridica assunta, sia essa una succursale o una filiale dotata di personalità giuridica. Il rispetto di tale criterio non dovrebbe dipendere dal fatto che i sistemi informatici e di rete siano situati fisicamente in un determinato luogo; la presenza e l'utilizzo dei sistemi in questione non costituiscono di per sé lo stabilimento principale e non sono pertanto criteri decisivi per la sua determinazione. Lo stabilimento principale dovrebbe essere il luogo in cui sono adottate nell'Unione le decisioni relative alle misure di gestione dei rischi di cibersicurezza. Ciò corrisponderà di norma alla sede dell'amministrazione centrale delle società nell'Unione. Se tali decisioni non sono adottate nell'Unione, si dovrebbe considerare che lo stabilimento principale sia nello Stato membro in cui il soggetto ha lo stabilimento con il maggior numero di dipendenti nell'Unione o lo stabilimento in cui si svolgono le operazioni di cibersicurezza. Qualora i servizi siano forniti da un gruppo di imprese, si dovrebbe considerare lo stabilimento principale dell'impresa controllante come lo stabilimento principale del gruppo di imprese.

</Amend><Amend>Emendamento  <NumAm>65</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Considerando 65 bis (nuovo)</Article>

 

Testo della Commissione

Emendamento

 

(65 bis) L'ENISA dovrebbe creare e mantenere un registro contenente informazioni riguardo a soggetti essenziali e importanti, che comprendono fornitori di servizi DNS, registri dei nomi di dominio di primo livello e fornitori di servizi di cloud computing, servizi di data center, reti di distribuzione dei contenuti, mercati online, motori di ricerca online e piattaforme di servizi di social network. Tali soggetti essenziali e importanti dovrebbero trasmettere all'ENISA i loro nomi, indirizzi e dati di contatto aggiornati. Essi dovrebbero notificare all'ENISA qualsiasi modifica di tali informazioni tempestivamente, e in ogni caso entro due settimane dalla data in cui è avvenuto il cambiamento. L'ENISA dovrebbe trasmettere le informazioni al pertinente punto di contatto unico. I soggetti essenziali e importanti che trasmettono le loro informazioni all'ENISA non sono pertanto tenuti a informare dal canto loro l'autorità competente dello Stato membro. L'ENISA dovrebbe sviluppare un programma applicativo semplice e pubblicamente disponibile che tali soggetti potrebbero utilizzare per aggiornare le loro informazioni. Inoltre, l'ENISA dovrebbe istituire adeguati protocolli di classificazione e gestione delle informazioni per garantire la sicurezza e la riservatezza delle informazioni divulgate, e limitare l'accesso, l'archiviazione e la trasmissione di dette informazioni agli utenti destinatari.

</Amend><Amend>Emendamento  <NumAm>66</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Considerando 66</Article>

 

Testo della Commissione

Emendamento

(66) Qualora informazioni considerate classificate in conformità al diritto nazionale o dell'Unione siano scambiate, comunicate o altrimenti condivise a norma delle disposizioni della presente direttiva, dovrebbero essere applicate le corrispondenti norme specifiche sulla gestione delle informazioni classificate.

(66) Qualora informazioni considerate classificate in conformità al diritto nazionale o dell'Unione siano scambiate, comunicate o altrimenti condivise a norma delle disposizioni della presente direttiva, dovrebbero essere applicate le corrispondenti norme specifiche sulla gestione delle informazioni classificate. Inoltre, l'ENISA dovrebbe predisporre l'infrastruttura, le procedure e le norme per il trattamento delle informazioni sensibili e classificate in conformità alle norme di sicurezza applicabili alla protezione delle informazioni classificate dell'UE.

 

</Amend><Amend>Emendamento  <NumAm>67</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Considerando 68</Article>

 

Testo della Commissione

Emendamento

(68) È quindi opportuno incoraggiare i soggetti a sfruttare collettivamente, sul piano strategico, tattico e operativo, le conoscenze e le esperienze pratiche che hanno acquisito a livello individuale al fine di accrescere le loro capacità di valutare e monitorare adeguatamente le minacce informatiche, difendersi da esse e rispondervi. È pertanto necessario consentire la creazione a livello dell'Unione di meccanismi per accordi volontari di condivisione delle informazioni. A tal fine gli Stati membri dovrebbero sostenere e incoraggiare attivamente anche i soggetti pertinenti che non rientrano nell'ambito di applicazione della presente direttiva a partecipare a tali meccanismi di condivisione delle informazioni. Tali meccanismi dovrebbero essere attuati nel pieno rispetto delle norme dell'Unione in materia di concorrenza e di protezione dei dati.

(68) È quindi opportuno che i soggetti siano incoraggiati e aiutati dagli Stati membri a sfruttare collettivamente, sul piano strategico, tattico e operativo, le conoscenze e le esperienze pratiche che hanno acquisito a livello individuale al fine di accrescere le loro capacità di valutare e monitorare adeguatamente le minacce informatiche, difendersi da esse e rispondervi. È pertanto necessario consentire la creazione a livello dell'Unione di meccanismi per accordi volontari di condivisione delle informazioni. A tal fine gli Stati membri dovrebbero sostenere e incoraggiare attivamente anche i soggetti pertinenti che non rientrano nell'ambito di applicazione della presente direttiva, quali i soggetti che si incentrano sui servizi di cibersicurezza e sulla ricerca in tale settore, a partecipare a tali meccanismi di condivisione delle informazioni. Tali meccanismi dovrebbero essere attuati nel pieno rispetto delle norme dell'Unione in materia di concorrenza e di protezione dei dati.

</Amend><Amend>Emendamento  <NumAm>68</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Considerando 69</Article>

 

Testo della Commissione

Emendamento

(69) Il trattamento dei dati personali, nella misura strettamente necessaria e proporzionata al fine di garantire la sicurezza dei sistemi informatici e di rete da parte di soggetti, autorità pubbliche, CERT, CSIRT e fornitori di tecnologie e servizi di sicurezza, dovrebbe costituire un interesse legittimo del titolare del trattamento in questione di cui al regolamento (UE) 2016/679. Ciò dovrebbe includere misure relative alla prevenzione, al rilevamento e all'analisi degli incidenti e alla risposta agli stessi, misure di sensibilizzazione in relazione a specifiche minacce informatiche, lo scambio di informazioni nel contesto della risoluzione e della divulgazione coordinata delle vulnerabilità, nonché lo scambio volontario di informazioni su tali incidenti, sulle minacce informatiche e sulle vulnerabilità, sugli indicatori di compromissione, sulle tattiche, sulle tecniche e le procedure, sugli allarmi di cibersicurezza e sugli strumenti di configurazione. Tali misure possono richiedere il trattamento dei seguenti tipi di dati personali: indirizzi IP, localizzatori uniformi di risorse (URL), nomi di dominio e indirizzi di posta elettronica.

(69) Il trattamento dei dati personali, nella misura strettamente necessaria e proporzionata al fine di garantire la sicurezza dei sistemi informatici e di rete da parte di soggetti essenziali e importanti, CSIRT e fornitori di tecnologie e servizi di sicurezza, è necessario per l'adempimento degli obblighi legali loro incombenti a norma della presente direttiva. Un tale trattamento di dati personali potrebbe anche essere necessario ai fini dei legittimi interessi perseguiti da soggetti essenziali e importanti. Qualora la presente direttiva richieda il trattamento di dati personali a fini di cibersicurezza e sicurezza dei sistemi informatici e di rete in conformità delle disposizioni di cui agli articoli 18 e 20 della direttiva, tale trattamento è considerato necessario per adempiere un obbligo legale ai sensi dell'articolo 6, paragrafo 1, lettera c), del regolamento (UE) 2016/679. Ai fini degli articoli 26 e 27 della presente direttiva, il trattamento ai sensi dell'articolo 6, paragrafo 1, lettera f), del regolamento (UE) 2016/679 è considerato necessario per il perseguimento del legittimo interesse dei soggetti essenziali e importanti. Le misure relative alla prevenzione, al rilevamento, all'individuazione, al contenimento e all'analisi degli incidenti e alla risposta agli stessi, le misure di sensibilizzazione in relazione a specifiche minacce informatiche, lo scambio di informazioni nel contesto della risoluzione e della divulgazione coordinata delle vulnerabilità, nonché lo scambio volontario di informazioni su tali incidenti, sulle minacce informatiche e sulle vulnerabilità, sugli indicatori di compromissione, sulle tattiche, sulle tecniche e le procedure, sugli allarmi di cibersicurezza e sugli strumenti di configurazione richiedono il trattamento di talune categorie di dati personali, quali indirizzi IP, localizzatori uniformi di risorse (URL), nomi di dominio, indirizzi di posta elettronica, marcature temporali, informazioni relative al sistema operativo o al browser, cookie o altre informazioni indicative del modus operandi.

</Amend><Amend>Emendamento  <NumAm>69</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Considerando 71</Article>

 

Testo della Commissione

Emendamento

(71) Al fine di rendere efficace l'esecuzione, è opportuno stabilire un elenco minimo di sanzioni amministrative in caso di violazione degli obblighi di gestione e segnalazione dei rischi di cibersicurezza previsti dalla presente direttiva, istituendo un quadro chiaro e coerente per tali sanzioni in tutta l'Unione. Occorre tenere debitamente conto della natura, della gravità e della durata dell'infrazione, del danno effettivamente causato o delle perdite effettivamente subite o del danno o delle perdite potenziali che si sarebbero potuti verificare, del carattere doloso o colposo della violazione, delle azioni intraprese per prevenire o attenuare il danno effettuato e/o le perdite subite, del grado di responsabilità o di eventuali violazioni precedenti pertinenti, del grado di cooperazione con l'autorità competente e di qualsiasi altro fattore aggravante o attenuante. L'imposizione di sanzioni, comprese sanzioni amministrative pecuniarie, dovrebbe essere soggetta a garanzie procedurali appropriate in conformità ai principi generali del diritto dell'Unione e della Carta dei diritti fondamentali dell'Unione europea, inclusi l'effettiva tutela giurisdizionale e il giusto processo.

(71) Al fine di rendere efficace l'esecuzione, è opportuno stabilire un elenco minimo di sanzioni amministrative in caso di violazione degli obblighi di gestione e segnalazione dei rischi di cibersicurezza previsti dalla presente direttiva, istituendo un quadro chiaro e coerente per tali sanzioni in tutta l'Unione. Occorre tenere debitamente conto della natura, della gravità e della durata dell'infrazione, del danno causato o delle perdite subite, del carattere doloso o colposo della violazione, delle azioni intraprese per prevenire o attenuare il danno effettuato e/o le perdite subite, del grado di responsabilità o di eventuali violazioni precedenti pertinenti, del grado di cooperazione con l'autorità competente e di qualsiasi altro fattore aggravante o attenuante. Le sanzioni, comprese le sanzioni amministrative pecuniarie, dovrebbero essere proporzionate e la loro imposizione dovrebbe essere soggetta a garanzie procedurali appropriate in conformità ai principi generali del diritto dell'Unione e della Carta dei diritti fondamentali dell'Unione europea ("la Carta"), inclusi l'effettiva tutela giurisdizionale, il giusto processo, la presunzione di innocenza e i diritti della difesa.

</Amend><Amend>Emendamento  <NumAm>70</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Considerando 72</Article>

 

Testo della Commissione

Emendamento

(72) Al fine di garantire l'efficace applicazione degli obblighi stabiliti nella presente direttiva, ciascuna autorità competente dovrebbe avere il potere di imporre o chiedere l'imposizione di sanzioni amministrative pecuniarie.

(72) Al fine di garantire l'efficace applicazione degli obblighi stabiliti nella presente direttiva, ciascuna autorità competente dovrebbe avere il potere di imporre o chiedere l'imposizione di sanzioni amministrative pecuniarie qualora la violazione sia stata dolosa o colposa o il soggetto interessato sia stato informato della sua inadempienza.

</Amend><Amend>Emendamento  <NumAm>71</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Considerando 76</Article>

 

Testo della Commissione

Emendamento

(76) Al fine di rafforzare ulteriormente l'efficacia e il carattere dissuasivo delle sanzioni applicabili alle violazioni degli obblighi stabiliti a norma della presente direttiva, le autorità competenti dovrebbero avere la facoltà di applicare sanzioni consistenti nella sospensione di una certificazione o di un'autorizzazione relativa a una parte o alla totalità dei servizi forniti da un soggetto essenziale e nell'imposizione di un divieto temporaneo all'esercizio di funzioni dirigenziali da parte di una persona fisica. Data la loro gravità e l'impatto sulle attività dei soggetti e, in ultima analisi, sui consumatori, tali sanzioni dovrebbero essere applicate solo in proporzione alla gravità della violazione e tenere conto delle circostanze specifiche di ciascun caso, tra cui il carattere doloso o colposo della violazione e le azioni intraprese per prevenire o attenuare il danno effettuato e/o le perdite subite. Tali sanzioni dovrebbero essere applicate solo come ultima ratio, vale a dire solo una volta esaurite le altre pertinenti misure di esecuzione previste dalla presente direttiva, e solo fino a quando i soggetti ai quali si applicano non adottano le misure necessarie per rimediare alle carenze o per conformarsi alle prescrizioni dell'autorità competente per cui tali sanzioni sono state applicate. L'imposizione di tali sanzioni dovrebbe essere soggetta a garanzie procedurali appropriate in conformità ai principi generali del diritto dell'Unione e della Carta dei diritti fondamentali dell'Unione europea, inclusi l'effettiva tutela giurisdizionale, il giusto processo, la presunzione di innocenza e i diritti della difesa.

(76) Al fine di rafforzare ulteriormente l'efficacia e il carattere dissuasivo delle sanzioni applicabili alle violazioni degli obblighi stabiliti a norma della presente direttiva, le autorità competenti dovrebbero avere la facoltà di applicare una sospensione temporanea di una certificazione o di un'autorizzazione relativa a una parte o alla totalità dei servizi pertinenti forniti da un soggetto essenziale e la richiesta di imporre un divieto temporaneo all'esercizio di funzioni dirigenziali da parte di una persona fisica a livello di amministratore delegato o rappresentante legale. Gli Stati membri dovrebbero elaborare procedure e norme specifiche relative al divieto temporaneo all'esercizio di funzioni dirigenziali da parte di una persona fisica a livello di amministratore delegato o di rappresentante legale negli enti della pubblica amministrazione. In sede di elaborazione di tali procedure e norme, gli Stati membri dovrebbero tenere conto delle peculiarità dei rispettivi livelli e sistemi di governance all'interno delle rispettive amministrazioni pubbliche. Data la loro gravità e l'impatto sulle attività dei soggetti e, in ultima analisi, sui consumatori, tali sospensioni o divieti temporanei dovrebbero essere applicati solo in proporzione alla gravità della violazione e tenere conto delle circostanze specifiche di ciascun caso, tra cui il carattere doloso o colposo della violazione e le azioni intraprese per prevenire o attenuare il danno effettuato e/o le perdite subite. Tali sospensioni o divieti temporanei dovrebbero essere applicati solo come ultima ratio, vale a dire solo una volta esaurite le altre pertinenti misure di esecuzione previste dalla presente direttiva, e solo fino a quando i soggetti ai quali si applicano non adottano le misure necessarie per rimediare alle carenze o per conformarsi alle prescrizioni dell'autorità competente per cui tali sospensioni o divieti temporanei sono stati applicati. L'imposizione di tali sospensioni o i divieti temporanei è soggetta a garanzie procedurali appropriate in conformità ai principi generali del diritto dell'Unione e della Carta, inclusi l'effettiva tutela giurisdizionale, il giusto processo, la presunzione di innocenza e i diritti della difesa.

</Amend><Amend>Emendamento  <NumAm>72</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Considerando 79</Article>

 

Testo della Commissione

Emendamento

(79) Dovrebbe essere introdotto un meccanismo di revisione tra pari che consenta agli esperti designati dagli Stati membri di valutare l'attuazione delle politiche in materia di cibersicurezza, compreso il livello delle capacità degli Stati membri e le risorse disponibili.

(79) Dovrebbe essere introdotto un meccanismo di revisione tra pari che consenta agli esperti indipendenti designati dagli Stati membri di valutare l'attuazione delle politiche in materia di cibersicurezza, compreso il livello delle capacità degli Stati membri e le risorse disponibili. Le revisioni tra pari possono offrire preziose indicazioni e raccomandazioni utili a rafforzare le capacità complessive in materia di cibersicurezza. In particolare, possono contribuire ad agevolare il trasferimento di tecnologie, strumenti, misure e processi tra Stati membri coinvolti nella revisione, creando un percorso funzionale per la condivisione delle migliori pratiche tra gli Stati membri con diversi livelli di maturità in termini di cibersicurezza e consentendo l'istituzione di un livello comune elevato di cibersicurezza in tutta l'Unione. La revisione tra pari dovrebbe essere preceduta da un'autovalutazione da parte dello Stato membro in esame, che affronti gli aspetti esaminati e qualsiasi altra questione mirata comunicata dagli esperti designati allo Stato membro sottoposto a revisione tra pari prima dell'inizio del processo. Al fine di razionalizzare il processo ed evitare incoerenze e ritardi procedurali, la Commissione, in collaborazione con l'ENISA e il gruppo di cooperazione, dovrebbe elaborare modelli per l'autovalutazione degli aspetti in esame, che dovrebbero essere compilati dagli Stati membri sottoposti a revisione tra pari e forniti agli esperti designati che effettuano tale revisione prima dell'inizio del processo.

</Amend><Amend>Emendamento  <NumAm>73</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Considerando 80</Article>

 

Testo della Commissione

Emendamento

(80) Al fine di tenere conto delle nuove minacce informatiche, degli sviluppi tecnologici o delle specificità settoriali, conformemente all'articolo 290 TFUE alla Commissione dovrebbe essere delegato il potere di adottare atti per quanto riguarda gli elementi relativi alle misure di gestione dei rischi imposte dalla presente direttiva. Alla Commissione dovrebbe inoltre essere conferito il potere di adottare atti delegati che stabiliscano quali categorie di soggetti essenziali sono tenute a ottenere un certificato e nell'ambito di quali sistemi europei di certificazione della cibersicurezza. È di particolare importanza che durante i lavori preparatori la Commissione svolga adeguate consultazioni, anche a livello di esperti, nel rispetto dei principi stabiliti nell'accordo interistituzionale "Legiferare meglio" del 13 aprile 201626. In particolare, al fine di garantire la parità di partecipazione alla preparazione degli atti delegati, il Parlamento europeo e il Consiglio ricevono tutti i documenti contemporaneamente agli esperti degli Stati membri, e i loro esperti hanno sistematicamente accesso alle riunioni dei gruppi di esperti della Commissione incaricati della preparazione di tali atti delegati.

(80) Al fine di tenere conto delle nuove minacce informatiche, degli sviluppi tecnologici o delle specificità settoriali, conformemente all'articolo 290 TFUE alla Commissione dovrebbe essere delegato il potere di adottare atti per quanto riguarda gli elementi relativi alle misure di gestione dei rischi di cibersicurezza e gli obblighi di segnalazione imposti dalla presente direttiva. Alla Commissione dovrebbe inoltre essere conferito il potere di adottare atti delegati che stabiliscano quali categorie di soggetti essenziali e importanti sono tenute a ottenere un certificato e nell'ambito di quali sistemi europei di certificazione della cibersicurezza. È di particolare importanza che durante i lavori preparatori la Commissione svolga adeguate consultazioni, anche a livello di esperti, nel rispetto dei principi stabiliti nell'accordo interistituzionale "Legiferare meglio" del 13 aprile 2016. In particolare, al fine di garantire la parità di partecipazione alla preparazione degli atti delegati, il Parlamento europeo e il Consiglio ricevono tutti i documenti contemporaneamente agli esperti degli Stati membri, e i loro esperti hanno sistematicamente accesso alle riunioni dei gruppi di esperti della Commissione incaricati della preparazione di tali atti delegati.

__________________

 

26 GU L 123 del 12.5.2016, pag. 1.

 

</Amend><Amend>Emendamento  <NumAm>74</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Considerando 81</Article>

 

Testo della Commissione

Emendamento

(81) Al fine di garantire condizioni uniformi di attuazione delle pertinenti disposizioni della presente direttiva riguardanti le modalità procedurali necessarie per il funzionamento del gruppo di cooperazione, gli elementi tecnici relativi alle misure di gestione dei rischi o al tipo di informazioni e il formato e la procedura per le notifiche degli incidenti, dovrebbero essere attribuite alla Commissione competenze di esecuzione. È altresì opportuno che tali competenze siano esercitate conformemente al regolamento (UE) n. 182/2011 del Parlamento europeo e del Consiglio27.

(81) Al fine di garantire condizioni uniformi di attuazione delle pertinenti disposizioni della presente direttiva riguardanti le modalità procedurali necessarie per il funzionamento del gruppo di cooperazione e la procedura per le notifiche degli incidenti, dovrebbero essere attribuite alla Commissione competenze di esecuzione. È altresì opportuno che tali competenze siano esercitate conformemente al regolamento (UE) n. 182/2011 del Parlamento europeo e del Consiglio27.

__________________

__________________

27 Regolamento (UE) n. 182/2011 del Parlamento europeo e del Consiglio, del 16 febbraio 2011, che stabilisce le regole e i principi generali relativi alle modalità di controllo da parte degli Stati membri dell'esercizio delle competenze di esecuzione attribuite alla Commissione (GU L 55 del 28.2.2011, pag. 13).

27 Regolamento (UE) n. 182/2011 del Parlamento europeo e del Consiglio, del 16 febbraio 2011, che stabilisce le regole e i principi generali relativi alle modalità di controllo da parte degli Stati membri dell'esercizio delle competenze di esecuzione attribuite alla Commissione (GU L 55 del 28.2.2011, pag. 13).

</Amend><Amend>Emendamento  <NumAm>75</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Considerando 82</Article>

 

Testo della Commissione

Emendamento

(82) È opportuno che la Commissione riesamini la presente direttiva a scadenze regolari, in consultazione con le parti interessate, in particolare al fine valutare la necessità di modifiche alla luce dei cambiamenti delle condizioni sociali, politiche, tecnologiche o del mercato.

(82) È opportuno che la Commissione riesamini la presente direttiva a scadenze regolari, in consultazione con le parti interessate, in particolare al fine valutare se sia opportuno proporre modifiche alla luce dei cambiamenti delle condizioni sociali, politiche, tecnologiche o del mercato. Nel quadro di tali riesami, la Commissione dovrebbe valutare la pertinenza dei settori, dei sottosettori e dei tipi di soggetti di cui agli allegati ai fini del funzionamento dell'economia e della società per quanto riguarda la cibersicurezza. La Commissione dovrebbe valutare, tra l'altro, se i fornitori digitali che si qualificano come piattaforme online di grandissime dimensioni ai sensi dell'articolo 25 del regolamento (UE) XXXX/XXXX [mercato unico dei servizi digitali (legge sui servizi digitali) o come gatekeeper quali definiti all'articolo 2, punto 1, del regolamento (UE) XXXX/XXXX [Mercati equi e contendibili nel settore digitale (legge sui mercati digitali)] debbano essere designati come soggetti essenziali ai sensi della presente direttiva. Inoltre, la Commissione dovrebbe valutare se sia opportuno modificare l'allegato I della direttiva 2020/1828 del Parlamento europeo e del Consiglio1bis per includere un riferimento alla presente direttiva.

 

__________________

 

1bis Direttiva (UE) 2020/1828 del Parlamento europeo e del Consiglio, del 25 novembre 2020, relativa alle azioni rappresentative a tutela degli interessi collettivi dei consumatori e che abroga la direttiva 2009/22/CE (GU L 409 del 4.12.2020, pag. 1).

</Amend><Amend> Emendamento  <NumAm>76</NumAm> 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Considerando 82 bis (nuovo)</Article>

 

Testo della Commissione

Emendamento

 

(82 bis) La presente direttiva stabilisce prescrizioni in materia di cibersicurezza per gli Stati membri nonché i soggetti essenziali e importanti stabiliti nell'Unione. Tali prescrizioni dovrebbero essere applicate anche dalle istituzioni, dagli organi e dagli organismi dell'Unione sulla base di un atto legislativo dell'Unione.

</Amend>

<Amend>Emendamento  <NumAm>77</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Considerando 82 ter (nuovo)</Article>

 

Testo della Commissione

Emendamento

 

(82 ter) La presente direttiva istituisce nuovi compiti per l'ENISA, rafforzando in tal modo il suo ruolo, e potrebbe anche portare l'ENISA a dover svolgere i suoi compiti a norma del regolamento (UE) 2019/881 a un livello più alto di prima. Al fine di garantire che l'ENISA disponga delle risorse finanziarie e umane necessarie per svolgere le attività esistenti e nuove nell'ambito del suo mandato, nonché per soddisfare eventuali standard più elevati derivanti dal suo ruolo rafforzato, il suo bilancio dovrebbe essere aumentato di conseguenza. Inoltre, al fine di garantire un uso efficiente delle risorse, all'ENISA dovrebbe essere data maggiore flessibilità nel modo in cui le è permesso di assegnare le risorse internamente, in modo che possa svolgere i suoi compiti e soddisfare le aspettative in modo efficace.

</Amend><Amend>Emendamento  <NumAm>78</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Considerando 84</Article>

 

Testo della Commissione

Emendamento

(84) La presente direttiva rispetta i diritti fondamentali e osserva i principi riconosciuti dalla Carta dei diritti fondamentali dell'Unione europea, in particolare il diritto al rispetto della vita privata e delle comunicazioni, la protezione dei dati personali, la libertà di impresa, il diritto di proprietà, il diritto a un ricorso effettivo dinanzi a un giudice e il diritto al contraddittorio. La presente direttiva dovrebbe essere attuata in conformità a tali diritti e principi,

(84) La presente direttiva rispetta i diritti fondamentali e osserva i principi riconosciuti dalla Carta, in particolare il diritto al rispetto della vita privata e delle comunicazioni, la protezione dei dati personali, la libertà di impresa, il diritto di proprietà, il diritto a un ricorso effettivo dinanzi a un giudice e il diritto al contraddittorio. Ciò include il diritto a un ricorso effettivo dinanzi a un giudice per i destinatari di servizi forniti da soggetti essenziali e importanti. La presente direttiva dovrebbe essere attuata in conformità a tali diritti e principi.

</Amend><Amend>Emendamento  <NumAm>79</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Articolo 1 – paragrafo 2 – lettera c bis (nuova)</Article>

 

Testo della Commissione

Emendamento

 

c bis) stabilisce obblighi in materia di vigilanza ed esecuzione per gli Stati membri.

</Amend><Amend>Emendamento  <NumAm>80</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Articolo 2 – paragrafo 1</Article>

 

Testo della Commissione

Emendamento

1. La presente direttiva si applica ai tipi di soggetti pubblici e privati definiti soggetti essenziali di cui all'allegato I e soggetti importanti di cui all'allegato II. La presente direttiva non si applica ai soggetti che si qualificano come microimprese e piccole imprese ai sensi della raccomandazione 2003/361/CE della Commissione28.

1. La presente direttiva si applica ai tipi di soggetti essenziali e importanti pubblici e privati definiti soggetti essenziali di cui all'allegato I e soggetti importanti di cui all'allegato II che forniscono i loro servizi o svolgono le loro attività all'interno dell'Unione. La presente direttiva non si applica alle piccole imprese e microimprese ai sensi dell'articolo 2, paragrafi 2 e 3, dell'allegato della raccomandazione 2003/361/CE della Commissione28. L'articolo 3, paragrafo 4, dell'allegato della raccomandazione non è applicabile.

__________________

__________________

28 Raccomandazione 2003/361/CE della Commissione, del 6 maggio 2003, relativa alla definizione delle microimprese, piccole e medie imprese (GU L 124 del 20.5.2003, pag. 36).

28 Raccomandazione 2003/361/CE della Commissione, del 6 maggio 2003, relativa alla definizione delle microimprese, piccole e medie imprese (GU L 124 del 20.5.2003, pag. 36).

</Amend><Amend>Emendamento  <NumAm>81</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Articolo 2 – paragrafo 2 – comma 1 – parte introduttiva</Article>

 

Testo della Commissione

Emendamento

La presente direttiva si applica tuttavia anche ai soggetti di cui agli allegati I e II, indipendentemente dalle loro dimensioni, qualora:

La presente direttiva si applica anche ai soggetti essenziali e importanti, indipendentemente dalle loro dimensioni, qualora:

</Amend>

<Amend>Emendamento  <NumAm>82</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Articolo 2 – paragrafo 2 – comma 1 – punto d</Article>

 

Testo della Commissione

Emendamento

d) una possibile perturbazione del servizio fornito dal soggetto potrebbe avere un impatto sulla sicurezza pubblica, l'incolumità pubblica o la salute pubblica;

d) una perturbazione del servizio fornito dal soggetto potrebbe avere un impatto sulla sicurezza pubblica, l'incolumità pubblica o la salute pubblica;

</Amend><Amend>Emendamento  <NumAm>83</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Articolo 2 – paragrafo 2 – comma 1 – punto e</Article>

 

Testo della Commissione

Emendamento

e) una possibile perturbazione del servizio fornito dal soggetto potrebbe comportare rischi sistemici, in particolare per i settori nei quali tale perturbazione potrebbe avere un impatto transfrontaliero;

e) una perturbazione del servizio fornito dal soggetto potrebbe comportare rischi sistemici, in particolare per i settori nei quali tale perturbazione potrebbe avere un impatto transfrontaliero;

</Amend><Amend>Emendamento  <NumAm>84</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Articolo 2 – paragrafo 2 – comma 2</Article>

 

Testo della Commissione

Emendamento

Gli Stati membri redigono un elenco di soggetti identificati a norma delle lettere da b) a f) e lo trasmettono alla Commissione entro [6 mesi dopo il termine di recepimento]. Gli Stati membri riesaminano l'elenco periodicamente, almeno ogni due anni e, se opportuno, lo aggiornano.

soppresso

</Amend><Amend>Emendamento  <NumAm>85</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Articolo 2 – paragrafo 2 bis (nuovo)</Article>

 

Testo della Commissione

Emendamento

 

2 bis. Entro ... [6 mesi dopo il termine di recepimento], gli Stati membri redigono un elenco di soggetti essenziali e importanti, compresi i soggetti di cui al paragrafo 1 e i soggetti identificati a norma del paragrafo 2, lettere da b) a f), e dell'articolo 24, paragrafo 1. Successivamente, gli Stati membri riesaminano l'elenco periodicamente, almeno ogni due anni e, se opportuno, lo aggiornano.

</Amend><Amend>Emendamento  <NumAm>86</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Articolo 2 – paragrafo 2 ter (nuovo)</Article>

 

Testo della Commissione

Emendamento

 

2 ter. Gli Stati membri provvedono affinché i soggetti essenziali e importanti presentino almeno le seguenti informazioni alle autorità competenti:

 

a) il proprio nome;

 

b) l'indirizzo e i recapiti aggiornati, compresi gli indirizzi e-mail, le serie di IP e i numeri di telefono; nonché

 

c) i settori e sottosettori pertinenti di cui agli allegati I e II.

 

I soggetti essenziali e importanti notificano tempestivamente qualsiasi modifica delle informazioni trasmesse a norma del primo comma e in ogni caso entro due settimane dalla data in cui è avvenuta la modifica. A tal fine la Commissione, assistita dall'ENISA, pubblica senza indebito ritardo orientamenti e modelli relativi agli obblighi di cui al presente paragrafo.

</Amend><Amend>Emendamento  <NumAm>87</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Articolo 2 – paragrafo 2 quater (nuovo)</Article>

 

Testo della Commissione

Emendamento

 

2 quater. Entro... [6 mesi dopo il termine di recepimento] e successivamente ogni due anni, gli Stati membri comunicano:

 

a) alla Commissione e al gruppo di coordinamento, il numero di tutti i soggetti essenziali e importanti identificati per ciascun settore e sottosettore di cui agli allegati I e II, e

 

b) alla Commissione, i nomi dei soggetti identificati a norma del paragrafo 2, lettere da b) a f).

</Amend><Amend>Emendamento  <NumAm>88</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Articolo 2 – paragrafo 4</Article>

 

Testo della Commissione

Emendamento

4. La presente direttiva si applica fatte salve la direttiva 2008/114/CE30 del Consiglio e le direttive 2011/93/UE31 e 2013/40/UE32 del Parlamento europeo e del Consiglio.

4. La presente direttiva si applica fatte salve la direttiva 2008/114/CE del Consiglio e le direttive 2011/93/UE31, 2013/40/UE32 e 2002/58/UE32bis del Parlamento europeo e del Consiglio.

__________________

__________________

30 Direttiva 2008/114/CE del Consiglio, dell'8 dicembre 2008, relativa all'individuazione e alla designazione delle infrastrutture critiche europee e alla valutazione della necessità di migliorarne la protezione (GU L 345 del 23.12.2008, pag. 75).

30 Direttiva 2008/114/CE del Consiglio, dell'8 dicembre 2008, relativa all'individuazione e alla designazione delle infrastrutture critiche europee e alla valutazione della necessità di migliorarne la protezione (GU L 345 del 23.12.2008, pag. 75).

31 Direttiva 2011/93/UE del Parlamento europeo e del Consiglio, del 13 dicembre 2011, relativa alla lotta contro l'abuso e lo sfruttamento sessuale dei minori e la pornografia minorile, e che sostituisce la decisione quadro 2004/68/GAI del Consiglio (GU L 335 del 17.12.2011, pag. 1).

31 Direttiva 2011/93/UE del Parlamento europeo e del Consiglio, del 13 dicembre 2011, relativa alla lotta contro l'abuso e lo sfruttamento sessuale dei minori e la pornografia minorile, e che sostituisce la decisione quadro 2004/68/GAI del Consiglio (GU L 335 del 17.12.2011, pag. 1).

32 Direttiva 2013/40/UE del Parlamento europeo e del Consiglio, del 12 agosto 2013, relativa agli attacchi contro i sistemi di informazione e che sostituisce la decisione quadro 2005/222/GAI del Consiglio (GU L 218 del 14.8.2013, pag. 8).

32 Direttiva 2013/40/UE del Parlamento europeo e del Consiglio, del 12 agosto 2013, relativa agli attacchi contro i sistemi di informazione e che sostituisce la decisione quadro 2005/222/GAI del Consiglio (GU L 218 del 14.8.2013, pag. 8).

 

32 bis Direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche) (GU L 201 del 31.7.2002, pag. 37).

</Amend><Amend>Emendamento  <NumAm>89</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Articolo 2 – paragrafo 6</Article>

 

Testo della Commissione

Emendamento

6. Qualora le disposizioni di atti giuridici settoriali dell'Unione facciano obbligo ai soggetti essenziali o importanti di adottare misure di gestione dei rischi di cibersicurezza o di notificare gli incidenti o le minacce informatiche significative, nella misura in cui gli effetti di tali obblighi siano almeno equivalenti a quelli degli obblighi di cui alla presente direttiva, non si applicano le pertinenti disposizioni della presente direttiva, comprese le disposizioni relative alla vigilanza e all'esecuzione di cui al capo VI.

6. Qualora le disposizioni di atti giuridici settoriali dell'Unione facciano obbligo ai soggetti essenziali o importanti di adottare misure di gestione dei rischi di cibersicurezza o di notificare gli incidenti, nella misura in cui gli effetti di tali obblighi siano almeno equivalenti a quelli degli obblighi di cui alla presente direttiva, non si applicano le pertinenti disposizioni della presente direttiva, comprese le disposizioni relative alla vigilanza e all'esecuzione di cui al capo VI. La Commissione pubblica senza indebito ritardo orientamenti relativi all'attuazione degli atti giuridici settoriali dell'Unione, al fine di assicurare che tali atti soddisfino i requisiti di cibersicurezza stabiliti dalla presente direttiva e che non vi sia alcuna sovrapposizione o incertezza giuridica. Nel preparare detti orientamenti, la Commissione tiene conto delle migliori pratiche e delle competenze dell'ENISA e del gruppo di cooperazione.

</Amend><Amend>Emendamento  <NumAm>90</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Articolo 2 – paragrafo 6 bis (nuovo)</Article>

 

Testo della Commissione

Emendamento

 

6 bis. I soggetti essenziali e importanti, i CSIRT e i fornitori di tecnologie e servizi di sicurezza trattano i dati personali, nella misura strettamente necessaria e proporzionata ai fini di cibersicurezza e sicurezza dei sistemi informatici e di rete, per adempiere gli obblighi di cui alla presente direttiva. Il trattamento di dati personali a norma della presente direttiva è effettuato in conformità del regolamento (UE) 2016/679, in particolare il suo articolo 6.

</Amend><Amend>Emendamento  <NumAm>91</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Articolo 2 – paragrafo 6 ter (nuovo)</Article>

 

Testo della Commissione

Emendamento

 

6 ter. Il trattamento dei dati personali a norma della presente direttiva da parte dei fornitori di reti pubbliche di comunicazione elettronica o dei fornitori di comunicazioni elettroniche accessibili al pubblico di cui all'allegato I, punto 8, è effettuato in conformità della direttiva 2002/58/CE.

</Amend><Amend>Emendamento  <NumAm>92</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Articolo 4 – punto 4 bis (nuovo)</Article>

 

Testo della Commissione

Emendamento

 

(4 bis) "quasi incidente" (near miss): un evento che avrebbe potuto compromettere la disponibilità, l'autenticità, l'integrità o la riservatezza dei dati o che avrebbe potuto causare un danno, ma cui è stato impedito con successo di produrre gli effetti negativi;

</Amend>

<Amend>Emendamento  <NumAm>93</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Articolo 4 – punto 6</Article>

 

Testo della Commissione

Emendamento

(6) "gestione degli incidenti": tutte le azioni e le procedure volte a rilevare, analizzare e contenere un incidente e a rispondervi;

(6) "gestione degli incidenti": tutte le azioni e le procedure volte a prevenire, rilevare, analizzare e contenere un incidente e a rispondervi;

</Amend><Amend>Emendamento  <NumAm>94</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Articolo 4 – punto 7 bis (nuovo)</Article>

 

Testo della Commissione

Emendamento

 

(7 bis) "rischio": la potenziale perdita o perturbazione causata da un incidente; è espresso come combinazione dell'entità di tale perdita o perturbazione e della probabilità che si verifichi tale incidente;

</Amend><Amend>Emendamento  <NumAm>95</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Articolo 4 – punto 11</Article>

 

Testo della Commissione

Emendamento

(11) "specifica tecnica": una specifica tecnica ai sensi dell'articolo 2, punto 4, del regolamento (UE) n. 1025/2012;

(11) "specifica tecnica": una specifica tecnica ai sensi dell'articolo 2, punto 20, del regolamento (UE) 2019/881;

</Amend><Amend>Emendamento  <NumAm>96</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Articolo 4 – punto 13</Article>

 

Testo della Commissione

Emendamento

(13) "sistema dei nomi di dominio (DNS)": un sistema di nomi gerarchico e distribuito che consente agli utenti finali di accedere a servizi e risorse su Internet;

(13) "sistema dei nomi di dominio (DNS)": un sistema di nomi gerarchico e distribuito che consente l'identificazione di servizi e risorse Internet, permettendo ai dispositivi degli utenti finali di utilizzare i servizi di inoltro e connettività su Internet, al fine di accedere a tali servizi e risorse;

</Amend><Amend>Emendamento  <NumAm>97</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Articolo 4 – punto 14</Article>

 

Testo della Commissione

Emendamento

(14) "fornitore di servizi DNS": un soggetto che fornisce un servizio di risoluzione dei nomi di dominio autorevole o ricorsivo agli utenti finali di Internet e ad altri fornitori di servizi DNS;

(14) "fornitore di servizi DNS": un soggetto che fornisce:

</Amend><Amend>Emendamento  <NumAm>98</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Articolo 4 – punto 14 – lettera a (nuova)</Article>

 

Testo della Commissione

Emendamento

 

a) servizi di risoluzione dei nomi di dominio ricorsivi aperti e pubblici per gli utenti finali di Internet; o

</Amend><Amend>Emendamento  <NumAm>99</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Articolo 4 – punto 14 – lettera b (nuova)</Article>

 

Testo della Commissione

Emendamento

 

b) servizi di risoluzione dei nomi di dominio autorevoli in qualità di servizi acquistabili da soggetti terzi;

</Amend><Amend>Emendamento  <NumAm>100</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Articolo 4 – punto 15</Article>

 

Testo della Commissione

Emendamento

(15) "registro dei nomi di dominio di primo livello": un soggetto cui è stato delegato uno specifico dominio di primo livello (TLD) e che è responsabile dell'amministrazione di tale TLD, compresa la registrazione dei nomi di dominio sotto tale TLD, e del funzionamento tecnico di tale TLD, compreso il funzionamento dei server dei nomi, la manutenzione delle banche dati e la distribuzione dei file di zona TLD tra i server dei nomi;

(15) "registro dei nomi di dominio di primo livello": un soggetto cui è stato delegato uno specifico dominio di primo livello (TLD) e che è responsabile dell'amministrazione di tale TLD, compresa la registrazione dei nomi di dominio sotto tale TLD, e del funzionamento tecnico di tale TLD, compreso il funzionamento dei server dei nomi, la manutenzione delle banche dati e la distribuzione dei file di zona TLD tra i server dei nomi, indipendentemente dal fatto che una qualsiasi di tali operazioni sia effettuata dal soggetto o sia esternalizzata;

</Amend><Amend>Emendamento  <NumAm>101</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Articolo 4 – punto 15 bis (nuovo)</Article>

 

Testo della Commissione

Emendamento

 

(15 bis) "servizi di registrazione dei nomi di dominio": servizi forniti da registri e registrar di nomi di dominio, fornitori di servizi di registrazione per la privacy o di proxy, broker o rivenditori di domini e qualsiasi altro servizio connesso alla registrazione di nomi di dominio;

</Amend><Amend>Emendamento  <NumAm>102</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Articolo 4 – punto 23 bis (nuovo)</Article>

 

Testo della Commissione

Emendamento

 

(23 bis) "rete pubblica di comunicazione elettronica": una rete pubblica di comunicazione elettronica quale definita all'articolo 2, punto 8, della direttiva (UE) 2018/1972;

</Amend><Amend>Emendamento  <NumAm>103</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Articolo 4 – punto 23 ter (nuovo)</Article>

 

Testo della Commissione

Emendamento

 

(23 ter) "servizio di comunicazione elettronica": un servizio di comunicazione elettronica quale definito all'articolo 2, punto 4, della direttiva (UE) 2018/1972;

</Amend><Amend>Emendamento  <NumAm>104</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Articolo 5 – paragrafo 1 – parte introduttiva</Article>

 

Testo della Commissione

Emendamento

1. Ogni Stato membro adotta una strategia nazionale per la cibersicurezza che definisce obiettivi strategici e adeguate misure strategiche e normative al fine di raggiungere e mantenere un livello elevato di cibersicurezza. La strategia nazionale per la cibersicurezza comprende, in particolare, gli elementi seguenti:

1. Ogni Stato membro adotta una strategia nazionale per la cibersicurezza che definisce obiettivi strategici, risorse tecniche, organizzative e finanziarie necessarie per conseguire tali obiettivi, nonché adeguate misure strategiche e normative al fine di raggiungere e mantenere un livello elevato di cibersicurezza. La strategia nazionale per la cibersicurezza comprende, in particolare, gli elementi seguenti:

</Amend><Amend>Emendamento  <NumAm>105</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Articolo 5 – paragrafo 1 – lettera a</Article>

 

Testo della Commissione

Emendamento

a) una definizione degli obiettivi e delle priorità della strategia per la cibersicurezza dello Stato membro;

(Non concerne la versione italiana) 

</Amend><Amend>Emendamento  <NumAm>106</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Articolo 5 – paragrafo 1 – lettera b</Article>

 

Testo della Commissione

Emendamento

b) un quadro di governance per la realizzazione di tali obiettivi e priorità, comprendente le misure strategiche di cui al paragrafo 2 e i ruoli e le responsabilità degli enti e degli organismi pubblici, nonché di altri attori pertinenti;

b) un quadro di governance per la realizzazione di tali obiettivi e priorità, comprendente le misure strategiche di cui al paragrafo 2;

</Amend><Amend>Emendamento  <NumAm>107</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Articolo 5 – paragrafo 1 – lettera b bis (nuova)</Article>

 

Testo della Commissione

Emendamento

 

b bis) un quadro per l'assegnazione dei ruoli e delle responsabilità degli enti e degli organismi pubblici nonché di altri attori pertinenti, a sostegno della cooperazione e del coordinamento, a livello nazionale, tra le autorità competenti designate a norma dell'articolo 7, paragrafo 1, e dell'articolo 8, paragrafo 1, il punto di contatto unico designato a norma dell'articolo 8, paragrafo 3, e i CSIRT designati a norma dell'articolo 9;

</Amend><Amend>Emendamento  <NumAm>108</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Articolo 5 – paragrafo 1 – lettera e</Article>

 

Testo della Commissione

Emendamento

e) un elenco delle diverse autorità e dei diversi attori coinvolti nell'attuazione della strategia nazionale per la cibersicurezza;

e) un elenco delle diverse autorità e dei diversi attori coinvolti nell'attuazione della strategia nazionale per la cibersicurezza, compreso un punto di contatto unico per la cibersicurezza rivolto alle PMI al fine di sostenerle nell'attuazione di misure specifiche di cibersicurezza;

</Amend><Amend>Emendamento  <NumAm>109</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Articolo 5 – paragrafo 1 – lettera f</Article>

 

Testo della Commissione

Emendamento

f) un quadro strategico per il rafforzamento del coordinamento tra le autorità competenti a norma della presente direttiva e della direttiva (UE) XXXX/XXXX del Parlamento europeo e del Consiglio38 [direttiva sulla resilienza dei soggetti critici] ai fini della condivisione delle informazioni sugli incidenti e sulle minacce informatiche e dello svolgimento di compiti di vigilanza.

f) un quadro strategico per il rafforzamento del coordinamento tra le autorità competenti a norma della presente direttiva e della direttiva (UE) XXXX/XXXX del Parlamento europeo e del Consiglio [direttiva sulla resilienza dei soggetti critici], sia all'interno degli Stati membri che fra di essi, ai fini della condivisione delle informazioni sugli incidenti e sulle minacce informatiche e dello svolgimento di compiti di vigilanza.

__________________

__________________

38 [Inserire il titolo completo e il riferimento della pubblicazione nella GU, non appena noti].

38 [Inserire il titolo completo e il riferimento della pubblicazione nella GU, non appena noti].

</Amend><Amend>Emendamento  <NumAm>110</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Articolo 5 – paragrafo 1 – lettera f bis (nuova)</Article>

 

Testo della Commissione

Emendamento

 

f bis) una valutazione del livello generale di consapevolezza dei cittadini in materia di cibersicurezza.

</Amend><Amend>Emendamento  <NumAm>111</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Articolo 5 – paragrafo 2 – lettera -a (nuova)</Article>

 

Testo della Commissione

Emendamento

 

-a) misure relative alla cibersicurezza per ciascun settore disciplinato dalla presente direttiva;

</Amend><Amend>Emendamento  <NumAm>112</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Articolo 5 – paragrafo 2 – lettera b</Article>

 

Testo della Commissione

Emendamento

b) orientamenti relativi all'inclusione e alla definizione di requisiti relativi alla cibersicurezza per i prodotti e i servizi TIC negli appalti pubblici;

b) orientamenti relativi all'inclusione e alla definizione di requisiti relativi alla cibersicurezza per i prodotti e i servizi TIC negli appalti pubblici, inclusi i requisiti di cifratura e l'utilizzo di prodotti di cibersicurezza open source;

</Amend><Amend>Emendamento  <NumAm>113</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Articolo 5 – paragrafo 2 – lettera d</Article>

 

Testo della Commissione

Emendamento

d) misure relative al sostegno della disponibilità generale e dell'integrità del carattere fondamentale pubblico di una rete Internet aperta;

d) misure relative al sostegno della disponibilità generale e dell'integrità del carattere fondamentale pubblico di una rete Internet aperta, compresa la cibersicurezza dei cavi di comunicazione sottomarini;

</Amend><Amend>Emendamento  <NumAm>114</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Articolo 5 – paragrafo 2 – lettera d bis (nuova)</Article>

 

Testo della Commissione

Emendamento

 

d bis) misure volte a promuovere e sostenere lo sviluppo e l'integrazione di tecnologie emergenti, come l'intelligenza artificiale, negli strumenti e nelle applicazioni di aumento della cibersicurezza;

</Amend><Amend>Emendamento  <NumAm>115</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Articolo 5 – paragrafo 2 – lettera d ter (nuova)</Article>

 

Testo della Commissione

Emendamento

 

d ter) misure volte a promuovere l'integrazione degli strumenti e delle applicazioni open source;

</Amend><Amend>Emendamento  <NumAm>116</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Articolo 5 – paragrafo 2 – lettera f</Article>

 

Testo della Commissione

Emendamento

f) misure per sostenere gli istituti accademici e di ricerca nello sviluppo di strumenti di cibersicurezza e di infrastrutture di rete sicure;

f) misure per sostenere gli istituti accademici e di ricerca nello sviluppo, nel perfezionamento e nella diffusione di strumenti di cibersicurezza e di infrastrutture di rete sicure;

</Amend><Amend>Emendamento  <NumAm>117</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Articolo 5 – paragrafo 2 – lettera h</Article>

 

Testo della Commissione

Emendamento

h) misure volte a rispondere alle esigenze specifiche delle PMI, in particolare quelle escluse dall'ambito di applicazione della presente direttiva, relativamente a orientamenti e sostegno per rafforzare la loro resilienza alle minacce alla cibersicurezza.

h) misure volte a promuovere la cibersicurezza per le PMI, comprese quelle escluse dall'ambito di applicazione della presente direttiva, rispondere alle loro esigenze specifiche e fornire orientamenti e sostegno facilmente accessibili, compresi orientamenti relativi alle sfide delle catene di approvvigionamento cui sono confrontate;

</Amend><Amend>Emendamento  <NumAm>118</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Articolo 5 – paragrafo 2 – lettera h bis (nuova)</Article>

 

Testo della Commissione

Emendamento

 

h bis) misure volte a promuovere programmi di igiene informatica che comprendano uno scenario di riferimento delle pratiche e dei controlli e sensibilizzino i cittadini in merito alle minacce alla cibersicurezza e alle migliori pratiche;

</Amend>

<Amend>Emendamento  <NumAm>119</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Articolo 5 – paragrafo 2 – lettera h ter (nuova)</Article>

 

Testo della Commissione

Emendamento

 

h ter) misure volte a promuovere attivamente la ciberdifesa;

</Amend><Amend>Emendamento  <NumAm>120</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Articolo 5 – paragrafo 2 – lettera h quater (nuova)</Article>

 

Testo della Commissione

Emendamento

 

h quater) misure volte a consentire alle autorità di sviluppare competenze e a comprende meglio le considerazioni di sicurezza necessarie a progettare, costruire e gestire i siti connessi;

</Amend><Amend>Emendamento  <NumAm>121</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Articolo 5 – paragrafo 2 – lettera h quinquies (nuova)</Article>

 

Testo della Commissione

Emendamento

 

h quinquies) misure volte, in particolare, a rispondere alla minaccia dei ransomware e ad alterare il modello di business dei ransomware;

</Amend><Amend>Emendamento  <NumAm>122</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Articolo 5 – paragrafo 2 – lettera h sexies (nuova)</Article>

 

Testo della Commissione

Emendamento

 

h sexies) misure, ivi comprese pertinenti procedure e quadri di governance, volte a sostenere e promuovere l'istituzione di PPP per la cibersicurezza.

</Amend><Amend>Emendamento  <NumAm>123</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Articolo 5 – paragrafo 3</Article>

 

Testo della Commissione

Emendamento

3. Gli Stati membri notificano le loro strategie nazionali per la cibersicurezza alla Commissione entro tre mesi dall'adozione. Gli Stati membri possono omettere dalla notifica informazioni specifiche se e nella misura in cui ciò sia strettamente necessario per preservare la sicurezza nazionale.

3. Gli Stati membri notificano le loro strategie nazionali per la cibersicurezza alla Commissione entro tre mesi dall'adozione. Gli Stati membri possono omettere dalla notifica informazioni specifiche se e nella misura in cui ciò sia necessario per preservare la sicurezza nazionale.

</Amend><Amend>Emendamento  <NumAm>124</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Articolo 5 – paragrafo 4</Article>

 

Testo della Commissione

Emendamento

4. Gli Stati membri valutano le proprie strategie nazionali per la cibersicurezza almeno ogni quattro anni sulla base di indicatori chiave di prestazione e, se necessario, le modificano. L'Agenzia dell'Unione europea per la cibersicurezza (ENISA) assiste su richiesta gli Stati membri nell'elaborazione di una strategia nazionale e di indicatori chiave di prestazione per la relativa valutazione.

4. Gli Stati membri valutano le proprie strategie nazionali per la cibersicurezza almeno ogni quattro anni sulla base di indicatori chiave di prestazione e, se necessario, le modificano. L'Agenzia dell'Unione europea per la cibersicurezza (ENISA) assiste su richiesta gli Stati membri nell'elaborazione di una strategia nazionale e di indicatori chiave di prestazione per la relativa valutazione. L'ENISA fornisce orientamenti agli Stati membri al fine di allineare le loro strategie nazionali per la cibersicurezza già formulate ai requisiti e agli obblighi di cui alla presente direttiva.

</Amend><Amend>Emendamento  <NumAm>125</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Articolo 6 – titolo</Article>

 

Testo della Commissione

Emendamento

Divulgazione coordinata delle vulnerabilità e registro europeo delle vulnerabilità

Divulgazione coordinata delle vulnerabilità e banca dati europea delle vulnerabilità

</Amend><Amend>Emendamento  <NumAm>126</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Articolo 6 – paragrafo 1</Article>

 

Testo della Commissione

Emendamento

1. Ogni Stato membro designa uno dei propri CSIRT di cui all'articolo 9 come coordinatore ai fini della divulgazione coordinata delle vulnerabilità. Il CSIRT designato agisce da intermediario di fiducia agevolando, se necessario, l'interazione tra il soggetto che effettua la segnalazione e il fabbricante o fornitore di servizi TIC o prodotti TIC. Se la vulnerabilità segnalata riguarda più fabbricanti o fornitori di servizi TIC o prodotti TIC nell'Unione, il CSIRT designato di ciascuno Stato membro interessato coopera con la rete di CSIRT.

1. Ogni Stato membro designa uno dei propri CSIRT di cui all'articolo 9 come coordinatore ai fini della divulgazione coordinata delle vulnerabilità. Il CSIRT designato agisce da intermediario di fiducia agevolando, su richiesta del soggetto che effettua la segnalazione, l'interazione tra quest'ultima e il fabbricante o fornitore di servizi TIC o prodotti TIC. Se la vulnerabilità segnalata riguarda più fabbricanti o fornitori di servizi TIC o prodotti TIC nell'Unione, il CSIRT designato di ciascuno Stato membro interessato coopera con la rete di CSIRT.

 

</Amend><Amend>Emendamento  <NumAm>127</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Articolo 6 – paragrafo 2</Article>

 

Testo della Commissione

Emendamento

2. L'ENISA elabora e mantiene un registro europeo delle vulnerabilità. A tal fine l'ENISA istituisce e gestisce i sistemi informatici, le misure strategiche e le procedure adeguati, volti in particolare a consentire ai soggetti essenziali e importanti e ai relativi fornitori di sistemi informatici e di rete di divulgare e registrare le vulnerabilità presenti nei prodotti TIC o nei servizi TIC, nonché a fornire a tutte le parti interessate l'accesso alle informazioni sulle vulnerabilità contenute nel registro. Il registro contiene, in particolare, informazioni che illustrano la vulnerabilità, i prodotti TIC o i servizi TIC interessati e la gravità della vulnerabilità in termini di circostanze nelle quali potrebbe essere sfruttata, la disponibilità di relative patch e, qualora queste non fossero disponibili, orientamenti rivolti agli utenti dei prodotti e dei servizi vulnerabili sulle possibili modalità di attenuazione dei rischi derivanti dalle vulnerabilità divulgate.

2. L'ENISA elabora e mantiene una banca dati europea delle vulnerabilità che attinga al registro globale delle vulnerabilità e delle esposizioni comuni (CVE). A tal fine l'ENISA istituisce e gestisce i sistemi informatici, le misure strategiche e le procedure adeguati e adotta le necessarie misure tecniche e organizzative per garantire la sicurezza e l'integrità della banca dati volte in particolare a consentire ai soggetti essenziali e importanti e ai relativi fornitori di sistemi informatici e di rete, nonché ai soggetti che non ricadono nell'ambito di applicazione della presente direttiva e ai relativi fornitori, di divulgare e registrare le vulnerabilità presenti nei prodotti TIC o nei servizi TIC, nonché a fornire a tutte le parti interessate l'accesso alle informazioni sulle vulnerabilità contenute nel registro. Tutte le parti interessate devono avere accesso alle informazioni sulle vulnerabilità contenute nella banca dati che dispongono di patch o di misure di mitigazione. La banca dati contiene, in particolare, informazioni che illustrano la vulnerabilità, i prodotti TIC o i servizi TIC interessati e la gravità della vulnerabilità in termini di circostanze nelle quali potrebbe essere sfruttata e la disponibilità di relative patch. Qualora queste patch non fossero disponibili, nella banca dati sono inseriti orientamenti rivolti agli utenti dei prodotti TIC e dei servizi TIC vulnerabili sulle possibili modalità di attenuazione dei rischi derivanti dalle vulnerabilità divulgate.

</Amend><Amend>Emendamento  <NumAm>128</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Articolo 7 – paragrafo 1 bis (nuovo)</Article>

 

Testo della Commissione

Emendamento

 

1 bis. Se uno Stato membro designa più di un'autorità competente di cui al paragrafo 1, deve indicare chiaramente quali di dette autorità competenti devono fungere da punto di contatto principale per la gestione di crisi e incidenti su vasta scala.

</Amend><Amend>Emendamento  <NumAm>129</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Articolo 7 – paragrafo 2</Article>

 

Testo della Commissione

Emendamento

2. Ogni Stato membro individua le capacità, le risorse e le procedure che possono essere impiegate in caso di crisi ai fini della presente direttiva.

(Non concerne la versione italiana) 

</Amend><Amend>Emendamento  <NumAm>130</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Articolo 7 – paragrafo 4</Article>

 

Testo della Commissione

Emendamento

4. Gli Stati membri comunicano alla Commissione le autorità competenti designate di cui al paragrafo 1 e trasmettono i propri piani nazionali di risposta agli incidenti e alle crisi di cibersicurezza di cui al paragrafo 3 entro tre mesi da tali designazioni e dall'adozione di tali piani. Gli Stati membri possono omettere dal piano informazioni specifiche se e nella misura in cui ciò sia strettamente necessario ai fini della loro sicurezza nazionale.

4. Gli Stati membri comunicano alla Commissione le autorità competenti designate di cui al paragrafo 1 e trasmettono a EU-CyCLONe i propri piani nazionali di risposta agli incidenti e alle crisi di cibersicurezza di cui al paragrafo 3 entro tre mesi da tali designazioni e dall'adozione di tali piani. Gli Stati membri possono omettere dal piano informazioni specifiche se e nella misura in cui ciò sia strettamente necessario ai fini della loro sicurezza nazionale.

</Amend><Amend>Emendamento  <NumAm>131</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Articolo 8 – paragrafo 3</Article>

 

Testo della Commissione

Emendamento

3. Ogni Stato membro designa un punto di contatto unico nazionale in materia di cibersicurezza ("punto di contatto unico"). Se uno Stato membro designa soltanto un'autorità competente, quest'ultima è anche il punto di contatto unico per tale Stato membro.

3. Ogni Stato membro designa una delle autorità competenti di cui al paragrafo 1 quale punto di contatto unico nazionale in materia di cibersicurezza ("punto di contatto unico"). Se uno Stato membro designa soltanto un'autorità competente, quest'ultima è anche il punto di contatto unico per tale Stato membro.

</Amend><Amend>Emendamento  <NumAm>132</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Articolo 8 – paragrafo 4</Article>

 

Testo della Commissione

Emendamento

4. Ogni punto di contatto unico svolge una funzione di collegamento per garantire la cooperazione transfrontaliera delle autorità del relativo Stato membro con le autorità pertinenti degli altri Stati membri, nonché per garantire la cooperazione intersettoriale con altre autorità nazionali competenti dello stesso Stato membro.

4. Ogni punto di contatto unico svolge una funzione di collegamento per garantire la cooperazione transfrontaliera delle autorità del relativo Stato membro con le autorità pertinenti degli altri Stati membri, la Commissione e l'ENISA, nonché per garantire la cooperazione intersettoriale con altre autorità nazionali competenti dello stesso Stato membro.

</Amend><Amend>Emendamento  <NumAm>133</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Articolo 9 – paragrafo 2</Article>

 

Testo della Commissione

Emendamento

2. Gli Stati membri provvedono affinché ogni CSIRT disponga di risorse adeguate per svolgere efficacemente i suoi compiti di cui all'articolo 10, paragrafo 2.

2. Gli Stati membri provvedono affinché ogni CSIRT disponga di risorse adeguate e delle capacità tecniche necessarie per svolgere efficacemente i suoi compiti di cui all'articolo 10, paragrafo 2.

</Amend><Amend>Emendamento  <NumAm>134</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Articolo 9 – paragrafo 6 bis (nuovo)</Article>

 

Testo della Commissione

Emendamento

 

6 bis. Gli Stati membri assicurano la possibilità di uno scambio di informazioni efficace, efficiente e sicuro su tutti i livelli di classificazione tra i propri CSIRT e i CSIRT di paesi terzi allo stesso livello di classificazione.

</Amend><Amend>Emendamento  <NumAm>135</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Articolo 9 – paragrafo 6 ter (nuovo)</Article>

 

Testo della Commissione

Emendamento

 

6 ter. Fatto salvo il diritto dell'Unione, segnatamente il regolamento (UE) 2016/679, i CSIRT cooperano con i CSIRT o gli organi equivalenti nei paesi candidati all'UE e in altri paesi terzi dei Balcani occidentali e del partenariato orientale e, se possibile, forniscono loro assistenza in materia di cibersicurezza.

</Amend><Amend>Emendamento  <NumAm>136</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Articolo 9 – paragrafo 7</Article>

 

Testo della Commissione

Emendamento

7. Gli Stati membri comunicano alla Commissione senza indebiti ritardi i CSIRT designati conformemente al paragrafo 1 e il CSIRT coordinatore designato conformemente all'articolo 6, paragrafo 1, nonché i relativi compiti previsti in relazione ai soggetti di cui agli allegati I e II.

7. Gli Stati membri comunicano alla Commissione senza indebiti ritardi i CSIRT designati conformemente al paragrafo 1 e il CSIRT coordinatore designato conformemente all'articolo 6, paragrafo 1, compresi i relativi compiti previsti in relazione ai soggetti essenziali e importanti.

</Amend><Amend>Emendamento  <NumAm>137</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Articolo 10 – titolo</Article>

 

Testo della Commissione

Emendamento

Requisiti e compiti dei CSIRT

Requisiti, capacità tecniche e compiti dei CSIRT

</Amend><Amend>Emendamento  <NumAm>138</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Articolo 10 – paragrafo 1 – lettera c</Article>

 

Testo della Commissione

Emendamento

c) i CSIRT sono dotati di un sistema adeguato di gestione e inoltro delle richieste, in particolare per facilitare i trasferimenti in maniera efficace ed efficiente;

c) i CSIRT sono dotati di un sistema adeguato di classificazione, inoltro e tracciamento delle richieste, in particolare per facilitare i trasferimenti in maniera efficace ed efficiente;

</Amend><Amend>Emendamento  <NumAm>139</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Articolo 10 – paragrafo 1 – lettera c bis (nuova)</Article>

 

Testo della Commissione

Emendamento

 

c bis) i CSIRT dispongono di opportuni codici di condotta per garantire la riservatezza e l'affidabilità delle loro operazioni;

</Amend><Amend>Emendamento  <NumAm>140</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Articolo 10 – paragrafo 1 – lettera d</Article>

 

Testo della Commissione

Emendamento

d) i CSIRT dispongono di personale sufficiente a garantirne l'operatività in qualsiasi momento;

d) I CSIRT dispongono di personale sufficiente a garantirne l'operatività in qualsiasi momento e assicurano adeguati quadri di formazione del loro personale;

</Amend><Amend>Emendamento  <NumAm>141</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Articolo 10 – paragrafo 1 – lettera e</Article>

 

Testo della Commissione

Emendamento

e) i CSIRT sono dotati di sistemi ridondanti e spazi di lavoro di backup al fine di garantire la continuità dei loro servizi;

e) i CSIRT sono dotati di sistemi ridondanti e spazi di lavoro di backup al fine di garantire la continuità dei loro servizi, compresa l'ampia connettività tra le reti, i sistemi e i servizi informativi e i dispositivi;

</Amend><Amend>Emendamento  <NumAm>142</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Articolo 10 – paragrafo 1 bis (nuovo)</Article>

 

Testo della Commissione

Emendamento

 

1 bis. I CSIRT sviluppano almeno le seguenti capacità tecniche:

 

a) la capacità di effettuare il monitoraggio in tempo reale o in tempo prossimo al reale delle reti e dei sistemi informativi e di rilevare le anomalie;

 

b) la capacità di sostenere la prevenzione e il rilevamento;

 

c) la capacità di raccogliere ed effettuare complesse analisi dei dati forensi e applicare un'ingegneria a ritroso alle minacce informatiche;

 

d) la capacità di filtrare il traffico malevolo;

 

e) la capacità di imporre rigorosi privilegi e controlli di autenticazione e di accesso; nonché

 

f) la capacità di analizzare le minacce informatiche.

</Amend><Amend>Emendamento  <NumAm>143</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Articolo 10 – paragrafo 2 – lettera a</Article>

 

Testo della Commissione

Emendamento

a) monitorano le minacce informatiche, le vulnerabilità e gli incidenti a livello nazionale;

a) monitorano le minacce informatiche, le vulnerabilità e gli incidenti a livello nazionale e acquisiscono informazioni sulle minacce in tempo reale;

</Amend><Amend>Emendamento  <NumAm>144</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Articolo 10 – paragrafo 2 – lettera b</Article>

 

Testo della Commissione

Emendamento

b) emettono preallarmi, allerte e bollettini e divulgano informazioni ai soggetti essenziali e importanti, nonché alle altre pertinenti parti interessate, in merito a minacce informatiche, vulnerabilità e incidenti;

b) emettono preallarmi, allerte e bollettini e divulgano informazioni ai soggetti essenziali e importanti, nonché alle altre pertinenti parti interessate, in merito a minacce informatiche, vulnerabilità e incidenti, se possibile in tempo prossimo al reale;

</Amend><Amend>Emendamento  <NumAm>145</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Articolo 10 – paragrafo 2 – lettera c</Article>

 

Testo della Commissione

Emendamento

c) forniscono una risposta agli incidenti;

c) forniscono una risposta agli incidenti e assistenza ai soggetti coinvolti;

</Amend><Amend>Emendamento  <NumAm>146</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Articolo 10 – paragrafo 2 – lettera e</Article>

 

Testo della Commissione

Emendamento

e) effettuano, su richiesta di un soggetto, una scansione proattiva dei sistemi informatici e di rete da esso utilizzati per la fornitura dei suoi servizi;

e) effettuano, su richiesta di un soggetto o in caso di grave minaccia per la sicurezza nazionale, una scansione proattiva dei sistemi informatici e di rete da esso utilizzati per la fornitura dei suoi servizi;

</Amend><Amend>Emendamento  <NumAm>147</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Articolo 10 – paragrafo 2 – lettera f bis (nuova)</Article>

 

Testo della Commissione

Emendamento

 

f bis) forniscono, su richiesta di un soggetto, l'abilitazione e la configurazione della registrazione di rete per proteggere i dati, compresi i dati personali, da estrazioni non autorizzate;

</Amend><Amend>Emendamento  <NumAm>148</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Articolo 10 – paragrafo 2 – lettera f ter (nuova)</Article>

 

Testo della Commissione

Emendamento

 

f ter) contribuiscono allo sviluppo di strumenti sicuri per la condivisione delle informazioni di cui all'articolo 9, paragrafo 3.

</Amend><Amend>Emendamento  <NumAm>149</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Articolo 10 – paragrafo 4 – parte introduttiva</Article>

 

Testo della Commissione

Emendamento

4. Al fine di agevolare la cooperazione, i CSIRT promuovono l'adozione e l'uso di pratiche, sistemi di classificazione e tassonomie standardizzati o comuni per quanto riguarda:

4. Al fine di agevolare la cooperazione, i CSIRT promuovono l'automazione dello scambio di informazioni, nonché l'adozione e l'uso di pratiche, sistemi di classificazione e tassonomie standardizzati o comuni per quanto riguarda:

</Amend><Amend>Emendamento  <NumAm>150</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Articolo 11 – paragrafo 2</Article>

 

Testo della Commissione

Emendamento

2. Gli Stati membri provvedono affinché le loro autorità competenti o i loro CSIRT ricevano le notifiche in merito agli incidenti, alle minacce informatiche significative e ai quasi incidenti (near miss) trasmesse a norma della presente direttiva. Qualora uno Stato membro decida che i suoi CSIRT non debbano ricevere tali notifiche, a questi ultimi viene dato accesso, nella misura necessaria per lo svolgimento dei loro compiti, ai dati sugli incidenti notificati dai soggetti essenziali o importanti, a norma dell'articolo 20.

2. Gli Stati membri provvedono affinché i loro CSIRT ricevano le notifiche in merito agli incidenti significativi ai sensi dell'articolo 20 e alle minacce informatiche e ai quasi incidenti (near miss) a norma dell'articolo 27 attraverso il punto di ingresso unico di cui all'articolo 20, paragrafo 4 bis.

</Amend><Amend>Emendamento  <NumAm>151</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Articolo 11 – paragrafo 4</Article>

 

Testo della Commissione

Emendamento

4. Nella misura necessaria per l'efficace adempimento dei compiti e degli obblighi stabiliti nella presente direttiva, gli Stati membri provvedono affinché, all'interno di ciascuno Stato membro, vi sia un'adeguata cooperazione tra le autorità competenti e i punti di contatto unici e le autorità di contrasto, le autorità di protezione dei dati, le autorità responsabili delle infrastrutture critiche a norma della direttiva (UE) XXXX/XXXX [direttiva sulla resilienza dei soggetti critici] e le autorità finanziarie nazionali designate conformemente al regolamento (UE) XXXX/XXXX del Parlamento europeo e del Consiglio39 [il regolamento DORA].

4. Nella misura necessaria per l'efficace adempimento dei compiti e degli obblighi stabiliti nella presente direttiva, gli Stati membri provvedono affinché, all'interno di ciascuno Stato membro, vi sia un'adeguata cooperazione tra le autorità competenti, i punti di contatto unici, i CSIRT, le autorità di contrasto, le autorità nazionali di regolamentazione o altre autorità responsabile delle reti pubbliche di comunicazione elettronica o dei servizi di comunicazione elettronica accessibili al pubblico ai sensi della direttiva (UE) 2018/1972, le autorità di protezione dei dati, le autorità responsabili delle infrastrutture critiche a norma della direttiva (UE) XXXX/XXXX [direttiva sulla resilienza dei soggetti critici] e le autorità finanziarie nazionali designate conformemente al regolamento (UE) XXXX/XXXX del Parlamento europeo e del Consiglio [il regolamento DORA] conformemente alle loro rispettive competenze.

__________________

__________________

39 [Inserire il titolo completo e il riferimento della pubblicazione nella GU, non appena noti].

39 [Inserire il titolo completo e il riferimento della pubblicazione nella GU, non appena noti].

</Amend><Amend>Emendamento  <NumAm>152</NumAm>

 

<DocAmend>Proposta di direttiva</DocAmend>

<Article>Articolo 11 – paragrafo 5</Article>

 

Testo della Commissione

Emendamento