RELAZIONE sulla proposta di direttiva del Parlamento europeo e del Consiglio relativa a misure per un livello comune elevato di cibersicurezza nell'Unione, che abroga la direttiva (UE) 2016/1148

4.11.2021 - (COM(2020)0823 – C9-0422/2020 – 2020/0359(COD)) - ***I

Commissione per l'industria, la ricerca e l'energia
Relatore: Bart Groothuis
Relatore per parere (*):
Lukas Mandl, Commissione per le libertà civili, la giustizia e gli affari interni
(*) Procedura con le commissioni associate – articolo 57 del regolamento


Procedura : 2020/0359(COD)
Ciclo di vita in Aula
Ciclo del documento :  
A9-0313/2021
Testi presentati :
A9-0313/2021
Testi approvati :

PROGETTO DI RISOLUZIONE LEGISLATIVA DEL PARLAMENTO EUROPEO

sulla proposta di direttiva del Parlamento europeo e del Consiglio relativa a misure per un livello comune elevato di cibersicurezza nell'Unione, che abroga la direttiva (UE) 2016/1148

(COM(2020)0823 – C9-0422/2020 – 2020/0359(COD))

(Procedura legislativa ordinaria: prima lettura)

Il Parlamento europeo,

 vista la proposta della Commissione al Parlamento europeo e al Consiglio (COM(2020)0823),

 visti l'articolo 294, paragrafo 2, e l'articolo 114 del trattato sul funzionamento dell'Unione europea, a norma dei quali la proposta gli è stata presentata dalla Commissione (C9-0422/2020),

 visto l'articolo 294, paragrafo 3, del trattato sul funzionamento dell'Unione europea,

 visto il parere del Comitato economico e sociale europeo del 27 aprile 2021[1],

 previa consultazione del Comitato delle regioni,

 visto l'articolo 59 del suo regolamento,

 visti i pareri della commissione per le libertà civili, la giustizia e gli affari interni, della commissione per gli affari esteri, della commissione per il mercato interno e la protezione dei consumatori e della commissione per i trasporti e il turismo,

 vista la relazione della commissione per l'industria, la ricerca e l'energia (A9-0313/2021),

1. adotta la posizione in prima lettura figurante in appresso;

2. chiede alla Commissione di presentargli nuovamente la proposta qualora la sostituisca, la modifichi sostanzialmente o intenda modificarla sostanzialmente;

3. incarica il suo Presidente di trasmettere la posizione del Parlamento al Consiglio e alla Commissione nonché ai parlamenti nazionali.


Emendamento  1

 

Proposta di direttiva

Titolo

 

Testo della Commissione

Emendamento

Proposta di

Proposta di

DIRETTIVA DEL PARLAMENTO EUROPEO E DEL CONSIGLIO

DIRETTIVA DEL PARLAMENTO EUROPEO E DEL CONSIGLIO

relativa a misure per un livello comune elevato di cibersicurezza nell'Unione, che abroga la direttiva (UE) 2016/1148

relativa a misure per un livello comune elevato di cibersicurezza nell'Unione (direttiva NIS 2), che abroga la direttiva (UE) 2016/1148

Emendamento  2

 

Proposta di direttiva

Considerando 1

 

Testo della Commissione

Emendamento

(1) La direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio11 mirava a sviluppare le capacità di cibersicurezza in tutta l'Unione, ad attenuare le minacce alle reti e ai sistemi informativi utilizzati per fornire servizi essenziali in settori chiave e a garantire la continuità di tali servizi in caso di incidenti di cibersicurezza, contribuendo in tal modo al funzionamento efficace dell'economia e della società dell'Unione.

(1) La direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio11, comunemente nota come "direttiva NIS", mirava a sviluppare le capacità di cibersicurezza in tutta l'Unione, ad attenuare le minacce alle reti e ai sistemi informativi utilizzati per fornire servizi essenziali in settori chiave e a garantire la continuità di tali servizi in caso di incidenti di cibersicurezza, contribuendo in tal modo alla sicurezza e al funzionamento efficace dell'economia e della società dell'Unione.

__________________

__________________

11 Direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell'Unione (GU L 194 del 19.7.2016, pag. 1).

11 Direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell'Unione (GU L 194 del 19.7.2016, pag. 1).

Emendamento  3

 

Proposta di direttiva

Considerando 3

 

Testo della Commissione

Emendamento

(3) I sistemi informatici e di rete occupano ormai una posizione centrale nella vita di tutti i giorni, con la rapida trasformazione digitale e l'interconnessione della società, anche negli scambi transfrontalieri. Ciò ha portato a un'espansione del panorama delle minacce alla cibersicurezza, con nuove sfide che richiedono risposte adeguate, coordinate e innovative in tutti gli Stati membri. Il numero, la portata, il livello di sofisticazione, la frequenza e l'impatto degli incidenti di cibersicurezza stanno aumentando e rappresentano una grave minaccia per il funzionamento dei sistemi informatici e di rete. Tali incidenti possono quindi impedire l'esercizio delle attività economiche nel mercato interno, provocare perdite finanziarie, minare la fiducia degli utenti e causare gravi danni all'economia e alla società dell'Unione. Pertanto la preparazione e l'efficacia della cibersicurezza sono oggi più che mai essenziali per il corretto funzionamento del mercato interno.

(3) I sistemi informatici e di rete occupano ormai una posizione centrale nella vita di tutti i giorni, con la rapida trasformazione digitale e l'interconnessione della società, anche negli scambi transfrontalieri. Ciò ha portato a un'espansione del panorama delle minacce alla cibersicurezza, con nuove sfide che richiedono risposte adeguate, coordinate e innovative in tutti gli Stati membri. Il numero, la portata, il livello di sofisticazione, la frequenza e l'impatto degli incidenti di cibersicurezza stanno aumentando e rappresentano una grave minaccia per il funzionamento dei sistemi informatici e di rete. Tali incidenti possono quindi impedire l'esercizio delle attività economiche nel mercato interno, provocare perdite finanziarie, minare la fiducia degli utenti e causare gravi danni all'economia e alla società dell'Unione. Pertanto la preparazione e l'efficacia della cibersicurezza sono oggi più che mai essenziali per il corretto funzionamento del mercato interno. Inoltre, la cibersicurezza è un fattore abilitante fondamentale per molti settori critici, affinché questi possano attuare con successo la trasformazione digitale e cogliere appieno i vantaggi economici, sociali e sostenibili della digitalizzazione.

Emendamento  4

 

Proposta di direttiva

Considerando 3 bis (nuovo)

 

Testo della Commissione

Emendamento

 

(3 bis) Gli incidenti e le crisi di cibersicurezza su vasta scala a livello dell'Unione richiedono un'azione coordinata per garantire una risposta rapida ed efficace, a causa dell'elevato grado di interdipendenza tra settori e paesi. La disponibilità di reti e sistemi informativi ciberresilienti e la disponibilità, la riservatezza e l'integrità dei dati sono vitali per la sicurezza dell'Unione sia all'interno che all'esterno dei suoi confini, poiché le minacce informatiche possono originare dall'esterno dell'Unione. L'ambizione dell'Unione di acquisire un ruolo geopolitico più rilevante poggia anche su una difesa e una deterrenza credibili in ambito informatico, compresa la capacità di individuare le azioni malevole in modo tempestivo ed efficace e di reagire adeguatamente.

Emendamento  5

 

Proposta di direttiva

Considerando 5

 

Testo della Commissione

Emendamento

(5) Tutte queste divergenze comportano una frammentazione del mercato interno e possono avere un effetto pregiudizievole sul suo funzionamento, con ripercussioni in particolare sulla fornitura transfrontaliera di servizi e sul livello di resilienza della cibersicurezza dovute all'applicazione di norme diverse. La presente direttiva mira a eliminare tali ampie divergenze tra gli Stati membri, in particolare stabilendo norme minime riguardanti il funzionamento di un quadro normativo coordinato, istituendo meccanismi per una cooperazione efficace tra le autorità responsabili in ciascuno Stato membro, aggiornando l'elenco dei settori e delle attività soggetti agli obblighi in materia di cibersicurezza e prevedendo mezzi di ricorso e sanzioni effettivi che siano funzionali all'efficace applicazione di tali obblighi. La direttiva (UE) 2016/1148 dovrebbe pertanto essere abrogata e sostituita dalla presente direttiva.

(5) Tutte queste divergenze comportano una frammentazione del mercato interno e possono avere un effetto pregiudizievole sul suo funzionamento, con ripercussioni in particolare sulla fornitura transfrontaliera di servizi e sul livello di resilienza della cibersicurezza dovute all'applicazione di norme diverse. Dette divergenze possono portare infine a una maggiore vulnerabilità di taluni Stati membri di fronte alle minacce alla cibersicurezza, con potenziali ricadute sull'intera Unione. La presente direttiva mira a eliminare tali ampie divergenze tra gli Stati membri, in particolare stabilendo norme minime riguardanti il funzionamento di un quadro normativo coordinato, istituendo meccanismi per una cooperazione efficace tra le autorità responsabili in ciascuno Stato membro, aggiornando l'elenco dei settori e delle attività soggetti agli obblighi in materia di cibersicurezza e prevedendo mezzi di ricorso e sanzioni effettivi che siano funzionali all'efficace applicazione di tali obblighi. La direttiva (UE) 2016/1148 dovrebbe pertanto essere abrogata e sostituita dalla presente direttiva (direttiva NIS 2).

Emendamento  6

 

Proposta di direttiva

Considerando 6

 

Testo della Commissione

Emendamento

(6) La presente direttiva lascia impregiudicata la possibilità, per gli Stati membri, di adottare le misure necessarie a garantire la tutela degli interessi essenziali della loro sicurezza, a salvaguardare l'ordine pubblico e la pubblica sicurezza e a consentire l'indagine, l'accertamento e il perseguimento dei reati, nel rispetto del diritto dell'Unione. Conformemente all'articolo 346 TFUE, nessuno Stato membro è tenuto a fornire informazioni la cui divulgazione sia contraria agli interessi essenziali della propria pubblica sicurezza. In tale contesto sono pertinenti le norme nazionali e dell'Unione per la protezione delle informazioni classificate, gli accordi di non divulgazione o gli accordi di non divulgazione informali, quale il protocollo TLP14.

(6) La presente direttiva lascia impregiudicata la possibilità, per gli Stati membri, di adottare le misure necessarie a garantire la tutela degli interessi essenziali della loro sicurezza, a salvaguardare l'ordine pubblico e la pubblica sicurezza e a consentire la prevenzione, l'indagine, l'accertamento e il perseguimento dei reati, nel rispetto del diritto dell'Unione. Conformemente all'articolo 346 TFUE, nessuno Stato membro è tenuto a fornire informazioni la cui divulgazione sia contraria agli interessi essenziali della propria pubblica sicurezza. In tale contesto sono pertinenti le norme nazionali e dell'Unione per la protezione delle informazioni classificate, gli accordi di non divulgazione o gli accordi di non divulgazione informali, quale il protocollo TLP14.

__________________

__________________

14 Il protocollo TLP (Traffic Light Protocol) è uno strumento che consente a chi condivide informazioni di informare il proprio pubblico in merito a eventuali limitazioni dell'ulteriore diffusione di tali informazioni. È utilizzato in quasi tutte le comunità di CSIRT e in alcuni centri di condivisione e di analisi delle informazioni (ISAC).

14 Il protocollo TLP (Traffic Light Protocol) è uno strumento che consente a chi condivide informazioni di informare il proprio pubblico in merito a eventuali limitazioni dell'ulteriore diffusione di tali informazioni. È utilizzato in quasi tutte le comunità di CSIRT e in alcuni centri di condivisione e di analisi delle informazioni (ISAC).

Emendamento  7

 

Proposta di direttiva

Considerando 7

 

Testo della Commissione

Emendamento

(7) Con l'abrogazione della direttiva (UE) 2016/1148, l'ambito di applicazione per settore dovrebbe essere esteso a una parte più ampia dell'economia alla luce delle considerazioni di cui ai considerando da 4 a 6. I settori contemplati dalla direttiva (UE) 2016/1148 dovrebbero pertanto essere ampliati per fornire una copertura completa dei settori e dei servizi di vitale importanza per le principali attività sociali ed economiche nel mercato interno. Le norme non dovrebbero essere diverse a seconda che i soggetti siano operatori di servizi essenziali o fornitori di servizi digitali. Tale differenziazione si è rivelata obsoleta, in quanto non riflette l'effettiva importanza dei settori o dei servizi per le attività sociali ed economiche nel mercato interno.

(7) Con l'abrogazione della direttiva (UE) 2016/1148, l'ambito di applicazione per settore dovrebbe essere esteso a una parte più ampia dell'economia alla luce delle considerazioni di cui ai considerando da 4 a 6. I settori contemplati dalla direttiva (UE) 2016/1148 dovrebbero pertanto essere ampliati per fornire una copertura completa dei settori e dei servizi di vitale importanza per le principali attività sociali ed economiche nel mercato interno. Gli obblighi di gestione e segnalazione dei rischi non dovrebbero essere diversi a seconda che i soggetti siano operatori di servizi essenziali o fornitori di servizi digitali. Tale differenziazione si è rivelata obsoleta, in quanto non riflette l'effettiva importanza dei settori o dei servizi per le attività sociali ed economiche nel mercato interno.

Emendamento  8

 

Proposta di direttiva

Considerando 8

 

Testo della Commissione

Emendamento

(8) Conformemente alla direttiva (UE) 2016/1148, gli Stati membri erano responsabili di determinare quali soggetti soddisfacevano i criteri per essere considerati operatori di servizi essenziali ("processo di identificazione"). Al fine di eliminare le ampie divergenze tra gli Stati membri a tale riguardo e garantire la certezza del diritto per quanto riguarda gli obblighi di gestione e segnalazione dei rischi per tutti i soggetti pertinenti, è opportuno stabilire un criterio uniforme che determini quali soggetti rientrano nell'ambito di applicazione della presente direttiva. Tale criterio dovrebbe consistere nell'applicazione della regola della soglia di dimensione, in base alla quale rientrano nell'ambito di applicazione della direttiva tutte le medie e le grandi imprese, quali definite nella raccomandazione 2003/361/CE15 della Commissione, che operano nei settori o forniscono il tipo di servizi contemplati dalla presente direttiva. Gli Stati membri non dovrebbero essere tenuti a redigere un elenco dei soggetti che soddisfano questo criterio relativo alle dimensioni generalmente applicabile.

(8) Conformemente alla direttiva (UE) 2016/1148, gli Stati membri erano responsabili di determinare quali soggetti soddisfacevano i criteri per essere considerati operatori di servizi essenziali ("processo di identificazione"). Al fine di eliminare le ampie divergenze tra gli Stati membri a tale riguardo e garantire la certezza del diritto per quanto riguarda gli obblighi di gestione e segnalazione dei rischi per tutti i soggetti pertinenti, è opportuno stabilire un criterio uniforme che determini quali soggetti rientrano nell'ambito di applicazione della presente direttiva. Tale criterio dovrebbe consistere nell'applicazione della regola della soglia di dimensione, in base alla quale rientrano nell'ambito di applicazione della direttiva tutte le medie e le grandi imprese, quali definite nella raccomandazione 2003/361/CE15 della Commissione, che operano nei settori o forniscono il tipo di servizi contemplati dalla presente direttiva.

__________________

__________________

15 Raccomandazione 2003/361/CE della Commissione, del 6 maggio 2003, relativa alla definizione delle microimprese, piccole e medie imprese (GU L 124 del 20.5.2003, pag. 36).

15 Raccomandazione 2003/361/CE della Commissione, del 6 maggio 2003, relativa alla definizione delle microimprese, piccole e medie imprese (GU L 124 del 20.5.2003, pag. 36).

Emendamento  9

 

Proposta di direttiva

Considerando 9

 

Testo della Commissione

Emendamento

(9) La presente direttiva dovrebbe tuttavia applicarsi anche ai piccoli o micro soggetti che soddisfano determinati criteri che indicano un ruolo chiave per le economie o le società degli Stati membri o per particolari settori o tipi di servizi. Gli Stati membri dovrebbero essere responsabili di stabilire un elenco di tali soggetti e presentarlo alla Commissione.

(9) La presente direttiva dovrebbe tuttavia applicarsi anche ai piccoli o micro soggetti che soddisfano determinati criteri che indicano un ruolo chiave per le economie o le società degli Stati membri o per particolari settori o tipi di servizi.

Emendamento  10

 

Proposta di direttiva

Considerando 9 bis (nuovo)

 

Testo della Commissione

Emendamento

 

(9 bis) Gli Stati membri dovrebbero stilare un elenco di tutte i soggetti essenziali e importanti. Tale elenco dovrebbe includere i soggetti che soddisfano i criteri relativi alle dimensioni generalmente applicabili, nonché le piccole imprese e le microimprese che soddisfano determinati criteri riguardo al loro ruolo chiave per le economie o le società degli Stati membri. Affinché i gruppi di intervento per la sicurezza informatica in caso di incidente (CSIRT) e le autorità competenti possano fornire assistenza e allertare i soggetti in merito agli incidenti informatici che potrebbero riguardarli, è importante che tali autorità dispongano dei recapiti corretti dei soggetti. I soggetti essenziali e importanti dovrebbero pertanto trasmettere alle autorità competenti almeno le seguenti informazioni: il nome del soggetto, l'indirizzo e i dati di contatto aggiornati, compresi gli indirizzi e-mail e i numeri di telefono, nonché il/i settore/i e il/i sottosettore/i pertinenti di cui agli allegati I e II. I soggetti dovrebbero notificare alle autorità competenti qualsiasi modifica di tali informazioni. Gli Stati membri dovrebbero garantire, senza indebito ritardo, che tali informazioni possano essere facilmente fornite attraverso un unico punto di ingresso. A tal fine l'ENISA, in cooperazione con il gruppo di cooperazione, dovrebbe pubblicare senza indebito ritardo orientamenti e modelli relativi agli obblighi di notifica. Gli Stati membri dovrebbero notificare alla Commissione e al gruppo di cooperazione il numero di soggetti essenziali e importanti. Gli Stati membri dovrebbero inoltre notificare alla Commissione, ai fini del riesame di cui alla presente direttiva, i nomi delle piccole imprese e delle microimprese identificate come soggetti essenziali e importanti, al fine di consentire alla Commissione di valutare la coerenza tra gli approcci degli Stati membri. Tali informazioni dovrebbero essere trattate in modo strettamente riservato.

Emendamento  11

 

Proposta di direttiva

Considerando 10

 

Testo della Commissione

Emendamento

(10) La Commissione, in collaborazione con il gruppo di cooperazione, può emanare orientamenti relativi all'attuazione dei criteri applicabili alle microimprese e alle piccole imprese.

(10) La Commissione, in collaborazione con il gruppo di cooperazione e con i pertinenti portatori di interessi, dovrebbe emanare orientamenti relativi all'attuazione dei criteri applicabili alle microimprese e alle piccole imprese. La Commissione dovrebbe inoltre garantire che vengano forniti orientamenti adeguati a tutte le microimprese e le piccole imprese rientranti nell'ambito di applicazione della presente direttiva. La Commissione, con il sostegno degli Stati membri, dovrebbe fornire alle microimprese e alle piccole imprese informazioni al riguardo.

Emendamento  12

 

Proposta di direttiva

Considerando 10 bis (nuovo)

 

Testo della Commissione

Emendamento

 

(10 bis) La Commissione dovrebbe inoltre emanare orientamenti volti a sostenere gli Stati membri nella corretta attuazione delle disposizioni sull'ambito di applicazione e a valutare la proporzionalità degli obblighi stabiliti dalla presente direttiva, segnatamente per quanto riguarda i soggetti che rientrano nell'ambito di applicazione, in particolare quando si applicano a soggetti con modelli di business o contesti operativi complessi, in base ai quali un soggetto può soddisfare contemporaneamente i criteri assegnati sia ai soggetti critici che a quelli importanti, o può svolgere simultaneamente attività di cui alcune rientrano nell'ambito di applicazione della presente direttiva e altre no.

Emendamento  13

 

Proposta di direttiva

Considerando 12

 

Testo della Commissione

Emendamento

(12) La legislazione e gli strumenti settoriali possono contribuire a garantire livelli elevati di cibersicurezza, tenendo pienamente conto delle specificità e delle complessità di tali settori. Qualora un atto giuridico settoriale dell'Unione imponga ai soggetti essenziali o importanti obblighi relativi all'adozione di misure di gestione dei rischi di cibersicurezza o di notifica di incidenti o minacce informatiche significative di effetto almeno equivalente agli obblighi stabiliti nella presente direttiva, dovrebbero applicarsi tali disposizioni settoriali, anche in materia di vigilanza ed esecuzione. La Commissione può emanare orientamenti in relazione all'attuazione della lex specialis. La presente direttiva non preclude l'adozione di ulteriori atti settoriali dell'Unione riguardanti le misure di gestione dei rischi di cibersicurezza e le notifiche degli incidenti. La presente direttiva lascia impregiudicate le competenze di esecuzione esistenti conferite alla Commissione in una serie di settori, tra cui i trasporti e l'energia.

(12) La legislazione e gli strumenti settoriali possono contribuire a garantire livelli elevati di cibersicurezza, tenendo pienamente conto delle specificità e delle complessità di tali settori. Gli atti giuridici settoriali dell'Unione che impongono ai soggetti essenziali o importanti l'adozione di misure di gestione dei rischi di cibersicurezza o di segnalazione di incidenti significativi dovrebbero, ove possibile, essere coerenti con la terminologia e fare riferimento alle definizioni di cui all'articolo 4 della presente direttiva. Qualora un atto giuridico settoriale dell'Unione imponga ai soggetti essenziali o importanti l'adozione di misure di gestione dei rischi di cibersicurezza o di notifica di incidenti e qualora tali obblighi siano di effetto almeno equivalente agli obblighi stabiliti nella presente direttiva e si applichino alla totalità degli aspetti di sicurezza delle operazioni e dei servizi forniti dai soggetti essenziali e importanti, dovrebbero applicarsi tali disposizioni settoriali, anche in materia di vigilanza ed esecuzione. La Commissione dovrebbe emanare orientamenti globali in relazione all'attuazione della lex specialis, tenendo conto dei pertinenti pareri, competenze e migliori pratiche dell'ENISA e del gruppo di cooperazione. La presente direttiva non preclude l'adozione di ulteriori atti settoriali dell'Unione riguardanti le misure di gestione dei rischi di cibersicurezza e le notifiche degli incidenti che tengono debitamente conto della necessità di un quadro di sicurezza informatica globale e coerente. La presente direttiva lascia impregiudicate le competenze di esecuzione esistenti conferite alla Commissione in una serie di settori, tra cui i trasporti e l'energia.

Emendamento  14

 

Proposta di direttiva

Considerando 14

 

Testo della Commissione

Emendamento

(14) In considerazione delle interconnessioni tra la cibersicurezza e la sicurezza fisica dei soggetti, dovrebbe essere garantito un approccio coerente tra la direttiva (UE) XXX/XXX del Parlamento europeo e del Consiglio17 e la presente direttiva. A tal fine, gli Stati membri dovrebbero garantire che i soggetti critici e i soggetti equivalenti a norma della direttiva (UE) XXX/XXX siano considerati soggetti essenziali a norma della presente direttiva. Gli Stati membri dovrebbero inoltre garantire che le loro strategie di cibersicurezza prevedano un quadro strategico per un coordinamento rafforzato tra l'autorità competente a norma della presente direttiva e quella prevista dalla direttiva (UE) XXX/XXX nel contesto della condivisione di informazioni su incidenti e minacce informatiche e dell'esercizio dei compiti di vigilanza. Le autorità a norma di entrambe le direttive dovrebbero cooperare e scambiarsi informazioni, in particolare per quanto riguarda l'individuazione dei soggetti critici, delle minacce informatiche, dei rischi di cibersicurezza, degli incidenti che interessano i soggetti critici, nonché le misure di cibersicurezza adottate dai soggetti critici. Su richiesta delle autorità competenti a norma della direttiva (UE) XXX/XXX, alle autorità competenti a norma della presente direttiva dovrebbe essere consentito di esercitare i propri poteri di vigilanza e di esecuzione nei confronti di un soggetto essenziale individuato come critico. A tal fine entrambe le autorità dovrebbero cooperare e scambiarsi informazioni.

(14) In considerazione delle interconnessioni tra la cibersicurezza e la sicurezza fisica dei soggetti, dovrebbe essere garantito un approccio coerente tra la direttiva (UE) XXX/XXX del Parlamento europeo e del Consiglio17 e la presente direttiva. A tal fine, gli Stati membri dovrebbero garantire che i soggetti critici e i soggetti equivalenti a norma della direttiva (UE) XXX/XXX siano considerati soggetti essenziali a norma della presente direttiva. Gli Stati membri dovrebbero inoltre garantire che le loro strategie di cibersicurezza prevedano un quadro strategico per un coordinamento rafforzato tra le autorità competenti di ciascuno Stato membro e di Stati membri differenti a norma della presente direttiva e quelle previste dalla direttiva (UE) XXX/XXX nel contesto della condivisione di informazioni su incidenti e minacce informatici e dell'esercizio dei compiti di vigilanza. Le autorità a norma di entrambe le direttive dovrebbero cooperare e scambiarsi informazioni senza indebito indugio, in particolare per quanto riguarda l'individuazione dei soggetti critici, delle minacce informatiche, dei rischi di cibersicurezza, degli incidenti che interessano i soggetti critici, nonché le misure di cibersicurezza adottate dai soggetti critici. Su richiesta delle autorità competenti a norma della direttiva (UE) XXX/XXX, alle autorità competenti a norma della presente direttiva dovrebbe essere consentito di esercitare i propri poteri di vigilanza e di esecuzione nei confronti di un soggetto essenziale individuato come critico. A tal fine entrambe le autorità dovrebbero cooperare e scambiarsi informazioni, ove possibile in tempo reale.

__________________

__________________

17 [Inserire il titolo completo e il riferimento della pubblicazione nella GU, non appena noti].

17 [Inserire il titolo completo e il riferimento della pubblicazione nella GU, non appena noti].

Emendamento  15

 

Proposta di direttiva

Considerando 15

 

Testo della Commissione

Emendamento

(15) Sostenere e preservare un sistema dei nomi di dominio affidabile, resiliente e sicuro è un fattore chiave per mantenere l'integrità di Internet ed è essenziale per il suo funzionamento costante e stabile, da cui dipendono l'economia e la società digitali. La presente direttiva dovrebbe applicarsi a tutti i fornitori di servizi DNS lungo la catena di risoluzione DNS, compresi gli operatori dei server dei nomi radice (root name server), dei server dei nomi di dominio di primo livello (top level domain, TLD), dei server autorevoli dei nomi per i nomi di dominio e dei risolutori ricorsivi.

(15) Sostenere e preservare un sistema dei nomi di dominio affidabile, resiliente e sicuro è un fattore chiave per mantenere l'integrità di Internet ed è essenziale per il suo funzionamento costante e stabile, da cui dipendono l'economia e la società digitali. La presente direttiva dovrebbe applicarsi ai server dei nomi di dominio di primo livello (top level domain, TLD), ai servizi di risoluzione dei nomi di dominio ricorsivi accessibili al pubblico per gli utenti finali di internet e ai servizi di risoluzione autorevoli dei nomi di dominio. La presente direttiva non si applica ai server dei nomi radice (root name server).

Emendamento  16

 

Proposta di direttiva

Considerando 19

 

Testo della Commissione

Emendamento

(19) I fornitori di servizi postali ai sensi della direttiva 97/67/CE del Parlamento europeo e del Consiglio18, nonché i fornitori di servizi di corriere e di corriere espresso, dovrebbero essere soggetti alla presente direttiva se provvedono ad almeno una delle fasi della catena di consegna postale, in particolare la raccolta, lo smistamento o la distribuzione, compresi i servizi di ritiro. I servizi di trasporto che non sono forniti nell'ambito di una di tali fasi dovrebbero essere esclusi dall'ambito di applicazione dei servizi postali.

(19) I fornitori di servizi postali ai sensi della direttiva 97/67/CE del Parlamento europeo e del Consiglio18, nonché i fornitori di servizi di corriere e di corriere espresso, dovrebbero essere soggetti alla presente direttiva se provvedono ad almeno una delle fasi della catena di consegna postale, in particolare la raccolta, lo smistamento o la distribuzione, compresi i servizi di ritiro, tenendo conto del loro grado di dipendenza dalle reti e dai sistemi di informazione. I servizi di trasporto che non sono forniti nell'ambito di una di tali fasi dovrebbero essere esclusi dall'ambito di applicazione dei servizi postali.

__________________

__________________

18 Direttiva 97/67/CE del Parlamento europeo e del Consiglio, del 15 dicembre 1997, concernente regole comuni per lo sviluppo del mercato interno dei servizi postali comunitari e il miglioramento della qualità del servizio (GU L 15 del 21.1.1998, pag. 14).

18 Direttiva 97/67/CE del Parlamento europeo e del Consiglio, del 15 dicembre 1997, concernente regole comuni per lo sviluppo del mercato interno dei servizi postali comunitari e il miglioramento della qualità del servizio (GU L 15 del 21.1.1998, pag. 14).

Emendamento  17

 

Proposta di direttiva

Considerando 20

 

Testo della Commissione

Emendamento

(20) Queste crescenti interdipendenze sono il risultato di una rete di fornitura di servizi sempre più transfrontaliera e interdipendente che utilizza infrastrutture chiave in tutta l'Unione nei settori dell'energia, dei trasporti, delle infrastrutture digitali, delle acque potabili e reflue, della sanità, di determinati aspetti della pubblica amministrazione, nonché dello spazio, per quanto riguarda la fornitura di determinati servizi che dipendono da infrastrutture di terra possedute, gestite e utilizzate dagli Stati membri o da soggetti privati, ad esclusione, pertanto, delle infrastrutture possedute, gestite o utilizzate dall'Unione o per suo conto nell'ambito dei suoi programmi spaziali. Tali interdipendenze implicano che qualsiasi perturbazione, anche se inizialmente limitata a un soggetto o a un settore, possa avere effetti a cascata più ampi, con potenziali ripercussioni negative di ampia portata e di lunga durata sulla fornitura di servizi in tutto il mercato interno. La pandemia di COVID-19 ha mostrato la vulnerabilità delle nostre società sempre più interdipendenti di fronte a rischi di bassa probabilità.

(20) Queste crescenti interdipendenze sono il risultato di una rete di fornitura di servizi sempre più transfrontaliera e interdipendente che utilizza infrastrutture chiave in tutta l'Unione nei settori dell'energia, dei trasporti, delle infrastrutture digitali, delle acque potabili e reflue, della sanità, di determinati aspetti della pubblica amministrazione, nonché dello spazio, per quanto riguarda la fornitura di determinati servizi che dipendono da infrastrutture di terra possedute, gestite e utilizzate dagli Stati membri o da soggetti privati, ad esclusione, pertanto, delle infrastrutture possedute, gestite o utilizzate dall'Unione o per suo conto nell'ambito dei suoi programmi spaziali. Tali interdipendenze implicano che qualsiasi perturbazione, anche se inizialmente limitata a un soggetto o a un settore, possa avere effetti a cascata più ampi, con potenziali ripercussioni negative di ampia portata e di lunga durata sulla fornitura di servizi in tutto il mercato interno. Gli attacchi alle reti e ai sistemi informatici intensificatisi durante la pandemia di COVID-19 hanno mostrato la vulnerabilità delle nostre società sempre più interdipendenti di fronte a rischi di bassa probabilità.

Emendamento  18

 

Proposta di direttiva

Considerando 24

 

Testo della Commissione

Emendamento

(24) Gli Stati membri dovrebbero essere adeguatamente dotati delle capacità tecniche e organizzative necessarie a prevenire, rilevare e attenuare i rischi e gli incidenti a carico dei sistemi informatici e di rete, nonché a rispondervi. Gli Stati membri dovrebbero pertanto assicurare la disponibilità di CSIRT, anche noti come squadre di pronto intervento informatico ("CERT"), ben funzionanti e rispondenti a determinati requisiti essenziali, al fine di garantire l'esistenza di capacità efficaci e compatibili per far fronte ai rischi e agli incidenti e garantire un'efficiente collaborazione a livello dell'Unione. Al fine di rafforzare il rapporto di fiducia tra i soggetti e i CSIRT, nei casi in cui un CSIRT faccia parte dell'autorità competente, gli Stati membri dovrebbero prendere in considerazione la separazione funzionale tra i compiti operativi svolti dai CSIRT, in particolare per quanto riguarda la condivisione delle informazioni e il sostegno ai soggetti, e le attività di vigilanza delle autorità competenti.

(24) Gli Stati membri dovrebbero essere adeguatamente dotati delle capacità tecniche e organizzative necessarie a prevenire, rilevare e attenuare i rischi e gli incidenti a carico dei sistemi informatici e di rete, nonché a rispondervi. Gli Stati membri dovrebbero pertanto designare uno o più CSIRT nel quadro della presente direttiva e assicurare che siano ben funzionanti e rispondenti a determinati requisiti essenziali, al fine di garantire l'esistenza di capacità efficaci e compatibili per far fronte ai rischi e agli incidenti e garantire un'efficiente collaborazione a livello dell'Unione. Gli Stati membri possono designare quali CSIRT squadre di pronto intervento informatico ("CERT") esistenti. Al fine di rafforzare il rapporto di fiducia tra i soggetti e i CSIRT, nei casi in cui un CSIRT faccia parte dell'autorità competente, gli Stati membri dovrebbero prendere in considerazione la separazione funzionale tra i compiti operativi svolti dai CSIRT, in particolare per quanto riguarda la condivisione delle informazioni e il sostegno ai soggetti, e le attività di vigilanza delle autorità competenti.

Emendamento  19

 

Proposta di direttiva

Considerando 25

 

Testo della Commissione

Emendamento

(25) Per quanto riguarda i dati personali, i CSIRT dovrebbero essere in grado di fornire, in conformità al regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio19 per quanto riguarda i dati personali, per conto e su richiesta di un soggetto a norma della presente direttiva, una scansione proattiva dei sistemi informatici e di rete utilizzati per la fornitura dei suoi servizi. Gli Stati membri dovrebbero mirare a garantire un pari livello di capacità tecniche per tutti i CSIRT settoriali. Gli Stati membri possono chiedere l'assistenza dell'Agenzia dell'Unione europea per la cibersicurezza (ENISA) nello sviluppo di CSIRT nazionali.

(25) Per quanto riguarda i dati personali, i CSIRT dovrebbero essere in grado di fornire, in conformità al regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio19 per quanto riguarda i dati personali, per conto e su richiesta di un soggetto a norma della presente direttiva, o, in caso di grave minaccia alla sicurezza nazionale, una scansione proattiva dei sistemi informatici e di rete utilizzati per la fornitura dei suoi servizi. Gli Stati membri dovrebbero mirare a garantire un pari livello di capacità tecniche per tutti i CSIRT settoriali. Gli Stati membri possono chiedere l'assistenza dell'Agenzia dell'Unione europea per la cibersicurezza (ENISA) nello sviluppo di CSIRT nazionali.

__________________

__________________

19 Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU L 119 del 4.5.2016, pag. 1).

19 Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU L 119 del 4.5.2016, pag. 1).

Emendamento  20

 

Proposta di direttiva

Considerando 25 bis (nuovo)

 

Testo della Commissione

Emendamento

 

(25 bis) Un CSIRT dovrebbe avere la capacità, su richiesta di un soggetto, di individuare, gestire e monitorare continuamente tutte le risorse connesse a Internet, sia in loco che a distanza, per comprendere il loro rischio organizzativo generale per le compromissioni della catena di approvvigionamento individuate di recente o le vulnerabilità critiche. Il fatto di sapere se un soggetto gestisca un'interfaccia di gestione privilegiata influisce sulla velocità con cui sono intraprese le azioni di attenuazione.

Emendamento  21

 

Proposta di direttiva

Considerando 26

 

Testo della Commissione

Emendamento

(26) Data l'importanza della cooperazione internazionale in materia di cibersicurezza, i CSIRT dovrebbero poter partecipare a reti di cooperazione internazionale, oltre alla rete di CSIRT istituita dalla presente direttiva.

(26) Data l'importanza della cooperazione internazionale in materia di cibersicurezza, i CSIRT dovrebbero poter partecipare a reti di cooperazione internazionale, anche con CSIRT di paesi terzi laddove lo scambio di informazioni sia reciproco e vada a beneficio della sicurezza dei cittadini e dei soggetti, oltre alla rete di CSIRT istituita dalla presente direttiva al fine di contribuire all'elaborazione di norme dell'Unione che possano strutturare il contesto della cibersicurezza a livello internazionale. Gli Stati membri potrebbero anche esaminare la possibilità di intensificare la cooperazione con i paesi partner che condividono gli stessi principi e con le organizzazioni internazionali, allo scopo di garantire accordi multilaterali su norme informatiche, un comportamento responsabile da parte degli attori statali e non statali nel ciberspazio, una governance digitale globale efficace nonché creare un ciberspazio aperto, libero, stabile e sicuro basato sul diritto internazionale.

Emendamento  22

 

Proposta di direttiva

Considerando 26 bis (nuovo)

 

Testo della Commissione

Emendamento

 

(26 bis) Le politiche di igiene informatica pongono le fondamenta per la protezione delle infrastrutture delle reti e dei sistemi di informazione, dell'hardware, del software e della sicurezza delle applicazioni online, nonché dei dati aziendali o degli utenti finali su cui si basano i soggetti. Le politiche di igiene informatica, che comprendono uno scenario di riferimento comune delle pratiche, tra cui, ma non solo, gli aggiornamenti del software e dell'hardware, i cambi di password, la gestione delle nuove installazioni, la limitazione degli account di accesso a livello di amministratore e il backup dei dati, consentono un quadro proattivo di preparazione e sicurezza e protezione generale in caso di incidenti o minacce. L'ENISA dovrebbe monitorare e valutare le politiche di igiene informatica degli Stati membri ed esaminare sistemi a livello dell'Unione per consentire controlli transfrontalieri che garantiscano l'equivalenza indipendentemente dai requisiti degli Stati membri.

Emendamento  23

 

Proposta di direttiva

Considerando 26 ter (nuovo)

 

Testo della Commissione

Emendamento

 

(26 ter) L'utilizzo dell'intelligenza artificiale (IA) nella cibersicurezza ha il potenziale di migliorare il rilevamento e di arrestare gli attacchi nei confronti delle reti e dei sistemi di informazione, consentendo di dirottare le risorse verso attacchi più sofisticati. Gli Stati membri dovrebbero pertanto incoraggiare, nelle loro strategie nazionali, l'utilizzo di strumenti (semi)automatizzati nella cibersicurezza e la condivisione dei dati necessari per formare e migliorare gli strumenti automatizzati nella cibersicurezza. Al fine di attenuare i rischi di interferenze indebite con i diritti e le libertà delle persone fisiche che i sistemi basati sull'IA potrebbero comportare, si applicano i requisiti relativi alla protezione dei dati fin dalla progettazione e per impostazione predefinita di cui all'articolo 25 del regolamento (UE) 2016/679. L'integrazione di garanzie adeguate quali la pseudonimizzazione, la cifratura, l'accuratezza e la minimizzazione dei dati potrebbe inoltre attenuare tali rischi.

Emendamento  24

 

Proposta di direttiva

Considerando 26 quater (nuovo)

 

Testo della Commissione

Emendamento

 

(26 quater) Gli strumenti e le applicazioni di cibersicurezza open source possono contribuire a un livello più elevato di trasparenza e avere un impatto positivo sull'efficienza dell'innovazione industriale. Le norme aperte facilitano l'interoperabilità tra gli strumenti di sicurezza, a vantaggio della sicurezza dei portatori di interessi industriali. Gli strumenti e le applicazioni open source in materia di cibersicurezza possono mobilitare la più ampia comunità di sviluppatori, consentendo ai soggetti di perseguire strategie di diversificazione dei fornitori e di sicurezza aperte. Una sicurezza aperta può portare a un processo di verifica più trasparente degli strumenti connessi alla cibersicurezza e a un processo di individuazione delle vulnerabilità guidato dalla comunità. Gli Stati membri dovrebbero pertanto promuovere l'adozione di software open source e standard aperti, perseguendo politiche relative all'uso di dati aperti e open source come parte della sicurezza attraverso la trasparenza. Le politiche che promuovono l'adozione e l'uso sostenibile di strumenti di sicurezza informatica open source rivestono particolare importanza per le piccole e medie imprese (PMI) che devono sostenere notevoli costi per l'attuazione, che potrebbero essere minimizzati riducendo la necessità di applicazioni o strumenti specifici.

Emendamento  25

 

Proposta di direttiva

Considerando 26 quinquies (nuovo)

 

Testo della Commissione

Emendamento

 

(26 quinquies)  I partenariati pubblico-privato (PPP) nel campo della cibersicurezza possono fornire il giusto quadro per lo scambio di conoscenze, la condivisione delle migliori pratiche e la creazione di un livello comune di comprensione tra tutti i portatori di interessi. Gli Stati membri dovrebbero adottare politiche alla base dell'istituzione di PPP specifici della cibersicurezza nell'ambito delle loro strategie nazionali per la cibersicurezza. Tali politiche dovrebbero chiarire, tra l'altro, l'ambito di applicazione e i portatori di interessi coinvolti, il modello di governance, le opzioni di finanziamento disponibili e l'interazione tra i portatori di interessi partecipanti. I PPP possono sfruttare le competenze dei soggetti del settore privato per sostenere le autorità competenti degli Stati membri nello sviluppo di servizi e processi all'avanguardia, compresi, ma non solo, lo scambio di informazioni, i preallarmi, le esercitazioni su minacce e incidenti informatici, la gestione delle crisi e la pianificazione della resilienza.

Emendamento  26

 

Proposta di direttiva

Considerando 27

 

Testo della Commissione

Emendamento

(27) Conformemente all'allegato della raccomandazione (UE) 2017/1584 della Commissione relativa alla risposta coordinata agli incidenti e alle crisi di cibersicurezza su vasta scala ("programma")20, per incidente su vasta scala si dovrebbe intendere un incidente che ha un impatto significativo su almeno due Stati membri o che causa perturbazioni che superano la capacità di risposta di uno Stato membro. A seconda della loro causa e del loro impatto, gli incidenti su vasta scala possono aggravarsi e trasformarsi in vere e proprie crisi che non consentono il corretto funzionamento del mercato interno. Data l'ampia portata e, nella maggior parte dei casi, la natura transfrontaliera di tali incidenti, gli Stati membri e le istituzioni, gli organismi e le agenzie pertinenti dell'Unione dovrebbero cooperare a livello tecnico, operativo e politico per coordinare adeguatamente la risposta in tutta l'Unione.

(27) Conformemente all'allegato della raccomandazione (UE) 2017/1584 della Commissione relativa alla risposta coordinata agli incidenti e alle crisi di cibersicurezza su vasta scala ("programma")20, per incidente su vasta scala si dovrebbe intendere un incidente che ha un impatto significativo su almeno due Stati membri o che causa perturbazioni che superano la capacità di risposta di uno Stato membro. A seconda della loro causa e del loro impatto, gli incidenti su vasta scala possono aggravarsi e trasformarsi in vere e proprie crisi che non consentono il corretto funzionamento del mercato interno o che comportano gravi rischi di pubblica sicurezza in svariati Stati membri o nell'intera Unione. Data l'ampia portata e, nella maggior parte dei casi, la natura transfrontaliera di tali incidenti, gli Stati membri e le istituzioni, gli organismi e le agenzie pertinenti dell'Unione dovrebbero cooperare a livello tecnico, operativo e politico per coordinare adeguatamente la risposta in tutta l'Unione.

__________________

__________________

20 Raccomandazione (UE) 2017/1584 della Commissione, del 13 settembre 2017, relativa alla risposta coordinata agli incidenti e alle crisi di cibersicurezza su vasta scala (GU L 239 del 19.9.2017, pag. 36).

20 Raccomandazione (UE) 2017/1584 della Commissione, del 13 settembre 2017, relativa alla risposta coordinata agli incidenti e alle crisi di cibersicurezza su vasta scala (GU L 239 del 19.9.2017, pag. 36).

Emendamento  27

 

Proposta di direttiva

Considerando 27 bis (nuovo)

 

Testo della Commissione

Emendamento

 

(27 bis) Gli Stati membri dovrebbero, nelle loro strategie nazionali per la cibersicurezza, rispondere alle esigenze specifiche in materia di cibersicurezza delle PMI. Le PMI rappresentano, nel contesto dell'Unione, un'ampia percentuale del mercato industriale e commerciale e spesso faticano ad adattarsi alle nuove pratiche commerciali in un mondo maggiormente connesso, che naviga nell'ambiente digitale, con dipendenti che lavorano da casa e imprese che sono gestite in misura crescente online. Alcune PMI si confrontano con sfide specifiche in materia di cibersicurezza, come la scarsa consapevolezza informatica, la mancanza di sicurezza informatica a distanza, l'elevato costo delle soluzioni di cibersicurezza e l'aumento del livello di minaccia, dovuto ad esempio ai ransomware, aspetti in relazione ai quali dovrebbero ricevere orientamenti e sostegno. Gli Stati membri dovrebbero disporre di un punto di contatto unico per la cibersicurezza rivolto alle PMI, che fornisca a queste ultime orientamenti e sostegno o che le indirizzi a soggetti idonei a fornire loro orientamenti e sostegno su questioni connesse alla cibersicurezza. Gli Stati membri sono incoraggiati a offrire anche servizi quali la configurazione e la registrazione di siti web, che abilitino le piccole imprese e le microimprese che non dispongono di tali capacità.

Emendamento  28

 

Proposta di direttiva

Considerando 27 ter (nuovo)

 

Testo della Commissione

Emendamento

 

(27 ter) Gli Stati membri dovrebbero adottare politiche volte a promuovere la ciberdifesa attiva nell'ambito delle loro strategie nazionali per la cibersicurezza. La ciberdifesa attiva consiste nel prevenire, individuare, monitorare, analizzare e attenuare in maniera proattiva le violazioni della sicurezza della rete, in combinazione con il ricorso a capacità predisposte all'interno e all'esterno della rete vittima. La capacità di condividere e comprendere in modo rapido e automatico informazioni e analisi riguardanti le minacce, segnalazioni di attività informatiche e azioni di risposta è fondamentale per consentire un'unità di sforzi al fine di individuare, prevenire e affrontare con successo gli attacchi informatici nei confronti delle reti e dei sistemi di informazione. La ciberdifesa attiva si basa su una strategia difensiva, che esclude le misure offensive contro le infrastrutture civili critiche.

Emendamento  29

 

Proposta di direttiva

Considerando 28

 

Testo della Commissione

Emendamento

(28) Poiché lo sfruttamento delle vulnerabilità nei sistemi informatici e di rete può causare perturbazioni e danni significativi, la rapida individuazione e correzione di tali vulnerabilità è un fattore importante per la riduzione dei rischi di cibersicurezza. I soggetti che sviluppano tali sistemi dovrebbero pertanto stabilire procedure adeguate per gestire le vulnerabilità nel momento in cui vengono scoperte. Poiché le vulnerabilità sono spesso rilevate e segnalate (divulgate) da terzi (soggetti segnalanti), il fabbricante o fornitore di prodotti o servizi TIC dovrebbe anche mettere in atto le procedure necessarie per ricevere informazioni sulla vulnerabilità da terzi. A tale riguardo, le norme internazionali ISO/IEC 30111 e ISO/IEC 29417 forniscono rispettivamente orientamenti sulla gestione delle vulnerabilità e sulla divulgazione delle vulnerabilità. Per quanto riguarda la divulgazione delle vulnerabilità, è particolarmente importante il coordinamento tra i soggetti segnalanti e i fabbricanti o fornitori di prodotti o servizi TIC. La divulgazione coordinata delle vulnerabilità consiste in un processo strutturato attraverso il quale le vulnerabilità sono segnalate alle organizzazioni in modo tale da consentire a queste ultime di diagnosticarle ed eliminarle prima che informazioni dettagliate in merito siano divulgate a terzi o al pubblico. La divulgazione coordinata delle vulnerabilità dovrebbe comprendere anche il coordinamento tra il soggetto segnalante e l'organizzazione per quanto riguarda i tempi per la risoluzione e la pubblicazione delle vulnerabilità.

(28) Poiché lo sfruttamento delle vulnerabilità nei sistemi informatici e di rete può causare perturbazioni e danni significativi, la rapida individuazione e correzione di tali vulnerabilità è un fattore importante per la riduzione dei rischi di cibersicurezza. I soggetti che sviluppano tali sistemi dovrebbero pertanto stabilire procedure adeguate per gestire le vulnerabilità nel momento in cui vengono scoperte. Poiché le vulnerabilità sono spesso rilevate e segnalate (divulgate) da terzi (soggetti segnalanti), il fabbricante o fornitore di prodotti o servizi TIC dovrebbe anche mettere in atto le procedure necessarie per ricevere informazioni sulla vulnerabilità da terzi. A tale riguardo, le norme internazionali ISO/IEC 30111 e ISO/IEC 29417 forniscono rispettivamente orientamenti sulla gestione delle vulnerabilità e sulla divulgazione delle vulnerabilità. Al fine di facilitare il contesto della divulgazione volontaria delle vulnerabilità, è particolarmente importante rafforzare il coordinamento tra i soggetti segnalanti e i fabbricanti o fornitori di prodotti o servizi TIC. La divulgazione coordinata delle vulnerabilità consiste in un processo strutturato attraverso il quale le vulnerabilità sono segnalate alle organizzazioni in modo tale da consentire a queste ultime di diagnosticarle ed eliminarle prima che informazioni dettagliate in merito siano divulgate a terzi o al pubblico. La divulgazione coordinata delle vulnerabilità dovrebbe comprendere anche il coordinamento tra il soggetto segnalante e l'organizzazione per quanto riguarda i tempi per la risoluzione e la pubblicazione delle vulnerabilità.

Emendamento  30

 

Proposta di direttiva

Considerando 28 bis (nuovo)

 

Testo della Commissione

Emendamento

 

(28 bis) La Commissione, l'ENISA e gli Stati membri dovrebbero continuare a promuovere l'allineamento su scala internazionale agli standard e alle migliori prassi industriali esistenti nel settore della gestione dei rischi, ad esempio nei settori delle valutazioni della sicurezza della catena di approvvigionamento, della condivisione delle informazioni e della divulgazione delle vulnerabilità.

Emendamento  31

 

Proposta di direttiva

Considerando 29

 

Testo della Commissione

Emendamento

(29) Gli Stati membri dovrebbero pertanto adottare misure volte a facilitare la divulgazione coordinata delle vulnerabilità stabilendo una politica nazionale pertinente. A tale riguardo, gli Stati membri dovrebbero designare un CSIRT che assuma il ruolo di "coordinatore", fungendo da intermediario tra i soggetti segnalanti e i fabbricanti o fornitori di prodotti o servizi TIC ove necessario. I compiti del CSIRT coordinatore dovrebbero comprendere in particolare l'individuazione e il contatto dei soggetti interessati, il sostegno ai soggetti segnalanti, la negoziazione dei tempi di divulgazione e la gestione delle vulnerabilità che interessano più organizzazioni (divulgazione multilaterale di vulnerabilità). Qualora le vulnerabilità interessino più fabbricanti o fornitori di prodotti o servizi TIC stabiliti in più di uno Stato membro, i CSIRT designati di ciascuno degli Stati membri interessati dovrebbero cooperare nell'ambito della rete di CSIRT.

(29) Gli Stati membri, in cooperazione con l'ENISA, dovrebbero pertanto adottare misure volte a facilitare la divulgazione coordinata delle vulnerabilità stabilendo una politica nazionale pertinente. Nell'ambito di tale politica nazionale, gli Stati membri dovrebbero affrontare i problemi incontrati da chi cerca di individuare le vulnerabilità. In alcuni Stati membri, le entità e le persone fisiche che effettuano ricerche sulle vulnerabilità possono essere esposte alla responsabilità penale e civile. Gli Stati membri sono pertanto incoraggiati a emanare orientamenti per quanto riguarda il non perseguimento della ricerca in materia di sicurezza delle informazioni e l'esenzione dalla responsabilità civile per tali attività.

Emendamento  32

 

Proposta di direttiva

Considerando 29 bis (nuovo)

 

Testo della Commissione

Emendamento

 

(29 bis) Gli Stati membri dovrebbero designare un CSIRT che assuma il ruolo di "coordinatore", fungendo da intermediario tra i soggetti segnalanti e i fabbricanti o fornitori di prodotti o servizi TIC suscettibili di essere interessati dalle vulnerabilità, ove necessario. I compiti del CSIRT coordinatore dovrebbero comprendere in particolare l'individuazione e il contatto dei soggetti interessati, il sostegno ai soggetti segnalanti, la negoziazione dei tempi di divulgazione e la gestione delle vulnerabilità che interessano più organizzazioni (divulgazione multilaterale di vulnerabilità). Qualora le vulnerabilità interessino più fabbricanti o fornitori di prodotti o servizi TIC stabiliti in più di uno Stato membro, i CSIRT designati di ciascuno degli Stati membri interessati dovrebbero cooperare nell'ambito della rete di CSIRT.

Emendamento  33

 

Proposta di direttiva

Considerando 30

 

Testo della Commissione

Emendamento

(30) L'accesso a informazioni corrette e tempestive sulle vulnerabilità che interessano i prodotti e i servizi TIC contribuisce a una migliore gestione dei rischi di cibersicurezza. A tale riguardo le fonti di informazioni pubblicamente disponibili sulle vulnerabilità sono uno strumento importante per i soggetti e i loro utenti, ma anche per le autorità nazionali competenti e i CSIRT. Per questo motivo l'ENISA dovrebbe istituire un registro delle vulnerabilità in cui i soggetti essenziali e importanti e i loro fornitori, nonché i soggetti che non rientrano nell'ambito di applicazione della presente direttiva, possano, su base volontaria, divulgare le vulnerabilità e fornire informazioni su di esse che consentano agli utenti di adottare adeguate misure di attenuazione.

(30) L'accesso a informazioni corrette e tempestive sulle vulnerabilità che interessano i prodotti e i servizi TIC contribuisce a una migliore gestione dei rischi di cibersicurezza. Le fonti di informazioni pubblicamente disponibili sulle vulnerabilità sono uno strumento importante per i soggetti e i loro utenti, ma anche per le autorità nazionali competenti e i CSIRT. Per questo motivo l'ENISA dovrebbe istituire una banca dati delle vulnerabilità in cui i soggetti essenziali e importanti e i loro fornitori, nonché i soggetti che non rientrano nell'ambito di applicazione della presente direttiva, possano, su base volontaria, divulgare le vulnerabilità e fornire informazioni su di esse che consentano agli utenti di adottare adeguate misure di attenuazione. Lo scopo di tale banca dati è affrontare le sfide uniche poste dai rischi di cibersicurezza per i soggetti europei. Inoltre, l'ENISA dovrebbe istituire una procedura responsabile relativamente al processo di pubblicazione, al fine di dare ai soggetti il tempo di adottare misure di attenuazione per quanto riguarda le loro vulnerabilità e utilizzare le più avanzate misure di cibersicurezza, nonché le serie di dati leggibili meccanicamente e le corrispondenti interfacce (API). Per incoraggiare una cultura della divulgazione delle vulnerabilità, una divulgazione non dovrebbe andare a scapito del soggetto segnalante.

Emendamento  34

 

Proposta di direttiva

Considerando 31

 

Testo della Commissione

Emendamento

(31) Sebbene simili registri o banche dati delle vulnerabilità esistano già, questi sono ospitati e mantenuti da soggetti non stabiliti nell'Unione. Un registro europeo delle vulnerabilità mantenuto dall'ENISA garantirebbe una maggiore trasparenza, per quanto riguarda la procedura di pubblicazione prima della divulgazione ufficiale della vulnerabilità, e resilienza in caso di perturbazioni o interruzioni nella fornitura di servizi analoghi. Per evitare la duplicazione degli sforzi e perseguire, nella misura del possibile, la complementarità, l'ENISA dovrebbe valutare la possibilità di concludere accordi di cooperazione strutturata con registri simili nelle giurisdizioni di paesi terzi.

(31) La banca dati europea delle vulnerabilità mantenuta dall'ENISA dovrebbe sfruttare il registro comune delle vulnerabilità e delle esposizioni usandone il quadro per l'individuazione, la tracciabilità e il rilevamento delle vulnerabilità. Inoltre, l'ENISA dovrebbe valutare la possibilità di concludere accordi di cooperazione strutturata con altri registri o banche dati simili nell'ambito delle giurisdizioni di paesi terzi, per evitare la duplicazione degli sforzi e perseguire la complementarità.

Emendamento  35

 

Proposta di direttiva

Considerando 33

 

Testo della Commissione

Emendamento

(33) Nell'elaborare i documenti di orientamento, il gruppo di cooperazione dovrebbe sistematicamente: mappare le soluzioni e le esperienze nazionali, valutare l'impatto dei risultati del gruppo di cooperazione per quanto riguarda gli approcci nazionali, discutere le sfide in materia di attuazione e formulare raccomandazioni specifiche da realizzare attraverso una migliore attuazione delle norme esistenti.

(33) Nell'elaborare i documenti di orientamento, il gruppo di cooperazione dovrebbe sistematicamente: mappare le soluzioni e le esperienze nazionali, valutare l'impatto dei risultati del gruppo di cooperazione per quanto riguarda gli approcci nazionali, discutere le sfide in materia di attuazione e formulare raccomandazioni specifiche, in particolare per quanto riguarda l'agevolazione dell'armonizzazione nel recepimento della presente direttiva tra gli Stati membri, da realizzare attraverso una migliore attuazione delle norme esistenti. Il gruppo di cooperazione dovrebbe anche mappare le soluzioni nazionali al fine di promuovere la compatibilità delle soluzioni di cibersicurezza applicate a ciascun settore specifico in tutta l'Unione. Ciò è particolarmente pertinente per i settori che hanno natura internazionale e transfrontaliera.

Emendamento  36

 

Proposta di direttiva

Considerando 34

 

Testo della Commissione

Emendamento

(34) Il gruppo di cooperazione dovrebbe rimanere un forum flessibile ed essere in grado di reagire alle nuove e mutevoli priorità strategiche e alle sfide, tenendo conto nel contempo della disponibilità di risorse. Esso dovrebbe organizzare riunioni congiunte periodiche con i pertinenti portatori di interessi del settore privato di tutta l'Unione per discutere le attività svolte dal gruppo e raccogliere contributi sulle sfide strategiche emergenti. Al fine di rafforzare la cooperazione a livello dell'Unione, il gruppo dovrebbe prendere in considerazione la possibilità di invitare a partecipare ai suoi lavori organismi e agenzie dell'Unione coinvolti nella politica in materia di cibersicurezza, quali il Centro europeo per la lotta alla criminalità informatica (EC3), l'Agenzia dell'Unione europea per la sicurezza aerea (AESA) e l'Agenzia dell'Unione europea per il programma spaziale (EUSPA).

(34) Il gruppo di cooperazione dovrebbe rimanere un forum flessibile ed essere in grado di reagire alle nuove e mutevoli priorità strategiche e alle sfide, tenendo conto nel contempo della disponibilità di risorse. Esso dovrebbe organizzare riunioni congiunte periodiche con i pertinenti portatori di interessi del settore privato di tutta l'Unione per discutere le attività svolte dal gruppo e raccogliere contributi sulle sfide strategiche emergenti. Al fine di rafforzare la cooperazione a livello dell'Unione, il gruppo dovrebbe invitare a partecipare ai suoi lavori pertinenti organismi e agenzie dell'Unione coinvolti nella politica in materia di cibersicurezza, quali Europol, l'Agenzia dell'Unione europea per la sicurezza aerea (AESA) e l'Agenzia dell'Unione europea per il programma spaziale (EUSPA).

Emendamento  37

 

Proposta di direttiva

Considerando 35

 

Testo della Commissione

Emendamento

(35) Le autorità competenti e i CSIRT dovrebbero avere la facoltà di partecipare a programmi di scambio per funzionari di altri Stati membri al fine di migliorare la cooperazione. Le autorità competenti dovrebbero adottare le misure necessarie per consentire a funzionari di altri Stati membri di svolgere un ruolo efficace nelle attività dell'autorità competente ospitante.

(35) Le autorità competenti e i CSIRT dovrebbero avere la facoltà di partecipare a programmi di scambio per funzionari di altri Stati membri, nel quadro di norme e meccanismi strutturati a sostegno dell'ambito di applicazione e, se del caso, del necessario nulla osta di sicurezza dei funzionari che partecipano a tali programmi di scambio, al fine di migliorare la cooperazione e rafforzare la fiducia tra gli Stati membri. Le autorità competenti dovrebbero adottare le misure necessarie per consentire a funzionari di altri Stati membri di svolgere un ruolo efficace nelle attività dell'autorità competente ospitante o del CSIRT.

Emendamento  38

 

Proposta di direttiva

Considerando 36

 

Testo della Commissione

Emendamento

(36) Ove opportuno l'Unione dovrebbe concludere accordi internazionali, in conformità all'articolo 218 TFUE, con paesi terzi o organizzazioni internazionali, che consentano e organizzino la loro partecipazione ad alcune delle attività del gruppo di cooperazione e della rete di CSIRT. Tali accordi dovrebbero garantire un'adeguata protezione dei dati.

(36) Ove opportuno l'Unione dovrebbe concludere accordi internazionali, in conformità all'articolo 218 TFUE, con paesi terzi o organizzazioni internazionali, che consentano e organizzino la loro partecipazione ad alcune delle attività del gruppo di cooperazione e della rete di CSIRT. Tali accordi dovrebbero garantire gli interessi dell'Unione e un'adeguata protezione dei dati. Ciò non esclude il diritto degli Stati membri di cooperare con paesi terzi che condividono gli stessi principi sulla gestione delle vulnerabilità e sulla gestione dei rischi di cibersicurezza, agevolando la segnalazione e la condivisione delle informazioni generali in conformità al diritto dell'Unione.

Emendamento  39

 

Proposta di direttiva

Considerando 38

 

Testo della Commissione

Emendamento

(38) Ai fini della presente direttiva, il termine "rischio" dovrebbe riferirsi alla potenziale perdita o perturbazione causata da un incidente di cibersicurezza e dovrebbe essere espresso come combinazione dell'entità di tale perdita o perturbazione e della probabilità che si verifichi tale incidente.

soppresso

Emendamento  40

 

Proposta di direttiva

Considerando 39

 

Testo della Commissione

Emendamento

(39) Ai fini della presente direttiva, l'espressione "quasi incidente" (near miss) dovrebbe riferirsi a un evento che avrebbe potenzialmente potuto causare un danno, ma che è stato efficacemente evitato prima che si verificasse.

soppresso

Emendamento  41

 

Proposta di direttiva

Considerando 40

 

Testo della Commissione

Emendamento

(40) Le misure di gestione dei rischi dovrebbero comprendere misure per individuare eventuali rischi di incidenti, per prevenire, rilevare e gestire incidenti, nonché per attenuarne l'impatto. La sicurezza dei sistemi informatici e di rete dovrebbe comprendere la sicurezza dei dati conservati, trasmessi e elaborati.

(40) Le misure di gestione dei rischi dovrebbero comprendere misure per individuare eventuali rischi di incidenti, per prevenire e rilevare incidenti, fornirvi una risposta e riprendersi da essi, nonché per attenuarne l'impatto. La sicurezza dei sistemi informatici e di rete dovrebbe comprendere la sicurezza dei dati conservati, trasmessi e elaborati. Tali sistemi dovrebbero prevedere un'analisi sistemica, scomponendo i vari processi e le interazioni tra i sottosistemi nonché tenendo conto del fattore umano, al fine di avere un quadro completo della sicurezza del sistema informativo.

Emendamento  42

 

Proposta di direttiva

Considerando 41

 

Testo della Commissione

Emendamento

(41) Per evitare di imporre un onere finanziario e amministrativo sproporzionato ai soggetti essenziali e importanti, gli obblighi di gestione dei rischi di cibersicurezza dovrebbero essere proporzionati al rischio corso dal sistema informatico e di rete interessato, tenendo conto dello stato dell'arte di tali misure.

(41) Per evitare di imporre un onere finanziario e amministrativo sproporzionato ai soggetti essenziali e importanti, gli obblighi di gestione dei rischi di cibersicurezza dovrebbero essere proporzionati al rischio corso dal sistema informatico e di rete interessato, tenendo conto dello stato dell'arte di tali misure e di norme europee o internazionali quali ISO31000 e ISO/IEC 27005.

Emendamento  43

 

Proposta di direttiva

Considerando 43

 

Testo della Commissione

Emendamento

(43) Affrontare i rischi di cibersicurezza derivanti dalla catena di approvvigionamento di un soggetto e dalla sua relazione con i fornitori è particolarmente importante data la prevalenza di incidenti in cui i soggetti sono rimasti vittime di attacchi informatici e in cui i responsabili di atti malevoli sono stati in grado di compromettere la sicurezza dei sistemi informatici e di rete di un soggetto sfruttando le vulnerabilità che interessano prodotti e servizi di terzi. I soggetti dovrebbero pertanto valutare e tenere in considerazione la qualità complessiva dei prodotti e delle pratiche di cibersicurezza dei loro fornitori e fornitori di servizi, comprese le loro procedure di sviluppo sicuro.

(43) Affrontare i rischi di cibersicurezza derivanti dalla catena di approvvigionamento di un soggetto e dalla sua relazione con i fornitori, ad esempio i fornitori di servizi di conservazione ed elaborazione dei dati o di servizi di sicurezza gestiti, è particolarmente importante data la prevalenza di incidenti in cui i soggetti sono rimasti vittime di attacchi contro i sistemi informatici e di rete, e in cui i responsabili di atti malevoli sono stati in grado di compromettere la sicurezza dei sistemi informatici e di rete di un soggetto sfruttando le vulnerabilità che interessano prodotti e servizi di terzi. I soggetti dovrebbero pertanto valutare e tenere in considerazione la qualità e la resilienza complessive dei prodotti e dei servizi, delle misure di cibersicurezza in essi integrate e delle pratiche di cibersicurezza dei loro fornitori e fornitori di servizi, comprese le loro procedure di sviluppo sicuro. In particolare, i soggetti dovrebbero essere incoraggiati a integrare misure di cibersicurezza negli accordi contrattuali con i loro fornitori e fornitori di servizi di primo livello. I soggetti potrebbero prendere in considerazione i rischi di cibersicurezza derivanti da altri livelli di fornitori e fornitori di servizi.

Emendamento  44

 

Proposta di direttiva

Considerando 44

 

Testo della Commissione

Emendamento

(44) Tra i fornitori di servizi, i fornitori di servizi di sicurezza gestiti (managed security services providers, MSSP) in settori quali la risposta agli incidenti, i test di penetrazione, gli audit di sicurezza e la consulenza svolgono un ruolo particolarmente importante nell'assistere i soggetti nei loro sforzi per il rilevamento degli incidenti e la risposta agli stessi. Tali MSSP sono stati tuttavia essi stessi bersaglio di attacchi informatici e, a causa della loro stretta integrazione nelle attività degli operatori, presentano un particolare rischio di cibersicurezza. I soggetti dovrebbero pertanto esercitare una maggiore diligenza nella selezione di un MSSP.

(44) Tra i fornitori di servizi, i fornitori di servizi di sicurezza gestiti (managed security services providers, MSSP) in settori quali la risposta agli incidenti, i test di penetrazione, gli audit di sicurezza e la consulenza svolgono un ruolo particolarmente importante nell'assistere i soggetti nei loro sforzi per la prevenzione e il rilevamento degli incidenti, la risposta agli stessi o la ripresa da essi. Tali MSSP sono stati tuttavia essi stessi bersaglio di attacchi informatici e, a causa della loro stretta integrazione nelle attività degli operatori, presentano un particolare rischio di cibersicurezza. I soggetti dovrebbero pertanto esercitare una maggiore diligenza nella selezione di un MSSP.

Emendamento  45

 

Proposta di direttiva

Considerando 45

 

Testo della Commissione

Emendamento

(45) I soggetti dovrebbero inoltre affrontare i rischi di cibersicurezza derivanti dalle loro interazioni e relazioni con altri portatori di interessi nell'ambito di un ecosistema più ampio. In particolare, i soggetti dovrebbero adottare misure adeguate per garantire che la loro cooperazione con gli istituti accademici e di ricerca avvenga in linea con le loro politiche in materia di cibersicurezza e segua le buone pratiche per quanto riguarda l'accesso sicuro e la diffusione delle informazioni in generale e la tutela della proprietà intellettuale in particolare. Analogamente, data l'importanza e il valore dei dati per le attività dei soggetti, questi ultimi dovrebbero adottare tutte le opportune misure di cibersicurezza quando si affidano ai servizi di trasformazione e analisi dei dati forniti da terzi.

(45) I soggetti dovrebbero inoltre affrontare i rischi di cibersicurezza derivanti dalle loro interazioni e relazioni con altri portatori di interessi nell'ambito di un ecosistema più ampio, anche per contrastare lo spionaggio industriale e tutelare i segreti commerciali. In particolare, i soggetti dovrebbero adottare misure adeguate per garantire che la loro cooperazione con gli istituti accademici e di ricerca avvenga in linea con le loro politiche in materia di cibersicurezza e segua le buone pratiche per quanto riguarda l'accesso sicuro e la diffusione delle informazioni in generale e la tutela della proprietà intellettuale in particolare. Analogamente, data l'importanza e il valore dei dati per le attività dei soggetti, questi ultimi dovrebbero adottare tutte le opportune misure di cibersicurezza quando si affidano ai servizi di trasformazione e analisi dei dati forniti da terzi.

Emendamento  46

 

Proposta di direttiva

Considerando 45 bis (nuovo)

 

Testo della Commissione

Emendamento

 

(45 bis) I soggetti dovrebbero adottare un'ampia gamma di pratiche di igiene informatica di base quali un'architettura zero-trust, gli aggiornamenti del software, la configurazione dei dispositivi, la segmentazione della rete, la gestione dell'identità e dell'accesso o la sensibilizzazione degli utenti, e organizzare per il loro personale una formazione riguardo alle minacce informatiche della posta elettronica aziendale, al phishing o alle tecniche di ingegneria sociale. Inoltre, i soggetti dovrebbero valutare le proprie capacità di cibersicurezza e, se del caso, perseguire l'integrazione delle tecnologie per il rafforzamento della cibersicurezza basate sull'intelligenza artificiale o sui sistemi di apprendimento automatico per automatizzare le loro capacità e la protezione delle architetture di rete.

Emendamento  47

 

Proposta di direttiva

Considerando 46

 

Testo della Commissione

Emendamento

(46) Per affrontare ulteriormente i principali rischi relativi alla catena di approvvigionamento e aiutare i soggetti che operano nei settori disciplinati dalla presente direttiva a gestire adeguatamente i rischi di cibersicurezza connessi alla catena di approvvigionamento e ai fornitori, il gruppo di cooperazione, coinvolgendo le autorità nazionali competenti, in cooperazione con la Commissione e l'ENISA, dovrebbe effettuare valutazioni settoriali e coordinate dei rischi relativi alla catena di approvvigionamento, come già fatto per le reti 5G in seguito alla raccomandazione (UE) 2019/534 sulla cibersicurezza delle reti 5G21, al fine di individuare, per settore, quali sono i servizi, i sistemi o i prodotti TIC critici e le minacce e le vulnerabilità pertinenti.

(46) Per affrontare ulteriormente i principali rischi relativi alla catena di approvvigionamento e aiutare i soggetti che operano nei settori disciplinati dalla presente direttiva a gestire adeguatamente i rischi di cibersicurezza connessi alla catena di approvvigionamento e ai fornitori, il gruppo di cooperazione, coinvolgendo le autorità nazionali competenti, in cooperazione con la Commissione e l'ENISA, dovrebbe effettuare valutazioni coordinate dei rischi relativi alla catena di approvvigionamento, come già fatto per le reti 5G in seguito alla raccomandazione (UE) 2019/534 sulla cibersicurezza delle reti 5G21, al fine di individuare, per settore, quali sono i servizi, i sistemi o i prodotti TIC e ICS critici e le minacce e le vulnerabilità pertinenti. Dette valutazioni dei rischi dovrebbero individuare le misure, i piani di attenuazione e le migliori pratiche contro le dipendenze critiche, i potenziali singoli punti di fallimento, le minacce, le vulnerabilità e gli altri rischi associati alla catena di approvvigionamento, ed esplorare modalità per incoraggiare ulteriormente una loro più ampia adozione da parte dei soggetti. I potenziali fattori di rischio non tecnici, come l'indebita influenza di un paese terzo sui fornitori e i fornitori di servizi, in particolare nel caso di modelli alternativi di governance, includono vulnerabilità nascoste o backdoor e potenziali turbative sistemiche dell'approvvigionamento, segnatamente in caso di lock-in tecnologico o di dipendenza dal fornitore.

__________________

__________________

21 Raccomandazione (UE) 2019/534 della Commissione, del 26 marzo 2019, Cibersicurezza delle reti 5G (GU L 88 del 29.3.2019, pag. 42).

21 Raccomandazione (UE) 2019/534 della Commissione, del 26 marzo 2019, Cibersicurezza delle reti 5G (GU L 88 del 29.3.2019, pag. 42).

Emendamento  48

 

Proposta di direttiva

Considerando 47

 

Testo della Commissione

Emendamento

(47) Le valutazioni dei rischi relativi alla catena di approvvigionamento, alla luce delle caratteristiche del settore interessato, dovrebbero tenere conto dei fattori tecnici e, se opportuno, non tecnici, compresi quelli definiti nella raccomandazione (UE) 2019/534, nella valutazione dei rischi coordinata a livello dell'UE della sicurezza delle reti 5G e nel pacchetto di strumenti dell'UE sulla cibersicurezza del 5G concordato dal gruppo di cooperazione. Per individuare le catene di approvvigionamento che dovrebbero essere soggette a una valutazione coordinata dei rischi, dovrebbero essere presi in considerazione i seguenti criteri: i) la misura in cui i soggetti essenziali e importanti ricorrono e si affidano a specifici servizi, sistemi o prodotti TIC critici; ii) la pertinenza di specifici servizi, sistemi o prodotti TIC critici per lo svolgimento di funzioni critiche o sensibili, compreso il trattamento dei dati personali; iii) la disponibilità di servizi, sistemi o prodotti TIC alternativi; iv) la resilienza dell'intera catena di approvvigionamento di servizi, sistemi o prodotti TIC contro eventi perturbatori e v) per i servizi, sistemi o prodotti TIC emergenti, la loro potenziale importanza futura per le attività dei soggetti.

(47) Le valutazioni dei rischi relativi alla catena di approvvigionamento, alla luce delle caratteristiche del settore interessato, dovrebbero tenere conto dei fattori tecnici e, se opportuno, non tecnici, compresi quelli definiti nella raccomandazione (UE) 2019/534, nella valutazione dei rischi coordinata a livello dell'UE della sicurezza delle reti 5G e nel pacchetto di strumenti dell'UE sulla cibersicurezza del 5G concordato dal gruppo di cooperazione. Per individuare le catene di approvvigionamento che dovrebbero essere soggette a una valutazione coordinata dei rischi, dovrebbero essere presi in considerazione i seguenti criteri: i) la misura in cui i soggetti essenziali e importanti ricorrono e si affidano a specifici servizi, sistemi o prodotti TIC critici; ii) la pertinenza di specifici servizi, sistemi o prodotti TIC critici per lo svolgimento di funzioni critiche o sensibili, compreso il trattamento dei dati personali; iii) la disponibilità di servizi, sistemi o prodotti TIC alternativi; iv) la resilienza dell'intera catena di approvvigionamento di servizi, sistemi o prodotti TIC, durante tutto il loro ciclo di vita, contro eventi perturbatori e v) per i servizi, sistemi o prodotti TIC emergenti, la loro potenziale importanza futura per le attività dei soggetti. Inoltre, si dovrebbe porre un accento particolare sui servizi, i sistemi o i prodotti TIC che sono soggetti a requisiti specifici derivanti da paesi terzi.

Emendamento  49

 

Proposta di direttiva

Considerando 47 bis (nuovo)

 

Testo della Commissione

Emendamento

 

(47 bis) Il gruppo dei portatori di interessi per la certificazione della cibersicurezza, istituito a norma dell'articolo 22 del regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio1 bis, dovrebbe formulare un parere sulle valutazioni dei rischi per la sicurezza di specifiche catene di approvvigionamento critiche di servizi, sistemi o prodotti TIC e ICS. Il gruppo di cooperazione e l'ENISA dovrebbero tenere conto di tale parere.

 

__________________

 

1 bis Regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio, del 17 aprile 2019, relativo all'ENISA, l'Agenzia dell'Unione europea per la cibersicurezza, e alla certificazione della cibersicurezza per le tecnologie dell'informazione e della comunicazione, e che abroga il regolamento (UE) n. 526/2013 ("regolamento sulla cibersicurezza") (GU L 151 del 7.6.2019, pag. 15).

Emendamento  50

 

Proposta di direttiva

Considerando 50

 

Testo della Commissione

Emendamento

(50) Vista la crescente importanza dei servizi di comunicazione interpersonale indipendenti dal numero, è necessario assicurare che anche tali servizi siano soggetti ad adeguati requisiti di sicurezza in considerazione della loro specificità e della loro rilevanza economica. I fornitori di tali servizi dovrebbero pertanto garantire un livello di sicurezza dei sistemi informatici e di rete adeguato al rischio esistente. Dato che i fornitori di servizi di comunicazione interpersonale indipendenti dal numero solitamente non esercitano un controllo effettivo sulla trasmissione dei segnali sulle reti, il grado di rischio di tali servizi può essere considerato, per certi aspetti, inferiore a quello dei servizi di comunicazione elettronica tradizionali. Lo stesso vale per i servizi di comunicazione interpersonale che utilizzano numeri e che non esercitano un controllo effettivo sulla trasmissione dei segnali.

(50) Vista la crescente importanza dei servizi di comunicazione interpersonale indipendenti dal numero, è necessario assicurare che anche tali servizi siano soggetti ad adeguati requisiti di sicurezza in considerazione della loro specificità e della loro rilevanza economica. I fornitori di tali servizi dovrebbero pertanto garantire un livello di sicurezza dei sistemi informatici e di rete adeguato al rischio esistente. Dato che i fornitori di servizi di comunicazione interpersonale indipendenti dal numero solitamente non esercitano un controllo effettivo sulla trasmissione dei segnali sulle reti, il grado di rischio per la sicurezza della rete di tali servizi può essere considerato, per certi aspetti, inferiore a quello dei servizi di comunicazione elettronica tradizionali. Lo stesso vale per i servizi di comunicazione interpersonale che utilizzano numeri e che non esercitano un controllo effettivo sulla trasmissione dei segnali. Tuttavia, poiché la superficie di attacco continua ad ampliarsi, i servizi di comunicazione interpersonale indipendenti dal numero, compresa, ma non solo, la messaggistica dei social media, stanno diventando vettori di attacco diffusi. I responsabili di atti malevoli utilizzano piattaforme per comunicare e indurre le vittime ad aprire pagine web compromesse, aumentando così la probabilità di incidenti che interessano lo sfruttamento dei dati personali e, per estensione, la sicurezza dei sistemi informatici.

Emendamento  51

 

Proposta di direttiva

Considerando 51

 

Testo della Commissione

Emendamento

(51) Il mercato interno dipende più che mai dal funzionamento di Internet. I servizi di quasi tutti i soggetti essenziali e importanti dipendono dai servizi forniti via Internet. Al fine di garantire l'erogazione senza intoppi dei servizi forniti dai soggetti essenziali e importanti, è fondamentale che le reti pubbliche di comunicazione elettronica, quali ad esempio le dorsali Internet o i cavi di comunicazione sottomarini, dispongano di adeguate misure di cibersicurezza e segnalino gli incidenti connessi.

(51) Il mercato interno dipende più che mai dal funzionamento di Internet. I servizi di quasi tutti i soggetti essenziali e importanti dipendono dai servizi forniti via Internet. Al fine di garantire l'erogazione senza intoppi dei servizi forniti dai soggetti essenziali e importanti, è fondamentale che tutte le reti pubbliche di comunicazione elettronica, quali ad esempio le dorsali Internet o i cavi di comunicazione sottomarini, dispongano di adeguate misure di cibersicurezza e segnalino gli incidenti significativi connessi. Gli Stati membri dovrebbero garantire che l'integrità e la disponibilità di tali reti pubbliche di comunicazione elettronica siano mantenute e dovrebbero prendere in considerazione la necessità di proteggerle dal sabotaggio e dallo spionaggio di interessi vitali per la sicurezza. Gli Stati membri dovrebbero condividere attivamente le informazioni riguardanti gli incidenti, ad esempio sui cavi di comunicazione sottomarini.

Emendamento  52

 

Proposta di direttiva

Considerando 52

 

Testo della Commissione

Emendamento

(52) Ove opportuno, i soggetti dovrebbero informare i destinatari dei loro servizi di minacce particolari e significative e delle misure che possono adottare per attenuare i rischi che ne derivano. L'obbligo di informare tali destinatari in merito alle minacce non dovrebbe esonerare i soggetti dall'obbligo di adottare, a proprie spese, provvedimenti adeguati e immediati per prevenire eventuali minacce informatiche o porvi rimedio e ristabilire il normale livello di sicurezza del servizio. La fornitura ai destinatari di tali informazioni riguardanti le minacce alla sicurezza dovrebbe essere gratuita.

(52) Ove opportuno, i soggetti dovrebbero informare i destinatari dei loro servizi di minacce particolari e significative e delle misure che possono adottare per attenuare i rischi che ne derivano. Ciò non dovrebbe esonerare i soggetti dall'obbligo di adottare, a proprie spese, provvedimenti adeguati e immediati per prevenire eventuali minacce informatiche o porvi rimedio e ristabilire il normale livello di sicurezza del servizio. La fornitura ai destinatari di tali informazioni riguardanti le minacce alla sicurezza dovrebbe essere gratuita e avvenire in una lingua facilmente comprensibile.

Emendamento  53

 

Proposta di direttiva

Considerando 53

 

Testo della Commissione

Emendamento

(53) In particolare, i fornitori di reti pubbliche di comunicazione elettronica o di servizi di comunicazione elettronica accessibili al pubblico dovrebbero informare i destinatari dei servizi di minacce informatiche particolari e significative e delle misure che questi ultimi possono adottare per proteggere la sicurezza delle loro comunicazioni, ad esempio attraverso l'uso di particolari tipi di programmi o tecnologie di cifratura.

(53) I fornitori di reti pubbliche di comunicazione elettronica o di servizi di comunicazione elettronica accessibili al pubblico dovrebbero attuare la sicurezza fin dalla progettazione e per impostazione predefinita e informare i destinatari dei servizi di minacce informatiche particolari e significative e delle misure che questi ultimi possono adottare per proteggere la sicurezza dei loro dispositivi e delle loro comunicazioni, ad esempio attraverso l'uso di particolari tipi di programmi di cifratura o di altre tecnologie di sicurezza incentrate sui dati.

Emendamento  54

 

Proposta di direttiva

Considerando 54

 

Testo della Commissione

Emendamento

(54) Al fine di salvaguardare la sicurezza delle reti e dei servizi di comunicazione elettronica, l'uso della cifratura, in particolare la cifratura end-to-end, dovrebbe essere promosso e, ove necessario, dovrebbe essere reso obbligatorio per i fornitori di tali servizi e reti conformemente ai principi di sicurezza e tutela della vita privata per impostazione predefinita e fin dalla progettazione ai fini dell'articolo 18. L'uso della cifratura end-to-end dovrebbe essere conciliato con i poteri degli Stati membri di garantire la tutela della sicurezza pubblica e dei loro interessi essenziali in materia di sicurezza, nonché di consentire l'indagine, l'accertamento e il perseguimento di reati nel rispetto del diritto dell'Unione. Le soluzioni per l'accesso legittimo alle informazioni nelle comunicazioni che utilizzano la cifratura end-to-end dovrebbero mantenere l'efficacia della cifratura nella protezione della privacy e della sicurezza delle comunicazioni, fornendo nel contempo una risposta efficace alla criminalità.

(54) Al fine di salvaguardare la sicurezza delle reti e dei servizi di comunicazione elettronica, l'uso della cifratura e di altre tecnologie di sicurezza incentrate sui dati, ad esempio la tokenizzazione, la segmentazione, l'accesso rallentato (throttle), la marcatura, l'etichettatura, la gestione rigorosa dell'identità e dell'accesso e le decisioni sull'accesso automatizzato, dovrebbe essere promosso e, ove necessario, dovrebbe essere reso obbligatorio per i fornitori di tali servizi e reti conformemente ai principi di sicurezza e tutela della vita privata per impostazione predefinita e fin dalla progettazione ai fini dell'articolo 18. L'uso della cifratura end-to-end dovrebbe essere conciliato con i poteri degli Stati membri di garantire la tutela della sicurezza pubblica e dei loro interessi essenziali in materia di sicurezza, nonché di consentire l'indagine, l'accertamento e il perseguimento di reati nel rispetto del diritto dell'Unione. Tuttavia, ciò non dovrebbe portare ad alcun tentativo di indebolire la cifratura end-to-end, che è una tecnologia fondamentale per un'efficace protezione dei dati e della vita privata.

Emendamento  55

 

Proposta di direttiva

Considerando 54 bis (nuovo)

 

Testo della Commissione

Emendamento

 

(54 bis) Al fine di salvaguardare la sicurezza e prevenire abusi e manipolazioni delle reti e dei servizi di comunicazione elettronica, è opportuno promuovere il ricorso a standard interoperabili in materia di inoltro sicuro per garantire l'integrità e la solidità delle funzioni di inoltro in tutto l'ecosistema dei vettori Internet.

Emendamento  56

 

Proposta di direttiva

Considerando 54 ter (nuovo)

 

Testo della Commissione

Emendamento

 

(54 ter) Al fine di salvaguardare la funzionalità e l'integrità di Internet e limitare i problemi di sicurezza relativi al DNS, i portatori di interessi pertinenti, tra cui le imprese dell'Unione, i fornitori di servizi Internet e i fornitori di browser, dovrebbero essere incoraggiati ad adottare una strategia di diversificazione della risoluzione DNS. Inoltre, gli Stati membri dovrebbero incoraggiare lo sviluppo e l'utilizzo di un servizio europeo di risoluzione DNS pubblico e sicuro.

Emendamento  57

 

Proposta di direttiva

Considerando 55

 

Testo della Commissione

Emendamento

(55) La presente direttiva stabilisce un approccio in due fasi alla segnalazione degli incidenti al fine di trovare il giusto equilibrio tra, da un lato, una segnalazione rapida che contribuisca ad attenuare la potenziale diffusione di incidenti e consenta ai soggetti di chiedere sostegno e, dall'altro, una segnalazione approfondita che tragga insegnamenti preziosi dai singoli incidenti e migliori nel tempo la resilienza alle minacce informatiche delle singole imprese e di interi settori. Qualora vengano a conoscenza di un incidente, i soggetti dovrebbero essere tenuti a presentare una notifica iniziale entro 24 ore, seguita da una relazione finale entro un mese. La notifica iniziale dovrebbe contenere solo le informazioni strettamente necessarie per informare le autorità competenti dell'incidente e consentire al soggetto di chiedere assistenza, se necessario. Tale notifica, ove applicabile, dovrebbe indicare se l'incidente sia presumibilmente il risultato di un'azione illegittima o malevola. Gli Stati membri dovrebbero garantire che l'obbligo di presentare tale notifica iniziale non sottragga le risorse del soggetto segnalante alle attività relative alla gestione degli incidenti, che dovrebbero essere considerate prioritarie. Per evitare ulteriormente che gli obblighi di segnalazione degli incidenti sottraggano risorse alla gestione della risposta agli incidenti o possano altrimenti compromettere gli sforzi dei soggetti a tale riguardo, gli Stati membri dovrebbero altresì prevedere che, in casi debitamente giustificati e d'intesa con le autorità competenti o con il CSIRT, il soggetto interessato possa derogare dai termini di 24 ore per la notifica iniziale e di un mese per la relazione finale.

(55) La presente direttiva stabilisce un approccio in due fasi alla segnalazione degli incidenti al fine di trovare il giusto equilibrio tra, da un lato, una segnalazione rapida che contribuisca ad attenuare la potenziale diffusione di incidenti e consenta ai soggetti di chiedere sostegno e, dall'altro, una segnalazione approfondita che tragga insegnamenti preziosi dai singoli incidenti e migliori nel tempo la resilienza alle minacce informatiche delle singole imprese e di interi settori. Qualora vengano a conoscenza di un incidente, i soggetti dovrebbero essere tenuti a presentare una notifica iniziale seguita da una relazione globale entro un mese dalla trasmissione della notifica iniziale. Il termine per la notifica iniziale dell'incidente non dovrebbe impedire ai soggetti di segnalare gli incidenti prima, il che permetterebbe loro di chiedere rapidamente supporto ai CSIRT consentendo l'attenuazione e la potenziale diffusione dell'incidente segnalato. I CSIRT possono richiedere una relazione intermedia sugli aggiornamenti della situazione pertinenti, tenendo conto nel contempo degli sforzi di risposta agli incidenti e di riparazione dei soggetti segnalanti.

Emendamento  58

 

Proposta di direttiva

Considerando 55 bis (nuovo)

 

Testo della Commissione

Emendamento

 

(55 bis) Un incidente significativo può avere un impatto sulla riservatezza, l'integrità o la disponibilità del servizio. I soggetti essenziali e importanti dovrebbero notificare ai CSIRT gli incidenti significativi che hanno un impatto sulla disponibilità del loro servizio entro 24 ore dal momento in cui vengono a conoscenza dell'incidente. Essi dovrebbero notificare ai CSIRT gli incidenti significativi che violano la riservatezza e l'integrità dei loro servizi entro 72 ore dal momento in cui ne sono venuti a conoscenza. La distinzione tra i vari tipi di incidenti non si basa sulla gravità dell'incidente, ma sulla difficoltà per il soggetto segnalante di valutare l'incidente, la sua importanza e la capacità di segnalare informazioni che possono essere utili per il CSIRT. La notifica iniziale dovrebbe contenere le informazioni necessarie per informare il CSIRT dell'incidente e consentire al soggetto di chiedere assistenza, se necessario. Gli Stati membri dovrebbero garantire che l'obbligo di presentare tale notifica iniziale non sottragga le risorse del soggetto segnalante alle attività relative alla gestione degli incidenti, che dovrebbero essere considerate prioritarie. Per evitare ulteriormente che gli obblighi di segnalazione degli incidenti sottraggano risorse alla gestione della risposta agli incidenti o possano altrimenti compromettere gli sforzi dei soggetti a tale riguardo, gli Stati membri dovrebbero altresì prevedere che, in casi debitamente giustificati e d'intesa con il CSIRT, il soggetto interessato possa derogare dai termini per la notifica iniziale e per la relazione finale.

Emendamento  59

 

Proposta di direttiva

Considerando 59

 

Testo della Commissione

Emendamento

(59) Il mantenimento di banche dati precise e complete dei nomi di dominio e dei dati di registrazione (i cosiddetti "dati WHOIS") e la fornitura di un accesso legittimo a tali dati sono essenziali per garantire la sicurezza, la stabilità e la resilienza del DNS, che a sua volta contribuisce a un elevato livello comune di cibersicurezza all'interno dell'Unione. Se l'elaborazione dei dati comprende il trattamento dei dati personali, quest'ultimo deve essere conforme al diritto dell'Unione in materia di protezione dei dati.

(59) Il mantenimento di banche dati precise, verificate e complete dei dati di registrazione dei nomi di dominio (i cosiddetti "dati WHOIS") è essenziale per garantire la sicurezza, la stabilità e la resilienza del DNS, che a sua volta contribuisce a un elevato livello comune di cibersicurezza all'interno dell'Unione e per contrastare le attività illegali. I registri dei TLD e i soggetti che forniscono servizi di registrazione di nomi di dominio dovrebbero pertanto essere tenuti a raccogliere i dati di registrazione dei nomi di dominio, che dovrebbero comprendere almeno il nome dei registranti, il loro indirizzo fisico e di posta elettronica nonché il loro numero di telefono. In pratica, i dati raccolti potrebbero non essere sempre accurati, ma i registri dei TLD e i soggetti che forniscono servizi di registrazione dei nomi di dominio dovrebbero adottare e attuare procedure proporzionate per verificare che le persone fisiche o giuridiche che richiedono o possiedono un nome di dominio abbiano fornito i dati di contatto mediante i quali possono essere raggiunte e sono tenute a rispondere. Utilizzando un approccio basato sul "best effort", tali processi di verifica dovrebbero riflettere le migliori pratiche attualmente utilizzate nel settore. Tali migliori pratiche nel processo di verifica dovrebbero rispecchiare i progressi compiuti nel processo di identificazione elettronica. I registri dei TLD e i soggetti che forniscono servizi di registrazione dei nomi di dominio dovrebbero rendere pubblicamente disponibili le loro politiche e procedure per garantire l'integrità e la disponibilità dei dati di registrazione dei nomi di dominio. Se l'elaborazione dei dati comprende il trattamento dei dati personali, quest'ultimo deve essere conforme al diritto dell'Unione in materia di protezione dei dati.

Emendamento  60

 

Proposta di direttiva

Considerando 60

 

Testo della Commissione

Emendamento

(60) La disponibilità e la tempestiva accessibilità di tali dati per le autorità pubbliche, comprese le autorità competenti a norma del diritto dell'Unione o nazionale in materia di prevenzione, indagine o perseguimento di reati, ai CERT, ai CSIRT e, per quanto riguarda i dati dei loro clienti, ai fornitori di reti e servizi di comunicazione elettronica e ai fornitori di tecnologie e servizi di cibersicurezza che agiscono per conto di tali clienti, sono essenziali per prevenire e combattere l'abuso del sistema dei nomi di dominio, in particolare per la prevenzione e il rilevamento degli incidenti di cibersicurezza e la risposta agli stessi. Tale accesso dovrebbe essere conforme al diritto dell'Unione in materia di protezione dei dati nella misura in cui è relativo ai dati personali.

(60) La disponibilità e la tempestiva accessibilità dei dati di registrazione dei nomi di dominio per i legittimi richiedenti l'accesso sono essenziali ai fini della cibersicurezza e della lotta alle attività illegali nell'ecosistema online. I registri dei TLD e i soggetti che forniscono servizi di registrazione dei nomi di dominio dovrebbero quindi essere tenuti a consentire l'accesso legittimo a specifici dati di registrazione dei nomi di dominio, compresi i dati personali, ai legittimi richiedenti l'accesso, in conformità al diritto dell'Unione in materia di protezione dei dati. I legittimi richiedenti l'accesso dovrebbero presentare una richiesta debitamente motivata di accesso ai dati di registrazione dei nomi di dominio sulla base del diritto dell'Unione o nazionale, e potrebbero includere le autorità competenti a norma del diritto dell'Unione o nazionale in materia di prevenzione, indagine o perseguimento di reati, i CERT o i CSIRT nazionali. Gli Stati membri dovrebbero garantire che i registri dei TLD e i soggetti che forniscono loro servizi di registrazione dei nomi di dominio rispondano senza indebito ritardo, e in ogni caso entro 72 ore, alle richieste di divulgazione dei dati di registrazione dei nomi di dominio presentate dai legittimi richiedenti l'accesso. I registri dei TLD e i soggetti che forniscono servizi di registrazione dei nomi di dominio dovrebbero stabilire politiche e procedure per la pubblicazione e la divulgazione dei dati di registrazione, compresi accordi sul livello dei servizi, ai fini del trattamento delle richieste di accesso dei legittimi richiedenti l'accesso. La procedura di accesso può comprendere anche l'uso di un'interfaccia, di un portale o di altri strumenti tecnici per fornire un sistema efficiente per la richiesta dei dati di registrazione e l'accesso agli stessi. Al fine di promuovere pratiche armonizzate in tutto il mercato interno, la Commissione può adottare orientamenti su tali procedure, fatte salve le competenze del comitato europeo per la protezione dei dati.

Emendamento  61

Proposta di direttiva

Considerando 61

 

Testo della Commissione

Emendamento

(61) Al fine di garantire la disponibilità di dati di registrazione dei nomi di dominio accurati e completi, i registri dei TLD e i soggetti che forniscono servizi di registrazione dei nomi di dominio per i TLD (i cosiddetti registrar) dovrebbero raccogliere i dati di registrazione dei nomi di dominio e garantirne l'integrità e la disponibilità. In particolare, i registri dei TLD e i soggetti che forniscono servizi di registrazione dei nomi di dominio per i TLD dovrebbero stabilire politiche e procedure per raccogliere e mantenere i dati di registrazione accurati e completi, nonché per prevenire e rettificare dati di registrazione inesatti in conformità alle norme dell'Unione in materia di protezione dei dati.

soppresso

Emendamento  62

 

Proposta di direttiva

Considerando 62

 

Testo della Commissione

Emendamento

(62) I registri dei TLD e i soggetti che forniscono loro servizi di registrazione dei nomi di dominio dovrebbero rendere pubblicamente disponibili i dati di registrazione dei nomi di dominio che non rientrano nell'ambito di applicazione delle norme dell'Unione in materia di protezione dei dati, come i dati riguardanti le persone giuridiche25. I registri dei TLD e i soggetti che forniscono servizi di registrazione dei nomi di dominio per i TLD dovrebbero inoltre consentire l'accesso legittimo a specifici dati di registrazione dei nomi di dominio riguardanti le persone fisiche ai legittimi richiedenti l'accesso, in conformità al diritto dell'Unione in materia di protezione dei dati. Gli Stati membri dovrebbero garantire che i registri dei TLD e i soggetti che forniscono loro servizi di registrazione dei nomi di dominio rispondano senza indebito ritardo alle richieste di divulgazione dei dati di registrazione dei nomi di dominio presentate dai legittimi richiedenti l'accesso. I registri dei TLD e i soggetti che forniscono loro servizi di registrazione dei nomi di dominio dovrebbero stabilire politiche e procedure per la pubblicazione e la divulgazione dei dati di registrazione, compresi gli accordi sul livello dei servizi, ai fini del trattamento delle richieste di accesso dei legittimi richiedenti l'accesso. La procedura di accesso può comprendere anche l'uso di un'interfaccia, di un portale o di un altro strumento tecnico per fornire un sistema efficiente per la richiesta dei dati di registrazione e l'accesso agli stessi. Al fine di promuovere pratiche armonizzate in tutto il mercato interno, la Commissione può adottare orientamenti su tali procedure, fatte salve le competenze del comitato europeo per la protezione dei dati.

(62) I registri dei TLD e i soggetti che forniscono servizi di registrazione dei nomi di dominio dovrebbero essere tenuti a rendere pubblicamente disponibili i dati di registrazione dei nomi di dominio che non contengono dati personali. Dovrebbe essere operata una distinzione tra persone fisiche e persone giuridiche25. Per le persone giuridiche, i registri dei TLD e i soggetti dovrebbero rendere pubblicamente disponibili almeno il nome dei registranti, il loro indirizzo fisico e di posta elettronica nonché il loro numero di telefono. La persona giuridica dovrebbe essere tenuta a fornire un indirizzo e-mail generico che possa essere reso pubblicamente disponibile o a dare il proprio consenso alla pubblicazione di un indirizzo di posta elettronica personale. La persona giuridica dovrebbe essere in grado di dimostrare tale consenso su richiesta dei registri dei TLD e dei soggetti che forniscono servizi di registrazione dei nomi di dominio.

__________________

__________________

25 Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, considerando 14: "Il presente regolamento non disciplina il trattamento dei dati personali relativi a persone giuridiche, in particolare imprese dotate di personalità giuridica, compresi il nome e la forma della persona giuridica e i suoi dati di contatto."

25 Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, considerando 14: "Il presente regolamento non disciplina il trattamento dei dati personali relativi a persone giuridiche, in particolare imprese dotate di personalità giuridica, compresi il nome e la forma della persona giuridica e i suoi dati di contatto."

Emendamento  63

 

Proposta di direttiva

Considerando 63

 

Testo della Commissione

Emendamento

(63) Tutti i soggetti essenziali e importanti a norma della presente direttiva dovrebbero rientrare nella giurisdizione dello Stato membro in cui forniscono i loro servizi. Se fornisce servizi in più di uno Stato membro, il soggetto dovrebbe rientrare nella giurisdizione separata e concorrente di ciascuno di tali Stati membri. Le autorità competenti di tali Stati membri dovrebbero cooperare, prestarsi assistenza reciproca e, ove opportuno, condurre azioni comuni di vigilanza.

(63) Tutti i soggetti essenziali e importanti a norma della presente direttiva dovrebbero rientrare nella giurisdizione dello Stato membro in cui forniscono i loro servizi o svolgono le loro attività. Se fornisce servizi in più di uno Stato membro, il soggetto dovrebbe rientrare nella giurisdizione separata e concorrente di ciascuno di tali Stati membri. Le autorità competenti di tali Stati membri dovrebbero cooperare, prestarsi assistenza reciproca e, ove opportuno, condurre azioni comuni di vigilanza.

Emendamento  64

 

Proposta di direttiva

Considerando 64

 

Testo della Commissione

Emendamento

(64) Per tener conto della natura transfrontaliera dei servizi e delle attività dei fornitori di servizi DNS, dei registri dei nomi di dominio di primo livello, dei fornitori di reti di distribuzione dei contenuti, dei fornitori di servizi di cloud computing, dei fornitori di servizi di data center e dei fornitori di servizi digitali, tali soggetti dovrebbero essere posti sotto la giurisdizione di un solo Stato membro. La giurisdizione dovrebbe essere attribuita allo Stato membro in cui il rispettivo soggetto ha lo stabilimento principale nell'Unione. Il criterio dello stabilimento ai fini della presente direttiva implica l'esercizio effettivo dell'attività nel quadro di un'organizzazione stabile. A tale riguardo non è determinante la forma giuridica assunta, sia essa una succursale o una filiale dotata di personalità giuridica. Il rispetto di tale criterio non dovrebbe dipendere dal fatto che i sistemi informatici e di rete siano situati fisicamente in un determinato luogo; la presenza e l'utilizzo dei sistemi in questione non costituiscono di per sé lo stabilimento principale e non sono pertanto criteri decisivi per la sua determinazione. Lo stabilimento principale dovrebbe essere il luogo in cui sono adottate nell'Unione le decisioni relative alle misure di gestione dei rischi di cibersicurezza. Ciò corrisponderà di norma alla sede dell'amministrazione centrale delle società nell'Unione. Se tali decisioni non sono adottate nell'Unione, si dovrebbe considerare che lo stabilimento principale sia nello Stato membro in cui il soggetto ha lo stabilimento con il maggior numero di dipendenti nell'Unione. Qualora i servizi siano forniti da un gruppo di imprese, si dovrebbe considerare lo stabilimento principale dell'impresa controllante come lo stabilimento principale del gruppo di imprese.

(64) Per tener conto della natura transfrontaliera dei servizi e delle attività dei fornitori di servizi DNS, dei registri dei nomi di dominio di primo livello, dei fornitori di reti di distribuzione dei contenuti, dei fornitori di servizi di cloud computing, dei fornitori di servizi di data center e dei fornitori di servizi digitali, tali soggetti dovrebbero essere posti sotto la giurisdizione di un solo Stato membro. La giurisdizione dovrebbe essere attribuita allo Stato membro in cui il rispettivo soggetto ha lo stabilimento principale nell'Unione. Il criterio dello stabilimento ai fini della presente direttiva implica l'esercizio effettivo dell'attività nel quadro di un'organizzazione stabile. A tale riguardo non è determinante la forma giuridica assunta, sia essa una succursale o una filiale dotata di personalità giuridica. Il rispetto di tale criterio non dovrebbe dipendere dal fatto che i sistemi informatici e di rete siano situati fisicamente in un determinato luogo; la presenza e l'utilizzo dei sistemi in questione non costituiscono di per sé lo stabilimento principale e non sono pertanto criteri decisivi per la sua determinazione. Lo stabilimento principale dovrebbe essere il luogo in cui sono adottate nell'Unione le decisioni relative alle misure di gestione dei rischi di cibersicurezza. Ciò corrisponderà di norma alla sede dell'amministrazione centrale delle società nell'Unione. Se tali decisioni non sono adottate nell'Unione, si dovrebbe considerare che lo stabilimento principale sia nello Stato membro in cui il soggetto ha lo stabilimento con il maggior numero di dipendenti nell'Unione o lo stabilimento in cui si svolgono le operazioni di cibersicurezza. Qualora i servizi siano forniti da un gruppo di imprese, si dovrebbe considerare lo stabilimento principale dell'impresa controllante come lo stabilimento principale del gruppo di imprese.

Emendamento  65

 

Proposta di direttiva

Considerando 65 bis (nuovo)

 

Testo della Commissione

Emendamento

 

(65 bis) L'ENISA dovrebbe creare e mantenere un registro contenente informazioni riguardo a soggetti essenziali e importanti, che comprendono fornitori di servizi DNS, registri dei nomi di dominio di primo livello e fornitori di servizi di cloud computing, servizi di data center, reti di distribuzione dei contenuti, mercati online, motori di ricerca online e piattaforme di servizi di social network. Tali soggetti essenziali e importanti dovrebbero trasmettere all'ENISA i loro nomi, indirizzi e dati di contatto aggiornati. Essi dovrebbero notificare all'ENISA qualsiasi modifica di tali informazioni tempestivamente, e in ogni caso entro due settimane dalla data in cui è avvenuto il cambiamento. L'ENISA dovrebbe trasmettere le informazioni al pertinente punto di contatto unico. I soggetti essenziali e importanti che trasmettono le loro informazioni all'ENISA non sono pertanto tenuti a informare dal canto loro l'autorità competente dello Stato membro. L'ENISA dovrebbe sviluppare un programma applicativo semplice e pubblicamente disponibile che tali soggetti potrebbero utilizzare per aggiornare le loro informazioni. Inoltre, l'ENISA dovrebbe istituire adeguati protocolli di classificazione e gestione delle informazioni per garantire la sicurezza e la riservatezza delle informazioni divulgate, e limitare l'accesso, l'archiviazione e la trasmissione di dette informazioni agli utenti destinatari.

Emendamento  66

 

Proposta di direttiva

Considerando 66

 

Testo della Commissione

Emendamento

(66) Qualora informazioni considerate classificate in conformità al diritto nazionale o dell'Unione siano scambiate, comunicate o altrimenti condivise a norma delle disposizioni della presente direttiva, dovrebbero essere applicate le corrispondenti norme specifiche sulla gestione delle informazioni classificate.

(66) Qualora informazioni considerate classificate in conformità al diritto nazionale o dell'Unione siano scambiate, comunicate o altrimenti condivise a norma delle disposizioni della presente direttiva, dovrebbero essere applicate le corrispondenti norme specifiche sulla gestione delle informazioni classificate. Inoltre, l'ENISA dovrebbe predisporre l'infrastruttura, le procedure e le norme per il trattamento delle informazioni sensibili e classificate in conformità alle norme di sicurezza applicabili alla protezione delle informazioni classificate dell'UE.

 

Emendamento  67

 

Proposta di direttiva

Considerando 68

 

Testo della Commissione

Emendamento

(68) È quindi opportuno incoraggiare i soggetti a sfruttare collettivamente, sul piano strategico, tattico e operativo, le conoscenze e le esperienze pratiche che hanno acquisito a livello individuale al fine di accrescere le loro capacità di valutare e monitorare adeguatamente le minacce informatiche, difendersi da esse e rispondervi. È pertanto necessario consentire la creazione a livello dell'Unione di meccanismi per accordi volontari di condivisione delle informazioni. A tal fine gli Stati membri dovrebbero sostenere e incoraggiare attivamente anche i soggetti pertinenti che non rientrano nell'ambito di applicazione della presente direttiva a partecipare a tali meccanismi di condivisione delle informazioni. Tali meccanismi dovrebbero essere attuati nel pieno rispetto delle norme dell'Unione in materia di concorrenza e di protezione dei dati.

(68) È quindi opportuno che i soggetti siano incoraggiati e aiutati dagli Stati membri a sfruttare collettivamente, sul piano strategico, tattico e operativo, le conoscenze e le esperienze pratiche che hanno acquisito a livello individuale al fine di accrescere le loro capacità di valutare e monitorare adeguatamente le minacce informatiche, difendersi da esse e rispondervi. È pertanto necessario consentire la creazione a livello dell'Unione di meccanismi per accordi volontari di condivisione delle informazioni. A tal fine gli Stati membri dovrebbero sostenere e incoraggiare attivamente anche i soggetti pertinenti che non rientrano nell'ambito di applicazione della presente direttiva, quali i soggetti che si incentrano sui servizi di cibersicurezza e sulla ricerca in tale settore, a partecipare a tali meccanismi di condivisione delle informazioni. Tali meccanismi dovrebbero essere attuati nel pieno rispetto delle norme dell'Unione in materia di concorrenza e di protezione dei dati.

Emendamento  68

 

Proposta di direttiva

Considerando 69

 

Testo della Commissione

Emendamento

(69) Il trattamento dei dati personali, nella misura strettamente necessaria e proporzionata al fine di garantire la sicurezza dei sistemi informatici e di rete da parte di soggetti, autorità pubbliche, CERT, CSIRT e fornitori di tecnologie e servizi di sicurezza, dovrebbe costituire un interesse legittimo del titolare del trattamento in questione di cui al regolamento (UE) 2016/679. Ciò dovrebbe includere misure relative alla prevenzione, al rilevamento e all'analisi degli incidenti e alla risposta agli stessi, misure di sensibilizzazione in relazione a specifiche minacce informatiche, lo scambio di informazioni nel contesto della risoluzione e della divulgazione coordinata delle vulnerabilità, nonché lo scambio volontario di informazioni su tali incidenti, sulle minacce informatiche e sulle vulnerabilità, sugli indicatori di compromissione, sulle tattiche, sulle tecniche e le procedure, sugli allarmi di cibersicurezza e sugli strumenti di configurazione. Tali misure possono richiedere il trattamento dei seguenti tipi di dati personali: indirizzi IP, localizzatori uniformi di risorse (URL), nomi di dominio e indirizzi di posta elettronica.

(69) Il trattamento dei dati personali, nella misura strettamente necessaria e proporzionata al fine di garantire la sicurezza dei sistemi informatici e di rete da parte di soggetti essenziali e importanti, CSIRT e fornitori di tecnologie e servizi di sicurezza, è necessario per l'adempimento degli obblighi legali loro incombenti a norma della presente direttiva. Un tale trattamento di dati personali potrebbe anche essere necessario ai fini dei legittimi interessi perseguiti da soggetti essenziali e importanti. Qualora la presente direttiva richieda il trattamento di dati personali a fini di cibersicurezza e sicurezza dei sistemi informatici e di rete in conformità delle disposizioni di cui agli articoli 18 e 20 della direttiva, tale trattamento è considerato necessario per adempiere un obbligo legale ai sensi dell'articolo 6, paragrafo 1, lettera c), del regolamento (UE) 2016/679. Ai fini degli articoli 26 e 27 della presente direttiva, il trattamento ai sensi dell'articolo 6, paragrafo 1, lettera f), del regolamento (UE) 2016/679 è considerato necessario per il perseguimento del legittimo interesse dei soggetti essenziali e importanti. Le misure relative alla prevenzione, al rilevamento, all'individuazione, al contenimento e all'analisi degli incidenti e alla risposta agli stessi, le misure di sensibilizzazione in relazione a specifiche minacce informatiche, lo scambio di informazioni nel contesto della risoluzione e della divulgazione coordinata delle vulnerabilità, nonché lo scambio volontario di informazioni su tali incidenti, sulle minacce informatiche e sulle vulnerabilità, sugli indicatori di compromissione, sulle tattiche, sulle tecniche e le procedure, sugli allarmi di cibersicurezza e sugli strumenti di configurazione richiedono il trattamento di talune categorie di dati personali, quali indirizzi IP, localizzatori uniformi di risorse (URL), nomi di dominio, indirizzi di posta elettronica, marcature temporali, informazioni relative al sistema operativo o al browser, cookie o altre informazioni indicative del modus operandi.

Emendamento  69

 

Proposta di direttiva

Considerando 71

 

Testo della Commissione

Emendamento

(71) Al fine di rendere efficace l'esecuzione, è opportuno stabilire un elenco minimo di sanzioni amministrative in caso di violazione degli obblighi di gestione e segnalazione dei rischi di cibersicurezza previsti dalla presente direttiva, istituendo un quadro chiaro e coerente per tali sanzioni in tutta l'Unione. Occorre tenere debitamente conto della natura, della gravità e della durata dell'infrazione, del danno effettivamente causato o delle perdite effettivamente subite o del danno o delle perdite potenziali che si sarebbero potuti verificare, del carattere doloso o colposo della violazione, delle azioni intraprese per prevenire o attenuare il danno effettuato e/o le perdite subite, del grado di responsabilità o di eventuali violazioni precedenti pertinenti, del grado di cooperazione con l'autorità competente e di qualsiasi altro fattore aggravante o attenuante. L'imposizione di sanzioni, comprese sanzioni amministrative pecuniarie, dovrebbe essere soggetta a garanzie procedurali appropriate in conformità ai principi generali del diritto dell'Unione e della Carta dei diritti fondamentali dell'Unione europea, inclusi l'effettiva tutela giurisdizionale e il giusto processo.

(71) Al fine di rendere efficace l'esecuzione, è opportuno stabilire un elenco minimo di sanzioni amministrative in caso di violazione degli obblighi di gestione e segnalazione dei rischi di cibersicurezza previsti dalla presente direttiva, istituendo un quadro chiaro e coerente per tali sanzioni in tutta l'Unione. Occorre tenere debitamente conto della natura, della gravità e della durata dell'infrazione, del danno causato o delle perdite subite, del carattere doloso o colposo della violazione, delle azioni intraprese per prevenire o attenuare il danno effettuato e/o le perdite subite, del grado di responsabilità o di eventuali violazioni precedenti pertinenti, del grado di cooperazione con l'autorità competente e di qualsiasi altro fattore aggravante o attenuante. Le sanzioni, comprese le sanzioni amministrative pecuniarie, dovrebbero essere proporzionate e la loro imposizione dovrebbe essere soggetta a garanzie procedurali appropriate in conformità ai principi generali del diritto dell'Unione e della Carta dei diritti fondamentali dell'Unione europea ("la Carta"), inclusi l'effettiva tutela giurisdizionale, il giusto processo, la presunzione di innocenza e i diritti della difesa.

Emendamento  70

 

Proposta di direttiva

Considerando 72

 

Testo della Commissione

Emendamento

(72) Al fine di garantire l'efficace applicazione degli obblighi stabiliti nella presente direttiva, ciascuna autorità competente dovrebbe avere il potere di imporre o chiedere l'imposizione di sanzioni amministrative pecuniarie.

(72) Al fine di garantire l'efficace applicazione degli obblighi stabiliti nella presente direttiva, ciascuna autorità competente dovrebbe avere il potere di imporre o chiedere l'imposizione di sanzioni amministrative pecuniarie qualora la violazione sia stata dolosa o colposa o il soggetto interessato sia stato informato della sua inadempienza.

Emendamento  71

 

Proposta di direttiva

Considerando 76

 

Testo della Commissione

Emendamento

(76) Al fine di rafforzare ulteriormente l'efficacia e il carattere dissuasivo delle sanzioni applicabili alle violazioni degli obblighi stabiliti a norma della presente direttiva, le autorità competenti dovrebbero avere la facoltà di applicare sanzioni consistenti nella sospensione di una certificazione o di un'autorizzazione relativa a una parte o alla totalità dei servizi forniti da un soggetto essenziale e nell'imposizione di un divieto temporaneo all'esercizio di funzioni dirigenziali da parte di una persona fisica. Data la loro gravità e l'impatto sulle attività dei soggetti e, in ultima analisi, sui consumatori, tali sanzioni dovrebbero essere applicate solo in proporzione alla gravità della violazione e tenere conto delle circostanze specifiche di ciascun caso, tra cui il carattere doloso o colposo della violazione e le azioni intraprese per prevenire o attenuare il danno effettuato e/o le perdite subite. Tali sanzioni dovrebbero essere applicate solo come ultima ratio, vale a dire solo una volta esaurite le altre pertinenti misure di esecuzione previste dalla presente direttiva, e solo fino a quando i soggetti ai quali si applicano non adottano le misure necessarie per rimediare alle carenze o per conformarsi alle prescrizioni dell'autorità competente per cui tali sanzioni sono state applicate. L'imposizione di tali sanzioni dovrebbe essere soggetta a garanzie procedurali appropriate in conformità ai principi generali del diritto dell'Unione e della Carta dei diritti fondamentali dell'Unione europea, inclusi l'effettiva tutela giurisdizionale, il giusto processo, la presunzione di innocenza e i diritti della difesa.

(76) Al fine di rafforzare ulteriormente l'efficacia e il carattere dissuasivo delle sanzioni applicabili alle violazioni degli obblighi stabiliti a norma della presente direttiva, le autorità competenti dovrebbero avere la facoltà di applicare una sospensione temporanea di una certificazione o di un'autorizzazione relativa a una parte o alla totalità dei servizi pertinenti forniti da un soggetto essenziale e la richiesta di imporre un divieto temporaneo all'esercizio di funzioni dirigenziali da parte di una persona fisica a livello di amministratore delegato o rappresentante legale. Gli Stati membri dovrebbero elaborare procedure e norme specifiche relative al divieto temporaneo all'esercizio di funzioni dirigenziali da parte di una persona fisica a livello di amministratore delegato o di rappresentante legale negli enti della pubblica amministrazione. In sede di elaborazione di tali procedure e norme, gli Stati membri dovrebbero tenere conto delle peculiarità dei rispettivi livelli e sistemi di governance all'interno delle rispettive amministrazioni pubbliche. Data la loro gravità e l'impatto sulle attività dei soggetti e, in ultima analisi, sui consumatori, tali sospensioni o divieti temporanei dovrebbero essere applicati solo in proporzione alla gravità della violazione e tenere conto delle circostanze specifiche di ciascun caso, tra cui il carattere doloso o colposo della violazione e le azioni intraprese per prevenire o attenuare il danno effettuato e/o le perdite subite. Tali sospensioni o divieti temporanei dovrebbero essere applicati solo come ultima ratio, vale a dire solo una volta esaurite le altre pertinenti misure di esecuzione previste dalla presente direttiva, e solo fino a quando i soggetti ai quali si applicano non adottano le misure necessarie per rimediare alle carenze o per conformarsi alle prescrizioni dell'autorità competente per cui tali sospensioni o divieti temporanei sono stati applicati. L'imposizione di tali sospensioni o i divieti temporanei è soggetta a garanzie procedurali appropriate in conformità ai principi generali del diritto dell'Unione e della Carta, inclusi l'effettiva tutela giurisdizionale, il giusto processo, la presunzione di innocenza e i diritti della difesa.

Emendamento  72

 

Proposta di direttiva

Considerando 79

 

Testo della Commissione

Emendamento

(79) Dovrebbe essere introdotto un meccanismo di revisione tra pari che consenta agli esperti designati dagli Stati membri di valutare l'attuazione delle politiche in materia di cibersicurezza, compreso il livello delle capacità degli Stati membri e le risorse disponibili.

(79) Dovrebbe essere introdotto un meccanismo di revisione tra pari che consenta agli esperti indipendenti designati dagli Stati membri di valutare l'attuazione delle politiche in materia di cibersicurezza, compreso il livello delle capacità degli Stati membri e le risorse disponibili. Le revisioni tra pari possono offrire preziose indicazioni e raccomandazioni utili a rafforzare le capacità complessive in materia di cibersicurezza. In particolare, possono contribuire ad agevolare il trasferimento di tecnologie, strumenti, misure e processi tra Stati membri coinvolti nella revisione, creando un percorso funzionale per la condivisione delle migliori pratiche tra gli Stati membri con diversi livelli di maturità in termini di cibersicurezza e consentendo l'istituzione di un livello comune elevato di cibersicurezza in tutta l'Unione. La revisione tra pari dovrebbe essere preceduta da un'autovalutazione da parte dello Stato membro in esame, che affronti gli aspetti esaminati e qualsiasi altra questione mirata comunicata dagli esperti designati allo Stato membro sottoposto a revisione tra pari prima dell'inizio del processo. Al fine di razionalizzare il processo ed evitare incoerenze e ritardi procedurali, la Commissione, in collaborazione con l'ENISA e il gruppo di cooperazione, dovrebbe elaborare modelli per l'autovalutazione degli aspetti in esame, che dovrebbero essere compilati dagli Stati membri sottoposti a revisione tra pari e forniti agli esperti designati che effettuano tale revisione prima dell'inizio del processo.

Emendamento  73

 

Proposta di direttiva

Considerando 80

 

Testo della Commissione

Emendamento

(80) Al fine di tenere conto delle nuove minacce informatiche, degli sviluppi tecnologici o delle specificità settoriali, conformemente all'articolo 290 TFUE alla Commissione dovrebbe essere delegato il potere di adottare atti per quanto riguarda gli elementi relativi alle misure di gestione dei rischi imposte dalla presente direttiva. Alla Commissione dovrebbe inoltre essere conferito il potere di adottare atti delegati che stabiliscano quali categorie di soggetti essenziali sono tenute a ottenere un certificato e nell'ambito di quali sistemi europei di certificazione della cibersicurezza. È di particolare importanza che durante i lavori preparatori la Commissione svolga adeguate consultazioni, anche a livello di esperti, nel rispetto dei principi stabiliti nell'accordo interistituzionale "Legiferare meglio" del 13 aprile 201626. In particolare, al fine di garantire la parità di partecipazione alla preparazione degli atti delegati, il Parlamento europeo e il Consiglio ricevono tutti i documenti contemporaneamente agli esperti degli Stati membri, e i loro esperti hanno sistematicamente accesso alle riunioni dei gruppi di esperti della Commissione incaricati della preparazione di tali atti delegati.

(80) Al fine di tenere conto delle nuove minacce informatiche, degli sviluppi tecnologici o delle specificità settoriali, conformemente all'articolo 290 TFUE alla Commissione dovrebbe essere delegato il potere di adottare atti per quanto riguarda gli elementi relativi alle misure di gestione dei rischi di cibersicurezza e gli obblighi di segnalazione imposti dalla presente direttiva. Alla Commissione dovrebbe inoltre essere conferito il potere di adottare atti delegati che stabiliscano quali categorie di soggetti essenziali e importanti sono tenute a ottenere un certificato e nell'ambito di quali sistemi europei di certificazione della cibersicurezza. È di particolare importanza che durante i lavori preparatori la Commissione svolga adeguate consultazioni, anche a livello di esperti, nel rispetto dei principi stabiliti nell'accordo interistituzionale "Legiferare meglio" del 13 aprile 2016. In particolare, al fine di garantire la parità di partecipazione alla preparazione degli atti delegati, il Parlamento europeo e il Consiglio ricevono tutti i documenti contemporaneamente agli esperti degli Stati membri, e i loro esperti hanno sistematicamente accesso alle riunioni dei gruppi di esperti della Commissione incaricati della preparazione di tali atti delegati.

__________________

 

26 GU L 123 del 12.5.2016, pag. 1.

 

Emendamento  74

 

Proposta di direttiva

Considerando 81

 

Testo della Commissione

Emendamento

(81) Al fine di garantire condizioni uniformi di attuazione delle pertinenti disposizioni della presente direttiva riguardanti le modalità procedurali necessarie per il funzionamento del gruppo di cooperazione, gli elementi tecnici relativi alle misure di gestione dei rischi o al tipo di informazioni e il formato e la procedura per le notifiche degli incidenti, dovrebbero essere attribuite alla Commissione competenze di esecuzione. È altresì opportuno che tali competenze siano esercitate conformemente al regolamento (UE) n. 182/2011 del Parlamento europeo e del Consiglio27.

(81) Al fine di garantire condizioni uniformi di attuazione delle pertinenti disposizioni della presente direttiva riguardanti le modalità procedurali necessarie per il funzionamento del gruppo di cooperazione e la procedura per le notifiche degli incidenti, dovrebbero essere attribuite alla Commissione competenze di esecuzione. È altresì opportuno che tali competenze siano esercitate conformemente al regolamento (UE) n. 182/2011 del Parlamento europeo e del Consiglio27.

__________________

__________________

27 Regolamento (UE) n. 182/2011 del Parlamento europeo e del Consiglio, del 16 febbraio 2011, che stabilisce le regole e i principi generali relativi alle modalità di controllo da parte degli Stati membri dell'esercizio delle competenze di esecuzione attribuite alla Commissione (GU L 55 del 28.2.2011, pag. 13).

27 Regolamento (UE) n. 182/2011 del Parlamento europeo e del Consiglio, del 16 febbraio 2011, che stabilisce le regole e i principi generali relativi alle modalità di controllo da parte degli Stati membri dell'esercizio delle competenze di esecuzione attribuite alla Commissione (GU L 55 del 28.2.2011, pag. 13).

Emendamento  75

 

Proposta di direttiva

Considerando 82

 

Testo della Commissione

Emendamento

(82) È opportuno che la Commissione riesamini la presente direttiva a scadenze regolari, in consultazione con le parti interessate, in particolare al fine valutare la necessità di modifiche alla luce dei cambiamenti delle condizioni sociali, politiche, tecnologiche o del mercato.

(82) È opportuno che la Commissione riesamini la presente direttiva a scadenze regolari, in consultazione con le parti interessate, in particolare al fine valutare se sia opportuno proporre modifiche alla luce dei cambiamenti delle condizioni sociali, politiche, tecnologiche o del mercato. Nel quadro di tali riesami, la Commissione dovrebbe valutare la pertinenza dei settori, dei sottosettori e dei tipi di soggetti di cui agli allegati ai fini del funzionamento dell'economia e della società per quanto riguarda la cibersicurezza. La Commissione dovrebbe valutare, tra l'altro, se i fornitori digitali che si qualificano come piattaforme online di grandissime dimensioni ai sensi dell'articolo 25 del regolamento (UE) XXXX/XXXX [mercato unico dei servizi digitali (legge sui servizi digitali) o come gatekeeper quali definiti all'articolo 2, punto 1, del regolamento (UE) XXXX/XXXX [Mercati equi e contendibili nel settore digitale (legge sui mercati digitali)] debbano essere designati come soggetti essenziali ai sensi della presente direttiva. Inoltre, la Commissione dovrebbe valutare se sia opportuno modificare l'allegato I della direttiva 2020/1828 del Parlamento europeo e del Consiglio1bis per includere un riferimento alla presente direttiva.

 

__________________

 

1bis Direttiva (UE) 2020/1828 del Parlamento europeo e del Consiglio, del 25 novembre 2020, relativa alle azioni rappresentative a tutela degli interessi collettivi dei consumatori e che abroga la direttiva 2009/22/CE (GU L 409 del 4.12.2020, pag. 1).

Emendamento  76 

Proposta di direttiva

Considerando 82 bis (nuovo)

 

Testo della Commissione

Emendamento

 

(82 bis) La presente direttiva stabilisce prescrizioni in materia di cibersicurezza per gli Stati membri nonché i soggetti essenziali e importanti stabiliti nell'Unione. Tali prescrizioni dovrebbero essere applicate anche dalle istituzioni, dagli organi e dagli organismi dell'Unione sulla base di un atto legislativo dell'Unione.

Emendamento  77

 

Proposta di direttiva

Considerando 82 ter (nuovo)

 

Testo della Commissione

Emendamento

 

(82 ter) La presente direttiva istituisce nuovi compiti per l'ENISA, rafforzando in tal modo il suo ruolo, e potrebbe anche portare l'ENISA a dover svolgere i suoi compiti a norma del regolamento (UE) 2019/881 a un livello più alto di prima. Al fine di garantire che l'ENISA disponga delle risorse finanziarie e umane necessarie per svolgere le attività esistenti e nuove nell'ambito del suo mandato, nonché per soddisfare eventuali standard più elevati derivanti dal suo ruolo rafforzato, il suo bilancio dovrebbe essere aumentato di conseguenza. Inoltre, al fine di garantire un uso efficiente delle risorse, all'ENISA dovrebbe essere data maggiore flessibilità nel modo in cui le è permesso di assegnare le risorse internamente, in modo che possa svolgere i suoi compiti e soddisfare le aspettative in modo efficace.

Emendamento  78

 

Proposta di direttiva

Considerando 84

 

Testo della Commissione

Emendamento

(84) La presente direttiva rispetta i diritti fondamentali e osserva i principi riconosciuti dalla Carta dei diritti fondamentali dell'Unione europea, in particolare il diritto al rispetto della vita privata e delle comunicazioni, la protezione dei dati personali, la libertà di impresa, il diritto di proprietà, il diritto a un ricorso effettivo dinanzi a un giudice e il diritto al contraddittorio. La presente direttiva dovrebbe essere attuata in conformità a tali diritti e principi,

(84) La presente direttiva rispetta i diritti fondamentali e osserva i principi riconosciuti dalla Carta, in particolare il diritto al rispetto della vita privata e delle comunicazioni, la protezione dei dati personali, la libertà di impresa, il diritto di proprietà, il diritto a un ricorso effettivo dinanzi a un giudice e il diritto al contraddittorio. Ciò include il diritto a un ricorso effettivo dinanzi a un giudice per i destinatari di servizi forniti da soggetti essenziali e importanti. La presente direttiva dovrebbe essere attuata in conformità a tali diritti e principi.

Emendamento  79

 

Proposta di direttiva

Articolo 1 – paragrafo 2 – lettera c bis (nuova)

 

Testo della Commissione

Emendamento

 

c bis) stabilisce obblighi in materia di vigilanza ed esecuzione per gli Stati membri.

Emendamento  80

 

Proposta di direttiva

Articolo 2 – paragrafo 1

 

Testo della Commissione

Emendamento

1. La presente direttiva si applica ai tipi di soggetti pubblici e privati definiti soggetti essenziali di cui all'allegato I e soggetti importanti di cui all'allegato II. La presente direttiva non si applica ai soggetti che si qualificano come microimprese e piccole imprese ai sensi della raccomandazione 2003/361/CE della Commissione28.

1. La presente direttiva si applica ai tipi di soggetti essenziali e importanti pubblici e privati definiti soggetti essenziali di cui all'allegato I e soggetti importanti di cui all'allegato II che forniscono i loro servizi o svolgono le loro attività all'interno dell'Unione. La presente direttiva non si applica alle piccole imprese e microimprese ai sensi dell'articolo 2, paragrafi 2 e 3, dell'allegato della raccomandazione 2003/361/CE della Commissione28. L'articolo 3, paragrafo 4, dell'allegato della raccomandazione non è applicabile.

__________________

__________________

28 Raccomandazione 2003/361/CE della Commissione, del 6 maggio 2003, relativa alla definizione delle microimprese, piccole e medie imprese (GU L 124 del 20.5.2003, pag. 36).

28 Raccomandazione 2003/361/CE della Commissione, del 6 maggio 2003, relativa alla definizione delle microimprese, piccole e medie imprese (GU L 124 del 20.5.2003, pag. 36).

Emendamento  81

 

Proposta di direttiva

Articolo 2 – paragrafo 2 – comma 1 – parte introduttiva

 

Testo della Commissione

Emendamento

La presente direttiva si applica tuttavia anche ai soggetti di cui agli allegati I e II, indipendentemente dalle loro dimensioni, qualora:

La presente direttiva si applica anche ai soggetti essenziali e importanti, indipendentemente dalle loro dimensioni, qualora:

Emendamento  82

 

Proposta di direttiva

Articolo 2 – paragrafo 2 – comma 1 – punto d

 

Testo della Commissione

Emendamento

d) una possibile perturbazione del servizio fornito dal soggetto potrebbe avere un impatto sulla sicurezza pubblica, l'incolumità pubblica o la salute pubblica;

d) una perturbazione del servizio fornito dal soggetto potrebbe avere un impatto sulla sicurezza pubblica, l'incolumità pubblica o la salute pubblica;

Emendamento  83

 

Proposta di direttiva

Articolo 2 – paragrafo 2 – comma 1 – punto e

 

Testo della Commissione

Emendamento

e) una possibile perturbazione del servizio fornito dal soggetto potrebbe comportare rischi sistemici, in particolare per i settori nei quali tale perturbazione potrebbe avere un impatto transfrontaliero;

e) una perturbazione del servizio fornito dal soggetto potrebbe comportare rischi sistemici, in particolare per i settori nei quali tale perturbazione potrebbe avere un impatto transfrontaliero;

Emendamento  84

 

Proposta di direttiva

Articolo 2 – paragrafo 2 – comma 2

 

Testo della Commissione

Emendamento

Gli Stati membri redigono un elenco di soggetti identificati a norma delle lettere da b) a f) e lo trasmettono alla Commissione entro [6 mesi dopo il termine di recepimento]. Gli Stati membri riesaminano l'elenco periodicamente, almeno ogni due anni e, se opportuno, lo aggiornano.

soppresso

Emendamento  85

 

Proposta di direttiva

Articolo 2 – paragrafo 2 bis (nuovo)

 

Testo della Commissione

Emendamento

 

2 bis. Entro ... [6 mesi dopo il termine di recepimento], gli Stati membri redigono un elenco di soggetti essenziali e importanti, compresi i soggetti di cui al paragrafo 1 e i soggetti identificati a norma del paragrafo 2, lettere da b) a f), e dell'articolo 24, paragrafo 1. Successivamente, gli Stati membri riesaminano l'elenco periodicamente, almeno ogni due anni e, se opportuno, lo aggiornano.

Emendamento  86

 

Proposta di direttiva

Articolo 2 – paragrafo 2 ter (nuovo)

 

Testo della Commissione

Emendamento

 

2 ter. Gli Stati membri provvedono affinché i soggetti essenziali e importanti presentino almeno le seguenti informazioni alle autorità competenti:

 

a) il proprio nome;

 

b) l'indirizzo e i recapiti aggiornati, compresi gli indirizzi e-mail, le serie di IP e i numeri di telefono; nonché

 

c) i settori e sottosettori pertinenti di cui agli allegati I e II.

 

I soggetti essenziali e importanti notificano tempestivamente qualsiasi modifica delle informazioni trasmesse a norma del primo comma e in ogni caso entro due settimane dalla data in cui è avvenuta la modifica. A tal fine la Commissione, assistita dall'ENISA, pubblica senza indebito ritardo orientamenti e modelli relativi agli obblighi di cui al presente paragrafo.

Emendamento  87

 

Proposta di direttiva

Articolo 2 – paragrafo 2 quater (nuovo)

 

Testo della Commissione

Emendamento

 

2 quater. Entro... [6 mesi dopo il termine di recepimento] e successivamente ogni due anni, gli Stati membri comunicano:

 

a) alla Commissione e al gruppo di coordinamento, il numero di tutti i soggetti essenziali e importanti identificati per ciascun settore e sottosettore di cui agli allegati I e II, e

 

b) alla Commissione, i nomi dei soggetti identificati a norma del paragrafo 2, lettere da b) a f).

Emendamento  88

 

Proposta di direttiva

Articolo 2 – paragrafo 4

 

Testo della Commissione

Emendamento

4. La presente direttiva si applica fatte salve la direttiva 2008/114/CE30 del Consiglio e le direttive 2011/93/UE31 e 2013/40/UE32 del Parlamento europeo e del Consiglio.

4. La presente direttiva si applica fatte salve la direttiva 2008/114/CE del Consiglio e le direttive 2011/93/UE31, 2013/40/UE32 e 2002/58/UE32bis del Parlamento europeo e del Consiglio.

__________________

__________________

30 Direttiva 2008/114/CE del Consiglio, dell'8 dicembre 2008, relativa all'individuazione e alla designazione delle infrastrutture critiche europee e alla valutazione della necessità di migliorarne la protezione (GU L 345 del 23.12.2008, pag. 75).

30 Direttiva 2008/114/CE del Consiglio, dell'8 dicembre 2008, relativa all'individuazione e alla designazione delle infrastrutture critiche europee e alla valutazione della necessità di migliorarne la protezione (GU L 345 del 23.12.2008, pag. 75).

31 Direttiva 2011/93/UE del Parlamento europeo e del Consiglio, del 13 dicembre 2011, relativa alla lotta contro l'abuso e lo sfruttamento sessuale dei minori e la pornografia minorile, e che sostituisce la decisione quadro 2004/68/GAI del Consiglio (GU L 335 del 17.12.2011, pag. 1).

31 Direttiva 2011/93/UE del Parlamento europeo e del Consiglio, del 13 dicembre 2011, relativa alla lotta contro l'abuso e lo sfruttamento sessuale dei minori e la pornografia minorile, e che sostituisce la decisione quadro 2004/68/GAI del Consiglio (GU L 335 del 17.12.2011, pag. 1).

32 Direttiva 2013/40/UE del Parlamento europeo e del Consiglio, del 12 agosto 2013, relativa agli attacchi contro i sistemi di informazione e che sostituisce la decisione quadro 2005/222/GAI del Consiglio (GU L 218 del 14.8.2013, pag. 8).

32 Direttiva 2013/40/UE del Parlamento europeo e del Consiglio, del 12 agosto 2013, relativa agli attacchi contro i sistemi di informazione e che sostituisce la decisione quadro 2005/222/GAI del Consiglio (GU L 218 del 14.8.2013, pag. 8).

 

32 bis Direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche) (GU L 201 del 31.7.2002, pag. 37).

Emendamento  89

 

Proposta di direttiva

Articolo 2 – paragrafo 6

 

Testo della Commissione

Emendamento

6. Qualora le disposizioni di atti giuridici settoriali dell'Unione facciano obbligo ai soggetti essenziali o importanti di adottare misure di gestione dei rischi di cibersicurezza o di notificare gli incidenti o le minacce informatiche significative, nella misura in cui gli effetti di tali obblighi siano almeno equivalenti a quelli degli obblighi di cui alla presente direttiva, non si applicano le pertinenti disposizioni della presente direttiva, comprese le disposizioni relative alla vigilanza e all'esecuzione di cui al capo VI.

6. Qualora le disposizioni di atti giuridici settoriali dell'Unione facciano obbligo ai soggetti essenziali o importanti di adottare misure di gestione dei rischi di cibersicurezza o di notificare gli incidenti, nella misura in cui gli effetti di tali obblighi siano almeno equivalenti a quelli degli obblighi di cui alla presente direttiva, non si applicano le pertinenti disposizioni della presente direttiva, comprese le disposizioni relative alla vigilanza e all'esecuzione di cui al capo VI. La Commissione pubblica senza indebito ritardo orientamenti relativi all'attuazione degli atti giuridici settoriali dell'Unione, al fine di assicurare che tali atti soddisfino i requisiti di cibersicurezza stabiliti dalla presente direttiva e che non vi sia alcuna sovrapposizione o incertezza giuridica. Nel preparare detti orientamenti, la Commissione tiene conto delle migliori pratiche e delle competenze dell'ENISA e del gruppo di cooperazione.

Emendamento  90

 

Proposta di direttiva

Articolo 2 – paragrafo 6 bis (nuovo)

 

Testo della Commissione

Emendamento

 

6 bis. I soggetti essenziali e importanti, i CSIRT e i fornitori di tecnologie e servizi di sicurezza trattano i dati personali, nella misura strettamente necessaria e proporzionata ai fini di cibersicurezza e sicurezza dei sistemi informatici e di rete, per adempiere gli obblighi di cui alla presente direttiva. Il trattamento di dati personali a norma della presente direttiva è effettuato in conformità del regolamento (UE) 2016/679, in particolare il suo articolo 6.

Emendamento  91

 

Proposta di direttiva

Articolo 2 – paragrafo 6 ter (nuovo)

 

Testo della Commissione

Emendamento

 

6 ter. Il trattamento dei dati personali a norma della presente direttiva da parte dei fornitori di reti pubbliche di comunicazione elettronica o dei fornitori di comunicazioni elettroniche accessibili al pubblico di cui all'allegato I, punto 8, è effettuato in conformità della direttiva 2002/58/CE.

Emendamento  92

 

Proposta di direttiva

Articolo 4 – punto 4 bis (nuovo)

 

Testo della Commissione

Emendamento

 

(4 bis) "quasi incidente" (near miss): un evento che avrebbe potuto compromettere la disponibilità, l'autenticità, l'integrità o la riservatezza dei dati o che avrebbe potuto causare un danno, ma cui è stato impedito con successo di produrre gli effetti negativi;

Emendamento  93

 

Proposta di direttiva

Articolo 4 – punto 6

 

Testo della Commissione

Emendamento

(6) "gestione degli incidenti": tutte le azioni e le procedure volte a rilevare, analizzare e contenere un incidente e a rispondervi;

(6) "gestione degli incidenti": tutte le azioni e le procedure volte a prevenire, rilevare, analizzare e contenere un incidente e a rispondervi;

Emendamento  94

 

Proposta di direttiva

Articolo 4 – punto 7 bis (nuovo)

 

Testo della Commissione

Emendamento

 

(7 bis) "rischio": la potenziale perdita o perturbazione causata da un incidente; è espresso come combinazione dell'entità di tale perdita o perturbazione e della probabilità che si verifichi tale incidente;

Emendamento  95

 

Proposta di direttiva

Articolo 4 – punto 11

 

Testo della Commissione

Emendamento

(11) "specifica tecnica": una specifica tecnica ai sensi dell'articolo 2, punto 4, del regolamento (UE) n. 1025/2012;

(11) "specifica tecnica": una specifica tecnica ai sensi dell'articolo 2, punto 20, del regolamento (UE) 2019/881;

Emendamento  96

 

Proposta di direttiva

Articolo 4 – punto 13

 

Testo della Commissione

Emendamento

(13) "sistema dei nomi di dominio (DNS)": un sistema di nomi gerarchico e distribuito che consente agli utenti finali di accedere a servizi e risorse su Internet;

(13) "sistema dei nomi di dominio (DNS)": un sistema di nomi gerarchico e distribuito che consente l'identificazione di servizi e risorse Internet, permettendo ai dispositivi degli utenti finali di utilizzare i servizi di inoltro e connettività su Internet, al fine di accedere a tali servizi e risorse;

Emendamento  97

 

Proposta di direttiva

Articolo 4 – punto 14

 

Testo della Commissione

Emendamento

(14) "fornitore di servizi DNS": un soggetto che fornisce un servizio di risoluzione dei nomi di dominio autorevole o ricorsivo agli utenti finali di Internet e ad altri fornitori di servizi DNS;

(14) "fornitore di servizi DNS": un soggetto che fornisce:

Emendamento  98

 

Proposta di direttiva

Articolo 4 – punto 14 – lettera a (nuova)

 

Testo della Commissione

Emendamento

 

a) servizi di risoluzione dei nomi di dominio ricorsivi aperti e pubblici per gli utenti finali di Internet; o

Emendamento  99

 

Proposta di direttiva

Articolo 4 – punto 14 – lettera b (nuova)

 

Testo della Commissione

Emendamento

 

b) servizi di risoluzione dei nomi di dominio autorevoli in qualità di servizi acquistabili da soggetti terzi;

Emendamento  100

 

Proposta di direttiva

Articolo 4 – punto 15

 

Testo della Commissione

Emendamento

(15) "registro dei nomi di dominio di primo livello": un soggetto cui è stato delegato uno specifico dominio di primo livello (TLD) e che è responsabile dell'amministrazione di tale TLD, compresa la registrazione dei nomi di dominio sotto tale TLD, e del funzionamento tecnico di tale TLD, compreso il funzionamento dei server dei nomi, la manutenzione delle banche dati e la distribuzione dei file di zona TLD tra i server dei nomi;

(15) "registro dei nomi di dominio di primo livello": un soggetto cui è stato delegato uno specifico dominio di primo livello (TLD) e che è responsabile dell'amministrazione di tale TLD, compresa la registrazione dei nomi di dominio sotto tale TLD, e del funzionamento tecnico di tale TLD, compreso il funzionamento dei server dei nomi, la manutenzione delle banche dati e la distribuzione dei file di zona TLD tra i server dei nomi, indipendentemente dal fatto che una qualsiasi di tali operazioni sia effettuata dal soggetto o sia esternalizzata;

Emendamento  101

 

Proposta di direttiva

Articolo 4 – punto 15 bis (nuovo)

 

Testo della Commissione

Emendamento

 

(15 bis) "servizi di registrazione dei nomi di dominio": servizi forniti da registri e registrar di nomi di dominio, fornitori di servizi di registrazione per la privacy o di proxy, broker o rivenditori di domini e qualsiasi altro servizio connesso alla registrazione di nomi di dominio;

Emendamento  102

 

Proposta di direttiva

Articolo 4 – punto 23 bis (nuovo)

 

Testo della Commissione

Emendamento

 

(23 bis) "rete pubblica di comunicazione elettronica": una rete pubblica di comunicazione elettronica quale definita all'articolo 2, punto 8, della direttiva (UE) 2018/1972;

Emendamento  103

 

Proposta di direttiva

Articolo 4 – punto 23 ter (nuovo)

 

Testo della Commissione

Emendamento

 

(23 ter) "servizio di comunicazione elettronica": un servizio di comunicazione elettronica quale definito all'articolo 2, punto 4, della direttiva (UE) 2018/1972;

Emendamento  104

 

Proposta di direttiva

Articolo 5 – paragrafo 1 – parte introduttiva

 

Testo della Commissione

Emendamento

1. Ogni Stato membro adotta una strategia nazionale per la cibersicurezza che definisce obiettivi strategici e adeguate misure strategiche e normative al fine di raggiungere e mantenere un livello elevato di cibersicurezza. La strategia nazionale per la cibersicurezza comprende, in particolare, gli elementi seguenti:

1. Ogni Stato membro adotta una strategia nazionale per la cibersicurezza che definisce obiettivi strategici, risorse tecniche, organizzative e finanziarie necessarie per conseguire tali obiettivi, nonché adeguate misure strategiche e normative al fine di raggiungere e mantenere un livello elevato di cibersicurezza. La strategia nazionale per la cibersicurezza comprende, in particolare, gli elementi seguenti:

Emendamento  105

 

Proposta di direttiva

Articolo 5 – paragrafo 1 – lettera a

 

Testo della Commissione

Emendamento

a) una definizione degli obiettivi e delle priorità della strategia per la cibersicurezza dello Stato membro;

(Non concerne la versione italiana) 

Emendamento  106

 

Proposta di direttiva

Articolo 5 – paragrafo 1 – lettera b

 

Testo della Commissione

Emendamento

b) un quadro di governance per la realizzazione di tali obiettivi e priorità, comprendente le misure strategiche di cui al paragrafo 2 e i ruoli e le responsabilità degli enti e degli organismi pubblici, nonché di altri attori pertinenti;

b) un quadro di governance per la realizzazione di tali obiettivi e priorità, comprendente le misure strategiche di cui al paragrafo 2;

Emendamento  107

 

Proposta di direttiva

Articolo 5 – paragrafo 1 – lettera b bis (nuova)

 

Testo della Commissione

Emendamento

 

b bis) un quadro per l'assegnazione dei ruoli e delle responsabilità degli enti e degli organismi pubblici nonché di altri attori pertinenti, a sostegno della cooperazione e del coordinamento, a livello nazionale, tra le autorità competenti designate a norma dell'articolo 7, paragrafo 1, e dell'articolo 8, paragrafo 1, il punto di contatto unico designato a norma dell'articolo 8, paragrafo 3, e i CSIRT designati a norma dell'articolo 9;

Emendamento  108

 

Proposta di direttiva

Articolo 5 – paragrafo 1 – lettera e

 

Testo della Commissione

Emendamento

e) un elenco delle diverse autorità e dei diversi attori coinvolti nell'attuazione della strategia nazionale per la cibersicurezza;

e) un elenco delle diverse autorità e dei diversi attori coinvolti nell'attuazione della strategia nazionale per la cibersicurezza, compreso un punto di contatto unico per la cibersicurezza rivolto alle PMI al fine di sostenerle nell'attuazione di misure specifiche di cibersicurezza;

Emendamento  109

 

Proposta di direttiva

Articolo 5 – paragrafo 1 – lettera f

 

Testo della Commissione

Emendamento

f) un quadro strategico per il rafforzamento del coordinamento tra le autorità competenti a norma della presente direttiva e della direttiva (UE) XXXX/XXXX del Parlamento europeo e del Consiglio38 [direttiva sulla resilienza dei soggetti critici] ai fini della condivisione delle informazioni sugli incidenti e sulle minacce informatiche e dello svolgimento di compiti di vigilanza.

f) un quadro strategico per il rafforzamento del coordinamento tra le autorità competenti a norma della presente direttiva e della direttiva (UE) XXXX/XXXX del Parlamento europeo e del Consiglio [direttiva sulla resilienza dei soggetti critici], sia all'interno degli Stati membri che fra di essi, ai fini della condivisione delle informazioni sugli incidenti e sulle minacce informatiche e dello svolgimento di compiti di vigilanza.

__________________

__________________

38 [Inserire il titolo completo e il riferimento della pubblicazione nella GU, non appena noti].

38 [Inserire il titolo completo e il riferimento della pubblicazione nella GU, non appena noti].

Emendamento  110

 

Proposta di direttiva

Articolo 5 – paragrafo 1 – lettera f bis (nuova)

 

Testo della Commissione

Emendamento

 

f bis) una valutazione del livello generale di consapevolezza dei cittadini in materia di cibersicurezza.

Emendamento  111

 

Proposta di direttiva

Articolo 5 – paragrafo 2 – lettera -a (nuova)

 

Testo della Commissione

Emendamento

 

-a) misure relative alla cibersicurezza per ciascun settore disciplinato dalla presente direttiva;

Emendamento  112

 

Proposta di direttiva

Articolo 5 – paragrafo 2 – lettera b

 

Testo della Commissione

Emendamento

b) orientamenti relativi all'inclusione e alla definizione di requisiti relativi alla cibersicurezza per i prodotti e i servizi TIC negli appalti pubblici;

b) orientamenti relativi all'inclusione e alla definizione di requisiti relativi alla cibersicurezza per i prodotti e i servizi TIC negli appalti pubblici, inclusi i requisiti di cifratura e l'utilizzo di prodotti di cibersicurezza open source;

Emendamento  113

 

Proposta di direttiva

Articolo 5 – paragrafo 2 – lettera d

 

Testo della Commissione

Emendamento

d) misure relative al sostegno della disponibilità generale e dell'integrità del carattere fondamentale pubblico di una rete Internet aperta;

d) misure relative al sostegno della disponibilità generale e dell'integrità del carattere fondamentale pubblico di una rete Internet aperta, compresa la cibersicurezza dei cavi di comunicazione sottomarini;

Emendamento  114

 

Proposta di direttiva

Articolo 5 – paragrafo 2 – lettera d bis (nuova)

 

Testo della Commissione

Emendamento

 

d bis) misure volte a promuovere e sostenere lo sviluppo e l'integrazione di tecnologie emergenti, come l'intelligenza artificiale, negli strumenti e nelle applicazioni di aumento della cibersicurezza;

Emendamento  115

 

Proposta di direttiva

Articolo 5 – paragrafo 2 – lettera d ter (nuova)

 

Testo della Commissione

Emendamento

 

d ter) misure volte a promuovere l'integrazione degli strumenti e delle applicazioni open source;

Emendamento  116

 

Proposta di direttiva

Articolo 5 – paragrafo 2 – lettera f

 

Testo della Commissione

Emendamento

f) misure per sostenere gli istituti accademici e di ricerca nello sviluppo di strumenti di cibersicurezza e di infrastrutture di rete sicure;

f) misure per sostenere gli istituti accademici e di ricerca nello sviluppo, nel perfezionamento e nella diffusione di strumenti di cibersicurezza e di infrastrutture di rete sicure;

Emendamento  117

 

Proposta di direttiva

Articolo 5 – paragrafo 2 – lettera h

 

Testo della Commissione

Emendamento

h) misure volte a rispondere alle esigenze specifiche delle PMI, in particolare quelle escluse dall'ambito di applicazione della presente direttiva, relativamente a orientamenti e sostegno per rafforzare la loro resilienza alle minacce alla cibersicurezza.

h) misure volte a promuovere la cibersicurezza per le PMI, comprese quelle escluse dall'ambito di applicazione della presente direttiva, rispondere alle loro esigenze specifiche e fornire orientamenti e sostegno facilmente accessibili, compresi orientamenti relativi alle sfide delle catene di approvvigionamento cui sono confrontate;

Emendamento  118

 

Proposta di direttiva

Articolo 5 – paragrafo 2 – lettera h bis (nuova)

 

Testo della Commissione

Emendamento

 

h bis) misure volte a promuovere programmi di igiene informatica che comprendano uno scenario di riferimento delle pratiche e dei controlli e sensibilizzino i cittadini in merito alle minacce alla cibersicurezza e alle migliori pratiche;

Emendamento  119

 

Proposta di direttiva

Articolo 5 – paragrafo 2 – lettera h ter (nuova)

 

Testo della Commissione

Emendamento

 

h ter) misure volte a promuovere attivamente la ciberdifesa;

Emendamento  120

 

Proposta di direttiva

Articolo 5 – paragrafo 2 – lettera h quater (nuova)

 

Testo della Commissione

Emendamento

 

h quater) misure volte a consentire alle autorità di sviluppare competenze e a comprende meglio le considerazioni di sicurezza necessarie a progettare, costruire e gestire i siti connessi;

Emendamento  121

 

Proposta di direttiva

Articolo 5 – paragrafo 2 – lettera h quinquies (nuova)

 

Testo della Commissione

Emendamento

 

h quinquies) misure volte, in particolare, a rispondere alla minaccia dei ransomware e ad alterare il modello di business dei ransomware;

Emendamento  122

 

Proposta di direttiva

Articolo 5 – paragrafo 2 – lettera h sexies (nuova)

 

Testo della Commissione

Emendamento

 

h sexies) misure, ivi comprese pertinenti procedure e quadri di governance, volte a sostenere e promuovere l'istituzione di PPP per la cibersicurezza.

Emendamento  123

 

Proposta di direttiva

Articolo 5 – paragrafo 3

 

Testo della Commissione

Emendamento

3. Gli Stati membri notificano le loro strategie nazionali per la cibersicurezza alla Commissione entro tre mesi dall'adozione. Gli Stati membri possono omettere dalla notifica informazioni specifiche se e nella misura in cui ciò sia strettamente necessario per preservare la sicurezza nazionale.

3. Gli Stati membri notificano le loro strategie nazionali per la cibersicurezza alla Commissione entro tre mesi dall'adozione. Gli Stati membri possono omettere dalla notifica informazioni specifiche se e nella misura in cui ciò sia necessario per preservare la sicurezza nazionale.

Emendamento  124

 

Proposta di direttiva

Articolo 5 – paragrafo 4

 

Testo della Commissione

Emendamento

4. Gli Stati membri valutano le proprie strategie nazionali per la cibersicurezza almeno ogni quattro anni sulla base di indicatori chiave di prestazione e, se necessario, le modificano. L'Agenzia dell'Unione europea per la cibersicurezza (ENISA) assiste su richiesta gli Stati membri nell'elaborazione di una strategia nazionale e di indicatori chiave di prestazione per la relativa valutazione.

4. Gli Stati membri valutano le proprie strategie nazionali per la cibersicurezza almeno ogni quattro anni sulla base di indicatori chiave di prestazione e, se necessario, le modificano. L'Agenzia dell'Unione europea per la cibersicurezza (ENISA) assiste su richiesta gli Stati membri nell'elaborazione di una strategia nazionale e di indicatori chiave di prestazione per la relativa valutazione. L'ENISA fornisce orientamenti agli Stati membri al fine di allineare le loro strategie nazionali per la cibersicurezza già formulate ai requisiti e agli obblighi di cui alla presente direttiva.

Emendamento  125

 

Proposta di direttiva

Articolo 6 – titolo

 

Testo della Commissione

Emendamento

Divulgazione coordinata delle vulnerabilità e registro europeo delle vulnerabilità

Divulgazione coordinata delle vulnerabilità e banca dati europea delle vulnerabilità

Emendamento  126

 

Proposta di direttiva

Articolo 6 – paragrafo 1

 

Testo della Commissione

Emendamento

1. Ogni Stato membro designa uno dei propri CSIRT di cui all'articolo 9 come coordinatore ai fini della divulgazione coordinata delle vulnerabilità. Il CSIRT designato agisce da intermediario di fiducia agevolando, se necessario, l'interazione tra il soggetto che effettua la segnalazione e il fabbricante o fornitore di servizi TIC o prodotti TIC. Se la vulnerabilità segnalata riguarda più fabbricanti o fornitori di servizi TIC o prodotti TIC nell'Unione, il CSIRT designato di ciascuno Stato membro interessato coopera con la rete di CSIRT.

1. Ogni Stato membro designa uno dei propri CSIRT di cui all'articolo 9 come coordinatore ai fini della divulgazione coordinata delle vulnerabilità. Il CSIRT designato agisce da intermediario di fiducia agevolando, su richiesta del soggetto che effettua la segnalazione, l'interazione tra quest'ultima e il fabbricante o fornitore di servizi TIC o prodotti TIC. Se la vulnerabilità segnalata riguarda più fabbricanti o fornitori di servizi TIC o prodotti TIC nell'Unione, il CSIRT designato di ciascuno Stato membro interessato coopera con la rete di CSIRT.

 

Emendamento  127

 

Proposta di direttiva

Articolo 6 – paragrafo 2

 

Testo della Commissione

Emendamento

2. L'ENISA elabora e mantiene un registro europeo delle vulnerabilità. A tal fine l'ENISA istituisce e gestisce i sistemi informatici, le misure strategiche e le procedure adeguati, volti in particolare a consentire ai soggetti essenziali e importanti e ai relativi fornitori di sistemi informatici e di rete di divulgare e registrare le vulnerabilità presenti nei prodotti TIC o nei servizi TIC, nonché a fornire a tutte le parti interessate l'accesso alle informazioni sulle vulnerabilità contenute nel registro. Il registro contiene, in particolare, informazioni che illustrano la vulnerabilità, i prodotti TIC o i servizi TIC interessati e la gravità della vulnerabilità in termini di circostanze nelle quali potrebbe essere sfruttata, la disponibilità di relative patch e, qualora queste non fossero disponibili, orientamenti rivolti agli utenti dei prodotti e dei servizi vulnerabili sulle possibili modalità di attenuazione dei rischi derivanti dalle vulnerabilità divulgate.

2. L'ENISA elabora e mantiene una banca dati europea delle vulnerabilità che attinga al registro globale delle vulnerabilità e delle esposizioni comuni (CVE). A tal fine l'ENISA istituisce e gestisce i sistemi informatici, le misure strategiche e le procedure adeguati e adotta le necessarie misure tecniche e organizzative per garantire la sicurezza e l'integrità della banca dati volte in particolare a consentire ai soggetti essenziali e importanti e ai relativi fornitori di sistemi informatici e di rete, nonché ai soggetti che non ricadono nell'ambito di applicazione della presente direttiva e ai relativi fornitori, di divulgare e registrare le vulnerabilità presenti nei prodotti TIC o nei servizi TIC, nonché a fornire a tutte le parti interessate l'accesso alle informazioni sulle vulnerabilità contenute nel registro. Tutte le parti interessate devono avere accesso alle informazioni sulle vulnerabilità contenute nella banca dati che dispongono di patch o di misure di mitigazione. La banca dati contiene, in particolare, informazioni che illustrano la vulnerabilità, i prodotti TIC o i servizi TIC interessati e la gravità della vulnerabilità in termini di circostanze nelle quali potrebbe essere sfruttata e la disponibilità di relative patch. Qualora queste patch non fossero disponibili, nella banca dati sono inseriti orientamenti rivolti agli utenti dei prodotti TIC e dei servizi TIC vulnerabili sulle possibili modalità di attenuazione dei rischi derivanti dalle vulnerabilità divulgate.

Emendamento  128

 

Proposta di direttiva

Articolo 7 – paragrafo 1 bis (nuovo)

 

Testo della Commissione

Emendamento

 

1 bis. Se uno Stato membro designa più di un'autorità competente di cui al paragrafo 1, deve indicare chiaramente quali di dette autorità competenti devono fungere da punto di contatto principale per la gestione di crisi e incidenti su vasta scala.

Emendamento  129

 

Proposta di direttiva

Articolo 7 – paragrafo 2

 

Testo della Commissione

Emendamento

2. Ogni Stato membro individua le capacità, le risorse e le procedure che possono essere impiegate in caso di crisi ai fini della presente direttiva.

(Non concerne la versione italiana) 

Emendamento  130

 

Proposta di direttiva

Articolo 7 – paragrafo 4

 

Testo della Commissione

Emendamento

4. Gli Stati membri comunicano alla Commissione le autorità competenti designate di cui al paragrafo 1 e trasmettono i propri piani nazionali di risposta agli incidenti e alle crisi di cibersicurezza di cui al paragrafo 3 entro tre mesi da tali designazioni e dall'adozione di tali piani. Gli Stati membri possono omettere dal piano informazioni specifiche se e nella misura in cui ciò sia strettamente necessario ai fini della loro sicurezza nazionale.

4. Gli Stati membri comunicano alla Commissione le autorità competenti designate di cui al paragrafo 1 e trasmettono a EU-CyCLONe i propri piani nazionali di risposta agli incidenti e alle crisi di cibersicurezza di cui al paragrafo 3 entro tre mesi da tali designazioni e dall'adozione di tali piani. Gli Stati membri possono omettere dal piano informazioni specifiche se e nella misura in cui ciò sia strettamente necessario ai fini della loro sicurezza nazionale.

Emendamento  131

 

Proposta di direttiva

Articolo 8 – paragrafo 3

 

Testo della Commissione

Emendamento

3. Ogni Stato membro designa un punto di contatto unico nazionale in materia di cibersicurezza ("punto di contatto unico"). Se uno Stato membro designa soltanto un'autorità competente, quest'ultima è anche il punto di contatto unico per tale Stato membro.

3. Ogni Stato membro designa una delle autorità competenti di cui al paragrafo 1 quale punto di contatto unico nazionale in materia di cibersicurezza ("punto di contatto unico"). Se uno Stato membro designa soltanto un'autorità competente, quest'ultima è anche il punto di contatto unico per tale Stato membro.

Emendamento  132

 

Proposta di direttiva

Articolo 8 – paragrafo 4

 

Testo della Commissione

Emendamento

4. Ogni punto di contatto unico svolge una funzione di collegamento per garantire la cooperazione transfrontaliera delle autorità del relativo Stato membro con le autorità pertinenti degli altri Stati membri, nonché per garantire la cooperazione intersettoriale con altre autorità nazionali competenti dello stesso Stato membro.

4. Ogni punto di contatto unico svolge una funzione di collegamento per garantire la cooperazione transfrontaliera delle autorità del relativo Stato membro con le autorità pertinenti degli altri Stati membri, la Commissione e l'ENISA, nonché per garantire la cooperazione intersettoriale con altre autorità nazionali competenti dello stesso Stato membro.

Emendamento  133

 

Proposta di direttiva

Articolo 9 – paragrafo 2

 

Testo della Commissione

Emendamento

2. Gli Stati membri provvedono affinché ogni CSIRT disponga di risorse adeguate per svolgere efficacemente i suoi compiti di cui all'articolo 10, paragrafo 2.

2. Gli Stati membri provvedono affinché ogni CSIRT disponga di risorse adeguate e delle capacità tecniche necessarie per svolgere efficacemente i suoi compiti di cui all'articolo 10, paragrafo 2.

Emendamento  134

 

Proposta di direttiva

Articolo 9 – paragrafo 6 bis (nuovo)

 

Testo della Commissione

Emendamento

 

6 bis. Gli Stati membri assicurano la possibilità di uno scambio di informazioni efficace, efficiente e sicuro su tutti i livelli di classificazione tra i propri CSIRT e i CSIRT di paesi terzi allo stesso livello di classificazione.

Emendamento  135

 

Proposta di direttiva

Articolo 9 – paragrafo 6 ter (nuovo)

 

Testo della Commissione

Emendamento

 

6 ter. Fatto salvo il diritto dell'Unione, segnatamente il regolamento (UE) 2016/679, i CSIRT cooperano con i CSIRT o gli organi equivalenti nei paesi candidati all'UE e in altri paesi terzi dei Balcani occidentali e del partenariato orientale e, se possibile, forniscono loro assistenza in materia di cibersicurezza.

Emendamento  136

 

Proposta di direttiva

Articolo 9 – paragrafo 7

 

Testo della Commissione

Emendamento

7. Gli Stati membri comunicano alla Commissione senza indebiti ritardi i CSIRT designati conformemente al paragrafo 1 e il CSIRT coordinatore designato conformemente all'articolo 6, paragrafo 1, nonché i relativi compiti previsti in relazione ai soggetti di cui agli allegati I e II.

7. Gli Stati membri comunicano alla Commissione senza indebiti ritardi i CSIRT designati conformemente al paragrafo 1 e il CSIRT coordinatore designato conformemente all'articolo 6, paragrafo 1, compresi i relativi compiti previsti in relazione ai soggetti essenziali e importanti.

Emendamento  137

 

Proposta di direttiva

Articolo 10 – titolo

 

Testo della Commissione

Emendamento

Requisiti e compiti dei CSIRT

Requisiti, capacità tecniche e compiti dei CSIRT

Emendamento  138

 

Proposta di direttiva

Articolo 10 – paragrafo 1 – lettera c

 

Testo della Commissione

Emendamento

c) i CSIRT sono dotati di un sistema adeguato di gestione e inoltro delle richieste, in particolare per facilitare i trasferimenti in maniera efficace ed efficiente;

c) i CSIRT sono dotati di un sistema adeguato di classificazione, inoltro e tracciamento delle richieste, in particolare per facilitare i trasferimenti in maniera efficace ed efficiente;

Emendamento  139

 

Proposta di direttiva

Articolo 10 – paragrafo 1 – lettera c bis (nuova)

 

Testo della Commissione

Emendamento

 

c bis) i CSIRT dispongono di opportuni codici di condotta per garantire la riservatezza e l'affidabilità delle loro operazioni;

Emendamento  140

 

Proposta di direttiva

Articolo 10 – paragrafo 1 – lettera d

 

Testo della Commissione

Emendamento

d) i CSIRT dispongono di personale sufficiente a garantirne l'operatività in qualsiasi momento;

d) I CSIRT dispongono di personale sufficiente a garantirne l'operatività in qualsiasi momento e assicurano adeguati quadri di formazione del loro personale;

Emendamento  141

 

Proposta di direttiva

Articolo 10 – paragrafo 1 – lettera e

 

Testo della Commissione

Emendamento

e) i CSIRT sono dotati di sistemi ridondanti e spazi di lavoro di backup al fine di garantire la continuità dei loro servizi;

e) i CSIRT sono dotati di sistemi ridondanti e spazi di lavoro di backup al fine di garantire la continuità dei loro servizi, compresa l'ampia connettività tra le reti, i sistemi e i servizi informativi e i dispositivi;

Emendamento  142

 

Proposta di direttiva

Articolo 10 – paragrafo 1 bis (nuovo)

 

Testo della Commissione

Emendamento

 

1 bis. I CSIRT sviluppano almeno le seguenti capacità tecniche:

 

a) la capacità di effettuare il monitoraggio in tempo reale o in tempo prossimo al reale delle reti e dei sistemi informativi e di rilevare le anomalie;

 

b) la capacità di sostenere la prevenzione e il rilevamento;

 

c) la capacità di raccogliere ed effettuare complesse analisi dei dati forensi e applicare un'ingegneria a ritroso alle minacce informatiche;

 

d) la capacità di filtrare il traffico malevolo;

 

e) la capacità di imporre rigorosi privilegi e controlli di autenticazione e di accesso; nonché

 

f) la capacità di analizzare le minacce informatiche.

Emendamento  143

 

Proposta di direttiva

Articolo 10 – paragrafo 2 – lettera a

 

Testo della Commissione

Emendamento

a) monitorano le minacce informatiche, le vulnerabilità e gli incidenti a livello nazionale;

a) monitorano le minacce informatiche, le vulnerabilità e gli incidenti a livello nazionale e acquisiscono informazioni sulle minacce in tempo reale;

Emendamento  144

 

Proposta di direttiva

Articolo 10 – paragrafo 2 – lettera b

 

Testo della Commissione

Emendamento

b) emettono preallarmi, allerte e bollettini e divulgano informazioni ai soggetti essenziali e importanti, nonché alle altre pertinenti parti interessate, in merito a minacce informatiche, vulnerabilità e incidenti;

b) emettono preallarmi, allerte e bollettini e divulgano informazioni ai soggetti essenziali e importanti, nonché alle altre pertinenti parti interessate, in merito a minacce informatiche, vulnerabilità e incidenti, se possibile in tempo prossimo al reale;

Emendamento  145

 

Proposta di direttiva

Articolo 10 – paragrafo 2 – lettera c

 

Testo della Commissione

Emendamento

c) forniscono una risposta agli incidenti;

c) forniscono una risposta agli incidenti e assistenza ai soggetti coinvolti;

Emendamento  146

 

Proposta di direttiva

Articolo 10 – paragrafo 2 – lettera e

 

Testo della Commissione

Emendamento

e) effettuano, su richiesta di un soggetto, una scansione proattiva dei sistemi informatici e di rete da esso utilizzati per la fornitura dei suoi servizi;

e) effettuano, su richiesta di un soggetto o in caso di grave minaccia per la sicurezza nazionale, una scansione proattiva dei sistemi informatici e di rete da esso utilizzati per la fornitura dei suoi servizi;

Emendamento  147

 

Proposta di direttiva

Articolo 10 – paragrafo 2 – lettera f bis (nuova)

 

Testo della Commissione

Emendamento

 

f bis) forniscono, su richiesta di un soggetto, l'abilitazione e la configurazione della registrazione di rete per proteggere i dati, compresi i dati personali, da estrazioni non autorizzate;

Emendamento  148

 

Proposta di direttiva

Articolo 10 – paragrafo 2 – lettera f ter (nuova)

 

Testo della Commissione

Emendamento

 

f ter) contribuiscono allo sviluppo di strumenti sicuri per la condivisione delle informazioni di cui all'articolo 9, paragrafo 3.

Emendamento  149

 

Proposta di direttiva

Articolo 10 – paragrafo 4 – parte introduttiva

 

Testo della Commissione

Emendamento

4. Al fine di agevolare la cooperazione, i CSIRT promuovono l'adozione e l'uso di pratiche, sistemi di classificazione e tassonomie standardizzati o comuni per quanto riguarda:

4. Al fine di agevolare la cooperazione, i CSIRT promuovono l'automazione dello scambio di informazioni, nonché l'adozione e l'uso di pratiche, sistemi di classificazione e tassonomie standardizzati o comuni per quanto riguarda:

Emendamento  150

 

Proposta di direttiva

Articolo 11 – paragrafo 2

 

Testo della Commissione

Emendamento

2. Gli Stati membri provvedono affinché le loro autorità competenti o i loro CSIRT ricevano le notifiche in merito agli incidenti, alle minacce informatiche significative e ai quasi incidenti (near miss) trasmesse a norma della presente direttiva. Qualora uno Stato membro decida che i suoi CSIRT non debbano ricevere tali notifiche, a questi ultimi viene dato accesso, nella misura necessaria per lo svolgimento dei loro compiti, ai dati sugli incidenti notificati dai soggetti essenziali o importanti, a norma dell'articolo 20.

2. Gli Stati membri provvedono affinché i loro CSIRT ricevano le notifiche in merito agli incidenti significativi ai sensi dell'articolo 20 e alle minacce informatiche e ai quasi incidenti (near miss) a norma dell'articolo 27 attraverso il punto di ingresso unico di cui all'articolo 20, paragrafo 4 bis.

Emendamento  151

 

Proposta di direttiva

Articolo 11 – paragrafo 4

 

Testo della Commissione

Emendamento

4. Nella misura necessaria per l'efficace adempimento dei compiti e degli obblighi stabiliti nella presente direttiva, gli Stati membri provvedono affinché, all'interno di ciascuno Stato membro, vi sia un'adeguata cooperazione tra le autorità competenti e i punti di contatto unici e le autorità di contrasto, le autorità di protezione dei dati, le autorità responsabili delle infrastrutture critiche a norma della direttiva (UE) XXXX/XXXX [direttiva sulla resilienza dei soggetti critici] e le autorità finanziarie nazionali designate conformemente al regolamento (UE) XXXX/XXXX del Parlamento europeo e del Consiglio39 [il regolamento DORA].

4. Nella misura necessaria per l'efficace adempimento dei compiti e degli obblighi stabiliti nella presente direttiva, gli Stati membri provvedono affinché, all'interno di ciascuno Stato membro, vi sia un'adeguata cooperazione tra le autorità competenti, i punti di contatto unici, i CSIRT, le autorità di contrasto, le autorità nazionali di regolamentazione o altre autorità responsabile delle reti pubbliche di comunicazione elettronica o dei servizi di comunicazione elettronica accessibili al pubblico ai sensi della direttiva (UE) 2018/1972, le autorità di protezione dei dati, le autorità responsabili delle infrastrutture critiche a norma della direttiva (UE) XXXX/XXXX [direttiva sulla resilienza dei soggetti critici] e le autorità finanziarie nazionali designate conformemente al regolamento (UE) XXXX/XXXX del Parlamento europeo e del Consiglio [il regolamento DORA] conformemente alle loro rispettive competenze.

__________________

__________________

39 [Inserire il titolo completo e il riferimento della pubblicazione nella GU, non appena noti].

39 [Inserire il titolo completo e il riferimento della pubblicazione nella GU, non appena noti].

Emendamento  152

 

Proposta di direttiva

Articolo 11 – paragrafo 5

 

Testo della Commissione

Emendamento

5. Gli Stati membri provvedono affinché le loro autorità competenti forniscano periodicamente alle autorità competenti designate a norma della direttiva (UE) XXXX/XXXX [direttiva sulla resilienza dei soggetti critici] informazioni sui rischi di cibersicurezza, sulle minacce informatiche e sugli incidenti che interessano i soggetti essenziali identificati come critici, o come soggetti equivalenti ai soggetti critici, a norma della direttiva (UE) XXXX/XXXX [direttiva sulla resilienza dei soggetti critici], nonché sulle misure adottate dalle autorità competenti in risposta a tali rischi e incidenti.

5. Gli Stati membri provvedono affinché le loro autorità competenti forniscano periodicamente alle autorità competenti designate a norma della direttiva (UE) XXXX/XXXX [direttiva sulla resilienza dei soggetti critici] informazioni tempestive sui rischi di cibersicurezza, sulle minacce informatiche e sugli incidenti che interessano i soggetti essenziali identificati come critici, o come soggetti equivalenti ai soggetti critici, a norma della direttiva (UE) XXXX/XXXX [direttiva sulla resilienza dei soggetti critici], nonché sulle misure adottate dalle autorità competenti in risposta a tali rischi e incidenti.

Emendamento  153

 

Proposta di direttiva

Articolo 12 – paragrafo 3 – comma 1

 

Testo della Commissione

Emendamento

Il gruppo di cooperazione è composto da rappresentanti degli Stati membri, della Commissione e dell'ENISA. Il servizio europeo per l'azione esterna partecipa alle attività del gruppo di cooperazione in qualità di osservatore. Le autorità europee di vigilanza (AEV) conformemente all'articolo 17, paragrafo 5, lettera c), del regolamento (UE) XXXX/XXXX [il regolamento DORA] possono partecipare alle attività del gruppo di cooperazione.

Il gruppo di cooperazione è composto da rappresentanti degli Stati membri, della Commissione e dell'ENISA. Il Parlamento europeo e il servizio europeo per l'azione esterna partecipano alle attività del gruppo di cooperazione in qualità di osservatori. Le autorità europee di vigilanza (AEV) conformemente all'articolo 17, paragrafo 5, lettera c), del regolamento (UE) XXXX/XXXX [il regolamento DORA] possono partecipare alle attività del gruppo di cooperazione.

Emendamento  154

 

Proposta di direttiva

Articolo 12 – paragrafo 3 – comma 2

 

Testo della Commissione

Emendamento

Ove opportuno, il gruppo di cooperazione può invitare a partecipare ai suoi lavori i rappresentanti dei pertinenti portatori di interessi.

Ove opportuno, il gruppo di cooperazione può invitare a partecipare ai suoi lavori i rappresentanti dei pertinenti portatori di interessi, quali il comitato europeo per la protezione dei dati.

Emendamento  155

 

Proposta di direttiva

Articolo 12 – paragrafo 4 – lettera b

 

Testo della Commissione

Emendamento

b) scambia migliori pratiche e informazioni relative all'attuazione della presente direttiva, anche per quanto riguarda minacce informatiche, incidenti, vulnerabilità, quasi incidenti, iniziative di sensibilizzazione, attività di formazione, esercitazioni e competenze, sviluppo di capacità, norme e specifiche tecniche;

b) scambia migliori pratiche e informazioni relative all'attuazione della presente direttiva, anche per quanto riguarda minacce informatiche, incidenti, vulnerabilità, quasi incidenti, iniziative di sensibilizzazione, attività di formazione, esercitazioni e competenze, sviluppo di capacità, norme e specifiche tecniche nonché l'identificazione dei soggetti essenziali e importanti;

Emendamento  156

 

Proposta di direttiva

Articolo 12 – paragrafo 4 – lettera b bis (nuova)

 

Testo della Commissione

Emendamento

 

b bis) mappa le soluzioni nazionali al fine di promuovere la compatibilità delle soluzioni di cibersicurezza applicate a ciascun settore specifico in tutta l'Unione;

Emendamento  157

 

Proposta di direttiva

Articolo 12 – paragrafo 4 – lettera c

 

Testo della Commissione

Emendamento

c) effettua scambi di consulenza e coopera con la Commissione per quanto riguarda le nuove iniziative strategiche in materia di cibersicurezza;

c) effettua scambi di consulenza e coopera con la Commissione per quanto riguarda le nuove iniziative strategiche in materia di cibersicurezza e sulla coerenza globale dei requisiti settoriali di cibersicurezza;

Emendamento  158

 

Proposta di direttiva

Articolo 12 – paragrafo 4 – lettera f

 

Testo della Commissione

Emendamento

f) discute le relazioni sulle revisioni tra pari di cui all'articolo 16, paragrafo 7;

f) discute le relazioni sulle revisioni tra pari di cui all'articolo 16, paragrafo 7 ed elabora conclusioni e raccomandazioni;

Emendamento  159

 

Proposta di direttiva

Articolo 12 – paragrafo 4 – lettera f bis (nuova)

 

Testo della Commissione

Emendamento

 

f bis) effettua valutazioni coordinate dei rischi per la sicurezza che possono essere avviate a norma dell'articolo 19, paragrafo 1, in cooperazione con la Commissione e l'ENISA;

Emendamento  160

 

Proposta di direttiva

Articolo 12 – paragrafo 4 – lettera k bis (nuova)

 

Testo della Commissione

Emendamento

 

k bis) trasmette alla Commissione ai fini del riesame di cui all'articolo 35 le relazioni sull'esperienza acquisita a livello strategico e operativo;

Emendamento  161

 

Proposta di direttiva

Articolo 12 – paragrafo 4 – lettera k ter (nuova)

 

Testo della Commissione

Emendamento

 

k ter) fornisce una valutazione annuale in collaborazione con l'ENISA, Europol e autorità di contrasto a livello nazionale sui paesi terzi che proteggono i criminali dediti al ransomware.

Emendamento  162

 

Proposta di direttiva

Articolo 12 – paragrafo 8

 

Testo della Commissione

Emendamento

8. Il gruppo di cooperazione si riunisce periodicamente, almeno una volta all'anno, con il gruppo per la resilienza dei soggetti critici istituito a norma della direttiva (UE) XXXX/XXXX [direttiva sulla resilienza dei soggetti critici] al fine di promuovere la cooperazione strategica e lo scambio di informazioni.

8. Il gruppo di cooperazione si riunisce periodicamente, almeno due volte all'anno, con il gruppo per la resilienza dei soggetti critici istituito a norma della direttiva (UE) XXXX/XXXX [direttiva sulla resilienza dei soggetti critici] al fine di facilitare la cooperazione strategica e lo scambio di informazioni.

Emendamento  163

 

Proposta di direttiva

Articolo 13 – paragrafo 3 – lettera a bis (nuova)

 

Testo della Commissione

Emendamento

 

a bis) agevola la condivisione e il trasferimento della tecnologia e delle misure, delle politiche, delle migliore pratiche e dei quadri pertinenti tra i CSIRT;

Emendamento  164

 

Proposta di direttiva

Articolo 13 – paragrafo 3 – lettera b bis (nuova)

 

Testo della Commissione

Emendamento

 

b bis) garantisce l'interoperabilità per quanto riguarda le norme di condivisione delle informazioni;

Emendamento  165

 

Proposta di direttiva

Articolo 14 – paragrafo 1

 

Testo della Commissione

Emendamento

1. Al fine di sostenere la gestione coordinata a livello operativo degli incidenti e delle crisi di cibersicurezza su vasta scala e di garantire il regolare scambio di informazioni tra gli Stati membri e le istituzioni, gli organismi e le agenzie dell'UE, è istituita la rete europea delle organizzazioni di collegamento per le crisi informatiche (EU-CyCLONe).

1. Al fine di sostenere la gestione coordinata a livello operativo degli incidenti e delle crisi di cibersicurezza su vasta scala e di garantire il regolare scambio di informazioni pertinenti tra gli Stati membri e le istituzioni, gli organismi e le agenzie dell'UE, è istituita la rete europea delle organizzazioni di collegamento per le crisi informatiche (EU-CyCLONe).

Emendamento  166

 

Proposta di direttiva

Articolo 14 – paragrafo 2

 

Testo della Commissione

Emendamento

2. EU-CyCLONe è composta da rappresentanti delle autorità di gestione delle crisi degli Stati membri designate conformemente all'articolo 7, della Commissione e dell'ENISA. L'ENISA assicura il segretariato della rete e sostiene lo scambio sicuro di informazioni.

2. EU-CyCLONe è composta da rappresentanti delle autorità di gestione delle crisi degli Stati membri designate conformemente all'articolo 7, della Commissione e dell'ENISA. L'ENISA assicura il segretariato di EU-CyCLONe e sostiene lo scambio sicuro di informazioni.

Emendamento  167

 

Proposta di direttiva

Articolo 14 – paragrafo 5

 

Testo della Commissione

Emendamento

5. EU-CyCLONe riferisce periodicamente al gruppo di cooperazione in merito alle minacce informatiche, agli incidenti e alle tendenze, concentrandosi in particolare sul relativo impatto sui soggetti essenziali e importanti.

5. EU-CyCLONe riferisce periodicamente al gruppo di cooperazione in merito agli incidenti e alle crisi di ampia portata, nonché alle tendenze, concentrandosi in particolare sul relativo impatto sui soggetti essenziali e importanti.

Emendamento  168

 

Proposta di direttiva

Articolo 15 – paragrafo 1 – parte introduttiva

 

Testo della Commissione

Emendamento

1. L'ENISA, in collaborazione con la Commissione, pubblica una relazione biennale sullo stato della cibersicurezza nell'Unione. La relazione comprende in particolare una valutazione dei seguenti aspetti:

1. L'ENISA, in collaborazione con la Commissione, pubblica una relazione biennale sullo stato della cibersicurezza nell'Unione e la presenta al Parlamento europeo. La relazione è fornita in un formato leggibile meccanicamente e comprende in particolare una valutazione dei seguenti aspetti:

Emendamento  169

 

Proposta di direttiva

Articolo 15 – paragrafo 1 – lettera a bis (nuova)

 

Testo della Commissione

Emendamento

 

a bis) il livello generale di sensibilizzazione e igiene in materia di cibersicurezza tra i cittadini e i soggetti, comprese le PMI, nonché il livello generale di sicurezza dei dispositivi connessi;

Emendamento  170

 

Proposta di direttiva

Articolo 15 – paragrafo 1 – lettera c

 

Testo della Commissione

Emendamento

c) un indice della cibersicurezza che fornisce una valutazione aggregata del livello di maturità delle capacità di cibersicurezza.

c) un indice della cibersicurezza che fornisce una valutazione aggregata del livello di maturità delle capacità di cibersicurezza in tutta l'Unione, compreso l'allineamento delle strategie nazionali degli Stati membri in materia di cibersicurezza.

Emendamento  171

 

Proposta di direttiva

Articolo 15 – paragrafo 2

 

Testo della Commissione

Emendamento

2. La relazione contiene raccomandazioni strategiche specifiche per aumentare il livello di cibersicurezza nell'Unione e una sintesi delle conclusioni tratte per quel determinato periodo nelle relazioni sulla situazione tecnica della cibersicurezza nell'Unione elaborate dall'ENISA conformemente all'articolo 7, paragrafo 6, del regolamento (UE) 2019/881.

2. La relazione contiene specifiche raccomandazioni sull'individuazione degli ostacoli e strategiche per aumentare il livello di cibersicurezza nell'Unione e una sintesi delle conclusioni tratte per quel determinato periodo nelle relazioni sulla situazione tecnica della cibersicurezza nell'Unione elaborate dall'ENISA conformemente all'articolo 7, paragrafo 6, del regolamento (UE) 2019/881.

Emendamento  172

 

Proposta di direttiva

Articolo 15 – paragrafo 2 bis (nuovo)

 

Testo della Commissione

Emendamento

 

2 bis. L'ENISA, in collaborazione con la Commissione e sulla base degli orientamenti tratti dal gruppo di cooperazione e dalla rete di CSIRT, elabora la metodologia, ivi comprese le variabili pertinenti dell'indice della cibersicurezza di cui al paragrafo 1, lettera e).

Emendamento  173

 

Proposta di direttiva

Articolo 16 – paragrafo 1 – parte introduttiva

 

Testo della Commissione

Emendamento

1. La Commissione, previa consultazione del gruppo di cooperazione e dell'ENISA ed entro 18 mesi dall'entrata in vigore della presente direttiva, stabilisce la metodologia e i contenuti di un sistema di revisioni tra pari per valutare l'efficacia delle politiche di cibersicurezza degli Stati membri. Le revisioni sono condotte da esperti tecnici di cibersicurezza provenienti da Stati membri diversi da quello oggetto di revisione e riguardano almeno gli aspetti seguenti:

1. La Commissione, previa consultazione del gruppo di cooperazione e dell'ENISA ed entro [18 mesi dall'entrata in vigore della presente direttiva], stabilisce la metodologia e i contenuti di un sistema di revisioni tra pari per valutare l'efficacia delle politiche di cibersicurezza degli Stati membri. Le revisioni tra pari sono condotte in consultazione con l'ENISA da esperti tecnici di cibersicurezza provenienti da almeno due Stati membri diversi da quello oggetto di revisione e riguardano almeno gli aspetti seguenti:

Emendamento  174

 

Proposta di direttiva

Articolo 16 – paragrafo 1 – punto iii

 

Testo della Commissione

Emendamento

iii) le capacità e l'efficacia operative dei CSIRT;

iii) le capacità e l'efficacia operative dei CSIRT nell'assolvimento dei loro compiti;

Emendamento  175

 

Proposta di direttiva

Articolo 16 – paragrafo 3

 

Testo della Commissione

Emendamento

3. Gli aspetti organizzativi delle revisioni tra pari sono decisi dalla Commissione con il sostegno dell'ENISA e, previa consultazione del gruppo di cooperazione, si basano su criteri definiti nella metodologia di cui al paragrafo 1. Le revisioni tra pari valutano gli aspetti di cui al paragrafo 1 per tutti gli Stati membri e i settori, comprese questioni mirate specifiche per uno o più Stati membri o uno o più settori.

3. Gli aspetti organizzativi delle revisioni tra pari sono decisi dalla Commissione con il sostegno dell'ENISA e, previa consultazione del gruppo di cooperazione, si basano su criteri definiti nella metodologia di cui al paragrafo 1. Le revisioni tra pari valutano gli aspetti di cui al paragrafo 1 per tutti gli Stati membri e i settori, comprese questioni mirate specifiche per uno o più Stati membri o uno o più settori. Gli esperti designati che effettuano il riesame comunicano tali questioni mirate allo Stato membro soggetto a valutazione tra pari prima dell'inizio della valutazione.

Emendamento  176

 

Proposta di direttiva

Articolo 16 – paragrafo 3 bis (nuovo)

 

Testo della Commissione

Emendamento

 

3 bis. Prima dell'avvio del processo di valutazione tra pari, lo Stato membro soggetto alla valutazione tra pari effettua un'autovalutazione degli aspetti esaminati e fornisce tale autovalutazione agli esperti designati.

Emendamento  177

 

Proposta di direttiva

Articolo 16 – paragrafo 4

 

Testo della Commissione

Emendamento

4. Le revisioni tra pari comportano visite in loco reali o virtuali e scambi a distanza. In virtù del principio di buona collaborazione, gli Stati membri sottoposti a valutazione forniscono agli esperti designati le informazioni richieste necessarie per la valutazione degli aspetti esaminati. Le informazioni ottenute mediante il processo di revisione tra pari sono utilizzate unicamente a tal fine. Gli esperti che partecipano alla revisione tra pari non divulgano a terzi le eventuali informazioni sensibili o riservate ottenute nel corso di tale revisione.

4. Le revisioni tra pari comportano visite in loco reali o virtuali e scambi a distanza. In virtù del principio di buona collaborazione, gli Stati membri sottoposti a valutazione forniscono agli esperti designati le informazioni richieste necessarie per la valutazione degli aspetti esaminati. La Commissione, in cooperazione con l'ENISA, elabora adeguati codici di condotta su cui si basano i metodi di lavoro degli esperti designati. Le informazioni ottenute mediante il processo di revisione tra pari sono utilizzate unicamente a tal fine. Gli esperti che partecipano alla revisione tra pari non divulgano a terzi le eventuali informazioni sensibili o riservate ottenute nel corso di tale revisione.

Emendamento  178

 

Proposta di direttiva

Articolo 16 – paragrafo 6

 

Testo della Commissione

Emendamento

6. Gli Stati membri provvedono affinché gli eventuali rischi di conflitto di interessi riguardanti gli esperti designati siano rivelati agli altri Stati membri, alla Commissione e all'ENISA senza indebito ritardo.

6. Gli Stati membri provvedono affinché gli eventuali rischi di conflitto di interessi riguardanti gli esperti designati siano rivelati agli altri Stati membri, alla Commissione e all'ENISA prima dell'inizio del processo di revisione tra pari.

Emendamento  179

 

Proposta di direttiva

Articolo 16 – paragrafo 7

 

Testo della Commissione

Emendamento

7. Gli esperti che partecipano alle revisioni tra pari elaborano relazioni sui risultati e sulle conclusioni delle revisioni. Le relazioni sono trasmesse alla Commissione, al gruppo di cooperazione, alla rete di CSIRT e all'ENISA. Le relazioni sono discusse in seno al gruppo di cooperazione e alla rete di CSIRT. Le relazioni possono essere pubblicate sul sito web dedicato del gruppo di cooperazione.

7. Gli esperti che partecipano alle revisioni tra pari elaborano relazioni sui risultati e sulle conclusioni delle revisioni. Le relazioni contengono raccomandazioni che consentono di migliorare gli aspetti sottoposti al processo di revisione tra pari. Le relazioni sono trasmesse alla Commissione, al gruppo di cooperazione, alla rete di CSIRT e all'ENISA. Le relazioni sono discusse in seno al gruppo di cooperazione e alla rete di CSIRT. Le relazioni possono essere pubblicate sul sito web dedicato del gruppo di cooperazione, escluse le informazioni sensibili e confidenziali.

Emendamento  180

 

Proposta di direttiva

Articolo 17 – paragrafo 2

 

Testo della Commissione

Emendamento

2. Gli Stati membri provvedono affinché i membri dell'organo di gestione seguano periodicamente attività di formazione specifiche al fine di acquisire conoscenze e competenze sufficienti per comprendere e valutare i rischi di cibersicurezza e le relative pratiche di gestione e il loro impatto sulle attività del soggetto.

2. Gli Stati membri provvedono affinché i membri dell'organo di gestione di soggetti essenziali e importanti seguano periodicamente attività di formazione specifiche e incoraggiano i soggetti essenziali e importanti a offrire formazioni analoghe a tutti i dipendenti al fine di acquisire conoscenze e competenze sufficienti per comprendere e valutare i rischi di cibersicurezza e le relative pratiche di gestione e il loro impatto sui servizi offerti dal soggetto.

Emendamento  181

 

Proposta di direttiva

Articolo 18 – paragrafo 1

 

Testo della Commissione

Emendamento

1. Gli Stati membri provvedono affinché i soggetti essenziali e importanti adottino misure tecniche e organizzative adeguate e proporzionate per gestire i rischi posti alla sicurezza dei sistemi informatici e di rete che tali soggetti utilizzano nella fornitura dei loro servizi. Tenuto conto delle conoscenze più aggiornate in materia, tali misure assicurano un livello di sicurezza dei sistemi informatici e di rete adeguato al rischio esistente.

1. Gli Stati membri provvedono affinché i soggetti essenziali e importanti adottino misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi posti alla sicurezza dei sistemi informatici e di rete che tali soggetti utilizzano nelle loro attività e nella fornitura dei loro servizi e prevenire o ridurre al minimo le conseguenze degli incidenti per i destinatari dei loro servizi e per altri servizi. Tenuto conto delle conoscenze più aggiornate in materia e delle norme europee o internazionali, tali misure assicurano un livello di sicurezza dei sistemi informatici e di rete adeguato al rischio esistente.

Emendamento