RELAZIONE sulla proposta di regolamento del Parlamento europeo e del Consiglio che stabilisce misure per un livello comune elevato di cibersicurezza nelle istituzioni, negli organi e negli organismi dell'Unione

10.3.2023 - (COM(2022)0122 – C9‑0122/2022 – 2022/0085(COD)) - ***I

Commissione per l'industria, la ricerca e l'energia
Relatrice: Henna Virkkunen
Relatore per parere della commissione associata a norma dell'articolo 57 del regolamento
Tomas Tobé, commissione per le libertà civili, la giustizia e gli affari interni


Procedura : 2022/0085(COD)
Ciclo di vita in Aula
Ciclo del documento :  
A9-0064/2023
Testi presentati :
A9-0064/2023
Discussioni :
Testi approvati :

PROGETTO DI RISOLUZIONE LEGISLATIVA DEL PARLAMENTO EUROPEO

sulla proposta di regolamento del Parlamento europeo e del Consiglio che stabilisce misure per un livello comune elevato di cibersicurezza nelle istituzioni, negli organi e negli organismi dell'Unione

(COM(2022)0122 – C9‑0122/2022 – 2022/0085(COD))

(Procedura legislativa ordinaria: prima lettura)

Il Parlamento europeo,

 vista la proposta della Commissione al Parlamento europeo e al Consiglio (COM(2022)0122),

 visti l'articolo 294, paragrafo 2, e l'articolo 298 del trattato sul funzionamento dell'Unione europea, a norma dei quali la proposta gli è stata presentata dalla Commissione (C9‑0122/2022),

 visto l'articolo 294, paragrafo 3, del trattato sul funzionamento dell'Unione europea,

 visto l'articolo 59 del suo regolamento,

 visti i pareri della commissione per le libertà civili, la giustizia e gli affari interni, della commissione per i bilanci e della commissione per gli affari costituzionali,

 vista la relazione della commissione per l'industria, la ricerca e l'energia (A9‑0064/2023),

1. adotta la posizione in prima lettura figurante in appresso;

2. chiede alla Commissione di presentargli nuovamente la proposta qualora la sostituisca, la modifichi sostanzialmente o intenda modificarla sostanzialmente;

3. incarica la sua Presidente di trasmettere la posizione del Parlamento al Consiglio e alla Commissione nonché ai parlamenti nazionali.

 


Emendamento  1

EMENDAMENTI DEL PARLAMENTO EUROPEO[*]

alla proposta della Commissione

---------------------------------------------------------

2022/0085 (COD)

Proposta di

REGOLAMENTO DEL PARLAMENTO EUROPEO E DEL CONSIGLIO

che stabilisce misure per un livello comune elevato di cibersicurezza nelle istituzioni, negli organi e negli organismi dell'Unione

IL PARLAMENTO EUROPEO E IL CONSIGLIO DELL'UNIONE EUROPEA

visto il trattato sul funzionamento dell'Unione europea, in particolare l'articolo 298,

visto il trattato che istituisce la Comunità europea dell'energia atomica, in particolare l'articolo 106 bis,

vista la proposta della Commissione europea,

previa trasmissione del progetto di atto legislativo ai parlamenti nazionali,

deliberando secondo la procedura legislativa ordinaria,

considerando quanto segue:

(1) Nell'era digitale, le tecnologie dell'informazione e della comunicazione sono fondamentali per un'amministrazione dell'Unione aperta, efficace ed indipendente. L'evoluzione della tecnologia e la maggiore complessità e interconnessione dei sistemi digitali amplificano i rischi per la cibersicurezza rendendo l'amministrazione dell'Unione più vulnerabile alle minacce e agli incidenti informatici, cosa che in ultima analisi rappresenta un pericolo per la continuità operativa dell'amministrazione e per la sua capacità di protezione dei propri dati. Se il maggior ricorso ai servizi cloud, l'uso massiccio delle tecnologie dell'informazione e della comunicazione (TIC), l'elevata digitalizzazione, il lavoro a distanza, l'evoluzione delle tecnologie e la connettività sono oggi caratteristiche fondamentali di tutte le attività dei soggetti amministrativi dell'Unione, la resilienza digitale non è ancora sufficientemente integrata.

(2) Il panorama delle minacce informatiche che pesano sui soggetti dell'Unione è in costante divenire. Gli autori delle minacce impiegano tattiche, tecniche e procedure in continua evoluzione, mentre i moventi più usuali per questi attacchi cambiano di poco, dal furto di importanti informazioni riservate al profitto finanziario, alla manipolazione dell'opinione pubblica o l'indebolimento delle infrastrutture digitali. Il ritmo di perpetrazione degli attacchi informatici continua a intensificarsi, con campagne sempre più sofisticate e automatizzate che prendono di mira le superfici di attacco esposte, che continuano ad ampliarsi, sfruttando rapidamente le vulnerabilità.

(3) Gli ambienti TIC dei soggetti dell'Unione sono interdipendenti, utilizzano flussi di dati integrati, e sono caratterizzati da una stretta collaborazione fra i loro utenti. Tale interconnessione significa che qualsiasi perturbazione, anche se inizialmente limitata a un soggetto dell'Unione, può avere effetti a cascata più ampi, con potenziali ripercussioni negative di ampia portata e di lunga durata sulle altre istituzioni, sugli altri organi o sulle altre agenzie dell'Unione. Alcuni ambienti TIC dei soggetti dell'Unione sono inoltre connessi con gli ambienti TIC degli Stati membri, e un incidente in un soggetto dell'Unione può quindi rappresentare un rischio per la cibersicurezza degli ambienti TIC degli Stati membri e viceversa.

(4) I soggetti dell'Unione sono obiettivi interessanti, che si trovano a dover affrontare sia autori di minacce molto esperti e dotati di risorse adeguate, sia altri tipi di minacce. Al tempo stesso, fra tali soggetti dell'Unione, il livello e la maturità della ciberresilienza e la capacità di individuare e contrastare attività informatiche dolose varia in modo significativo. Ai fini del funzionamento dell'amministrazione europea è quindi necessario che i soggetti dell'Unione raggiungano un livello comune elevato di cibersicurezza attraverso l'attuazione di misure di gestione dei rischi di cibersicurezza commisurate ai pertinenti rischi ▌, lo scambio di informazioni e la collaborazione.

(5) ▌La direttiva (EU) 2022/2555 del Parlamento europeo e del Consiglio[1] è volta a migliorare ulteriormente le capacità di resilienza in termini di cibersicurezza e di risposta agli incidenti di soggetti pubblici e privati, delle autorità e degli organi nazionali competenti così come dell'Unione nel suo complesso. È pertanto necessario che i soggetti dell'Unione agiscano in tal senso garantendo norme che siano coerenti con la ▌direttiva (UE) 2022/2555 e che rispecchino il suo livello di ambizione.

(6) Per raggiungere un livello comune elevato di cibersicurezza, è necessario che ogni soggetto dell'Unione stabilisca un quadro di gestione, gestione degli incidenti, governance e controllo dei rischi per la cibersicurezza, che garantisca una gestione efficace e prudente di tutti i rischi per la cibersicurezza, e tenga conto della continuità operativa e della gestione delle crisi. Tale quadro dovrebbe stabilire le politiche in materia di cibersicurezza e le priorità per la sicurezza dei sistemi informatici e di rete interessando la totalità dell'ambiente TIC. Il quadro dovrebbe essere riesaminato periodicamente e almeno ogni tre anni.

(7) Le differenze esistenti fra i soggetti dell'Unione richiedono flessibilità nell'attuazione, poiché un approccio unico non sarà adatto a tutti. Le misure per un livello comune elevato di cibersicurezza non dovrebbero comportare alcun obbligo che interferisca direttamente con l'esercizio delle missioni dei soggetti dell'Unione o che ne intacchi l'autonomia istituzionale. Tali soggetti dovrebbero pertanto istituire i propri quadri di gestione, gestione degli incidenti, governance e controllo dei rischi per la cibersicurezza, e dovrebbero adottare le proprie misure di gestione dei rischi in materia di cibersicurezza e i propri piani di cibersicurezza riguardanti la totalità dell'ambiente TIC del soggetto. I soggetti dell'Unione dovrebbero valutare costantemente l'efficacia delle misure di gestione dei rischi adottate e la loro proporzionalità rispetto ai rischi individuati e, se necessario, adeguare e rivedere di conseguenza i loro quadri e piani sulla base dei risultati delle valutazioni di maturità della cibersicurezza.

(7 bis) L'obbligo ricorrente di effettuare valutazioni della maturità della cibersicurezza potrebbe creare un onere aggiuntivo e sproporzionato per i soggetti dell'Unione di piccole dimensioni con risorse TIC limitate. Il presente regolamento dovrebbe pertanto prevedere la possibilità per due o più soggetti dell'Unione di creare squadre congiunte per effettuare le valutazioni relative alla maturità della cibersicurezza e trarre vantaggio dalla combinazione di risorse e competenze.

(8) Per evitare di imporre un onere finanziario e amministrativo sproporzionato ai soggetti dell'Unione, gli obblighi di gestione dei rischi per la cibersicurezza dovrebbero essere proporzionati al rischio corso dal sistema informatico e di rete interessato, tenendo conto delle misure più avanzate nel settore. Ogni soggetto dell'Unione dovrebbe mirare a stanziare un'adeguata percentuale del suo bilancio relativo alle TIC per migliorare il livello di cibersicurezza; a lungo termine dovrebbe essere perseguito un obiettivo dell'ordine di almeno il 10%.

(9) Un livello comune elevato di cibersicurezza richiede che tale aspetto sia soggetto alla sorveglianza del livello di dirigenza più elevato di ogni soggetto dell'Unione, che dovrebbe sovrintendere all'attuazione delle disposizioni del presente regolamento e approvare l'istituzione del quadro di gestione e di controllo dei rischi e ogni sua successiva revisione, le corrispondenti misure di gestione dei rischi di cibersicurezza che affrontano i rischi individuati nel quadro e i piani di cibersicurezza di ogni soggetto dell'Unione. Occuparsi della cultura della cibersicurezza, ossia della pratica quotidiana della cibersicurezza, è parte integrante di un quadro di gestione, di governance e di controllo dei rischi per la cibersicurezza e delle corrispondenti misure di gestione dei rischi di cibersicurezza in tutti i soggetti dell'Unione.

(10) I soggetti dell'Unione dovrebbero valutare i rischi legati alle relazioni con i fornitori e i prestatori di servizi, compresi i prestatori di servizi di conservazione ed elaborazione dei dati o di servizi di sicurezza gestiti, e dovrebbero adottare misure adeguate per affrontarli. Tali ▌misure di gestione dei rischi dovrebbero essere ulteriormente specificate in documenti di orientamento o raccomandazioni emanati dal CERT-UE. Nel definire le misure e gli orientamenti dovrebbero essere prese in debita considerazione il diritto e le politiche rilevanti dell'Unione, comprese le valutazioni dei rischi e le raccomandazioni emanate dal gruppo di cooperazione ▌istituito con la direttiva (UE) 2022/2555, come la valutazione dei rischi coordinata a livello dell'UE e il pacchetto di strumenti dell'UE sulla cibersicurezza del 5G. Tenendo conto del panorama delle minacce e dell'importanza di consolidare la resilienza per i soggetti dell'Unione, deve essere inoltre richiesta la certificazione di prodotti, servizi e processi TIC nell'ambito di specifici sistemi di certificazione della cibersicurezza dell'Unione adottati conformemente all'articolo 49 del regolamento (UE) 2019/881.

(11) Nel maggio 2011 i segretari generali delle istituzioni e degli organi dell'Unione hanno deciso di costituire un gruppo per la preconfigurazione di una squadra di pronto intervento informatico delle istituzioni, degli organi e delle agenzie dell'UE (di seguito "CERT-UE") posta sotto la supervisione di un comitato direttivo interistituzionale. Nel luglio 2012 i segretari generali hanno confermato le modalità pratiche e convenuto di mantenere il CERT-UE quale entità permanente per continuare a contribuire a migliorare il livello generale di sicurezza informatica delle istituzioni, degli organi e delle agenzie dell'Unione come esempio di cooperazione interistituzionale visibile in materia di cibersicurezza. Nel settembre 2012 il CERT-UE è stato istituito come task force della Commissione europea con un mandato interistituzionale. Nel dicembre 2017 le istituzioni e gli organi dell'Unione hanno concluso un accordo interistituzionale sull'organizzazione e il funzionamento del CERT-UE[2]. Tale accordo dovrebbe continuare ad evolversi per sostenere l'attuazione del presente regolamento ed essere oggetto di una valutazione periodica alla luce dei futuri negoziati dei quadri di bilancio a lungo termine consentendo l'adozione di ulteriori decisioni in relazione al funzionamento e al ruolo istituzionale del CERT-UE, inclusa la possibile istituzione del CERT-UE come organismo dell'Unione.

(12) Il CERT-UE dovrebbe essere rinominato da "squadra di pronto intervento informatico" in "centro per la cibersicurezza" dei soggetti dell'Unione, in linea con gli sviluppi negli Stati membri e a livello globale che vedono molti CERT-UE ribattezzati come "centri per la cibersicurezza", ma dovrebbe mantenere l'abbreviazione CERT-UE ai fini del riconoscimento del nome.

(13) Molti attacchi informatici fanno parte di campagne più ampie rivolte contro gruppi di soggetti dell'Unione o comunità di interesse che comprendono i soggetti dell'Unione. Per consentire l'adozione di misure proattive di rilevamento, risposta agli incidenti o attenuazione, e recupero da incidenti significativi, i soggetti dell'Unione dovrebbero notificare al CERT-UE le minacce informatiche significative, le vulnerabilità significative, i quasi incidenti e gli incidenti significativi e dovrebbero condividere gli adeguati dettagli tecnici che consentano di rilevare od attenuare e di rispondere a ▌incidenti analoghi in altri soggetti dell'Unione e consentano il recupero dagli stessi.Seguendo un approccio uguale a quello previsto nella direttiva (UE) 2022/2555, qualora vengano a conoscenza di un incidente significativo, i soggetti in questione dovrebbero essere tenuti a presentare un allarme rapido al CERT-UE entro 24 ore. Un tale scambio di informazioni dovrebbe consentire al CERT-UE di diffondere le informazioni agli altri soggetti dell'Unione come pure agli omologhi rilevanti, per aiutare a proteggere gli ambienti TIC dell'Unione e quelli degli omologhi dell'Unione contro incidenti, minacce e vulnerabilità analoghi.

(13 bis) Il presente regolamento stabilisce un approccio in più fasi alla segnalazione degli incidenti significativi al fine di trovare il giusto equilibrio tra, da un lato, una segnalazione rapida che contribuisca ad attenuare la potenziale diffusione di incidenti e consenta ai soggetti dell'Unione di chiedere assistenza e, dall'altro, una segnalazione approfondita che tragga insegnamenti preziosi dai singoli incidenti e migliori nel tempo la resilienza dei singoli soggetti dell'Unione e contribuisca ad aumentare la posizione di cibersicurezza complessiva dell'amministrazione dell'Unione. A tale proposito, il presente regolamento dovrebbe includere la segnalazione di incidenti che, sulla base di una valutazione iniziale effettuata dal soggetto dell'Unione, potrebbero causare gravi perturbazioni operative dei servizi o perdite finanziarie per tale soggetto dell'Unione, o interessare altre persone fisiche o giuridiche causando considerevoli danni materiali o immateriali. Detta valutazione iniziale dovrebbe tenere conto, tra l'altro, dei sistemi informatici e di rete interessati, in particolare della loro importanza per il funzionamento e le operazioni del soggetto dell'Unione interessato, della gravità e delle caratteristiche tecniche di una minaccia informatica e delle eventuali vulnerabilità sottostanti che vengono sfruttate, nonché dell'esperienza del soggetto dell'Unione interessato in caso di incidenti simili. Indicatori quali la misura in cui il funzionamento del soggetto dell'Unione è interessato, la durata di un incidente o il numero di utenti interessati potrebbero svolgere un ruolo importante nel determinare se la perturbazione operativa del servizio è grave.

(14) Oltre a conferire maggiori compiti e un ruolo più ampio al CERT-UE, è opportuno istituire un comitato interistituzionale per la cibersicurezza (Interinstitutional Cybersecurity Board, IICB), che dovrebbe contribuire all'instaurarsi di un livello comune elevato di cibersicurezza nei soggetti dell'Unione monitorando l'attuazione del presente regolamento da parte di tali soggetti, vigilando sull'attuazione delle priorità e degli obiettivi generali da parte del CERT-UE, e imprimendo a tale centro una direzione strategica. L'IICB dovrebbe garantire la rappresentanza delle istituzioni e includere rappresentanti delle agenzie e degli organi attraverso la rete delle agenzie dell'Unione.

(14 bis) L'IICB mira a sostenere i soggetti nell'incrementare le rispettive posizioni di cibersicurezza attuando il presente regolamento. Al fine di sostenere i soggetti dell'Unione, l'IICB dovrebbe adottare orientamenti e raccomandazioni necessari per le valutazioni della maturità in materia di cibersicurezza e i piani di cibersicurezza dei soggetti dell'Unione, esaminare le possibili interconnessioni tra gli ambienti TIC dei soggetti dell'Unione e sostenere l'istituzione di un gruppo di responsabili per la cibersicurezza nell'ambito dell'ENISA, comprendente i responsabili locali della cibersicurezza di tutti i soggetti dell'Unione, con l'obiettivo di facilitare la condivisione delle migliori pratiche e delle esperienze acquisite con l'attuazione del presente regolamento.

(14 ter) Al fine di garantire la coerenza con la direttiva (UE) 2022/2555, l'IICB potrebbe adottare raccomandazioni sulla base dei risultati delle valutazioni dei rischi di sicurezza coordinate a livello dell'Unione e riguardanti le catene di approvvigionamento critiche di cui all'articolo 22 della direttiva (UE) 2022/2555 per sostenere i soggetti dell'Unione nell'adozione di misure di gestione dei rischi efficaci e proporzionate in materia di sicurezza delle catene di approvvigionamento ed elaborare orientamenti per gli accordi di condivisione delle informazioni dei soggetti dell'Unione in relazione alla notifica volontaria delle minacce informatiche, dei quasi incidenti e degli incidenti al CERT-UE.

(15) Il CERT-UE dovrebbe sostenere l'attuazione delle misure per un livello comune elevato di cibersicurezza proponendo all'IICB documenti di orientamento e raccomandazioni ed emanando inviti a intervenire. Tali documenti di orientamento e raccomandazioni dovrebbero essere approvati dall'IICB. Ove necessario, il CERT-UE dovrebbe emanare inviti a intervenire che descrivono le misure di sicurezza urgenti che i soggetti dell'Unione sono esortati ad adottare entro un termine stabilito.

(16) L'IICB dovrebbe controllare l'osservanza del presente regolamento come pure il seguito dato ai documenti di orientamento e alle raccomandazioni, e agli inviti a intervenire emanati dal CERT-UE. L'IICB dovrebbe essere coadiuvato sulle questioni tecniche da gruppi di consulenza tecnica composti come da esso ritenuto utile, che dovrebbero lavorare in stretta collaborazione con il CERT-UE, con i soggetti dell'Unione e altri portatori di interessi ove opportuno. Se del caso l'IICB dovrebbe emanare avvertimenti ▌e richieste di audit.

(16 bis) Qualora constati che il soggetto dell'Unione non ha applicato o attuato efficacemente il presente regolamento, l'IICB potrebbe, ferme restando le procedure interne del soggetto dell'Unione interessato, chiedere la documentazione pertinente e disponibile relativa all'effettiva attuazione delle disposizioni del presente regolamento, comunicare un parere motivato contenente le lacune osservate nell'attuazione del presente regolamento, invitare il soggetto dell'Unione in questione a fornire un'autovalutazione sul suo parere motivato ed emanare, in collaborazione con il CERT-UE, orientamenti per rendere conformi al presente regolamento il proprio quadro di gestione, di governance e di controllo dei rischi, le proprie misure di gestione dei rischi di cibersicurezza, i propri piani di cibersicurezza e i propri obblighi di segnalazione.

(17) Il CERT-UE dovrebbe avere la missione di contribuire alla sicurezza dell'ambiente TIC di tutti i soggetti dell'Unione. Se del caso, e in coordinamento con i soggetti dell'Unione, il CERT-UE può sottoporre all'IICB, per approvazione, una proposta di polizza assicurativa informatica coordinata che copra i soggetti dell'Unione, al fine di stabilire una copertura di prima e terza parte per affrontare il potenziale impatto degli incidenti. Il CERT-UE dovrebbe agire come coordinatore designato per i soggetti dell'Unione ai fini della divulgazione coordinata delle vulnerabilità alla banca dati europea delle vulnerabilità di cui all'articolo 12 della direttiva (UE) 2022/2555.

(18) Nel 2020 il comitato direttivo del CERT-UE ha stabilito un nuovo obiettivo strategico per tale centro allo scopo di garantire un livello esauriente di ciberdifesa per tutti i soggetti dell'Unione, di adeguata ampiezza e profondità e con un continuo adattamento alle minacce attuali o incombenti, compresi gli attacchi contro i dispositivi mobili, gli ambienti cloud e i dispositivi dell'internet degli oggetti. L'obiettivo strategico include anche i centri operativi di sicurezza (SOC) ad ampio raggio di attività che controllano le reti, e il monitoraggio 24 ore al giorno, 7 giorni su 7, delle minacce di gravità elevata. Per quanto riguarda i soggetti dell'Unione di maggiori dimensioni, il CERT-UE dovrebbe sostenerne le équipe di sicurezza delle TIC, anche con un monitoraggio di prima linea 24 ore al giorno, 7 giorni su 7. Per quanto riguarda i soggetti dell'Unione di dimensioni più piccole e medie, il CERT-UE dovrebbe fornire l'insieme dei suoi servizi.

(19) Il CERT-UE dovrebbe inoltre svolgere il ruolo ad esso assegnato nella direttiva (UE) 2022/2555 per quanto riguarda la cooperazione e lo scambio di informazioni con la rete dei gruppi di intervento per la sicurezza informatica in caso di incidente (CSIRT). Inoltre, per quanto riguarda la risposta, in linea con la raccomandazione (UE) 2017/1584 della Commissione[3] il CERT-UE dovrebbe garantire la cooperazione e il coordinamento con i portatori di interessi. Per contribuire a un livello comune elevato di cibersicurezza nell'Unione, il CERT-UE dovrebbe condividere con gli omologhi nazionali informazioni specifiche sugli incidenti. Il CERT-UE dovrebbe inoltre collaborare con altri omologhi pubblici e privati, anche in seno alla NATO, previa approvazione da parte dell'IICB.

(20) Nel sostenere la cibersicurezza operativa, il CERT-UE dovrebbe avvalersi delle competenze disponibili dell'Agenzia dell'Unione europea per la cibersicurezza (ENISA) attraverso una cooperazione strutturata di cui al regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio[4]. Entro due anni dalla data di entrata in vigore del presente regolamento, dovrebbero essere conclusi appositi accordi tra i due soggetti, per definire l'attuazione pratica di tale cooperazione ed evitare la duplicazione delle attività. Il CERT-UE dovrebbe cooperare con l'ENISA per quanto riguarda l'analisi delle minacce e dovrebbe condividere periodicamente con l'Agenzia la sua relazione sul panorama delle minacce.

(21) A sostegno dell'unità congiunta per il ciberspazio, istituita conformemente alla raccomandazione della Commissione del 23 giugno 2021[5], il CERT-UE dovrebbe cooperare e scambiare informazioni con i portatori di interessi per promuovere la cooperazione operativa e consentire alle reti esistenti di realizzare appieno il loro potenziale di protezione dell'Unione.

(22) Tutti i trattamenti di dati personali effettuati a norma del presente regolamento dovrebbero essere conformi al diritto che disciplina la protezione dei dati, compreso il regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio[6]. Il presente regolamento non dovrebbe incidere sull'applicazione del diritto dell'Unione che disciplina il trattamento dei dati personali, compresi i compiti conferiti al Garante europeo della protezione dei dati (GEPD) e le sue competenze. Il CERT-UE e l'IICB dovrebbero cooperare strettamente con il GEPD e il personale specializzato nella protezione dei dati presso i soggetti dell'Unione al fine di garantire il pieno rispetto del diritto dell'Unione in materia di protezione dei dati.

(22 bis) I sistemi e i servizi di cibersicurezza coinvolti nella prevenzione e nel rilevamento delle minacce informatiche e nella risposta alle stesse dovrebbero rispettare il diritto in materia di protezione dei dati e della vita privata e dovrebbero adottare pertinenti misure tecniche e organizzative di salvaguardia per assicurare che tale rispetto sia conseguito in modo responsabile.

(22 ter) Gli strumenti e le applicazioni di cibersicurezza open source possono contribuire a un maggiore grado di apertura. Gli standard aperti facilitano l'interoperabilità tra gli strumenti di sicurezza, a vantaggio della sicurezza dei portatori di interessi. Gli strumenti e le applicazioni open source in materia di cibersicurezza possono mobilitare la più ampia comunità di sviluppatori, consentendo la diversificazione dei fornitori. Una fonte aperta può portare a un processo di verifica più trasparente degli strumenti connessi alla cibersicurezza e a un processo di individuazione delle vulnerabilità guidato dalla comunità. I soggetti dell'Unione dovrebbero pertanto poter promuovere l'utilizzo di software open source e standard aperti, perseguendo politiche relative all'uso di dati aperti e open source come parte della sicurezza attraverso la trasparenza.

(23) Il trattamento delle informazioni da parte del CERT-UE e dei soggetti dell'Unione dovrebbe essere in linea con le norme in materia di sicurezza delle informazioni, in particolare quelle stabilite nel regolamento [proposta di regolamento sulla sicurezza delle informazioni]. Per garantire il coordinamento sulle questioni di sicurezza, ogni contatto con il CERT-UE avviato o sollecitato dai servizi nazionali di sicurezza e di intelligence dovrebbe essere comunicato senza indebito ritardo alla direzione "Sicurezza" della Commissione e al presidente dell'IICB.

(24) Poiché i servizi e i compiti del CERT-UE sono svolti nell'interesse di tutti i soggetti dell'Unione, ogni soggetto dell'Unione che sostenga spese per le TIC dovrebbe contribuire con una quota equa a tali servizi e compiti. Tali contributi non pregiudicano l'autonomia di bilancio dei soggetti dell'Unione.

(24 bis) Il presente regolamento dovrebbe tenere conto del fatto che, a parte le istituzioni dell'Unione, la maggior parte dei soggetti dell'Unione, in particolare quelli di piccole dimensioni, non dispone delle risorse finanziarie e umane necessarie da destinare allo svolgimento di compiti addizionali in materia di cibersicurezza.

(25) L'IICB, coadiuvato dal CERT-UE, dovrebbe esaminare e valutare l'attuazione del presente regolamento e riferire le proprie conclusioni alla Commissione. Su tale base la Commissione dovrebbe riferire al Parlamento europeo, al Consiglio, al Comitato economico e sociale europeo e al Comitato delle regioni.

 

HANNO ADOTTATO IL PRESENTE REGOLAMENTO:

Capo I

DISPOSIZIONI GENERALI

Articolo 1

Oggetto

Il presente regolamento stabilisce misure volte a conseguire un livello comune elevato di cibersicurezza nei soggetti dell'Unione. A tal fine, il presente regolamento stabilisce:

(a) l'obbligo, per i soggetti dell'Unione, di stabilire un quadro ▌di gestione dei rischi, di gestione degli incidenti, di governance e di controllo dei rischi per la cibersicurezza;

(b) l'obbligo, per i soggetti dell'Unione, di gestione e di segnalazione dei rischi per la cibersicurezza;

(b bis) norme alla base degli obblighi di condivisione delle informazioni e dell'agevolazione delle modalità di condivisione volontaria delle informazioni per i soggetti dell'Unione;

(c) norme riguardanti l'organizzazione, i compiti e il funzionamento del centro per la cibersicurezza dei soggetti dell'Unione (CERT-UE) e l'organizzazione e il funzionamento del comitato interistituzionale per la cibersicurezza (IICB).

Articolo 2

Ambito di applicazione

Il presente regolamento si applica a tutti i soggetti dell'Unione, e all'organizzazione e al funzionamento del CERT-UE e dell'IICB.

Articolo 3

Definizioni

Ai fini del presente regolamento si applicano le definizioni seguenti:

(1) "soggetti dell'Unione": le istituzioni, gli organi e gli organismi dell'Unione istituiti dal trattato sull'Unione europea, dal trattato sul funzionamento dell'Unione europea, dal trattato che istituisce la Comunità europea dell'energia atomica, oppure sulla base dei medesimi;

(2) "sistema informatico e di rete": il sistema informatico e di rete quale definito all'articolo 6, punto 1), della direttiva (UE) 2022/2555;

(3) "sicurezza dei sistemi informatici e di rete": la sicurezza dei sistemi informatici e di rete quale definita all'articolo 6, punto 2), della direttiva (UE) 2022/2555;

(4) "cibersicurezza": la cibersicurezza quale definita all'articolo 2, punto 1), del regolamento (UE) 2019/881;

(5) "livello di dirigenza più elevato": un dirigente, un organo di gestione o di coordinamento e sorveglianza responsabile del funzionamento del soggetto dell'Unione interessato, al livello amministrativo più alto, con il mandato di adottare o autorizzare decisioni in linea con i sistemi di governance ad alto livello del soggetto interessato, ferme restando le responsabilità formali degli altri livelli di dirigenza rispetto all'osservanza delle norme e alla gestione dei rischi nei rispettivi settori di competenza;

(5 bis) "quasi incidente": un quasi incidente quale definito all'articolo 6, punto 5), della direttiva (UE) 2022/2555;

(6) "incidente": un incidente quale definito all'articolo 6, punto 6), della direttiva (UE) 2022/2555;

(8) "incidente grave": un incidente il cui livello di perturbazione sia superiore alla capacità di un soggetto interessato dell'Unione e del CERT-UE di rispondervi o che abbia un impatto significativo su almeno due soggetti dell'Unione, o un incidente di cibersicurezza su vasta scala quale definito all'articolo 6, punto 7), della direttiva (UE) 2022/2555 che abbia un impatto significativo su almeno un soggetto dell'Unione;

(9) "gestione degli incidenti": gestione degli incidenti quale definita all'articolo 6, punto 8), della direttiva (UE) 2022/2555;

(10) "minaccia informatica": una minaccia informatica quale definita all'articolo 2, punto 8, del regolamento (UE) 2019/881;

(11) "minaccia informatica significativa": una minaccia informatica quale definita all'articolo 6, punto 11), della direttiva (UE) 2022/2555;

(12) "vulnerabilità": vulnerabilità quale definita all'articolo 6, punto 15), della direttiva (UE) 2022/2555;

(13) "vulnerabilità significativa": una vulnerabilità che, se sfruttata, porterà probabilmente a un incidente significativo;

(14) "rischio ▌": un rischio quale definito all'articolo 6, punto 9), della direttiva (UE) 2022/2555;

(14 bis) "norma": una norma quale definita all'articolo 2, punto 1), del regolamento (UE) n. 1025/2012 del Parlamento europeo e del Consiglio[8];

(14 ter) "specifica tecnica": una specifica tecnica quale definita all'articolo 2, punto 4), del regolamento (UE) n. 1025/2012;

(14 quater) "prodotto TIC": un prodotto TIC quale definito all'articolo 2, punto 12), del regolamento (UE) 2019/881;

(14 quinquies) "servizio TIC": un servizio TIC quale definito all'articolo 2, punto 13), del regolamento (UE) 2019/881;

(14 sexies) "processo TIC": un processo TIC quale definito all'articolo 2, punto 14), del regolamento (UE) 2019/881;

(14 septies) "ambiente TIC": qualsiasi prodotto TIC, servizio TIC e processo TIC in loco o virtuale, qualsiasi sistema informatico e di rete, di proprietà di un soggetto o da esso gestito, od ospitato o gestito da terzi, compresi i dispositivi mobili, le reti aziendali e le reti aziendali non collegate a Internet e qualsiasi dispositivo connesso all'ambiente TIC, nonché qualsiasi sede dislocata e ufficio decentrato, come uffici di collegamento, uffici di rappresentanza o uffici locali;

(15) "unità congiunta per il ciberspazio": piattaforma virtuale e fisica per la cooperazione fra le diverse comunità di cibersicurezza nell'Unione, incentrata sulla cooperazione operativa e tecnica contro minacce e incidenti informatici transfrontalieri gravi ai sensi della raccomandazione della Commissione del 23 giugno 2021;

(16) "misura di cibersicurezza": una serie di norme e di misure minime in materia di cibersicurezza alle quali i sistemi informatici e di rete e i relativi operatori e utenti devono essere conformi, al fine di ridurre al minimo i rischi per la cibersicurezza.


Capo II

MISURE PER UN LIVELLO COMUNE ELEVATO DI CIBERSICUREZZA

Articolo 4

Quadro di gestione dei rischi, di gestione degli incidenti, di governance e di controllo dei rischi

1. Sulla base di un audit completo sulla cibersicurezza, ogni soggetto dell'Unione stabilisce il proprio quadro ▌di gestione dei rischi, di gestione degli incidenti, di governance e di controllo dei rischi per la cibersicurezza ("il quadro") a sostegno della propria missione ed esercitando la propria autonomia istituzionale. L'istituzione del quadro è soggetta alla vigilanza del livello di dirigenza più elevato dei rispettivi soggetti dell'Unione ed è sotto la sua responsabilità, al fine di garantire una gestione efficace e prudente di tutti i rischi per la cibersicurezza. Il quadro è istituito entro il …. [15 mesi dopo la data di entrata in vigore del presente regolamento].

2. Il quadro interessa la totalità dell'ambiente TIC del soggetto dell'Unione interessato. Esso tiene conto della continuità operativa e della gestione delle crisi e prende in considerazione la sicurezza della catena di approvvigionamento, come pure la gestione dei rischi umani e di tutti gli altri rischi tecnici, operativi e organizzativi pertinenti che potrebbero avere ripercussioni sulla cibersicurezza del soggetto dell'Unione interessato.

2 bis. Il quadro di cui al paragrafo 1 definisce gli obiettivi strategici che consentono di garantire un livello elevato di cibersicurezza presso i soggetti dell'Unione. Tale quadro stabilisce le politiche di cibersicurezza per la sicurezza dei sistemi informatici e di rete che comprendono l'intero ambiente TIC e definisce i ruoli e le responsabilità del personale dei soggetti dell'Unione incaricati di garantire l'efficace attuazione del presente regolamento. Il quadro comprende anche gli indicatori essenziali di prestazione (ICP) per misurare l'efficacia dell'attuazione sulla base dell'elenco degli ICP di cui all'articolo 12, paragrafo 2, lettera e ter).

2 ter. Il quadro di cui al paragrafo 1 è riesaminato periodicamente e almeno ogni tre anni. Il primo riesame è effettuato entro il ... [tre anni dopo la data di entrata in vigore del presente regolamento]. Se del caso e su richiesta dell'IICB, il quadro di un soggetto dell'Unione è aggiornato secondo gli orientamenti del CERT-UE sugli incidenti identificati o le eventuali lacune osservate nell'attuazione del presente regolamento.

3. Il livello di dirigenza più elevato di ogni soggetto dell'Unione è responsabile dell'attuazione e sorveglia il rispetto e il funzionamento, da parte della propria organizzazione degli obblighi relativi al quadro, ferme restando le responsabilità formali degli altri livelli di dirigenza rispetto all'osservanza delle norme e alla gestione dei rischi nei rispettivi settori di competenza, come la protezione dei dati.

4. Ogni soggetto dell'Unione dispone di meccanismi efficaci per garantire che un'adeguata percentuale della dotazione di bilancio destinata alle TIC sia spesa per la cibersicurezza.

5. Ogni soggetto dell'Unione nomina un responsabile locale per la cibersicurezza o una funzione equivalente come proprio punto di contatto unico per tutti gli aspetti della cibersicurezza. I responsabili locali per la cibersicurezza possono essere condivisi da più soggetti dell'Unione.

Articolo 5

Misure di gestione dei rischi per la cibersicurezza

1. Il livello di dirigenza più elevato di ogni soggetto dell'Unione approva le misure di gestione dei rischi per la cibersicurezza del rispettivo soggetto dell'Unione per affrontare i rischi individuati nell'ambito del quadro di cui all'articolo 4, paragrafo 1, in linea con gli orientamenti e le raccomandazioni dell'IICB e del CERT-UE. Tenendo conto dello stato delle conoscenze e, se del caso, delle pertinenti norme europee e internazionali, o dei certificati europei di cibersicurezza disponibili quali definiti all'articolo 2, punto 11), del regolamento (UE) 2019/881, tali misure di gestione dei rischi garantiscono un livello di sicurezza dei sistemi informatici e di rete in tutto l'ambiente TIC commisurato ai rischi individuati nell'ambito del quadro di cui all'articolo 4, paragrafo 1. Nel valutare la proporzionalità di tali misure, si tiene debitamente conto del grado di esposizione del soggetto dell'Unione ai rischi, delle sue dimensioni, della probabilità che si verifichino incidenti e della loro gravità, compreso il loro impatto sociale, economico e interistituzionale.

1 bis. Nell'attuazione delle misure di gestione dei rischi di cibersicurezza, i soggetti dell'Unione comprendono almeno i seguenti settori:

(a) la politica in materia di cibersicurezza, comprese le misure necessarie per conseguire gli obiettivi e le priorità di cui all'articolo 4 e al paragrafo 2 bis del presente articolo;

(b) gli obiettivi politici relativi all'uso di servizi di cloud computing quali definiti all'articolo 6, punto 30, della direttiva (UE) 2022/2555 e le modalità tecniche per consentire e sostenere il telelavoro;

(c) per valutare se i soggetti dell'Unione sono dotati di un controllo sufficiente sulla sicurezza dei loro sistemi TIC, un riesame iniziale completo della cibersicurezza, comprendente una valutazione dei rischi, delle vulnerabilità e delle minacce, e un test di penetrazione dei sistemi e dei dispositivi TIC dei soggetti dell'Unione che un terzo autorevole e verificato, esterno ai soggetti dell'Unione, ad esempio una società leader nel settore della cibersicurezza, effettua il ... [data di entrata in vigore del presente regolamento] e successivamente ogni anno, tenendo debitamente conto degli obblighi di sicurezza delle informazioni delle pertinenti istituzioni;

(d) alla luce dei riesami di cui alla lettera c), l'attenuazione dei rischi e delle vulnerabilità segnalati negli aggiornamenti sulla cibersicurezza e l'attuazione delle raccomandazioni mediante una politica in materia di cibersicurezza che può includere la sostituzione dei sistemi TIC infetti;

(e) l'organizzazione della cibersicurezza, compresa la definizione di ruoli e responsabilità;

(f) la gestione dell'ambiente TIC, compresi l'inventario delle risorse TIC e la cartografia della rete TIC;

(g) il controllo dell'accesso, la gestione dell'identità e la gestione degli accessi privilegiati;

(h) la sicurezza delle operazioni e la sicurezza delle risorse umane;

(i) la sicurezza delle comunicazioni;

(j) l'acquisizione, lo sviluppo, la manutenzione e la trasparenza del codice sorgente;

(k) audit di cibersicurezza;

(l) il carico di lavoro del personale incaricato delle TIC e la soddisfazione complessiva;

(m) la sicurezza della catena di approvvigionamento e le relazioni con i fornitori tra i soggetti dell'Unione e i rispettivi fornitori e prestatori di servizi diretti;

(n) la gestione degli incidenti, compresi gli approcci per migliorare la preparazione, il rilevamento, l'analisi e il contenimento di un incidente, la risposta allo stesso e il successivo recupero dallo stesso e la cooperazione con il CERT-UE, ad esempio mantenendo il monitoraggio della sicurezza e le pratiche di registrazione;

(o) la gestione della continuità operativa e la gestione delle crisi; e

(p) programmi ed esercizi di sviluppo delle competenze, educazione, sensibilizzazione e formazione.

2. Gli alti dirigenti di ogni soggetto dell'Unione così come tutto il personale pertinente incaricato dell'attuazione delle misure di gestione dei rischi di cibersicurezza e degli obblighi stabiliti dal presente regolamento seguono periodicamente attività di formazione specifiche al fine di acquisire conoscenze e competenze sufficienti per comprendere e valutare i rischi e le pratiche di gestione in materia di cibersicurezza, e il loro impatto sulle attività del soggetto dell'Unione.

2 bis. Nell'attuazione delle misure di gestione dei rischi di cibersicurezza nei loro piani di cibersicurezza, i soggetti dell'Unione considerano almeno le misure e i sottocontrolli specifici seguenti, in linea con i documenti di orientamento e le raccomandazioni dell'IICB:

(a) misure concrete per passare ad un'architettura zero trust, per la quale si intende un modello di sicurezza composto da una serie di principi di progettazione di sistemi e una strategia coordinata di cibersicurezza e di gestione dei sistemi, basati sul riconoscimento dell'esistenza di minacce sia all'interno che all'esterno dei confini di rete tradizionali;

(b) l'adozione dell'autenticazione a più fattori come norma in tutti i sistemi informatici e di rete;

(c) l'uso della crittografia e della cifratura, in particolare della cifratura end-to-end, della cifratura in transito e della cifratura a riposo, e della firma elettronica sicura;

(d) comunicazioni audio, video e testuali sicure e sistemi di comunicazione di emergenza protetti, se del caso;

(e) la creazione di capacità di scansione frequenti e ad hoc dei dispositivi endpoint e di altre componenti dell'ambiente TIC per rilevare e rimuovere software malware, ad esempio lo spyware;

(f) la garanzia della tutela della vita privata fin dalla progettazione e il rafforzamento della sicurezza di tutti i dati personali;

(g) l'introduzione di una catena di approvvigionamento del software sicura, attraverso criteri di sviluppo e valutazione sicuri del software, e

(h) la regolare formazione del personale in materia di cibersicurezza;

(i) la partecipazione nelle analisi dei rischi di interconnettività tra i soggetti dell'Unione;

(j) il rafforzamento delle norme relative agli appalti, per facilitare il conseguimento di un livello comune elevato di cibersicurezza attraverso:

(i) l'eliminazione degli ostacoli contrattuali che limitano la condivisione delle informazioni sugli incidenti, le vulnerabilità e le minacce informatiche fra i prestatori di servizi TIC e il CERT-UE, e

(ii) l'obbligo contrattuale di segnalare gli incidenti, le vulnerabilità, i quasi incidenti e le minacce informatiche, così come di avere predisposte adeguate misure di monitoraggio e risposta in caso di incidenti;

(k) l'istituzione e l'adozione di programmi di formazione sulla cibersicurezza commisurati ai compiti prescritti e alle capacità attese per il livello di dirigenza più elevato e per il personale tecnico e operativo.

2 ter. L'IICB può raccomandare requisiti tecnici e metodologici dei settori e delle misure di gestione dei rischi di cibersicurezza di cui ai paragrafi 1 bis e 2 bis del presente articolo e, se necessario, raccomandare adattamenti che rispecchino gli sviluppi dei metodi di attacco informatico, le minacce informatiche e i progressi tecnologici, ai fini del riesame di cui all'articolo 24.

Articolo 6

Valutazioni di maturità della cibersicurezza

1. Entro il ... [18 mesi dopo la data di entrata in vigore del presente regolamento] e successivamente almeno ogni due anni, ogni soggetto dell'Unione svolge ▌valutazioni di maturità della cibersicurezza, che comprendono tutti gli elementi del proprio ambiente TIC come descritto all'articolo 4, tenendo conto dei documenti di orientamento e delle raccomandazioni pertinenti adottati conformemente all'articolo 13.

2. I soggetti dell'Unione di piccole dimensioni con compiti o una struttura simili possono svolgere una valutazione di maturità della cibersicurezza combinata.

3. L'IICB, previa consultazione dell'Agenzia dell'Unione europea per la cibersicurezza (ENISA) e al ricevimento degli orientamenti del CERT-UE, entro ... [un anno dopo l'entrata in vigore del presente regolamento] emette orientamenti ai soggetti dell'Unione per lo svolgimento delle valutazioni di maturità della cibersicurezza. La valutazione di maturità della cibersicurezza si basa su audit della cibersicurezza.

4. Su richiesta dell'IICB e con il consenso esplicito del soggetto dell'Unione interessato, i risultati di una valutazione di maturità della cibersicurezza possono essere discussi in seno all'IICB o all'interno della rete istituita di responsabili locali per la cibersicurezza al fine di trarre insegnamenti dalle esperienze nell'attuazione del presente regolamento e condividere le migliori pratiche e i risultati dei casi d'uso.

Articolo 7

Piani di cibersicurezza

1. A seguito delle conclusioni tratte dalla valutazione di maturità della cibersicurezza e considerando ▌ i rischi individuati ai sensi dell'articolo 4, il livello di dirigenza più elevato di ogni soggetto dell'Unione approva, senza indebito ritardo dopo l'istituzione del quadro ▌e delle misure di gestione dei rischi di cibersicurezza, un piano di cibersicurezza. Il piano di cibersicurezza è volto ad aumentare la cibersicurezza complessiva del soggetto dell'Unione interessato e contribuisce così al conseguimento o al rafforzamento di un livello comune elevato di cibersicurezza nell'Unione. A sostegno della missione del soggetto dell'Unione sulla base della sua autonomia istituzionale, il piano di cibersicurezza comprende come minimo ▌ le misure di gestione dei rischi di cibersicurezza di cui all'articolo 5, paragrafi 1 bis e 2 bis. Il piano di cibersicurezza è rivisto almeno ogni due anni, o se necessario, in occasione di una revisione significativa del quadro di cui all'articolo 4, a seguito delle valutazioni di maturità della cibersicurezza svolte ai sensi dell'articolo 6.

2. Il piano di cibersicurezza comprende i ruoli, il livello richiesto di competenze e le responsabilità del personale competente per la sua attuazione, tra cui descrizioni dettagliate delle mansioni per il personale tecnico e operativo e di tutti i processi pertinenti alla base della valutazione delle prestazioni.

2 bis. Il piano di cibersicurezza comprende il piano di gestione delle crisi informatiche del soggetto dell'Unione per gli incidenti gravi.

3. Il piano di cibersicurezza tiene conto di tutti i documenti di orientamento e di tutte le raccomandazioni applicabili emanati dal CERT-UE in conformità dell'articolo 13 o di ogni altra raccomandazione applicabile o mirata emanata dall'IICB e dal CERT-UE.

3 bis. I soggetti dell'Unione trasmettono i loro piani di cibersicurezza all'IICB.

Articolo 8

Attuazione

1. I soggetti dell'Unione sottopongono le rispettive valutazioni di maturità della cibersicurezza di cui all'articolo 6 e i piani di cibersicurezza di cui all'articolo 7, una volta ultimati, all'IICB. ▌Su richiesta dell'IICB, riferiscono in merito a specifici aspetti del presente capo.

2. I documenti orientativi e le raccomandazioni emanati conformemente all'articolo 13 sono d'ausilio all'attuazione delle disposizioni stabilite al presente capo.

Capo III

IICB

Articolo 9

IICB

1. È istituito l'IICB ▌.

2. L'IICB ha il compito di:

(a) monitorare l'attuazione del presente regolamento da parte dei soggetti dell'Unione e formulare raccomandazioni per conseguire un livello comune elevato di cibersicurezza;

(b) vigilare sull'attuazione delle priorità e degli obiettivi generali da parte del CERT-UE ed imprimere a tale centro una direzione strategica.

3. L'IICB è composto da:

(a) due rappresentanti designati ▌da ciascuno dei seguenti soggetti:

(i) il Parlamento europeo;

(ii) il Consiglio dell'Unione europea;

(iii) la Commissione europea;

(b) un rappresentante designato da ciascuno dei seguenti soggetti:

(i) la Corte di giustizia dell'Unione europea;

(ii) la Banca centrale europea;

(iii) la Corte dei conti europea;

(iv) il Servizio europeo per l'azione esterna;

(v) il Comitato economico e sociale europeo;

(vi) il Comitato europeo delle regioni;

(vii) la Banca europea per gli investimenti;

(viii) l'ENISA;

(ix) il Garante europeo della protezione dei dati (GEPD);

(x) il Centro europeo di competenza per la cibersicurezza nell'ambito industriale, tecnologico e della ricerca;

(xi) l'Agenzia dell'Unione europea per il programma spaziale;

(c) un rappresentante designato dalla rete delle agenzie dell'Unione (EUAN) su proposta del suo comitato consultivo TIC per difendere gli interessi degli organismi e degli organi diversi da quelli di cui alla lettera b), punti viii), x) e xi), e che gestisce il proprio ambiente TIC.

Nella nomina dei rappresentanti è perseguito un equilibrio di genere.

3 bis. I membri possono farsi assistere da un supplente. Altri rappresentanti delle organizzazioni sopra elencate o di altri soggetti dell'Unione possono essere invitati dal presidente ad assistere alle riunioni dell'IICB senza avere diritto di voto.

3 ter. Il direttore del CERT-UE e i presidenti del gruppo di cooperazione, della rete di CSIRT e dell'EU-CyCLONe, di cui agli articoli 14, 15 e 16 della direttiva (UE) 2022/2555, o i loro supplenti, possono partecipare alle riunioni dell'IICB in qualità di osservatori. In casi eccezionali, e in conformità del proprio regolamento interno, l'IICB può decidere diversamente.

4. L'IICB adotta il proprio regolamento interno.

5. L'IICB designa un presidente, conformemente al proprio regolamento interno, tra i suoi membri per un periodo di quattro anni. Il supplente del presidente diventa membro a pieno titolo con diritto di voto dell'IICB per la stessa durata.

6. L'IICB si riunisce su iniziativa del presidente, almeno due volte l'anno, su richiesta del CERT-UE o su richiesta di uno dei membri.

7. Ciascun membro dell'IICB dispone di un voto. Le decisioni dell'IICB sono adottate a maggioranza semplice salvo disposizioni contrarie previste dal presente regolamento. Il presidente non partecipa al voto, tranne in caso di parità di voti, nel qual caso può esprimere il voto decisivo.

8. L'IICB può deliberare mediante una procedura scritta semplificata avviata conformemente al proprio regolamento interno. In base a tale procedura la pertinente decisione è considerata approvata entro il termine fissato dal presidente, salvo obiezioni da parte di uno dei membri.

10. Le funzioni di segretariato dell'IICB sono espletate dalla Commissione.

11. Il rappresentante nominato dall'EUAN trasmette le decisioni dell'IICB alle imprese comuni e alle agenzie dell'Unione. Ogni agenzia e organo dell'Unione ha la facoltà di sottoporre al rappresentante o al presidente dell'IICB ogni questione che ritenga debba essere portata all'attenzione di tale comitato.

13. L'IICB può nominare un comitato esecutivo che lo assista nel suo lavoro e può delegare a tale comitato alcuni dei suoi compiti e poteri. L'IICB stabilisce il regolamento interno del comitato esecutivo, compresi i suoi compiti e i suoi poteri, e il mandato dei suoi membri.

Articolo 10

Compiti dell'IICB

Nell'esercizio delle sue responsabilità l'IICB, in particolare:

(-a) sostiene i soggetti dell'Unione nell'attuazione del presente regolamento al fine di aumentare i rispettivi livelli di cibersicurezza;

(-a bis) monitora efficacemente l'attuazione degli obblighi del presente regolamento nei soggetti dell'Unione, fatti salvi la loro autonomia istituzionale e l'equilibrio istituzionale complessivo;

(-a ter) fornisce orientamento strategico al direttore del CERT-UE;

(a) richiede al CERT-UE le relazioni ▌sullo stato di attuazione del presente regolamento da parte dei soggetti dell'Unione;

(a bis) approva, sulla base di una proposta del direttore del CERT-UE, raccomandazioni per il conseguimento di un livello comune elevato di cibersicurezza, rivolte a uno o più soggetti dell'Unione;

(a ter) istituisce un quadro per lo svolgimento di valutazioni inter pares per i soggetti dell'Unione al fine di trarre insegnamenti dalle esperienze condivise, rafforzare la fiducia reciproca, conseguire un livello comune elevato di cibersicurezza e rafforzare le capacità dei soggetti dell'Unione, che saranno condotte da esperti tecnici in materia di cibersicurezza designati da un soggetto diverso dall'entità oggetto della valutazione;

(b) approva, sulla base di una proposta del direttore del CERT-UE, il programma di lavoro annuale del CERT-UE e ne monitora l'attuazione;

(c) approva, sulla base di una proposta del direttore del CERT-UE, il catalogo dei servizi offerti dal CERT-UE;

(d) approva, sulla base di una proposta presentata dal direttore del CERT-UE, la pianificazione finanziaria annuale delle entrate e delle spese, anche per il personale, per le attività del CERT-UE;

(e) approva, sulla base di una proposta del direttore del CERT-UE, le modalità degli accordi sul livello dei servizi;

(f) esamina e approva la relazione annuale elaborata dal direttore del CERT-UE riguardante le attività del CERT-UE, nonché la gestione dei fondi da parte di quest'ultimo;

(g) approva e monitora gli ICP per il CERT-UE definiti su proposta del direttore del CERT-UE;

(h) approva gli accordi di cooperazione, gli accordi sul livello dei servizi o i contratti tra il CERT-UE ed altri soggetti ai sensi dell'articolo 17;

(h bis) adotta i documenti di orientamento o le raccomandazioni sulla base della proposta del CERT-UE;

(h ter) se necessario, chiede al CERT-UE di emanare, ritirare o modificare una proposta di documenti di orientamento o raccomandazioni, o un invito a intervenire;

(i) istituisce ▌ gruppi di consulenza tecnica ▌con compiti concreti, per assistere l'IICB nel suo operato, approva il loro mandato e ne designa i rispettivi presidenti;

(i bis) riesamina e, su richiesta, a seguito degli orientamenti pertinenti del CERT-UE, fornisce un riscontro ai soggetti dell'Unione sulle valutazioni di maturità della cibersicurezza di cui all'articolo 6 e sui piani di cibersicurezza di cui all'articolo 7;

(i ter) agevola lo scambio delle migliori pratiche tra i responsabili locali per la cibersicurezza; fornisce, se del caso, raccomandazioni sul loro ruolo all'interno dei soggetti dell'Unione;

(i quater) riesamina le possibili interconnessioni tra gli ambienti TIC dei soggetti dell'Unione e tiene un inventario delle componenti condivise dei prodotti TIC, dei servizi TIC e dei processi TIC;

(i quinquies) se del caso, adotta raccomandazioni sull'interoperabilità degli ambienti TIC dei soggetti dell'Unione o delle relative componenti;

(i sexies) sostiene l'istituzione di un gruppo di responsabili per la cibersicurezza, sotto il coordinamento dell'ENISA, che riunisca i responsabili locali per la cibersicurezza di tutti i soggetti dell'Unione, al fine di agevolare la condivisione delle migliori pratiche e delle esperienze acquisite nell'attuazione del presente regolamento;

(i septies) elabora un piano di gestione degli incidenti e di risposta agli stessi per gli incidenti gravi e coordina l'adozione dei piani di gestione delle crisi informatiche di cui all'articolo 7, paragrafo 2 bis, dei singoli soggetti dell'Unione;

(i octies) adotta raccomandazioni sulla base dei risultati delle valutazioni dei rischi di sicurezza coordinate a livello dell'Unione delle catene di approvvigionamento critiche di cui all'articolo 22 della direttiva (UE) 2022/2555 per sostenere i soggetti dell'Unione nell'adozione di misure di gestione dei rischi di cibersicurezza efficaci e proporzionate relative alla sicurezza delle catene di approvvigionamento di cui all'articolo 5, paragrafo 1 bis, lettera m);

(i nonies) elabora orientamenti per gli accordi di condivisione delle informazioni di cui all'articolo 19.

Articolo 11

Osservanza delle disposizioni

1. L'IICB controlla che i soggetti dell'Unione attuino il presente regolamento e i documenti di orientamento, le raccomandazioni e gli inviti a intervenire adottati. Qualora constati che i soggetti dell'Unione non hanno applicato o attuato efficacemente il presente regolamento o i documenti di orientamento, le raccomandazioni e gli inviti a intervenire emanati ai sensi del presente regolamento l'IICB può, ferme restando le procedure interne del soggetto dell'Unione pertinente:

(-a) richiedere la documentazione pertinente e disponibile del soggetto dell'Unione interessato;

(-a bis) comunicare un parere motivato al soggetto dell'Unione in questione contenente le lacune osservate nell'attuazione del presente regolamento;

(-a ter)  invitare il soggetto dell'Unione in questione a fornire un'autovalutazione sul suo parere motivato entro un termine specificato;

(-a quater ) fornire orientamenti, previa consultazione del CERT-UE, al singolo soggetto dell'Unione al fine di rendere conformi al presente regolamento, entro un termine specificato, il suo quadro, le sue misure di gestione dei rischi di cibersicurezza, i suoi piani di cibersicurezza e i suoi obblighi di segnalazione;

(a) emanare un avvertimento; ove necessario, in considerazione di un rischio perentorio per la cibersicurezza, i destinatari dell'avvertimento sono adeguatamente circoscritti;

(b) chiedere lo svolgimento di un audit da parte di un servizio competente;

(b bis) informare la Corte dei conti della presunta mancanza di conformità.

Tutti gli avvertimenti e le raccomandazioni sono destinati al livello di dirigenza più elevato del soggetto dell'Unione interessato.

2. Qualora i soggetti dell'Unione di piccole dimensioni notifichino di non essere in grado di rispettare i termini di cui all'articolo 4, paragrafo 1, e all'articolo 5, paragrafo 1, l'IICB può, in casi eccezionali, autorizzarne la proroga, fissando i termini per l'adempimento.

Capo IV

CERT-UE

Articolo 12

Missione e compiti del CERT-UE

1. La missione del CERT-UE, il centro autonomo interistituzionale per la cibersicurezza di tutti i soggetti dell'Unione, consiste nel contribuire alla sicurezza dell'ambiente TIC non riservato di tutti i soggetti dell'Unione e fornire loro servizi analoghi agli CSIRT istituiti dagli Stati membri a norma della direttiva (UE) 2022/2555, in particolare fornendo loro consulenza in materia di cibersicurezza, aiutandoli a prevenire, rilevare, gestire e attenuare gli incidenti nonché a rispondere agli incidenti e a recuperare dagli stessi, e fungendo per tali soggetti da piattaforma per lo scambio di informazioni sulla cibersicurezza e il coordinamento della risposta in caso di incidenti.

2. Il CERT-UE svolge i seguenti compiti per i soggetti dell'Unione:

(a) li assiste nell'attuazione del presente regolamento e contribuisce al coordinamento della sua applicazione tramite le misure di cui all'articolo 13, paragrafo 1, o tramite relazioni ad hoc richieste dall'IICB;

(b) li assiste con un pacchetto di servizi di cibersicurezza descritti nel proprio catalogo dei servizi ("servizi di base");

(b bis) gestisce per i soggetti dell'Unione che non hanno la capacità di farlo da soli un centro operativo di sicurezza (SOC) ad ampio raggio di attività che controlla le reti, ivi compreso il monitoraggio di prima linea 24 ore al giorno, 7 giorni su 7, delle minacce di gravità elevata;

(c) mantiene una rete di omologhi e partner a sostegno dei propri servizi, come indicato agli articoli 16 e 17;

(d) richiama l'attenzione dell'IICB su ogni questione relativa all'attuazione del presente regolamento e all'attuazione dell'articolo 13 e presenta proposte di raccomandazioni;

(e) riferisce ai soggetti dell'Unione in merito alle minacce informatiche pertinenti e contribuisce alla consapevolezza situazionale informatica dell'Unione, tenendo conto del parere dell'ENISA, e trasmette tali relazioni all'IICB, alla rete di CSIRT di cui all'articolo 15 della direttiva (UE) 2022/2555 e al Centro UE di situazione e di intelligence (EU-INTCEN);

(e bis) funge da coordinatore designato per i soggetti dell'Unione ai fini della divulgazione coordinata delle vulnerabilità alla banca dati europea delle vulnerabilità di cui all'articolo 12 della direttiva (UE) 2022/2555;

(e ter) propone all'IICB, previa consultazione dell'ENISA, i criteri di sicurezza, un elenco di possibili ICP e la portata dei quadri di cibersicurezza utilizzati dai soggetti dell'Unione;

(e quater) previa consultazione dell'ENISA, propone all'IICB, definendone l'ordine di priorità, i settori di cibersicurezza e le misure di cibersicurezza che i soggetti dell'Unione sono tenuti a prendere in considerazione nel loro quadro di cibersicurezza;

(e quinquies) offre ai soggetti dell'Unione uno o più modelli di maturità della cibersicurezza, che devono essere utilizzati nei loro quadri di cibersicurezza e che riflettono le loro dimensioni e i settori di cibersicurezza che utilizzano;

(e sexies) offre servizi che promuovano, con un elevato livello di trasparenza e affidabilità, gli scambi di informazioni, in particolare per quanto riguarda le notifiche dei soggetti dell'Unione al CERT-UE;

(e septies) effettua un'analisi periodica dei rischi associati all'interconnettività tra i soggetti dell'Unione a sostegno dei compiti dell'IICB.

3. Il CERT-UE contribuisce all'unità congiunta per il ciberspazio, istituita conformemente alla raccomandazione della Commissione del 23 giugno 2021, anche nei seguenti settori:

(a) preparazione, coordinamento in caso di incidente, scambio di informazioni e risposta alle crisi a livello tecnico relativamente a casi collegati ai soggetti dell'Unione;

(b) cooperazione operativa per quanto riguarda la rete dei gruppi di intervento per la sicurezza informatica in caso di incidente (CSIRT), anche per l'assistenza reciproca, e la più ampia comunità della cibersicurezza;

(b bis) coordinamento della gestione delle crisi e degli incidenti gravi a livello operativo e regolare scambio di informazioni pertinenti tra gli Stati membri e i soggetti dell'Unione all'interno della rete europea delle organizzazioni di collegamento per le crisi informatiche (EU-CyCLONe);

(c) intelligence relativa alle minacce informatiche, compresa la consapevolezza situazionale;

(c bis) scansione proattiva dei sistemi informatici e di rete;

(d) ogni tematica che richieda le competenze tecniche in materia di cibersicurezza del CERT-UE.

4. Il CERT-UE avvia una cooperazione strutturata con l'ENISA in materia di sviluppo di capacità, cooperazione operativa e analisi strategiche a lungo termine delle minacce informatiche ai sensi del regolamento (UE) 2019/881 ▌. Il CERT-UE può cooperare e scambiare informazioni con il Centro per la lotta alla criminalità informatica di Europol.

5. Il CERT-UE può prestare i seguenti servizi non descritti nel suo catalogo dei servizi ("servizi addebitabili") ai soggetti dell'Unione:

(a) servizi a sostegno della cibersicurezza dell'ambiente TIC dei soggetti dell'Unione, diversi da quelli di cui al paragrafo 2, forniti in base ad accordi sul livello dei servizi e compatibilmente con le risorse disponibili, tra cui, attraverso il proprio centro operativo di sicurezza di cui al paragrafo 2, lettera b bis), il controllo delle reti e il monitoraggio di prima linea 24 ore al giorno, 7 giorni su 7, delle minacce di gravità elevata per i soggetti dell'Unione di maggiori dimensioni;

(b) servizi a sostegno di operazioni o progetti di cibersicurezza dei soggetti dell'Unione, diversi da quelli volti a proteggere il loro ambiente TIC, forniti in base ad accordi scritti e previa approvazione dell'IICB;

(c) servizi a sostegno della sicurezza dell'ambiente TIC di organizzazioni diverse dai soggetti dell'Unione e che cooperano strettamente con tali soggetti, ad esempio perché investite di compiti o responsabilità ai sensi del diritto dell'Unione, forniti in base ad accordi scritti e previa approvazione dell'IICB.

6. Il CERT-UE organizza esercitazioni di cibersicurezza o raccomanda la partecipazione alle esercitazioni esistenti, in stretta cooperazione con l'ENISA se del caso, per verificare periodicamente il livello di cibersicurezza dei soggetti dell'Unione.

7. Il CERT-UE fornisce assistenza ai soggetti dell'Unione in caso di incidenti in ambienti TIC riservati se l'utente interessato lo richiede esplicitamente. Le disposizioni e gli obblighi per tutti i soggetti dell'Unione di cui al capo V non si applicano agli incidenti in ambienti TIC riservati, a meno che un singolo soggetto dell'Unione non li applichi in maniera esplicita e volontaria al fine di chiedere assistenza fruibile al CERT-UE o di contribuire in altro modo alla consapevolezza situazionale a livello dell'Unione.

7 bis. Il CERT-UE presenta al Parlamento europeo, in opportune condizioni di riservatezza, una relazione annuale sulle sue attività. Tale relazione comprende informazioni pertinenti e precise sugli incidenti gravi e sul modo in cui sono stati affrontati.

7 ter. Il CERT-UE collabora con il GEPD per sostenere i soggetti dell'Unione in caso di incidenti che comportano una violazione dei dati personali ai sensi dell'articolo 3, punto 16, del regolamento (UE) 2018/1725.

7 quater. Il trattamento dei dati personali effettuato dal CERT-UE in virtù del presente regolamento è soggetto alle disposizioni del regolamento (UE) 2018/1725.

7 quinquies. Il CERT-UE può fornire assistenza ai soggetti dell'Unione in merito all'attuazione di un'adeguata cooperazione tra gli stessi in materia di cibersicurezza per quanto riguarda le conoscenze, il personale e le risorse TIC nell'ambito della cibersicurezza nonché le competenze in materia di cibersicurezza.

7 sexies. Il CERT-UE informa il GEPD quando affronta vulnerabilità significative, incidenti significativi o incidenti gravi che possono comportare violazioni di dati personali e/o violazioni della riservatezza delle comunicazioni elettroniche.

7 septies. Il CERT-UE informa il GEPD in merito alle attività di prevenzione in materia di cibersicurezza che comportano la raccolta di dati personali.

Articolo 13

Documenti di orientamento, raccomandazioni e inviti a intervenire

1. Il CERT-UE contribuisce all'attuazione del presente regolamento emanando:

(a) inviti a intervenire che descrivono le misure di sicurezza urgenti che i soggetti dell'Unione sono esortati ad adottare entro un termine stabilito;

(b) proposte all'IICB per documenti di orientamento destinati a tutti i soggetti dell'Unione o a una parte di essi;

(c) proposte all'IICB per raccomandazioni destinate a singoli soggetti o a tutti i soggetti dell'Unione.

2. I documenti di orientamento e le raccomandazioni possono contenere:

(a) modalità, o miglioramenti, riguardanti la gestione dei rischi per la cibersicurezza e le misure di gestione dei rischi per la cibersicurezza;

(b) modalità relative alle valutazioni di maturità della cibersicurezza e ai piani di cibersicurezza, e

(c) se del caso, disposizioni sull'utilizzo di una tecnologia, architettura open source e relative migliori pratiche comuni allo scopo di conseguire interoperabilità e norme comuni;

(c bis) se del caso, disposizioni sull'agevolazione dell'acquisto comune dei servizi TIC e prodotti TIC pertinenti.

Articolo 14

Direttore del CERT-UE

La Commissione, dopo aver ottenuto l'approvazione da una maggioranza di due terzi dei membri dell'IICB, nomina il direttore del CERT-UE. L'IICB è consultato in tutte le fasi della procedura che conduce alla nomina del direttore del CERT-UE, in particolare nell'ambito della redazione degli avvisi di posto vacante, dell'esame delle candidature e della designazione delle commissioni giudicatrici in relazione a tale incarico. L'elenco definitivo dei candidati comprende almeno un uomo e una donna.

Almeno una volta all'anno il direttore del CERT-UE presenta ▌all'IICB e al presidente di tale comitato relazioni riguardanti le attività e le prestazioni del CERT-UE nel periodo di riferimento, anche per quanto riguarda l'esecuzione del bilancio, gli accordi sul livello dei servizi e gli accordi scritti conclusi, la cooperazione con omologhi e partner e le missioni effettuate dal personale, comprese le relazioni di cui all'articolo 10 ▌.  Tali relazioni comprendono il programma di lavoro per il periodo successivo, la pianificazione finanziaria delle entrate e delle spese, anche in materia di personale, gli aggiornamenti previsti del catalogo dei servizi offerti dal CERT-UE e una valutazione dell'impatto previsto che tali aggiornamenti possono avere in termini di risorse finanziarie e umane.

Il direttore del CERT-UE presenta inoltre relazioni ad hoc all'IICB su sua richiesta.

Articolo 15

Questioni finanziarie e relative al personale

1. Il CERT-UE è un prestatore di servizi interistituzionale autonomo per l'insieme dei soggetti dell'Unione, integrato nella struttura amministrativa di una direzione generale della Commissione al fine di beneficiare delle strutture di sostegno amministrativo, finanziario, gestionale e contabile della Commissione. La Commissione informa l'IICB in merito alla collocazione amministrativa del CERT-UE e ad eventuali cambiamenti al riguardo. Tale approccio è oggetto di una valutazione periodica, al fine di consentire l'adozione delle misure adeguate, inclusa la possibile istituzione del CERT-UE come ufficio dell'Unione.

1 bis. Tutte le decisioni relative all'assegnazione di personale e di risorse finanziarie del CERT-UE sono sottoposte all'approvazione formale dell'IICB.

2. Per l'applicazione delle procedure amministrative e finanziarie, il direttore del CERT-UE agisce sotto l'autorità della Commissione e sotto la supervisione dell'IICB.

3. I compiti e le attività del CERT-UE, compresi i servizi da esso prestati ai sensi dell'articolo 12, paragrafi 2, 3, 4, e 6, e dell'articolo 13, paragrafo 1, ai soggetti dell'Unione rientranti nella rubrica del quadro finanziario pluriennale relativa alla pubblica amministrazione europea, sono finanziati tramite una linea distinta del bilancio della Commissione. I posti riservati al CERT-UE sono specificati in una nota a piè di pagina della tabella dell'organico della Commissione.

4. I soggetti dell'Unione diversi da quelli di cui al paragrafo 3 forniscono un contributo finanziario annuale al CERT-UE per coprire i servizi da esso prestati ai sensi dello stesso paragrafo 3. I rispettivi contributi sono basati su orientamenti dati dall'IICB e concordati tra ciascun soggetto e il CERT-UE in accordi sul livello dei servizi. I contributi rappresentano una quota equa e proporzionata dei costi totali dei servizi forniti. Essi sono assegnati alla linea di bilancio distinta di cui al paragrafo 3 come entrate con destinazione specifica ai sensi dell'articolo 21, paragrafo 3, lettera c), del regolamento (UE, Euratom) 2018/1046 del Parlamento europeo e del Consiglio[9].

5. I costi dei compiti di cui all'articolo 12, paragrafo 5, sono a carico dei soggetti dell'Unione che ricevono i servizi del CERT-UE. Le entrate sono destinate alle linee di bilancio che sostengono i costi.

Articolo 16

Cooperazione tra il CERT-UE e gli omologhi degli Stati membri

1. Il CERT-UE coopera e scambia informazioni con gli omologhi nazionali degli Stati membri, compresi i CERT, i centri nazionali per la cibersicurezza, gli CSIRT e i punti di contatto unici di cui all'articolo 8 della direttiva (UE) 2022/2555 in merito alle minacce informatiche, alle vulnerabilità, agli incidenti e ai quasi incidenti, alle possibili contromisure nonché alle migliori pratiche e in merito a tutte le questioni pertinenti per il miglioramento della protezione degli ambienti TIC dei soggetti dell'Unione, anche tramite la rete di CSIRT di cui all'articolo 15 della direttiva (UE) 2022/2555. Il CERT-UE sostiene la Commissione in seno all'EU-CyCLONe di cui all'articolo 16 della direttiva (UE) 2022/2555 in merito alla gestione coordinata delle crisi e degli incidenti gravi.

2. Il CERT-UE può, senza l'autorizzazione dell'utente interessato, scambiare informazioni specifiche su un incidente con gli omologhi nazionali degli Stati membri per facilitare il rilevamento di minacce informatiche o incidenti analoghi, purché i dati personali siano protetti conformemente al regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio[10]. Il CERT-UE può scambiare informazioni specifiche su un incidente che rivelino l'identità del bersaglio dell'incidente di cibersicurezza solo con l'autorizzazione dell'utente interessato e nel rispetto del regolamento (UE) 2016/679.

Articolo 17

Cooperazione tra il CERT-UE ed omologhi di paesi terzi

1. Il CERT-UE può cooperare con omologhi di paesi terzi soggetti ai requisiti dell'Unione in materia di cibersicurezza o a requisiti di natura analoga, compresi omologhi di settori specifici, riguardo a strumenti e metodi, quali tecniche, tattiche, procedure e migliori pratiche, nonché minacce informatiche e vulnerabilità. Per procedere a qualsiasi cooperazione con tali omologhi, anche in ambiti in cui questi collaborino con omologhi nazionali degli Stati membri, il CERT-UE chiede l'approvazione preventiva dell'IICB.

2. Il CERT-UE può cooperare con altri partner, quali soggetti commerciali (compresi soggetti di settori specifici), organizzazioni internazionali, enti nazionali non dell'Unione europea o singoli esperti, al fine di raccogliere informazioni su minacce informatiche generali e specifiche, quasi incidenti, vulnerabilità, nonché possibili contromisure. Per procedere a una più ampia cooperazione con tali partner, il CERT-UE chiede l'approvazione preventiva dell'IICB.

3. Il CERT-UE può, con il consenso dell'utente interessato da un incidente, fornire informazioni in merito all'incidente a partner che possono contribuire alla sua analisi.

Capo V

COOPERAZIONE E OBBLIGHI DI SEGNALAZIONE

Articolo 18

Trattamento delle informazioni

1. Il CERT-UE e i soggetti dell'Unione rispettano l'obbligo del segreto professionale ai sensi dell'articolo 339 del trattato sul funzionamento dell'Unione europea o di equivalenti quadri normativi applicabili.

2. Alle richieste di accesso del pubblico ai documenti detenuti dal CERT-UE si applicano le disposizioni del regolamento (CE) n. 1049/2001 del Parlamento europeo e del Consiglio[11], compreso l'obbligo, previsto da tale regolamento, di consultare  altri soggetti dell'Unione o, se del caso, altri Stati membri, qualora la domanda riguardi loro documenti.

3. Il trattamento dei dati personali effettuato in virtù del presente regolamento è soggetto alle disposizioni del regolamento (UE) n. 2018/1725 ▌.

Il trattamento, lo scambio, la raccolta o la conservazione di dati personali da parte del CERT-UE, dell'IICB e dei soggetti dell'Unione si limitano al trattamento, allo scambio, alla raccolta o alla conservazione strettamente necessari e sono effettuati al solo scopo di adempiere ai rispettivi obblighi a norma del presente regolamento.

3 bis. Entro ... [1 anno dopo la data di entrata in vigore del presente regolamento], la Commissione adotta un atto delegato in conformità dell'articolo 24 bis per specificare quali attività di trattamento dei dati personali sono permesse a norma del presente regolamento, inclusi la finalità del trattamento, le categorie di dati personali, le categorie di interessati, le condizioni per il trattamento dei dati, i periodi massimi di conservazione, la definizione dei titolari e dei responsabili del trattamento e i destinatari in caso di trasmissione.

L'atto delegato di cui al primo comma limita le attività di trattamento a quelle strettamente necessarie e richiede che tali attività di trattamento siano quanto più mirate possibile e non includano la conservazione indiscriminata di dati relativi al traffico o al contenuto.

La Commissione modifica l'atto delegato di cui al primo comma quando individua cambiamenti significativi relativi alla necessità o alle finalità specifiche del trattamento di dati personali o ai soggetti in esso coinvolti ai fini del presente regolamento.

4. Il trattamento delle informazioni da parte del CERT-UE e dei soggetti dell'Unione è in linea con le norme stabilite nella [proposta di regolamento sulla sicurezza delle informazioni]. Nel cooperare con altri omologhi, il CERT-UE deve utilizzare regole di trattamento delle informazioni equivalenti.

5. Ogni contatto con il CERT-UE avviato o sollecitato dai servizi nazionali di sicurezza e di intelligence è comunicato senza indebito ritardo alla direzione "Sicurezza" della Commissione, a Europol e al presidente dell'IICB.

5 bis. Le informazioni sul completamento dei piani di cibersicurezza da parte dei soggetti dell'Unione sono condivise con le autorità di discarico.

5 ter. I documenti di orientamento e le raccomandazioni, nonché gli inviti a intervenire emanati dall'IICB sono condivisi con le autorità di discarico.

Articolo 19

Accordi e obblighi di condivisione di informazioni in materia di cibersicurezza

-1. I soggetti dell'Unione possono volontariamente notificare e fornire al CERT-UE informazioni sulle minacce informatiche, gli incidenti, i quasi incidenti e le vulnerabilità che li interessano. Il CERT-UE garantisce che siano adottate misure efficaci per assicurare la riservatezza e la protezione adeguata delle informazioni fornite dal soggetto dell'Unione che effettua la segnalazione. Il CERT-UE garantisce la disponibilità di mezzi di comunicazione efficaci per agevolare la condivisione delle informazioni con i soggetti dell'Unione. Nel trattare le notifiche, il CERT-UE può trattare le notifiche obbligatorie prioritariamente rispetto alle notifiche volontarie. La notifica volontaria non ha l'effetto di imporre al soggetto dell'Unione che la effettua alcun obbligo aggiuntivo cui non sarebbe stato sottoposto se non avesse trasmesso la notifica.

1. Per poter svolgere efficacemente la sua missione e i compiti stabiliti nell'articolo 12 del presente regolamento, in particolare il coordinamento della gestione delle vulnerabilità, ▌il CERT-UE può chiedere ai soggetti dell'Unione di fornirgli informazioni, tratte dai loro rispettivi inventari dei sistemi TIC, che siano pertinenti per il sostegno al suo lavoro. Il soggetto dell'Unione cui è rivolta tale domanda trasmette senza indebito ritardo le informazioni richieste e ogni loro successivo aggiornamento.

Fatto salvo il regolamento (UE) 2018/1725, l'eventuale condivisione di dati tra il CERT-EU e i soggetti dell'Unione è eseguita in linea con i principi di garanzie chiare per casi di uso specifici e ricorre a trattati di mutua assistenza giudiziaria e ad altri accordi per garantire un elevato livello di protezione dei diritti nel trattamento delle richieste di accesso transfrontaliero ai dati.

3. IL CERT-UE può scambiare informazioni specifiche su un incidente che rivelino l'identità del soggetto interessato dall'incidente solo con il consenso di tale soggetto. Il CERT-UE può scambiare informazioni specifiche su un incidente che rivelino l'identità del bersaglio dell'incidente di cibersicurezza solo con il consenso del soggetto interessato dall'incidente. Alla luce dei suoi compiti di controllo, il Parlamento europeo può chiedere tali informazioni anche senza il consenso del soggetto interessato. Qualora il Parlamento europeo richieda le informazioni senza il consenso del soggetto interessato, le sue deliberazioni non sono pubbliche e tutti i documenti pertinenti sono considerati solo in base alla necessità di conoscere.

4. Gli accordi e gli obblighi di condivisione di informazioni in materia di cibersicurezza non comprendono le informazioni classificate UE ("ICUE") e le informazioni che un soggetto dell'Unione ha ricevuto da un servizio di sicurezza o di intelligence o da un'autorità di contrasto di uno Stato membro, a meno che il servizio di sicurezza o di intelligenze o l'autorità di contrasto dello Stato membro in questione non consenta la condivisione di tali informazioni al CERT-UE.

Articolo 20

Obblighi di segnalazione

1. Tutti i soggetti dell'Unione segnalano al CERT-UE, conformemente al paragrafo 1 quinquies, qualsiasi incidente che abbia un impatto significativo. Un incidente è considerato significativo se:

(a) ha causato o è in grado di causare una grave perturbazione operativa del servizio o perdite finanziarie per il soggetto interessato;

(b) ha interessato o può interessare altre persone fisiche o giuridiche causando considerevoli danni materiali o immateriali.

1 bis. I soggetti dell'Unione notificano, tra l'altro, eventuali informazioni che consentano al CERT-UE di determinare l'impatto su diversi soggetti, sullo Stato membro ospitante o l'impatto transfrontaliero a seguito di un incidente significativo. La sola notifica non espone il soggetto dell'Unione che la effettua a una maggiore responsabilità.

1 ter. Se del caso, i soggetti dell'Unione notificano senza indebito ritardo agli utenti dei sistemi informatici e di rete interessati, o di altre componenti dell'ambiente TIC, che sono potenzialmente interessati da un incidente significativo o una minaccia informatica significativa qualsiasi misura o azione correttiva che possa essere adottata in risposta a tale incidente o minaccia. Se del caso, i soggetti dell'Unione informano gli utenti della minaccia stessa.

1 quater. Qualora un incidente significativo o una minaccia informatica significativa interessi un sistema informatico e di rete, o una componente dell'ambiente TIC di un soggetto dell'Unione intenzionalmente connesso con l'ambiente TIC di un altro soggetto dell'Unione, il CERT-UE informa, senza indebito ritardo, il soggetto dell'Unione interessato.

1 quinquies. Tutti i soggetti dell'Unione presentano al CERT-UE:

(a) senza indebito ritardo, e comunque entro 24 ore da quando sono venuti a conoscenza dell'incidente significativo, un preallarme che, se opportuno, indichi se l'incidente significativo è sospettato di essere il risultato di atti illegittimi o malevoli o può avere un impatto transfrontaliero o che interessi diversi soggetti;

(b) senza indebito ritardo, e comunque entro 72 ore da quando sono venuti a conoscenza dell'incidente significativo, una relazione sull'incidente che, se opportuno, aggiorni le informazioni di cui alla lettera (a) e indichi una valutazione iniziale dell'incidente significativo, della sua gravità e del suo impatto, nonché, ove disponibili, gli indicatori di compromissione;

(c) su richiesta del CERT-UE, una relazione intermedia sui pertinenti aggiornamenti della situazione.

2. I soggetti dell'Unione forniscono inoltre al CERT-UE una relazione finale, entro un mese dall'invio della relazione sull'incidente di cui al paragrafo 1 quinquies, lettera (b). In caso di incidenti significativi in corso al momento della presentazione della relazione finale, trasmettono una relazione sullo stato di avanzamento dei lavori in tale momento e una relazione finale entro un mese dalla gestione dell'incidente. La relazione sull'incidente include, se sono disponibili, almeno:

(a) una descrizione dettagliata dell'incidente, inclusi la sua gravità e il suo impatto;

(b) il tipo di minaccia o la causa di fondo che ha probabilmente innescato l'incidente;

(c) le misure di attenuazione che sono state messe in atto o che sono in corso di attuazione;

(d) se del caso, le potenziali conseguenze dell'incidente per altri soggetti dell'Unione o il suo impatto transfrontaliero.

2 bis. In casi debitamente giustificati e con l'accordo del CERT-UE, il soggetto dell'Unione in questione può derogare dalla scadenza di cui al paragrafo 2. Il soggetto dell'Unione fornisce una relazione sullo stato di avanzamento dei lavori entro il termine per la presentazione di una relazione finale, se è stata concordata una deroga.

2 ter. I soggetti dell'Unione, su richiesta del CERT-UE e senza indebito ritardo, forniscono al CERT-UE le informazioni digitali generate dall'uso dei dispositivi elettronici coinvolti nei loro rispettivi incidenti. Il CERT-UE può chiarire ulteriormente di quali tipi di informazioni digitali ha bisogno ai fini della consapevolezza situazionale e della risposta agli incidenti.

3. Il CERT-UE trasmette mensilmente all'ENISA una relazione di sintesi che comprende dati anonimizzati e aggregati sugli incidenti significativi, sulle minacce informatiche, sugli incidenti, sui quasi incidenti e sulle vulnerabilità ▌notificati conformemente al paragrafo 1 quinquies del presente articolo e all'articolo 19, paragrafo -1.

4. Il CERT-UE, entro ... [un anno dopo l'entrata in vigore del presente regolamento], emana documenti di orientamento e raccomandazioni riguardanti le modalità e il contenuto delle relazioni. Nel preparare tali documenti di orientamento o raccomandazioni, il CERT-UE tiene conto delle specifiche formulate in qualsiasi atto di esecuzione adottato dalla Commissione che indichi il tipo di informazioni, il formato e la procedura di una notifica presentata ai sensi dell'articolo 23, paragrafo 11, della direttiva (UE) 2022/2555. Il CERT-UE diffonde gli adeguati dettagli tecnici che consentano l'adozione di misure proattive di rilevamento, risposta agli incidenti o attenuazione da parte dei soggetti dell'Unione.

5. Gli obblighi di segnalazione non comprendono le ICUE e le informazioni che un soggetto dell'Unione ha ricevuto da un servizio di sicurezza o di intelligence o da un'autorità di contrasto di uno Stato membro con l'esplicita condizione di non trasmetterle al CERT-UE.

Articolo 21

Coordinamento della risposta in caso di incidenti e cooperazione ▌

1. Fungendo da piattaforma per lo scambio di informazioni in materia di cibersicurezza e il coordinamento della risposta in caso di incidenti, il CERT-UE facilita la circolazione delle informazioni riguardo alle minacce informatiche, alle vulnerabilità, ai quasi incidenti e agli incidenti tra:

(a) i soggetti dell'Unione;

(b) gli omologhi di cui agli articoli 16 e 17.

2. Il CERT-UE facilita il coordinamento fra i soggetti dell'Unione in materia di risposta agli incidenti, anche tramite:

(a) il contributo a una comunicazione esterna coerente;

(b) l'assistenza reciproca;

(c) l'uso ottimale delle risorse operative;

(d) il coordinamento con altri meccanismi di risposta alle crisi a livello dell'Unione.

3. Il CERT-UE, in cooperazione con l'ENISA, sostiene i soggetti dell'Unione per quanto riguarda la consapevolezza situazionale delle minacce informatiche, delle vulnerabilità, dei quasi incidenti e degli incidenti, nonché la condivisione degli sviluppi più recenti nel settore della cibersicurezza.

4. Entro [un anno dopo la data di entrata in vigore del regolamento], l'IICB emana orientamenti sul coordinamento della risposta agli incidenti e sulla cooperazione in caso di incidenti significativi. In caso di sospetta natura criminale di un incidente, l'IICB e il CERT-UE forniscono consulenza su come segnalare l'incidente alle autorità di contrasto senza indebito ritardo.

Articolo 22

Incidenti gravi

1. Il CERT-UE coordina, fra i soggetti dell'Unione, la gestione delle risposte agli incidenti gravi. A tale proposito, il CERT-UE tiene un inventario delle competenze tecniche disponibili che risulterebbero necessarie per la risposta agli incidenti in caso di incidenti gravi di questo tipo e assiste l'IICB nel coordinare i piani di gestione delle crisi informatiche dei soggetti dell'Unione per gli incidenti gravi di cui all'articolo 7, paragrafo 2 bis.

2. I soggetti dell'Unione contribuiscono all'inventario delle competenze tecniche fornendo un elenco annualmente aggiornato di esperti disponibili al loro interno, che specifichi le loro capacità tecniche.

3. Con l'accordo dei soggetti dell'Unione interessati, il CERT-UE può anche rivolgersi agli esperti dell'elenco di cui al paragrafo 2 per contribuire alla risposta a un incidente grave in uno Stato membro, in linea con le procedure operative dell'EU-CyCLONe. Le norme specifiche sull'accesso agli esperti tecnici dei soggetti dell'Unione e sul loro utilizzo sono approvate dall'IICB su proposta del CERT-UE.

Capo VI

DISPOSIZIONI FINALI

Articolo 23

Accordi relativi al bilancio iniziale

1. Nella sua proposta relativa al primo bilancio da adottare a seguito del [data dell'entrata in vigore del presente regolamento], la Commissione tiene conto di un aumento delle esigenze in termini di bilancio e di personale di tutti i soggetti dell'Unione e, in particolare, di quelli di piccole dimensioni, associate ai nuovi obblighi derivanti dal presente regolamento.

2. Al fine di garantire il funzionamento corretto e stabile del CERT-UE, la Commissione può proporre la riassegnazione di personale e risorse finanziarie dal bilancio TIC di determinati soggetti dell'Unione al proprio bilancio, al fine del loro impiego in operazioni CERT-UE, sulla base di criteri chiari e fatta salva la loro cibersicurezza. La riassegnazione è effettiva contestualmente al primo bilancio adottato dopo l'entrata in vigore del presente regolamento.

Articolo 24

Riesame

1. L'IICB, coadiuvato dal CERT-UE, riferisce, almeno una volta l'anno, alla Commissione in merito all'attuazione del presente regolamento. L'IICB può anche rivolgere raccomandazioni alla Commissione per proporre modifiche al presente regolamento.

2. La Commissione valuta e riferisce al Parlamento europeo e al Consiglio in merito all'attuazione del presente regolamento e sull'esperienza acquisita a livello strategico e operativo entro [36 mesi dalla data di entrata in vigore del presente regolamento] e successivamente ogni due anni.

2 bis. Le relazioni di cui al paragrafo 2 del presente articolo valutano, tenendo conto dell'articolo 15, paragrafo 1 bis, la possibilità di istituire CERT-UE come ufficio dell'Unione.

3. La Commissione valuta il funzionamento del presente regolamento e riferisce al Parlamento europeo, al Consiglio, al Comitato economico e sociale europeo e al Comitato delle regioni trascorsi almeno cinque anni dalla data di entrata in vigore.

Articolo 24 bis

Esercizio della delega

1. Il potere di adottare atti delegati è conferito alla Commissione alle condizioni stabilite nel presente articolo.

2. Il potere di adottare atti delegati di cui all'articolo 18, paragrafo 3 bis, è conferito alla Commissione per un periodo indeterminato a decorrere dal ... [un giorno dopo la data di entrata in vigore del presente regolamento].

3. La delega di potere di cui all'articolo 18, paragrafo 3 bis, può essere revocata in qualsiasi momento dal Parlamento europeo o dal Consiglio. La decisione di revoca pone fine alla delega di potere ivi specificata. Gli effetti della decisione decorrono dal giorno successivo alla pubblicazione della decisione nella Gazzetta ufficiale dell'Unione europea o da una data successiva ivi specificata. Essa non pregiudica la validità degli atti delegati già in vigore.

4. Non appena adotta un atto delegato, la Commissione ne dà contestualmente notifica al Parlamento europeo e al Consiglio.

5. L'atto delegato adottato ai sensi dell'articolo 18, paragrafo 3 bis, entra in vigore solo se non sono state sollevate obiezioni né dal Parlamento europeo né dal Consiglio entro il termine di due mesi dalla data in cui esso è stato loro notificato o se, prima della scadenza di tale termine, sia il Parlamento europeo che il Consiglio hanno informato la Commissione che non intendono sollevare obiezioni. Tale termine è prorogato di due mesi su iniziativa del Parlamento europeo o del Consiglio.

Articolo 25

Entrata in vigore

Il presente regolamento entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell'Unione europea.

Il presente regolamento è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri.

Fatto a ..., il

Per il Parlamento europeo   Per il Consiglio

Il presidente   Il presidente

 




MOTIVAZIONE

CONTESTO

 

Nella sua proposta che stabilisce misure per un livello comune elevato di cibersicurezza nelle istituzioni, negli organi e negli organismi dell'Unione, la Commissione ha definito misure per tutti i soggetti dell'Unione al fine di istituire un quadro di norme e misure comuni in materia di cibersicurezza con lo scopo di migliorare le capacità di resilienza e di risposta agli incidenti. Si tratta del primo atto legislativo dell'Unione incentrato sulla cibersicurezza delle istituzioni, degli organi e degli organismi dell'Unione.

 

Obiettivo della proposta è migliorare le capacità di resilienza e di risposta agli incidenti dei soggetti dell'Unione e ampliare il mandato e il finanziamento del CERT-UE, che viene rinominato da "squadra di pronto intervento informatico" in "centro per la cibersicurezza". La proposta istituisce inoltre un comitato interistituzionale per la cibersicurezza (Interinstitutional Cybersecurity Board, IICB), incaricato di monitorare l'attuazione del regolamento da parte delle istituzioni, degli organi e degli organismi dell'Unione e di vigilare sull'attuazione delle priorità e degli obiettivi generali da parte del CERT-UE.

 

RELATRICE

 

La relatrice accoglie con favore la proposta della Commissione e condivide la scelta di un regolamento quale strumento appropriato per affrontare la tendenza al rialzo delle minacce informatiche, dato il drastico aumento del numero di incidenti significativi a danno delle istituzioni, degli organi e degli organismi dell'Unione da parte di attori di minacce mirate e persistenti registratosi tra il 2019 e il 2021. Occorre dunque prestare maggiore attenzione alle questioni di cibersicurezza e stanziare un bilancio adeguato a tal fine.

 

La relatrice ritiene che tale proposta sia essenziale per migliorare la resilienza e la tutela della pubblica amministrazione dell'UE in considerazione dell'aumento del numero di minacce alla cibersicurezza, che diventano sempre più sofisticate. A tale riguardo, la cooperazione interistituzionale costituisce un valido strumento per individuare, prevenire e monitorare le minacce e i rischi informatici e per fornire una risposta in tal senso. Le istituzioni, gli organi e gli organismi dell'Unione dovrebbero sviluppare ulteriormente le misure in materia di cibersicurezza e le risposte alle minacce informatiche e ai possibili attacchi. È pertanto necessario un approccio comune.

 

La relatrice ritiene che le istituzioni, gli organi e le agenzie dell'Unione dovrebbero essere dotati delle risorse adeguate per far fronte alle sfide derivanti dall'incremento delle minacce alla cibersicurezza. In particolare, le conoscenze e le competenze nel settore della cibersicurezza dovrebbero essere salvaguardate all'interno delle istituzioni, degli organi e degli organismi dell'Unione.

 

La proposta affronta inoltre la questione delle risorse umane accentrando le risorse nel CERT-UE. Il modello centralizzato proposto dovrebbe migliorare l'assunzione di esperti presso le istituzioni, gli organi e gli organismi dell'Unione.  La relatrice accoglie con favore il rafforzamento del mandato del CERT-UE e reputa necessario dotare quest'ultimo delle risorse necessarie per adempiere tale mandato, oltre a ritenere che la sua struttura dovrebbe essere oggetto di un attento esame in futuro.

 

Le istituzioni, gli organi e le agenzie dell'Unione hanno dimensioni e ruoli sensibilmente diversi e alcuni di essi dispongono di importanti reti internazionali. La relatrice sottolinea pertanto che, affinché tali soggetti possano svolgere i loro compiti, dovrebbero essere introdotti un livello sufficiente di flessibilità e un approccio basato sul rischio. Nel contempo, è opportuno trovare un approccio uniforme per affrontare le minacce alla cibersicurezza, dal momento che le istituzioni, gli organi e gli organismi dell'Unione sono tutti interconnessi e che non ci dovrebbero essere anelli deboli della catena.


PARERE DELLA COMMISSIONE PER LE LIBERTÀ CIVILI, LA GIUSTIZIA E GLI AFFARI INTERNI (1.3.2023)

destinato alla commissione per l'industria, la ricerca e l'energia

sulla proposta di regolamento del Parlamento europeo e del Consiglio che stabilisce misure per un livello comune elevato di cibersicurezza nelle istituzioni, organi e organismi dell'Unione

(COM(2022)0122 – C9‑0122/2022 – 2022/0085(COD))

Relatore per parere (*): Tomas Tobé

 

(*) Procedura con le commissioni associate – articolo 57 del regolamento

 

 

 

EMENDAMENTI

La commissione per le libertà civili, la giustizia e gli affari interni invita la commissione per l'industria, la ricerca e l'energia, competente per il merito, a prendere in considerazione i seguenti emendamenti:

Emendamento  1

 

Proposta di regolamento

Considerando 4

 

Testo della Commissione

Emendamento

(4) Le istituzioni, gli organi e le agenzie dell'Unione sono obiettivi interessanti, che si trovano a dover affrontare sia autori di minacce molto esperti e dotati di risorse adeguate, sia altri tipi di minacce. Al tempo stesso, fra tali soggetti dell'Unione, il livello e la maturità della ciberresilienza e la capacità di individuare e contrastare attività informatiche dolose varia in modo significativo. Ai fini del funzionamento dell'amministrazione europea è quindi necessario che le istituzioni, gli organi e le agenzie dell'Unione raggiungano un livello comune elevato di cibersicurezza attraverso una base di riferimento per la cibersicurezza (una serie di norme minime alle quali i sistemi informatici e di rete e i relativi operatori e utenti devono essere conformi al fine di ridurre al minimo i rischi per la cibersicurezza), lo scambio di informazioni e la collaborazione.

(4) Le istituzioni, gli organi e le agenzie dell'Unione sono state e sono tuttora obiettivi interessanti, che si trovano a dover affrontare sia autori di minacce molto esperti e dotati di risorse adeguate, sia altri tipi di minacce. Al tempo stesso, fra tali soggetti dell'Unione, il livello e la maturità della ciberresilienza e la capacità di individuare e contrastare attività informatiche dolose varia in modo significativo. Ai fini del funzionamento dell'amministrazione europea è quindi necessario che le istituzioni, gli organi e le agenzie dell'Unione raggiungano un livello comune elevato di cibersicurezza attraverso una base di riferimento per la cibersicurezza (una serie di norme minime alle quali i sistemi informatici e di rete e i relativi operatori e utenti devono essere conformi al fine di ridurre al minimo i rischi per la cibersicurezza), lo scambio di informazioni e la collaborazione.

Emendamento  2

 

Proposta di regolamento

Considerando 5

 

Testo della Commissione

Emendamento

(5) La direttiva [proposta NIS 2] relativa a misure per un livello comune elevato di cibersicurezza nell'Unione è volta a migliorare ulteriormente le capacità di resilienza in termini di cibersicurezza e di risposta agli incidenti di soggetti pubblici e privati, delle autorità e degli organi nazionali competenti così come dell'Unione nel suo complesso. È pertanto necessario che le istituzioni, gli organi e le agenzie dell'Unione agiscano in tal senso garantendo norme che siano coerenti con la direttiva [proposta NIS 2] e che rispecchino il suo livello di ambizione.

(5) La direttiva [proposta NIS 2] relativa a misure per un livello comune elevato di cibersicurezza nell'Unione è volta a migliorare ulteriormente le capacità di resilienza in termini di cibersicurezza e di risposta agli incidenti di soggetti pubblici e privati, delle autorità e degli organi nazionali competenti così come dell'Unione nel suo complesso. È pertanto necessario che le istituzioni, gli organi e le agenzie dell'Unione agiscano in tal senso garantendo norme che siano coerenti con la direttiva [proposta NIS 2] e che rispecchino il suo livello di ambizione. I requisiti di sicurezza dovrebbero essere quantomeno pari o superiori ai requisiti minimi di sicurezza per i soggetti rientranti nell'ambito della direttiva (UE) 2022/2555.

Emendamento  3

 

Proposta di regolamento

Considerando 6 bis (nuovo)

 

Testo della Commissione

Emendamento

 

(6 bis) Le istituzioni, gli organi e gli organismi dell'UE dovrebbero essere dotati di mezzi e strumenti adeguati con i quali rafforzare la loro ciberresilienza. È pertanto essenziale garantire l'esistenza di meccanismi di coordinamento appropriati che permettano di effettuare il processo decisionale in modo efficiente ed efficace.

Emendamento  4

 

Proposta di regolamento

Considerando 22

 

Testo della Commissione

Emendamento

(22) Tutti i trattamenti di dati personali effettuati a norma del presente regolamento devono essere conformi alla legislazione in materia di protezione dei dati, compreso il regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio7.

(22) Tutti i trattamenti di dati personali effettuati a norma del presente regolamento devono essere conformi alla legislazione dell'Unione in materia di protezione dei dati, compreso il regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio7. Il presente regolamento non incide sull'applicazione del diritto dell'Unione che disciplina il trattamento dei dati personali, compresi i compiti conferiti al GEPD e i suoi poteri. Il CERT-UE e l'IICB dovrebbero cooperare strettamente con il GEPD e il personale specializzato nella protezione dei dati presso le istituzioni, gli organi e gli organismi dell'Unione al fine di garantire il pieno rispetto del diritto dell'Unione in materia di protezione dei dati.

__________________

__________________

7 Regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell'Unione e sulla libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE (GU L 295 del 21.11.2018, pag. 39).

7 Regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell'Unione e sulla libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE (GU L 295 del 21.11.2018, pag. 39).

Emendamento  5

 

Proposta di regolamento

Considerando 22 bis (nuovo)

 

Testo della Commissione

Emendamento

 

(22 bis) I sistemi e i servizi di cibersicurezza coinvolti nella prevenzione e nel rilevamento delle minacce informatiche e nella risposta alle stesse dovrebbero rispettare il diritto in materia di protezione dei dati e di vita privata e dovrebbero adottare pertinenti misure tecniche e organizzative di salvaguardia per assicurare che tale rispetto sia conseguito in modo responsabile.

Emendamento  6

 

Proposta di regolamento

Considerando 23

 

Testo della Commissione

Emendamento

(23) Il trattamento delle informazioni da parte del CERT-UE e delle istituzioni, organi e agenzie dell'Unione dovrebbe essere in linea con le norme stabilite nel regolamento [proposta di regolamento sulla sicurezza delle informazioni]. Per garantire il coordinamento sulle questioni di sicurezza, ogni contatto con il CERT-UE avviato o sollecitato dai servizi nazionali di sicurezza e di intelligence dovrebbe essere comunicato senza indebito ritardo alla direzione "Sicurezza" della Commissione e al presidente dell'IICB.

(23) Il trattamento delle informazioni da parte del CERT-UE e delle istituzioni, organi e agenzie dell'Unione dovrebbe essere in linea con le norme dell'Unione in materia di sicurezza delle informazioni, in particolare quelle stabilite nel regolamento [proposta di regolamento sulla sicurezza delle informazioni]. Per garantire il coordinamento sulle questioni di sicurezza, ogni contatto con il CERT-UE avviato o sollecitato dai servizi nazionali di sicurezza e di intelligence dovrebbe essere comunicato senza indebito ritardo alla direzione "Sicurezza" della Commissione e al presidente dell'IICB.

Emendamento  7

 

Proposta di regolamento

Considerando 25 bis (nuovo)

 

Testo della Commissione

Emendamento

 

(25 bis) Conformemente all'articolo 42, paragrafo 1, del regolamento (UE) 2018/1725, il Garante europeo della protezione dei dati è stato consultato e ha formulato il suo parere il 17 maggio 2022,

Emendamento  8

 

Proposta di regolamento

Articolo 4 – paragrafo 5

 

Testo della Commissione

Emendamento

5. Ogni istituzione, organo e agenzia dell'Unione nomina un responsabile locale per la cibersicurezza o una funzione equivalente come proprio punto di contatto unico per tutti gli aspetti della cibersicurezza.

5. Ogni istituzione, organo e agenzia dell'Unione nomina un responsabile locale per la cibersicurezza o una funzione equivalente come proprio punto di contatto unico per tutti gli aspetti della cibersicurezza. Il responsabile locale per la cibersicurezza coopera con il responsabile della protezione dei dati designato conformemente all'articolo 43 del regolamento (UE) 2018/1725 nell'affrontare la sovrapposizione delle attività, come l'applicazione della protezione dei dati fin dalla progettazione e per impostazione predefinita alle misure di cibersicurezza e la selezione di misure di cibersicurezza che comportano la protezione dei dati personali, la gestione integrata dei rischi e il trattamento integrato degli incidenti di sicurezza.

Emendamento  9

 

Proposta di regolamento

Articolo 9 – paragrafo 3 – comma 1 – lettera k bis (nuova)

 

Testo della Commissione

Emendamento

 

(k bis) il Garante europeo della protezione dei dati;

Emendamento  10

 

Proposta di regolamento

Articolo 9 – paragrafo 3 – comma 1 – lettera k ter (nuova)

 

Testo della Commissione

Emendamento

 

(k ter) l'Agenzia dell'Unione europea per la cooperazione nell'attività di contrasto.

Emendamento  11

 

Proposta di regolamento

Articolo 12 – paragrafo 2 – lettera e bis (nuova)

 

Testo della Commissione

Emendamento

 

(e bis) informa il Garante europeo della protezione dei dati di qualsiasi indicazione di una violazione, da parte di un'istituzione, di un organo o di un organismo dell'Unione, degli obblighi stabiliti dal presente regolamento che comporta un trattamento illecito dei dati personali;

Emendamento  12

 

Proposta di regolamento

Articolo 12 – paragrafo 2 – lettera e ter (nuova)

 

Testo della Commissione

Emendamento

 

(e ter) lavora in stretta cooperazione con il Garante europeo della protezione dei dati nella soluzione degli incidenti che comportano violazioni di dati personali o violazioni della riservatezza delle comunicazioni elettroniche.

Emendamento  13

 

Proposta di regolamento

Articolo 12 – paragrafo 7 bis (nuovo)

 

Testo della Commissione

Emendamento

 

7 bis. Il CERT-UE informa il Garante europeo della protezione dei dati quando affronta vulnerabilità significative, incidenti significativi o attacchi gravi che possono comportare violazioni di dati personali o violazioni della riservatezza delle comunicazioni elettroniche.

Emendamento  14

 

Proposta di regolamento

Articolo 18 – paragrafo 2

 

Testo della Commissione

Emendamento

2. Alle richieste di accesso del pubblico ai documenti detenuti dal CERT-UE si applicano le disposizioni del regolamento (CE) n. 1049/2001 del Parlamento europeo e del Consiglio9, compreso l'obbligo, previsto da tale regolamento, di consultare le altre istituzioni, gli altri organi e le altre agenzie dell'Unione qualora la domanda riguardi loro documenti.

2. Alle richieste di accesso del pubblico ai documenti detenuti dal CERT-UE si applicano le disposizioni del regolamento (CE) n. 1049/2001 del Parlamento europeo e del Consiglio9, compreso l'obbligo, previsto da tale regolamento, di consultare le altre istituzioni, gli altri organi e le altre agenzie dell'Unione o, se del caso, gli Stati membri qualora la domanda riguardi loro documenti.

__________________

__________________

9 Regolamento (CE) n. 1049/2001 del Parlamento europeo e del Consiglio, del 30 maggio 2001, relativo all'accesso del pubblico ai documenti del Parlamento europeo, del Consiglio e della Commissione (GU L 145 del 31.5.2001, pag. 43).

9 Regolamento (CE) n. 1049/2001 del Parlamento europeo e del Consiglio, del 30 maggio 2001, relativo all'accesso del pubblico ai documenti del Parlamento europeo, del Consiglio e della Commissione (GU L 145 del 31.5.2001, pag. 43).

Emendamento  15

 

Proposta di regolamento

Articolo 18 – paragrafo 3 – comma 1 bis (nuovo)

 

Testo della Commissione

Emendamento

 

Il trattamento, lo scambio, la raccolta o la conservazione di dati personali da parte del CERT-UE, dell'IICB e delle istituzioni, degli organi e degli organismi dell'Unione si limitano al trattamento, allo scambio, alla raccolta o alla conservazione strettamente necessari e sono effettuati al solo scopo di adempiere ai rispettivi obblighi a norma del presente regolamento.

Emendamento  16

 

Proposta di regolamento

Articolo 18 – paragrafo 3 bis (nuovo)

 

Testo della Commissione

Emendamento

 

3 bis. Entro ... [1 anno dopo la data di entrata in vigore del presente regolamento], la Commissione adotta un atto delegato per specificare quali attività di trattamento dei dati personali sono permesse a norma del presente regolamento, inclusi la finalità del trattamento, le categorie di dati personali, le categorie di interessati, le condizioni per il trattamento dei dati, i periodi massimi di conservazione, la definizione dei titolari e dei responsabili del trattamento e i destinatari in caso di trasmissione.

 

L'atto delegato di cui al primo comma limita le attività di trattamento a quelle strettamente necessarie e richiede che tali attività di trattamento siano quanto più mirate possibile e non includano la conservazione indiscriminata di dati relativi al traffico o al contenuto.

 

La Commissione modifica l'atto delegato di cui al primo comma quando individua cambiamenti significativi relativi alla necessità o alle finalità specifiche del trattamento di dati personali o ai soggetti in esso coinvolti ai fini del presente regolamento.

Emendamento  17

 

Proposta di regolamento

Articolo 18 – paragrafo 4

 

Testo della Commissione

Emendamento

4. Il trattamento delle informazioni da parte del CERT-UE e delle istituzioni, degli organi e delle agenzie dell'Unione è in linea con le norme stabilite nella [proposta di regolamento sulla sicurezza delle informazioni].

4. Il trattamento delle informazioni da parte del CERT-UE e delle istituzioni, degli organi e delle agenzie dell'Unione è in linea con le norme dell'Unione in materia di sicurezza delle informazioni, in particolare quelle stabilite nella [proposta di regolamento sulla sicurezza delle informazioni].

Emendamento  18

 

Proposta di regolamento

Articolo 18 – paragrafo 5

 

Testo della Commissione

Emendamento

5. Ogni contatto con il CERT-UE avviato o sollecitato dai servizi nazionali di sicurezza e di intelligence è comunicato senza indebito ritardo alla direzione "Sicurezza" della Commissione e al presidente dell'IICB.

5. Ogni contatto con il CERT-UE avviato o sollecitato dai servizi nazionali di sicurezza e di intelligence è comunicato senza indebito ritardo alla direzione "Sicurezza" della Commissione, a Europol e al presidente dell'IICB.

Emendamento  19

 

Proposta di regolamento

Articolo 19 – titolo

 

Testo della Commissione

Emendamento

Obblighi di condivisione di informazioni

Condivisione di informazioni

Emendamento  20

 

Proposta di regolamento

Articolo 19 – paragrafo 1

 

Testo della Commissione

Emendamento

1. Per poter coordinare la gestione delle vulnerabilità e la risposta agli incidenti, il CERT-UE può chiedere alle istituzioni, agli organi e alle agenzie dell'UE di fornirgli informazioni, tratte dai loro rispettivi inventari dei sistemi informatici, che siano pertinenti per il sostegno al suo lavoro. L'istituzione, l'organo o l'agenzia cui è rivolta tale domanda trasmette senza indebito ritardo le informazioni richieste e ogni loro successivo aggiornamento.

1. Affinché il CERT-UE possa svolgere i compiti di cui all'articolo 12, e in particolare al fine di coordinare la gestione delle vulnerabilità e la risposta agli incidenti, le istituzioni, gli organi o le agenzie dell'Unione, su richiesta del CERT-UE, forniscono a quest'ultimo informazioni, tratte dai loro rispettivi inventari dei sistemi TIC, che siano pertinenti per il sostegno al lavoro del CERT-EU, comprese le modifiche al loro ambiente informatico. Il soggetto cui è rivolta tale domanda trasmette senza indebito ritardo le informazioni richieste e ogni loro successivo aggiornamento.

 

Lasciando impregiudicato il regolamento (UE) 2018/1725, l'eventuale condivisione di dati tra il CERT-EU e le istituzioni, gli organi e gli organismi dell'Unione è eseguita in linea con i principi di garanzie chiare per casi di uso specifici e ricorre a trattati di mutua assistenza giudiziaria e ad altri accordi per garantire un elevato livello di protezione dei diritti nel trattamento delle richieste di accesso transfrontaliero ai dati.

Emendamento  21

 

Proposta di regolamento

Articolo 19 – paragrafo 1 bis (nuovo)

 

Testo della Commissione

Emendamento

 

1 bis. Le istituzioni, gli organi e gli organismi dell'Unione possono fornire volontariamente al CERT-UE informazioni sulle minacce e gli incidenti informatici, i quasi incidenti e le vulnerabilità che li interessano. Possono inoltre chiedere al CERT-UE un'ulteriore assistenza tecnica e consulenza per combattere gli incidenti di cibersicurezza e gli attacchi gravi. Il CERT-EU può dare priorità al trattamento delle notifiche obbligatorie rispetto alle notifiche volontarie, salvo in caso di richieste volontarie debitamente giustificate e urgenti da parte delle istituzioni, degli organi e degli organismi dell'Unione.

Emendamento  22

 

Proposta di regolamento

Articolo 19 – paragrafo 3

 

Testo della Commissione

Emendamento

3. IL CERT-UE può scambiare informazioni specifiche su un incidente che rivelino l'identità dell'istituzione, dell'organo o dell'agenzia interessati dall'incidente solo con il consenso di tale soggetto. Il CERT-UE può scambiare informazioni specifiche su un incidente che rivelino l'identità del bersaglio dell'incidente di cibersicurezza solo con il consenso del soggetto interessato dall'incidente.

3. IL CERT-UE può scambiare informazioni specifiche su un incidente che rivelino l'identità dell'istituzione, dell'organo o dell'agenzia interessati dall'incidente solo con l'autorizzazione di tale soggetto. Il CERT-UE può scambiare informazioni specifiche su un incidente che rivelino l'identità del bersaglio dell'incidente di cibersicurezza solo con l'autorizzazione del soggetto interessato dall'incidente.

 

Ove necessario per lo svolgimento dei suoi compiti, il CERT-UE può scambiare informazioni specifiche sugli incidenti, anche in assenza di autorizzazione da parte dell'istituzione, dell'organo o dell'organismo dell'Unione interessati dall'incidente. L'istituzione, l'organo o l'organismo dell'Unione sono informati in anticipo di tale scambio di informazioni.

Emendamento  23

 

Proposta di regolamento

Articolo 19 – paragrafo 4

 

Testo della Commissione

Emendamento

4. Gli obblighi di condivisione non comprendono le informazioni classificate UE ("ICUE") e le informazioni che un'istituzione, un organo o un'agenzia dell'Unione ha ricevuto da un servizio di sicurezza o di intelligence o da un'autorità di contrasto di uno Stato membro con l'esplicita condizione di non trasmetterle al CERT-UE.

4. Gli obblighi di condivisione non comprendono le informazioni classificate UE ("ICUE") e le informazioni che un'istituzione, un organo o un'agenzia dell'Unione ha ricevuto da un servizio di sicurezza o di intelligence o da un'autorità di contrasto di uno Stato membro, a meno che il servizio di sicurezza o di intelligence o l'autorità di contrasto interessati dello Stato membro non consentano la condivisione di tali informazioni con il CERT-UE.

Emendamento  24

 

Proposta di regolamento

Articolo 20 – paragrafo 3

 

Testo della Commissione

Emendamento

3. Il CERT-UE trasmette mensilmente all'ENISA una relazione di sintesi che comprende dati anonimizzati e aggregati sulle minacce informatiche significative, sulle vulnerabilità significative e sugli incidenti significativi notificati conformemente al paragrafo 1.

3. Il CERT-UE trasmette mensilmente all'ENISA una relazione di sintesi che comprende dati anonimizzati e aggregati sulle minacce informatiche significative, sulle vulnerabilità significative e sugli incidenti significativi notificati conformemente al paragrafo 1. Tale relazione è resa pubblica, nel rispetto delle pertinenti norme dell'Unione in materia di sicurezza delle informazioni, in particolare quelle stabilite nel ... [proposta di regolamento sulla sicurezza delle informazioni].

Emendamento  25

 

Proposta di regolamento

Articolo 20 – paragrafo 5

 

Testo della Commissione

Emendamento

5. Gli obblighi di notifica non comprendono le ICUE e le informazioni che un'istituzione, un organo o un'agenzia dell'Unione ha ricevuto da un servizio di sicurezza o di intelligence o da un'autorità di contrasto di uno Stato membro con l'esplicita condizione di non trasmetterle al CERT-UE.

5. Gli obblighi di notifica non comprendono le ICUE e le informazioni che un'istituzione, un organo o un'agenzia dell'Unione ha ricevuto da un servizio di sicurezza o di intelligence o da un'autorità di contrasto di uno Stato membro, a meno che il servizio di sicurezza o di intelligence o l'autorità di contrasto interessati dello Stato membro non consentano la condivisione di tali informazioni con il CERT-UE.

Emendamento  26

 

Proposta di regolamento

Articolo 21 – paragrafo 4

 

Testo della Commissione

Emendamento

4. l'IICB emana orientamenti sul coordinamento della risposta in caso di incidenti e sulla cooperazione in caso di incidenti significativi. In caso di sospetta natura criminale di un incidente, il CERT-UE fornisce consulenza su come segnalare l'incidente alle autorità di contrasto.

4. l'IICB emana orientamenti sul coordinamento della risposta in caso di incidenti e sulla cooperazione in caso di incidenti significativi. In caso di sospetta natura criminale di un incidente, il CERT-UE o l'IICB segnala l'incidente alle autorità di contrasto senza indebito ritardo.

Emendamento  27

 

Proposta di regolamento

Articolo 24 bis (nuovo)

 

Testo della Commissione

Emendamento

 

Articolo 24 bis

 

Esercizio della delega

 

1.  Il potere di adottare atti delegati è conferito alla Commissione alle condizioni stabilite nel presente articolo.

 

2.  Il potere di adottare atti delegati di cui all'articolo 18, paragrafo 3 bis, è conferito alla Commissione per un periodo indeterminato a decorrere dal ... [un giorno dopo la data di entrata in vigore del presente regolamento].

 

3.  La delega di potere di cui all'articolo 18, paragrafo 3 bis, può essere revocata in qualsiasi momento dal Parlamento europeo o dal Consiglio. La decisione di revoca pone fine alla delega di potere ivi specificata. Gli effetti della decisione decorrono dal giorno successivo alla pubblicazione della decisione nella Gazzetta ufficiale dell'Unione europea o da una data successiva ivi specificata. Essa non pregiudica la validità degli atti delegati già in vigore.

 

4.  Non appena adotta un atto delegato, la Commissione ne dà contestualmente notifica al Parlamento europeo e al Consiglio.

 

5.  L'atto delegato adottato ai sensi dell'articolo 18, paragrafo 3 bis, entra in vigore solo se non sono state sollevate obiezioni né dal Parlamento europeo né dal Consiglio entro il termine di due mesi dalla data in cui esso è stato loro notificato o se, prima della scadenza di tale termine, sia il Parlamento europeo che il Consiglio hanno informato la Commissione che non intendono sollevare obiezioni. Tale termine è prorogato di due mesi su iniziativa del Parlamento europeo o del Consiglio.

Emendamento  28

 

Proposta di regolamento

Allegato II – punto 2 bis (nuovo)

 

Testo della Commissione

Emendamento

 

(2 bis) l'uso, ove possibile, di cifratura a riposo, cifratura in transito e cifratura end-to-end;


PROCEDURA DELLA COMMISSIONE COMPETENTE PER PARERE

Titolo

Misure per un livello comune elevato di cibersicurezza nelle istituzioni, negli organi e negli organismi dell'Unione

Riferimenti

COM(2022)0122 – C9-0122/2022 – 2022/0085(COD)

Commissione competente per il merito

 Annuncio in Aula

ITRE

4.4.2022

 

 

 

Parere espresso da

 Annuncio in Aula

LIBE

4.4.2022

Commissioni associate - annuncio in aula

15.9.2022

Relatore per parere:

 Nomina

Tomas Tobé

12.12.2022

Esame in commissione

31.1.2023

 

 

 

Approvazione

1.3.2023

 

 

 

Esito della votazione finale

+:

–:

0:

62

0

1

Membri titolari presenti al momento della votazione finale

Magdalena Adamowicz, Abir Al-Sahlani, Malik Azmani, Katarina Barley, Pietro Bartolo, Vladimír Bilčík, Vasile Blaga, Ioan-Rareş Bogdan, Karolin Braunsberger-Reinhold, Patrick Breyer, Saskia Bricmont, Patricia Chagnon, Caterina Chinnici, Clare Daly, Lena Düpont, Lucia Ďuriš Nicholsonová, Maria Grapini, Sylvie Guillaume, Andrzej Halicki, Evin Incir, Sophia in ‘t Veld, Patryk Jaki, Marina Kaljurand, Assita Kanko, Fabienne Keller, Łukasz Kohut, Moritz Körner, Alice Kuhnke, Jeroen Lenaers, Juan Fernando López Aguilar, Erik Marquardt, Nuno Melo, Maite Pagazaurtundúa, Karlo Ressler, Diana Riba i Giner, Birgit Sippel, Sara Skyttedal, Vincenzo Sofo, Tineke Strik, Ramona Strugariu, Annalisa Tardino, Tomas Tobé, Yana Toom, Milan Uhrík, Tom Vandendriessche, Jadwiga Wiśniewska

Supplenti presenti al momento della votazione finale

Susanna Ceccardi, Gwendoline Delbos-Corfield, Loucas Fourlas, Beata Kempa, Philippe Olivier, Dragoş Tudorache, Petar Vitanov, Tomáš Zdechovský

Supplenti (art. 209, par. 7) presenti al momento della votazione finale

Gheorghe Falcă, Jean-François Jalkh, Petra Kammerevert, Marisa Matias, Martina Michels, Ljudmila Novak, Stanislav Polčák, Mick Wallace, Bernhard Zimniok

 


VOTAZIONE FINALE PER APPELLO NOMINALE IN SEDE DI COMMISSIONE COMPETENTE PER PARERE

62

+

ECR

Patryk Jaki, Assita Kanko, Beata Kempa, Vincenzo Sofo, Jadwiga Wiśniewska

ID

Susanna Ceccardi, Patricia Chagnon, Jean-François Jalkh, Philippe Olivier, Annalisa Tardino, Tom Vandendriessche, Bernhard Zimniok

PPE

Magdalena Adamowicz, Vladimír Bilčík, Vasile Blaga, Ioan-Rareş Bogdan, Karolin Braunsberger-Reinhold, Lena Düpont, Gheorghe Falcă, Loucas Fourlas, Andrzej Halicki, Jeroen Lenaers, Nuno Melo, Ljudmila Novak, Stanislav Polčák, Karlo Ressler, Sara Skyttedal, Tomas Tobé, Tomáš Zdechovský

Renew

Abir Al-Sahlani, Malik Azmani, Lucia Ďuriš Nicholsonová, Sophia in 't Veld, Fabienne Keller, Moritz Körner, Maite Pagazaurtundúa, Ramona Strugariu, Yana Toom, Dragoş Tudorache

S&D

Katarina Barley, Pietro Bartolo, Caterina Chinnici, Maria Grapini, Sylvie Guillaume, Evin Incir, Marina Kaljurand, Petra Kammerevert, Łukasz Kohut, Juan Fernando López Aguilar, Birgit Sippel, Petar Vitanov

The Left

Clare Daly, Marisa Matias, Martina Michels, Mick Wallace

Verts/ALE

Patrick Breyer, Saskia Bricmont, Gwendoline Delbos-Corfield, Alice Kuhnke, Erik Marquardt, Diana Riba i Giner, Tineke Strik

 

0

-

 

 

 

1

0

NI

Milan Uhrík


PARERE DELLA COMMISSIONE PER I BILANCI (13.7.2022)

destinato alla commissione per l'industria, la ricerca e l'energia

sulla proposta di regolamento del Parlamento europeo e del Consiglio che stabilisce misure per un livello comune elevato di cibersicurezza nelle istituzioni, negli organi e negli organismi dell'Unione

(COM(2022)0122 – C9‑0122/2022 – 2022/0085(COD))

Relatore per parere: Nils Ušakovs

 

 

BREVE MOTIVAZIONE

Il relatore accoglie con favore la proposta della Commissione che stabilisce misure per un livello comune elevato di cibersicurezza nelle istituzioni, negli organi e negli organismi dell'Unione. Ritiene che tale proposta sia necessaria per migliorare la resilienza e la sicurezza della pubblica amministrazione dell'UE alla luce dell'aumento del numero di minacce alla cibersicurezza sempre più sofisticate. Ciò è tanto più accentuato dall'attuale contesto geopolitico. 

Ritiene che la cooperazione interistituzionale sia fondamentale per prevenire, rilevare, monitorare e rispondere adeguatamente a minacce e rischi. Ciascuna istituzione, ciascun organo e ciascun organismo dell'Unione europea, indipendentemente dalle proprie dimensioni, ha un ruolo da svolgere e una responsabilità da assumere nella protezione delle istituzioni, degli organi e degli organismi dell'Unione europea dagli attacchi informatici, poiché una sola piccola falla in una di essi può mettere a rischio tutte gli altri. Il relatore sostiene pertanto l'idea di una base di riferimento di misure di cibersicurezza. Ritiene inoltre che la cooperazione interistituzionale, oltre a consentire a istituzioni, organi e organismi dell'Unione europea di aumentare la sicurezza informatica e le risposte agli attacchi informatici, dovrebbe anche considerare potenziali sinergie nei metodi di lavoro e nei canali di comunicazione, con l'obiettivo di ridurre gli oneri amministrativi, evitare sovrapposizioni di iniziative e migliorare la preparazione e la protezione.

Contrariamente a quanto proposto dalla Commissione, il relatore è convinto che siano necessari 42 posti invece di 21 affinché il CERT-UE possa operare con servizi all'avanguardia pienamente sviluppati. Non condivide la proposta della Commissione di compensare parzialmente posti aggiuntivi dedicati al CERT-UE riducendo il numero di agenti contrattuali.

Il relatore sostiene che, considerata la sua dimensione relativa e la sua richiesta di posti aggiuntivi in materia di cibersicurezza nello stato di previsione del 2023, il Parlamento europeo dovrebbe assegnare i primi 48 posti al CERT-UE nel primo bilancio adottato dopo l'entrata in vigore del presente regolamento. Per i tre anni successivi, 14 di questi posti saranno riassegnati annualmente al Parlamento per lasciare alla fine sei posti permanenti nel CERT-UE. Questo graduale trasferimento consentirà la stabilità del personale e la gestione delle conoscenze. Allo stesso tempo, le altre istituzioni, gli altri organi e organismi competenti, dopo il primo anno, assegneranno gradualmente posti al CERT-UE. Ciò consentirà di creare un pool di 42 nuovi dipendenti permanenti nel CERT-UE sin dall'inizio.

Il relatore propone di migliorare gli attuali meccanismi di accordi sul livello dei servizi per i servizi a pagamento, come raccomandato dalla Corte dei conti europea nella sua relazione speciale n. 05/2022[1] per garantire una migliore gestione dei flussi di cassa e ridurre il lavoro amministrativo.

Infine, il relatore raccomanda di destinare investimenti e posti dedicati alla cibersicurezza alle istituzioni, agli organi e agli organismi dell'Unione. Ciò consentirà di identificare e condividere le migliori pratiche e le potenziali esigenze di finanziamento a livello di istituzioni, organi e organismi dell'Unione.


EMENDAMENTI

La commissione per i bilanci invita la commissione per l'industria, la ricerca e l'energia, competente per il merito, a prendere in considerazione i seguenti emendamenti:

Emendamento  1

Proposta di regolamento

Considerando 7

 

Testo della Commissione

Emendamento

(7) Le differenze esistenti fra le istituzioni, gli organi e le agenzie dell'Unione richiedono flessibilità nell'attuazione, poiché un approccio unico non sarà adatto a tutti. Le misure per un livello comune elevato di cibersicurezza non dovrebbero comportare alcun obbligo che interferisca direttamente con l'esercizio delle missioni delle istituzioni, degli organi e delle agenzie dell'Unione o che ne intacchi l'autonomia istituzionale. Tali istituzioni, organi e agenzie dovrebbero quindi istituire i propri quadri di gestione, governance e controllo dei rischi per la cibersicurezza, e dovrebbero adottare le proprie basi di riferimento e i propri piani di cibersicurezza.

(7) Le differenze esistenti fra le istituzioni, gli organi e le agenzie dell'Unione, ivi compresa l'entità delle proprie risorse umane e finanziarie, richiedono flessibilità nell'attuazione, poiché un approccio unico non sarà adatto a tutti. Le misure per un livello comune elevato di cibersicurezza non dovrebbero comportare alcun obbligo che interferisca direttamente con l'esercizio delle missioni delle istituzioni, degli organi e delle agenzie dell'Unione o che ne intacchi l'autonomia istituzionale. Tali istituzioni, organi e agenzie dovrebbero quindi istituire i propri quadri di gestione, governance e controllo dei rischi per la cibersicurezza, e dovrebbero adottare le proprie basi di riferimento e i propri piani di cibersicurezza.

Motivazione

Non ci si può aspettare che una piccola agenzia o un piccolo organismo dia lo stesso contributo di un'istituzione dell'Unione.

Emendamento  2

 

Proposta di regolamento

Considerando 8

 

Testo della Commissione

Emendamento

(8) Per evitare di imporre un onere finanziario e amministrativo sproporzionato alle istituzioni, agli organi e alle agenzie dell'Unione, gli obblighi di gestione dei rischi per la cibersicurezza dovrebbero essere proporzionati al rischio corso dal sistema informatico e di rete interessato, tenendo conto delle misure più avanzate nel settore. Ogni istituzione, organo e agenzia dell'Unione dovrebbe mirare a stanziare un'adeguata percentuale del suo bilancio informatico per migliorare il livello di cibersicurezza; a lungo termine dovrebbe essere perseguito un obiettivo dell'ordine del 10 %.

(8) Per evitare di imporre un onere finanziario e amministrativo sproporzionato alle istituzioni, agli organi e alle agenzie dell'Unione, gli obblighi di gestione dei rischi per la cibersicurezza dovrebbero essere proporzionati al rischio corso dal sistema informatico e di rete interessato, tenendo conto delle misure più avanzate nel settore. Ogni istituzione, organo e agenzia dell'Unione dovrebbe mirare a stanziare risorse sufficienti a titolo del suo bilancio informatico per migliorare il livello di cibersicurezza e garantire un livello minimo di cibersicurezza corrispondente alla valutazione del rischio. Il costo di garantire la sicurezza informatica dipende da diversi fattori, quali le dimensioni del soggetto, la necessità di garantire protezioni specifiche, la superficie degli attacchi e il profilo delle minacce, e comprende costi fissi e una parte variabile. A causa delle minacce in costante aumento, a lungo termine potrebbe essere necessario fino al 10 % del bilancio di un soggetto per garantire un livello di sicurezza adeguato, come richiesto dalle norme del settore. Conformemente alla raccomandazione formulata dal Garante europeo della protezione dei dati nel suo parere n. 8/2022 del 17 maggio 2022, i requisiti minimi di sicurezza stabiliti dal presente regolamento dovrebbero essere pari o superiori ai requisiti minimi di sicurezza per i soggetti previsti dalle proposte NIS e NIS 2.0.

Motivazione

Secondo le norme del settore, il 10 % del bilancio per le tecnologie dell'informazione e delle comunicazioni (TIC) dovrebbe essere speso per la cibersicurezza. Il bilancio informatico dovrebbe essere commisurato ai rischi per ogni istituzione, organo e agenzia dell'Unione, in linea con il rispettivo ambiente esterno e interno. Nel suo parere n. 8/2022, il GEPD raccomanda di precisare nella proposta che i suoi requisiti minimi di sicurezza devono essere pari o superiori ai requisiti minimi di sicurezza per i soggetti previsti dalle proposte NIS e NIS 2.0.

Emendamento  3

Proposta di regolamento

Considerando 8 bis (nuovo)

 

Testo della Commissione

Emendamento

 

8 bis) Al fine di recuperare i costi dei servizi addebitabili a carico delle istituzioni, degli organi e delle agenzie dell'Unione che ne usufruiscono, il CERT-UE dovrebbe garantire che gli accordi sul livello dei servizi, da cui deriva oltre il 90 % del bilancio del CERT-UE per il 2020, non creino superflui oneri amministrativi e siano uno strumento utile per pianificare le future entrate dei flussi di cassa.

Motivazione

Secondo la relazione speciale n. 05/2022 della Corte dei conti europea, gli accordi sul livello dei servizi devono essere rinnovati uno ad uno ogni anno. Oltre a costituire un onere amministrativo, ciò crea problemi di flusso di cassa, in quanto la CERT-UE non dispone contemporaneamente dei fondi provenienti da tutti gli SLA. Le agenzie possono rescindere gli accordi sul livello dei servizi in qualsiasi momento, il che può portare a un circolo vizioso in cui, a causa della perdita di entrate, la CERT-UE deve ridimensionare i propri servizi e non può tenere il passo con la domanda, inducendo a sua volta altre istituzioni, altri organi e altre agenzie dell'UE a porre fine agli SLA e a ricorrere a fornitori privati. Alla luce di queste considerazioni, l'attuale modello di finanziamento non è l'ideale per garantire un livello di servizio stabile e ottimale.

Emendamento  4

 

Proposta di regolamento

Considerando 8 ter (nuovo)

 

Testo della Commissione

Emendamento

 

8 ter) Per poter garantire un quadro efficace in materia di cibersicurezza e per fornire un'ampia gamma di servizi alle istituzioni, agli organi e alle agenzie dell'Unione, il CERT-UE necessita di personale stabile, altamente qualificato e specializzato. Inoltre, per garantire un'efficace gestione delle conoscenze, un'ampia quota del personale assegnato al CERT-UE dovrebbe essere permanente. Tale personale dovrebbe avere accesso a programmi di formazione continua.

Motivazione

Si dovrebbero assegnare 42 posti permanenti aggiuntivi al CERT-UE al fine di mantenere le conoscenze all'interno del CERT-UE. Il Parlamento dovrebbe assegnare i primi 48 posti al CERT-UE nel primo bilancio adottato dopo l'entrata in vigore del presente regolamento. Per i successivi tre anni, 14 di questi posti saranno riassegnati annualmente al Parlamento, lasciando sei posti permanenti nel CERT-UE. Allo stesso tempo, le altre istituzioni, gli altri organi e organismi competenti, dopo il primo anno, assegneranno gradualmente posti al CERT-UE. Questo meccanismo consentirà di creare, fin dall'inizio, un pool di 42 posti permanenti che abbiano un accesso adeguato ai programmi di formazione.

Emendamento  5

Proposta di regolamento

Considerando 8 quater (nuovo)

 

Testo della Commissione

Emendamento

 

8 quater) Nell'attuale contesto geopolitico, è essenziale che la riservatezza dei dati sia garantita in ogni momento contro le minacce informatiche da squadre specializzate e operative.

Emendamento  6

Proposta di regolamento

Considerando 8 quinquies (nuovo)

 

Testo della Commissione

Emendamento

 

8 quinquies) Prima di assegnare ulteriori risorse di personale, la Commissione dovrebbe effettuare un'analisi delle esigenze, anche in una prospettiva a lungo termine.

Emendamento  7

Proposta di regolamento

Considerando 10 bis (nuovo)

 

Testo della Commissione

Emendamento

 

10 bis) La cooperazione e la fiducia interistituzionali sono fondamentali per proteggere, in modo efficiente ed efficace, l'ambiente informatico dell'Unione e, quindi, la sua voce democratica. Tutti i soggetti interessati dovrebbero sempre ricordare di incrementare le sinergie, ridurre gli oneri amministrativi ed evitare la sovrapposizione delle iniziative.

Motivazione

Diversi enti e reti sono coinvolti nella preparazione di linee guida e nella raccolta di informazioni, tra l'altro, su incidenti informatici e risposte date. La cooperazione tra tutte queste parti interessate è essenziale per evitare la sovrapposizione delle iniziative, trovare sinergie e garantire flussi di comunicazione rapidi ed efficaci tra di loro.

Emendamento  8

 

Proposta di regolamento

Considerando 10 ter (nuovo)

 

Testo della Commissione

Emendamento

 

10 ter) Per essere coerenti con la politica che l'Unione promuove nei confronti degli Stati membri, le istituzioni, gli organi e le agenzie dell'Unione dovrebbero astenersi dall'utilizzare e sviluppare software come Pegasus, che potrebbe violare il diritto alla vita privata e l'ordinamento giuridico dell'Unione.

Motivazione

Nella sua relazione del 15 febbraio 2022 "Preliminary Remarks on Modern Spyware" (osservazioni preliminari sullo spyware moderno), il GEPD ha invitato gli Stati membri a rinunciare all'uso e allo sviluppo sul territorio europeo di software come Pegasus, che potrebbero incidere sul diritto alla vita privata, sulla democrazia e sullo Stato di diritto e potrebbero pertanto essere incompatibili con i valori democratici e con l'ordinamento giuridico dell'Unione.

Emendamento  9

 

Proposta di regolamento

Considerando 11

 

Testo della Commissione

Emendamento

(11) Nel maggio 2011 i segretari generali delle istituzioni e degli organi dell'Unione hanno deciso di costituire un gruppo per la preconfigurazione di una squadra di pronto intervento informatico delle istituzioni, degli organi e delle agenzie dell'UE (di seguito "CERT-UE") posta sotto la supervisione di un comitato direttivo interistituzionale. Nel luglio 2012 i segretari generali hanno confermato le modalità pratiche e convenuto di mantenere il CERT-UE quale entità permanente per continuare a contribuire a migliorare il livello generale di sicurezza informatica delle istituzioni, degli organi e delle agenzie dell'Unione come esempio di cooperazione interistituzionale visibile in materia di cibersicurezza. Nel settembre 2012 il CERT-UE è stato istituito come task force della Commissione europea con un mandato interistituzionale. Nel dicembre 2017 le istituzioni e gli organi dell'Unione hanno concluso un accordo interistituzionale sull'organizzazione e il funzionamento del CERT-UE3. Tale accordo dovrebbe continuare ad evolversi per sostenere l'attuazione del presente regolamento.

(11) Nel maggio 2011 i segretari generali delle istituzioni e degli organi dell'Unione hanno deciso di costituire un gruppo per la preconfigurazione di una squadra di pronto intervento informatico delle istituzioni, degli organi e delle agenzie dell'UE (di seguito "CERT-UE") posta sotto la supervisione di un comitato direttivo interistituzionale. Nel luglio 2012 i segretari generali hanno confermato le modalità pratiche e convenuto di mantenere il CERT-UE quale entità permanente per continuare a contribuire a migliorare il livello generale di sicurezza informatica delle istituzioni, degli organi e delle agenzie dell'Unione come esempio di cooperazione interistituzionale visibile in materia di cibersicurezza. Nel settembre 2012 il CERT-UE è stato istituito come task force permanente della Commissione europea con un mandato interistituzionale. Nel dicembre 2017 le istituzioni e gli organi dell'Unione hanno concluso un accordo interistituzionale sull'organizzazione e il funzionamento del CERT-UE3. Tale accordo interistituzionale dovrebbe continuare ad evolversi per essere in linea con il presente regolamento e sostenerne l'attuazione.

__________________

__________________

GU C 12 del 13.1.2018, pag. 1.

GU C 12 del 13.1.2018, pag. 1.

Motivazione

Come indicato al considerando 11, il CERT-UE è stato istituito come entità permanente. L'accordo interistituzionale del 2018 dovrebbe essere rivisto per tenere conto della ripartizione dei posti di cui all'allegato II bis (nuovo).

Emendamento  10

Proposta di regolamento

Considerando 14

 

Testo della Commissione

Emendamento

(14) Oltre a conferire maggiori compiti e un ruolo più ampio al CERT-UE, è opportuno istituire un comitato interistituzionale per la cibersicurezza (Interinstitutional Cybersecurity Board, IICB), che dovrebbe contribuire all'instaurarsi di un livello comune elevato di cibersicurezza nelle istituzioni, negli organi e nelle agenzie dell'Unione monitorando l'attuazione del presente regolamento da parte di tali soggetti, vigilando sull'attuazione delle priorità e degli obiettivi generali da parte del CERT-UE, e imprimendo a tale centro una direzione strategica. L'IICB dovrebbe garantire la rappresentanza delle istituzioni e includere rappresentanti delle agenzie e degli organi attraverso la rete delle agenzie dell'Unione.

(14) Oltre a conferire maggiori compiti e un ruolo più ampio al CERT-UE, è opportuno istituire un comitato interistituzionale per la cibersicurezza (Interinstitutional Cybersecurity Board, IICB), che dovrebbe contribuire all'instaurarsi di un livello comune elevato di cibersicurezza nelle istituzioni, negli organi e nelle agenzie dell'Unione monitorando l'attuazione del presente regolamento da parte di tali soggetti, vigilando sull'attuazione delle priorità e degli obiettivi generali da parte del CERT-UE, e imprimendo a tale centro una direzione strategica. L'IICB dovrebbe garantire la rappresentanza delle istituzioni e includere rappresentanti delle agenzie e degli organi attraverso la rete delle agenzie dell'Unione e applicare una procedura di nomina equilibrata sotto il profilo di genere. L'IICB dovrebbe imporre a tutti i suoi membri di nominare una rappresentanza equilibrata dal punto di vista del genere.

Motivazione

È importante garantire che il principio dell'equilibrio di genere sia rispettato in seno al nuovo IICB.

Emendamento  11

Proposta di regolamento

Considerando 24

 

Testo della Commissione

Emendamento

(24) Poiché i servizi e i compiti del CERT-UE sono svolti nell'interesse di tutte le istituzioni, organi e agenzie dell'Unione, ogni istituzione, organo e agenzia dell'Unione che sostenga spese informatiche dovrebbe contribuire con una quota equa a tali servizi e compiti. Tali contributi non pregiudicano l'autonomia di bilancio delle istituzioni, organi e agenzie dell'Unione.

(24) Poiché i servizi e i compiti del CERT-UE sono svolti nell'interesse di tutte le istituzioni, organi e agenzie dell'Unione, ogni istituzione, organo e agenzia dell'Unione che sostenga spese informatiche dovrebbe contribuire con una quota equa a tali servizi e compiti, in termini di posti, di contributi finanziari o di entrambi, in funzione delle dimensioni dell'istituzione, dell'organo o dell'agenzia, e dei servizi prestati e dei compiti svolti. Tali contributi non pregiudicano l'autonomia di bilancio delle istituzioni, organi e agenzie dell'Unione.

Motivazione

A seconda delle dimensioni delle istituzioni, degli organi e delle agenzie dell'Unione, i contributi al CERT-UE potrebbero assumere la forma di un'assegnazione di posti e di contributi finanziari.

Emendamento  12

Proposta di regolamento

Considerando 24 bis (nuovo)

 

Testo della Commissione

Emendamento

 

(24 bis) Ogni istituzione, organo e agenzia dell'Unione dovrebbe applicare i principi della parità e dell'equilibrio di genere nel nominare i propri rappresentanti al CERT-UE, come anche nell'assegnare le proprie risorse umane al settore informatico e alla cibersicurezza. Una formazione mirata e risorse adeguate dovrebbero essere destinate a promuovere l'occupazione delle donne nel settore della cibersicurezza in seno ad ogni istituzione, organo e agenzia dell'Unione, al fine di contribuire a colmare il divario digitale di genere.

Motivazione

È importante includere nel regolamento i principi della parità e dell'equilibrio di genere.

Emendamento  13

 

Proposta di regolamento

Considerando 25 bis (nuovo)

 

Testo della Commissione

Emendamento

 

(25 bis) Nelle sue conclusioni del 23 maggio 2022 sull'elaborazione di una posizione dell'Unione europea in materia di deterrenza informatica, il Consiglio ha invitato le autorità competenti e la Commissione a rafforzare la resilienza delle reti e delle infrastrutture di comunicazione nell'Unione europea. È quindi importante rafforzare la sovranità e la resilienza delle infrastrutture e il controllo delle connessioni, comprese quelle delle istituzioni, delle agenzie e degli organi dell'Unione.

Motivazione

Nelle sue conclusioni del 23 maggio 2022 sull'elaborazione di una posizione dell'Unione europea in materia di deterrenza informatica, il Consiglio invita a rafforzare la ciberresilienza dell'UE e la sua capacità di protezione dagli attacchi informatici.

Emendamento  14

 

Proposta di regolamento

Articolo 4 – paragrafo 4

 

Testo della Commissione

Emendamento

4. Ogni istituzione, organo e agenzia dell'Unione dispone di meccanismi efficaci per garantire che un'adeguata percentuale della dotazione di bilancio destinata alle tecnologie dell'informazione sia spesa per la cibersicurezza.

4. Ogni istituzione, organo e agenzia dell'Unione dispone di meccanismi efficaci per garantire che adeguate risorse a titolo del bilancio destinato alle tecnologie dell'informazione siano spese per la cibersicurezza, tenendo presente la percentuale minima di tale bilancio da spendere per la cibersicurezza conformemente agli standard di settore per proteggere efficacemente l'ambiente informatico. Le istituzioni, gli organi e le agenzie dell'Unione assegnano, nel quadro del proprio bilancio, risorse al CERT-UE ai fini di una maggiore trasparenza.

Motivazione

Nella sua proposta la Commissione non è chiara in merito a cosa intenda per meccanismi efficaci e per percentuale adeguata. Almeno gli standard di settore devono figurare tra i criteri per valutare ciò che costituisce una percentuale adeguata. L'assegnazione di risorse nel quadro del bilancio delle istituzioni, degli organi e delle agenzie dell'Unione creerebbe maggiore trasparenza per quanto concerne gli investimenti nel campo della cibersicurezza e consentirebbe l'identificazione di possibili lacune finanziarie e la condivisione delle migliori pratiche.

Emendamento  15

Proposta di regolamento

Articolo 4 – paragrafo 4 bis (nuovo)

 

Testo della Commissione

Emendamento

 

4 bis. Ogni istituzione, organo e agenzia dell'Unione applica i principi della parità e dell'equilibrio di genere nel nominare i propri rappresentanti al CERT-UE, come anche nell'assegnare le proprie risorse umane alla cibersicurezza. Assicura una formazione mirata e destina risorse adeguate per promuovere l'occupazione delle donne nel settore della cibersicurezza in seno alle istituzioni, agli organi e alle agenzie dell'Unione, al fine di contribuire a colmare il divario digitale di genere.

Motivazione

È importante includere nel regolamento i principi della parità e dell'equilibrio di genere.

Emendamento  16

Proposta di regolamento

Articolo 9 – paragrafo 3 – comma 1 bis (nuovo)

 

Testo della Commissione

Emendamento

 

I membri sono designati nel debito rispetto del principio dell'equilibrio di genere.

Motivazione

È importante includere nel regolamento i principi della parità e dell'equilibrio di genere.

Emendamento  17

 

Proposta di regolamento

Articolo 12 – paragrafo 7 bis (nuovo)

 

Testo della Commissione

Emendamento

 

7 bis. Se la domanda di servizi addebitabili è superiore alle risorse del CERT-UE disponibili per la prestazione di tali servizi, il CERT-UE stabilisce un ordine di priorità delle richieste sulla base di un'analisi del rischio che tiene conto della gestione dei rischi in materia di cibersicurezza delle istituzioni, degli organi e delle agenzie dell'Unione che ne fanno richiesta e che sono essi stessi vincolati dall'entità relativa delle loro risorse finanziarie e umane.

Motivazione

Le istituzioni, gli organi e le agenzie dell'Unione dovrebbero essere messi in ordine di priorità in funzione del loro profilo di rischio e tenendo conto della dimensione relativa delle loro risorse finanziarie e umane.

Emendamento  18

Proposta di regolamento

Articolo 14

 

Testo della Commissione

Emendamento

Il direttore del CERT-UE presenta periodicamente all'IICB e al presidente di tale comitato relazioni riguardanti le prestazioni del CERT-UE, la pianificazione finanziaria, le entrate, l'esecuzione del bilancio, gli accordi sul livello dei servizi e gli accordi scritti conclusi, la cooperazione con omologhi e partner e le missioni effettuate dal personale, comprese le relazioni di cui all'articolo 10, paragrafo 1.

Il direttore del CERT-UE presenta periodicamente all'IICB e al presidente di tale comitato relazioni riguardanti le prestazioni del CERT-UE, la pianificazione finanziaria, le entrate, l'esecuzione del bilancio, ivi compreso in materia di posti e personale esterno, gli accordi sul livello dei servizi e gli accordi scritti conclusi, la cooperazione con omologhi e partner e le missioni effettuate dal personale, comprese le relazioni di cui all'articolo 10, paragrafo 1.

Motivazione

L'emendamento mira a chiarire che la relazione sull'esecuzione del bilancio dovrebbe includere la situazione in materia di posti e personale esterno del CERT-UE.

Emendamento  19

Proposta di regolamento

Articolo 15 – paragrafo 2

 

Testo della Commissione

Emendamento

2. Per l'applicazione delle procedure amministrative e finanziarie, il direttore del CERT-UE agisce sotto l'autorità della Commissione.

soppresso

Emendamento  20

 

Proposta di regolamento

Articolo 15 – paragrafo 3

 

Testo della Commissione

Emendamento

3. I compiti e le attività del CERT-UE, compresi i servizi da esso prestati ai sensi dell'articolo 12, paragrafi 2, 3, 4, e 6, e dell'articolo 13, paragrafo 1, alle istituzioni, agli organi e alle agenzie dell'Unione rientranti nella rubrica del quadro finanziario pluriennale relativa alla pubblica amministrazione europea, sono finanziati tramite una linea distinta del bilancio della Commissione. I posti riservati al CERT-UE sono specificati in una nota a piè di pagina della tabella dell'organico della Commissione.

3. I compiti e le attività del CERT-UE, compresi i servizi da esso prestati ai sensi dell'articolo 12, paragrafi 2, 3, 4, e 6, e dell'articolo 13, paragrafo 1, alle istituzioni, agli organi e alle agenzie dell'Unione rientranti nella rubrica del quadro finanziario pluriennale relativa alla pubblica amministrazione europea, sono finanziati tramite una linea distinta del bilancio della Commissione. I posti riservati al CERT-UE sono specificati in una nota a piè di pagina della tabella dell'organico della Commissione. I posti assegnati temporaneamente sono mantenuti nella tabella dell'organico dell'istituzione donatrice durante l'assegnazione temporanea e sono indicati con una nota a piè di pagina. La tabella dell'organico è riesaminata ogni due anni e mezzo.

Emendamento  21

 

Proposta di regolamento

Articolo 15 – paragrafo 3 bis (nuovo)

 

Testo della Commissione

Emendamento

 

3 bis. Il trasferimento di un totale di 42 posti da parte delle istituzioni, degli organi e delle agenzie pertinenti dell'Unione quale previsto nell'allegato II bis (nuovo), senza compensazione parziale derivante dalla riduzione di posti di agente contrattuale presso il CERT-UE, non pregiudica le prerogative dell'autorità di bilancio dell'Unione. I contributi rappresentano una quota equa che è proporzionale alla quota rispettiva di posti permanenti AD dell'organizzazione e sono forniti tenendo debitamente conto del principio dell'equilibrio di genere.

Motivazione

Si ritiene necessario assegnare ulteriori 42 posti permanenti al CERT-UE. La ripartizione dei posti tra le istituzioni, le agenzie e gli organi pertinenti dell'Unione dovrebbe essere concordata dai due rami dell'autorità di bilancio durante i negoziati interistituzionali concernenti la presente proposta, fatte salve le prerogative dell'autorità di bilancio dell'Unione. È importante garantire che nel regolamento sia rispettato il principio dell'equilibrio di genere.

Emendamento  22

Proposta di regolamento

Articolo 23

 

Testo della Commissione

Emendamento

La Commissione propone la riassegnazione di personale e risorse finanziarie dalle istituzioni, dagli organi e dalle agenzie dell'Unione al proprio bilancio. La riassegnazione è effettiva contestualmente al primo bilancio adottato dopo l'entrata in vigore del presente regolamento.

La Commissione propone la riassegnazione di risorse finanziarie dalle istituzioni, dagli organi e dalle agenzie dell'Unione al proprio bilancio. Tale riassegnazione è effettiva contestualmente al primo bilancio adottato dopo l'entrata in vigore del presente regolamento.

Motivazione

La ripartizione dei posti assegnati al CERT-UE è dettagliata nell'allegato II bis (nuovo).

Emendamento  23

Proposta di regolamento

Allegato II bis (nuovo)

 

Testo della Commissione

 

 

Emendamento

Allegato II bis (nuovo)

Istituzioni, organi e agenzie dell'Unione/anno

Organico

Posti assegnati al CERT-UE nell'anno N

Posti assegnati al CERT-UE
nell'anno N + 1

Posti assegnati al CERT-UE
nell'anno N + 2

Posti assegnati al CERT-UE
nell'anno N + 3

Posti assegnati permanentemente al CERT-UE

CERT-UE dell'anno precedente

N/D

48

42

42

 

PE

6.773

48

-14

-14

-14

6

CE

23.474

0

8

9

6

23

Agenzie decentrate

7.717

0

0

3

4

7

Consiglio

3.029

0

0

2

1

3

CGUE

2.110

0

0

0

2

2

SEAE

1.753

0

0

0

1

1

Corte dei conti

873

0

0

0

0

0

Agenzie esecutive

840

0

0

0

0

0

CESE

669

0

0

0

0

0

Imprese comuni + Iniziative tecnologiche congiunte + Istituto europeo di innovazione e tecnologia

556

0

0

0

0

0

CdR

496

0

0

0

0

0

GEPD

84

0

0

0

0

0

Mediatore europeo

73

0

0

0

0

0

Totale nuovo personale

48

42

42

42

42

Motivazione

Ripartizione dei 42 posti da assegnare al CERT-UE per garantirne il corretto e stabile funzionamento.

 


PROCEDURA DELLA COMMISSIONE COMPETENTE PER PARERE

Titolo

Definizione di misure per un livello comune elevato di cibersicurezza nelle istituzioni, negli organi e negli organismi dell’Unione

Riferimenti

COM(2022)0122 – C9-0122/2022 – 2022/0085(COD)

Commissione competente per il merito

 Annuncio in Aula

ITRE

4.4.2022

 

 

 

Parere espresso da

 Annuncio in Aula

BUDG

4.4.2022

Relatore(trice) per parere

 Nomina

Nils Ušakovs

22.4.2022

Esame in commissione

20.6.2022

21.6.2022

 

 

Approvazione

12.7.2022

 

 

 

Esito della votazione finale

+:

–:

0:

28

0

4

Membri titolari presenti al momento della votazione finale

Rasmus Andresen, Anna Bonfrisco, Olivier Chastel, Lefteris Christoforou, Andor Deli, José Manuel Fernandes, Eider Gardiazabal Rubial, Vlad Gheorghe, Francisco Guerreiro, Valérie Hayer, Eero Heinäluoma, Niclas Herbst, Monika Hohlmeier, Moritz Körner, Joachim Kuhs, Zbigniew Kuźmiuk, Janusz Lewandowski, Margarida Marques, Siegfried Mureşan, Victor Negrescu, Dimitrios Papadimoulis, Bogdan Rzońca, Nicolae Ştefănuță, Nils Torvalds, Nils Ušakovs, Johan Van Overtveldt, Rainer Wieland

Supplenti presenti al momento della votazione finale

Damian Boeselager, Jan Olbrycht

Supplenti (art. 209, par. 7) presenti al momento della votazione finale

Alexander Bernhuber, Helmut Scholz, Birgit Sippel

 


VOTAZIONE FINALE PER APPELLO NOMINALE
IN SEDE DI COMMISSIONE COMPETENTE PER PARERE

28

+

ID

Anna Bonfrisco

NI

Andor Deli

PPE

Alexander Bernhuber, Lefteris Christoforou, José Manuel Fernandes, Niclas Herbst, Monika Hohlmeier, Janusz Lewandowski, Siegfried Mureşan, Jan Olbrycht, Rainer Wieland

Renew

Olivier Chastel, Vlad Gheorghe, Valérie Hayer, Moritz Körner, Nils Torvalds, Nicolae Ştefănuță

S&D

Eider Gardiazabal Rubial, Eero Heinäluoma, Margarida Marques, Victor Negrescu, Birgit Sippel, Nils Ušakovs

The Left

Dimitrios Papadimoulis, Helmut Scholz

Verts/ALE

Rasmus Andresen, Damian Boeselager, Francisco Guerreiro

 

0

-

 

 

 

4

0

ECR

Zbigniew Kuźmiuk, Bogdan Rzońca, Johan Van Overtveldt

ID

Joachim Kuhs

 

Significato dei simboli utilizzati:

+ : favorevoli

- : contrari

0 : astenuti

 

 

 

 

 

 


PARERE DELLA COMMISSIONE PER GLI AFFARI COSTITUZIONALI (31.1.2023)

destinato alla commissione per l'industria, la ricerca e l'energia

sulla proposta di regolamento del Parlamento europeo e del Consiglio che stabilisce misure per un livello comune elevato di cibersicurezza nelle istituzioni, organi e organismi dell'Unione

(COM(2022)0122 – C9‑0122/2022 – 2022/0085(COD))

Relatrice per parere: Markéta Gregorová

 

 

 

 

BREVE MOTIVAZIONE

Le istituzioni, gli organi e le agenzie dell'Unione europea operano in questi ultimi anni in un contesto sempre più digitalizzato caratterizzato da una costante evoluzione tecnologica e, di conseguenza, da un crescente livello di minacce alla cibersicurezza. La situazione si è aggravata con l'inizio della crisi sanitaria della COVID-19 e, in particolare, con l'aumento delle pratiche di telelavoro, che hanno determinato un continuo aumento del numero di attacchi sofisticati provenienti da un'ampia gamma di fonti.

 

Attualmente, il panorama della cibersicurezza, in particolare in termini di governance, igiene informatica, capacità generale e maturità, varia considerevolmente tra le istituzioni, gli organi e le agenzie dell'Unione, il che costituisce un ulteriore ostacolo a un'amministrazione europea aperta, efficiente e indipendente.

 

La relatrice concorda pertanto sulla necessità di adottare un approccio di base comune a tutte le istituzioni, gli organi e le agenzie dell'Unione per istituire sistemi e requisiti comuni in materia di cibersicurezza e garantire che le evoluzioni vadano nella stessa direzione, contribuendo in tal modo all'efficienza e all'indipendenza dell'amministrazione europea.

 

La relatrice ritiene inoltre che un quadro di sicurezza solido e coerente sia della massima importanza per proteggere l'insieme del personale, dei dati, delle reti di comunicazione, dei sistemi di informazione e dei processi decisionali dell'UE, contribuendo in tal modo anche al funzionamento democratico dell'Unione europea. Una cultura della sicurezza rafforzata delle istituzioni, degli organi e delle agenzie dell'Unione permetterebbe inoltre di preparare l'Europa per l'era digitale e di costruire un'economia pronta per le sfide future e al servizio delle persone.

EMENDAMENTI

La commissione per gli affari costituzionali invita la commissione per l'industria, la ricerca e l'energia, competente per il merito, a prendere in considerazione i seguenti emendamenti:

 

Emendamento  1

Proposta di regolamento

Considerando 1

 

Testo della Commissione

Emendamento

(1) Nell'era digitale, le tecnologie dell'informazione e della comunicazione sono fondamentali per un'amministrazione dell'Unione aperta, efficace ed indipendente. L'evoluzione della tecnologia e la maggiore complessità e interconnessione dei sistemi digitali amplificano i rischi per la cibersicurezza rendendo l'amministrazione dell'Unione più vulnerabile alle minacce e agli incidenti informatici, cosa che in ultima analisi rappresenta un pericolo per la continuità operativa dell'amministrazione e per la sua capacità di protezione dei propri dati. Se il maggior ricorso ai servizi cloud, l'uso massiccio delle tecnologie dell'informazione, l'elevata digitalizzazione, il lavoro a distanza, l'evoluzione delle tecnologie e la connettività sono oggi caratteristiche fondamentali di tutte le attività dei soggetti amministrativi dell'Unione, la resilienza digitale non è ancora sufficientemente integrata.

(1) Nell'era digitale, le tecnologie dell'informazione e della comunicazione sono fondamentali per un'amministrazione dell'Unione aperta, efficace ed indipendente. L'evoluzione della tecnologia e la maggiore complessità e interconnessione dei sistemi digitali amplificano i rischi per la cibersicurezza rendendo l'amministrazione dell'Unione più vulnerabile alle minacce e agli incidenti informatici, cosa che in ultima analisi rappresenta un pericolo per la continuità operativa dell'amministrazione e per la sua capacità di protezione dei propri dati. Se il maggior ricorso ai servizi cloud, l'uso massiccio delle tecnologie dell'informazione e della comunicazione ("TIC"), l'elevata digitalizzazione, il lavoro a distanza, l'evoluzione delle tecnologie e la connettività sono oggi caratteristiche fondamentali di tutte le attività dei soggetti amministrativi dell'Unione, la resilienza digitale non è ancora sufficientemente integrata.

Motivazione

La proposta della Commissione parla di "tecnologie dell'informazione" quando dovrebbe parlare di "tecnologie dell'informazione e della comunicazione" (TIC), che è la locuzione standard usata nella direttiva NIS 2 e nel regolamento dell'UE sulla cibersicurezza.

Emendamento  2

Proposta di regolamento

Considerando 2

 

Testo della Commissione

Emendamento

(2) Il panorama delle minacce informatiche che pesano sulle istituzioni, sugli organi e sulle agenzie dell'Unione è in costante divenire. Gli autori delle minacce impiegano tattiche, tecniche e procedure in continua evoluzione, mentre i moventi più usuali per questi attacchi cambiano di poco, dal furto di importanti informazioni riservate al profitto finanziario, alla manipolazione dell'opinione pubblica o l'indebolimento delle infrastrutture digitali. Il ritmo di perpetrazione degli attacchi informatici continua a intensificarsi, con campagne sempre più sofisticate e automatizzate che prendono di mira le superfici di attacco esposte, che continuano ad ampliarsi, sfruttando rapidamente le vulnerabilità.

(2) Il panorama delle minacce informatiche che pesano sulle istituzioni, sugli organi, sugli uffici e sulle agenzie dell'Unione è in costante divenire. Gli autori delle minacce impiegano tattiche, tecniche e procedure in continua evoluzione, mentre i moventi più usuali per questi attacchi cambiano di poco, dal furto di importanti informazioni riservate al profitto finanziario, alla manipolazione dell'opinione pubblica o l'indebolimento delle infrastrutture digitali. Il ritmo di perpetrazione degli attacchi informatici continua a intensificarsi, con campagne e metodi sempre più sofisticati e automatizzati che prendono di mira le superfici di attacco esposte, che continuano ad ampliarsi, sfruttando rapidamente le vulnerabilità.

Emendamento  3

Proposta di regolamento

Considerando 3

 

Testo della Commissione

Emendamento

(3) Gli ambienti informatici delle istituzioni, degli organi e delle agenzie dell'Unione sono interdipendenti, utilizzano flussi di dati integrati, e sono caratterizzati da una stretta collaborazione fra i loro utenti. Tale interconnessione significa che qualsiasi perturbazione, anche se inizialmente limitata a un'istituzione, un organo o un'agenzia dell'Unione, può avere effetti a cascata più ampi, con potenziali ripercussioni negative di ampia portata e di lunga durata sulle altre istituzioni, sugli altri organi o sulle altre agenzie dell'Unione. Alcuni ambienti informatici delle istituzioni, degli organi e delle agenzie dell'Unione sono inoltre connessi con gli ambienti informatici degli Stati membri, e un incidente in un soggetto dell'Unione può quindi rappresentare un rischio per la cibersicurezza degli ambienti informatici degli Stati membri e viceversa.

(3) Gli ambienti TIC delle istituzioni, degli organi, degli uffici e delle agenzie dell'Unione sono interdipendenti, utilizzano flussi di dati integrati, e sono caratterizzati da una stretta collaborazione fra i loro utenti. Tale interconnessione significa che qualsiasi perturbazione, anche se inizialmente limitata a un'istituzione, un organo, un ufficio o un'agenzia dell'Unione, può avere effetti a cascata più ampi, con potenziali ripercussioni negative di ampia portata e di lunga durata sulle altre istituzioni, sugli altri organi o sulle altre agenzie dell'Unione. Alcuni ambienti TIC delle istituzioni, degli organi, degli uffici e delle agenzie dell'Unione sono inoltre connessi con gli ambienti TIC degli Stati membri, e un incidente in un soggetto dell'Unione può quindi rappresentare un rischio per la cibersicurezza degli ambienti TIC degli Stati membri e viceversa.

Emendamento  4

Proposta di regolamento

Considerando 4

 

Testo della Commissione

Emendamento

(4) Le istituzioni, gli organi e le agenzie dell'Unione sono obiettivi interessanti, che si trovano a dover affrontare sia autori di minacce molto esperti e dotati di risorse adeguate, sia altri tipi di minacce. Al tempo stesso, fra tali soggetti dell'Unione, il livello e la maturità della ciberresilienza e la capacità di individuare e contrastare attività informatiche dolose varia in modo significativo. Ai fini del funzionamento dell'amministrazione europea è quindi necessario che le istituzioni, gli organi e le agenzie dell'Unione raggiungano un livello comune elevato di cibersicurezza attraverso una base di riferimento per la cibersicurezza (una serie di norme minime alle quali i sistemi informatici e di rete e i relativi operatori e utenti devono essere conformi al fine di ridurre al minimo i rischi per la cibersicurezza), lo scambio di informazioni e la collaborazione.

(4) Le istituzioni, gli organi, gli uffici e le agenzie dell'Unione sono obiettivi interessanti, che si trovano a dover affrontare sia autori di minacce molto esperti e dotati di risorse adeguate, sia altri tipi di minacce. Al tempo stesso, fra tali soggetti dell'Unione, il livello e la maturità della ciberresilienza e la capacità di individuare e contrastare attività informatiche dolose varia in modo significativo. Ai fini del funzionamento dell'amministrazione europea è quindi necessario che le istituzioni, gli organi, gli uffici e le agenzie dell'Unione raggiungano un livello comune elevato di cibersicurezza attraverso una base di riferimento per la cibersicurezza (una serie di norme minime comuni alle quali i sistemi informatici e di rete e i relativi operatori e utenti devono essere conformi al fine di limitare i rischi per la cibersicurezza), lo scambio regolare ed efficace di informazioni e la collaborazione, nonché la formazione in materia di cibersicurezza.

Emendamento  5

 

Proposta di regolamento

Considerando 7

 

Testo della Commissione

Emendamento

(7) Le differenze esistenti fra le istituzioni, gli organi e le agenzie dell'Unione richiedono flessibilità nell'attuazione, poiché un approccio unico non sarà adatto a tutti. Le misure per un livello comune elevato di cibersicurezza non dovrebbero comportare alcun obbligo che interferisca direttamente con l'esercizio delle missioni delle istituzioni, degli organi e delle agenzie dell'Unione o che ne intacchi l'autonomia istituzionale. Tali istituzioni, organi e agenzie dovrebbero quindi istituire i propri quadri di gestione, governance e controllo dei rischi per la cibersicurezza, e dovrebbero adottare le proprie basi di riferimento e i propri piani di cibersicurezza.

(7) Le differenze esistenti fra le istituzioni, gli organi, gli uffici e le agenzie dell'Unione richiedono flessibilità nell'attuazione, poiché un approccio unico non sarà adatto a tutti. Le misure per un livello comune elevato di cibersicurezza dovrebbero sostenere l'esercizio delle missioni delle istituzioni, degli organi, degli uffici e delle agenzie dell'Unione e tenere in considerazione la loro autonomia istituzionale. Tali istituzioni, organi, uffici e agenzie dovrebbero quindi istituire i propri quadri di gestione, governance e controllo dei rischi per la cibersicurezza, e dovrebbero adottare le proprie basi di riferimento e i propri piani di cibersicurezza, tenendo in considerazione la coerenza e l'interoperabilità dei loro quadri rispettivi e sulla base del quadro comune stabilito dal presente regolamento.

Emendamento  6

Proposta di regolamento

Considerando 8

 

Testo della Commissione

Emendamento

(8) Per evitare di imporre un onere finanziario e amministrativo sproporzionato alle istituzioni, agli organi e alle agenzie dell'Unione, gli obblighi di gestione dei rischi per la cibersicurezza dovrebbero essere proporzionati al rischio corso dal sistema informatico e di rete interessato, tenendo conto delle misure più avanzate nel settore. Ogni istituzione, organo e agenzia dell'Unione dovrebbe mirare a stanziare un'adeguata percentuale del suo bilancio informatico per migliorare il livello di cibersicurezza; a lungo termine dovrebbe essere perseguito un obiettivo dell'ordine del 10 %.

(8) Per evitare di imporre un onere finanziario e amministrativo sproporzionato alle istituzioni, agli organi, agli uffici e alle agenzie dell'Unione, gli obblighi di gestione dei rischi per la cibersicurezza dovrebbero corrispondere al rischio corso dal sistema informatico e di rete interessato, tenendo conto delle misure più avanzate nel settore. Ogni istituzione, organo, ufficio e agenzia dell'Unione dovrebbe mirare a stanziare almeno il 10 % del suo bilancio TIC per migliorare il livello di cibersicurezza nel medio termine e ulteriormente nel lungo termine, se necessario;

Emendamento  7

Proposta di regolamento

Considerando 9

 

Testo della Commissione

Emendamento

(9) Un livello comune elevato di cibersicurezza richiede che tale aspetto sia soggetto alla sorveglianza del livello di dirigenza più elevato di ogni istituzione, organo e agenzia dell'Unione, che dovrebbe approvare un'apposita base di riferimento che consideri i rischi individuati nell'ambito del quadro che ogni istituzione, organo e agenzia deve stabilire. Occuparsi della cultura della cibersicurezza, ossia della pratica quotidiana della cibersicurezza, è parte integrante di una base di riferimento per la cibersicurezza in tutte le istituzioni, tutti gli organi e tutte le agenzie dell'Unione.

(9) Un livello comune elevato di cibersicurezza richiede che tale aspetto sia soggetto alla sorveglianza di un comitato comune dell'UE composto dal livello di dirigenza più elevato di ogni istituzione, organo, ufficio e agenzia dell'Unione, che dovrebbe approvare un'apposita base di riferimento che consideri i rischi individuati nell'ambito del quadro che ogni istituzione, organo, ufficio e agenzia deve stabilire. Occuparsi della cultura della cibersicurezza, ossia della pratica quotidiana della cibersicurezza, dovrebbe diventare integrante di una base di riferimento per la cibersicurezza in tutte le istituzioni, tutti gli organi, tutti gli uffici e tutte le agenzie dell'Unione.

Emendamento  8

 

Proposta di regolamento

Considerando 10

 

Testo della Commissione

Emendamento

(10) Le istituzioni, gli organi e le agenzie dell'Unione dovrebbero valutare i rischi legati alle relazioni con i fornitori e i prestatori di servizi, compresi i prestatori di servizi di conservazione ed elaborazione dei dati o di servizi di sicurezza gestiti, e dovrebbero adottare misure adeguate per affrontarli. Tali misure dovrebbero far parte della base di riferimento per la cibersicurezza e dovrebbero essere ulteriormente specificate in documenti di orientamento o raccomandazioni emanati dal CERT-UE. Nel definire le misure e gli orientamenti dovrebbero essere prese in debita considerazione le normative e politiche rilevanti dell'UE, comprese le valutazioni dei rischi e le raccomandazioni emanate dal gruppo di cooperazione NIS, come la valutazione dei rischi coordinata a livello dell'UE e il pacchetto di strumenti dell'UE sulla cibersicurezza del 5G. Potrebbe essere inoltre richiesta la certificazione di prodotti, servizi e processi TIC nell'ambito di specifici sistemi di certificazione della cibersicurezza adottati conformemente all'articolo 49 del regolamento (UE) 2019/881,

(10) Le istituzioni, gli organi, gli uffici e le agenzie dell'Unione dovrebbero valutare i rischi legati alle relazioni con i fornitori e i prestatori di servizi, compresi i prestatori di servizi di conservazione ed elaborazione dei dati o di servizi di sicurezza gestiti, e dovrebbero adottare misure adeguate per affrontarli. Tali fornitori e prestatori di servizi dovrebbero essere sottoposti a un controllo approfondito, tenendo conto dell'intera catena di approvvigionamento e del contesto economico e politico in cui operano. Qualora rappresentino un rischio per l'integrità dei processi democratici nell'Unione, le relazioni con tali fornitori e prestatori di servizi dovrebbero essere interrotte senza indebito ritardo. Tali misure dovrebbero far parte della base di riferimento per la cibersicurezza e dovrebbero essere ulteriormente specificate in documenti di orientamento o raccomandazioni emanati dal CERT-UE. Nel definire le misure e gli orientamenti dovrebbero essere prese in debita considerazione le normative e politiche rilevanti dell'UE, comprese le valutazioni dei rischi e le raccomandazioni emanate dal gruppo di cooperazione NIS, come la valutazione dei rischi coordinata a livello dell'UE e il pacchetto di strumenti dell'UE sulla cibersicurezza del 5G. Tenendo conto del panorama delle minacce e dell'importanza di rafforzare la resilienza, dovrebbe essere inoltre richiesta la certificazione di prodotti, servizi e processi TIC utilizzati nelle istituzioni, negli organi, negli uffici e nelle agenzie dell'Unione nell'ambito di specifici sistemi di certificazione della cibersicurezza adottati conformemente all'articolo 49 del regolamento (UE) 2019/881,

 

Emendamento  9

 

Proposta di regolamento

Considerando 13

 

Testo della Commissione

Emendamento

(13) Molti attacchi informatici fanno parte di campagne più ampie rivolte contro gruppi di istituzioni, organi e agenzie dell'Unione o comunità di interesse che comprendono le istituzioni, gli organi e le agenzie dell'Unione. Per consentire l'adozione di misure proattive di rilevamento, risposta agli incidenti o attenuazione, le istituzioni, gli organi e le agenzie dell'Unione dovrebbero notificare al CERT-UE le minacce informatiche significative, le vulnerabilità significative e gli incidenti significativi e dovrebbero condividere gli adeguati dettagli tecnici che consentano di rilevare od attenuare e di rispondere a minacce informatiche, vulnerabilità e incidenti analoghi in altre istituzioni, in altri organi e in altre agenzie dell'Unione. Seguendo un approccio uguale a quello previsto nella direttiva [proposta NIS 2], qualora vengano a conoscenza di un incidente significativo, i soggetti in questione dovrebbero essere tenuti a presentare una notifica iniziale al CERT-UE entro 24 ore. Un tale scambio di informazioni dovrebbe consentire al CERT-UE di diffondere le informazioni alle altre istituzioni, agli altri organi e alle altre agenzie dell'Unione come pure agli omologhi rilevanti, per aiutare a proteggere gli ambienti informatici dell'Unione e quelli degli omologhi dell'Unione contro incidenti, minacce e vulnerabilità analoghi.

(13) Molti attacchi informatici fanno parte di campagne più ampie rivolte contro gruppi di istituzioni, organi e agenzie dell'Unione o comunità di interesse che comprendono le istituzioni, gli organi, gli uffici e le agenzie dell'Unione. Per consentire l'adozione di misure proattive di rilevamento, risposta agli incidenti o attenuazione, le istituzioni, gli organi, gli uffici e le agenzie dell'Unione dovrebbero notificare al CERT-UE le minacce informatiche significative, le vulnerabilità significative e gli incidenti significativi e dovrebbero condividere gli adeguati dettagli tecnici che consentano di rilevare od attenuare e di rispondere a minacce informatiche, vulnerabilità e incidenti analoghi in altre istituzioni, in altri organi, in altri uffici e in altre agenzie dell'Unione. Seguendo un approccio uguale a quello previsto nella direttiva [proposta NIS 2], qualora vengano a conoscenza di un incidente significativo, i soggetti in questione dovrebbero essere tenuti a presentare un allarme rapido al CERT-UE senza indebito ritardo e in ogni caso entro 24 ore. Alle istituzioni, agli organi, agli uffici e alle agenzie dell'Unione dovrebbero essere assegnate risorse sufficienti per adempiere ai loro obblighi di rendicontazione in modo rapido ed efficiente, al fine di garantire il corretto funzionamento del sistema. Un tale scambio di informazioni dovrebbe consentire al CERT-UE di diffondere le informazioni alle altre istituzioni, agli altri organi, agli altri uffici e alle altre agenzie dell'Unione come pure agli omologhi rilevanti, per aiutare a proteggere gli ambienti TIC dell'Unione e quelli degli omologhi dell'Unione contro incidenti, minacce e vulnerabilità analoghi.

Emendamento  10

Proposta di regolamento

Considerando 14

 

Testo della Commissione

Emendamento

(14) Oltre a conferire maggiori compiti e un ruolo più ampio al CERT-UE, è opportuno istituire un comitato interistituzionale per la cibersicurezza (Interinstitutional Cybersecurity Board, IICB), che dovrebbe contribuire all'instaurarsi di un livello comune elevato di cibersicurezza nelle istituzioni, negli organi e nelle agenzie dell'Unione monitorando l'attuazione del presente regolamento da parte di tali soggetti, vigilando sull'attuazione delle priorità e degli obiettivi generali da parte del CERT-UE, e imprimendo a tale centro una direzione strategica. L'IICB dovrebbe garantire la rappresentanza delle istituzioni e includere rappresentanti delle agenzie e degli organi attraverso la rete delle agenzie dell'Unione.

(14) Oltre a conferire maggiori compiti e un ruolo più ampio al CERT-UE, è opportuno istituire un comitato interistituzionale per la cibersicurezza (Interinstitutional Cybersecurity Board, IICB), che dovrebbe contribuire all'instaurarsi di un livello comune elevato di cibersicurezza nelle istituzioni, negli organi, negli uffici e nelle agenzie dell'Unione monitorando l'attuazione del presente regolamento da parte di tali soggetti, vigilando sull'attuazione delle priorità e degli obiettivi generali da parte del CERT-UE, e imprimendo a tale centro una direzione strategica. L'IICB dovrebbe garantire un'equa rappresentanza delle istituzioni e includere rappresentanti delle agenzie, degli uffici e degli organi attraverso la rete delle agenzie dell'Unione.

Emendamento  11

Proposta di regolamento

Considerando 16

 

Testo della Commissione

Emendamento

(16) L'IICB dovrebbe controllare l'osservanza del presente regolamento come pure il seguito dato ai documenti di orientamento e alle raccomandazioni, e agli inviti a intervenire emanati dal CERT-UE.  L'IICB dovrebbe essere coadiuvato sulle questioni tecniche da gruppi di consulenza tecnica composti come da esso ritenuto utile, che dovrebbero lavorare in stretta collaborazione con il CERT-UE, con le istituzioni, gli organi e le agenzie dell'Unione e altri portatori di interessi a seconda delle necessità. Se del caso l'IICB dovrebbe emanare avvertimenti non vincolanti e raccomandare audit.

(16) L'IICB dovrebbe controllare l'osservanza del presente regolamento come pure il seguito dato ai documenti di orientamento e alle raccomandazioni, e agli inviti a intervenire emanati dal CERT-UE. L'IICB dovrebbe essere coadiuvato sulle questioni tecniche da gruppi di consulenza tecnica, che dovrebbero lavorare in stretta collaborazione con il CERT-UE, con le istituzioni, gli organi, gli uffici e le agenzie dell'Unione e altri portatori di interessi, se del caso. Se del caso l'IICB dovrebbe emanare avvertimenti non vincolanti e raccomandazioni di audit.

Emendamento  12

Proposta di regolamento

Considerando 17

 

Testo della Commissione

Emendamento

(17) Il CERT-UE dovrebbe avere la missione di contribuire alla sicurezza dell'ambiente informatico di tutte le istituzioni, di tutti gli organi e di tutte le agenzie dell'Unione. Il CERT-UE dovrebbe fungere da equivalente del coordinatore designato per le istituzioni, gli organi e le agenzie dell'Unione ai fini della divulgazione coordinata delle vulnerabilità al registro europeo delle vulnerabilità di cui all'articolo 6 della direttiva [proposta NIS 2].

(17) Il CERT-UE dovrebbe avere la missione di contribuire alla sicurezza dell'ambiente TIC di tutte le istituzioni, di tutti gli organi, di tutti gli uffici e di tutte le agenzie dell'Unione. Il CERT-UE dovrebbe fungere da equivalente del coordinatore designato per le istituzioni, gli organi, gli uffici e le agenzie dell'Unione ai fini della divulgazione coordinata delle vulnerabilità al registro europeo delle vulnerabilità di cui all'articolo 6 della direttiva [proposta NIS 2].

Emendamento  13

Proposta di regolamento

Considerando 18

 

Testo della Commissione

Emendamento

(18) Nel 2020 il comitato direttivo del CERT-UE ha stabilito un nuovo obiettivo strategico per tale centro allo scopo di garantire un livello esauriente di ciberdifesa per tutte le istituzioni, gli organi e le agenzie dell'Unione, di adeguata ampiezza e profondità e con un continuo adattamento alle minacce attuali o incombenti, compresi gli attacchi contro i dispositivi mobili, gli ambienti cloud e i dispositivi dell'internet degli oggetti. L'obiettivo strategico include anche i centri operativi di sicurezza (SOC) ad ampio raggio di attività che controllano le reti, e il monitoraggio 24 ore al giorno, 7 giorni su 7, delle minacce di gravità elevata. Per quanto riguarda le istituzioni, gli organi e le agenzie dell'Unione di maggiori dimensioni, il CERT-UE dovrebbe sostenerne le équipe di sicurezza informatica, anche con un monitoraggio di prima linea 24 ore al giorno, 7 giorni su 7. Per quanto riguarda le istituzioni, gli organi e le agenzie dell'Unione di dimensioni più piccole e medie, il CERT-UE dovrebbe fornire l'insieme dei suoi servizi.

(18) Nel 2020 il comitato direttivo del CERT-UE ha stabilito un nuovo obiettivo strategico per tale centro allo scopo di garantire un livello esauriente di ciberdifesa per tutte le istituzioni, gli organi, gli uffici e le agenzie dell'Unione, di adeguata ampiezza e profondità e con un continuo adattamento alle minacce attuali o incombenti, compresi gli attacchi contro i dispositivi mobili, gli ambienti cloud e i dispositivi dell'internet degli oggetti. L'obiettivo strategico include anche i centri operativi di sicurezza (SOC) ad ampio raggio di attività che controllano le reti, e il monitoraggio 24 ore al giorno, 7 giorni su 7, delle minacce di gravità elevata. Per quanto riguarda le istituzioni, gli organi, gli uffici e le agenzie dell'Unione di maggiori dimensioni, il CERT-UE dovrebbe sostenerne le équipe di sicurezza delle TIC, anche con un monitoraggio di prima linea 24 ore al giorno, 7 giorni su 7. Per quanto riguarda le istituzioni, gli organi, gli uffici e le agenzie dell'Unione di dimensioni più piccole e medie, il CERT-UE dovrebbe fornire l'insieme dei suoi servizi.

Emendamento  14

Proposta di regolamento

Considerando 19 bis (nuovo)

 

Testo della Commissione

Emendamento

 

(19 bis) Al fine di garantire una migliore attuazione delle misure e degli orientamenti in materia di cibersicurezza per le istituzioni, gli organi, gli uffici e le agenzie dell'Unione e di consolidare una cultura della cibersicurezza in tali ambiti, il CERT-UE dovrebbe inoltre rafforzare la cooperazione con la rete e il centro europeo di competenze sulla cibersicurezza.

Emendamento  15

Proposta di regolamento

Considerando 20

 

Testo della Commissione

Emendamento

(20) Nel sostenere la cibersicurezza operativa, il CERT-UE dovrebbe avvalersi delle competenze disponibili dell'Agenzia dell'Unione europea per la cibersicurezza attraverso una cooperazione strutturata di cui al regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio. Se del caso, dovrebbero essere conclusi appositi accordi tra i due soggetti per definire l'attuazione pratica di tale cooperazione ed evitare la duplicazione delle attività. Il CERT-UE dovrebbe cooperare con l'Agenzia dell'Unione europea per la cibersicurezza per quanto riguarda l'analisi delle minacce e dovrebbe condividere periodicamente con l'Agenzia la sua relazione sul panorama delle minacce.

(20) Nel sostenere la cibersicurezza operativa, il CERT-UE dovrebbe avvalersi delle competenze disponibili dell'Agenzia dell'Unione europea per la cibersicurezza attraverso una cooperazione strutturata di cui al regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio. Dovrebbero essere conclusi appositi accordi tra i due soggetti per definire l'attuazione pratica di tale cooperazione ed evitare la duplicazione delle attività. Il CERT-UE dovrebbe cooperare con l'Agenzia dell'Unione europea per la cibersicurezza per quanto riguarda l'analisi delle minacce e dovrebbe condividere periodicamente con l'Agenzia la sua relazione sul panorama delle minacce.

__________________

__________________

5 Regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio, del 17 aprile 2019, relativo all'ENISA, l'Agenzia dell'Unione europea per la cibersicurezza, e alla certificazione della cibersicurezza per le tecnologie dell'informazione e della comunicazione, e che abroga il regolamento (UE) n. 526/2013 ("regolamento sulla cibersicurezza") (GU L 151 del 7.6.2019, pag. 15).

5 Regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio, del 17 aprile 2019, relativo all'ENISA, l'Agenzia dell'Unione europea per la cibersicurezza, e alla certificazione della cibersicurezza per le tecnologie dell'informazione e della comunicazione, e che abroga il regolamento (UE) n. 526/2013 ("regolamento sulla cibersicurezza") (GU L 151 del 7.6.2019, pag. 15).

Emendamento  16

Proposta di regolamento

Considerando 24

 

Testo della Commissione

Emendamento

(24) Poiché i servizi e i compiti del CERT-UE sono svolti nell'interesse di tutte le istituzioni, organi e agenzie dell'Unione, ogni istituzione, organo e agenzia dell'Unione che sostenga spese informatiche dovrebbe contribuire con una quota equa a tali servizi e compiti. Tali contributi non pregiudicano l'autonomia di bilancio delle istituzioni, organi e agenzie dell'Unione.

(24) Poiché i servizi e i compiti del CERT-UE sono svolti nell'interesse di tutte le istituzioni, organi, uffici e agenzie dell'Unione, ogni istituzione, organo, ufficio e agenzia dell'Unione che sostenga spese nell'ambito delle TIC dovrebbe contribuire in modo proporzionale a tali servizi e compiti. Tali contributi non pregiudicano la capacità di bilancio delle istituzioni, organi, uffici e agenzie dell'Unione.

Emendamento  17

Proposta di regolamento

Considerando 25

 

Testo della Commissione

Emendamento

(25) L'IICB, coadiuvato dal CERT-UE, dovrebbe esaminare e valutare l'attuazione del presente regolamento e riferire le proprie conclusioni alla Commissione. Su tale base la Commissione dovrebbe riferire al Parlamento europeo, al Consiglio, al Comitato economico e sociale europeo e al Comitato delle regioni.

(25) L'IICB, coadiuvato dal CERT-UE, dovrebbe esaminare e valutare l'attuazione del presente regolamento e riferire le proprie conclusioni alla Commissione. Su tale base la Commissione dovrebbe riferire, almeno ogni tre anni, al Parlamento europeo, al Consiglio, al Comitato economico e sociale europeo e al Comitato delle regioni.

Emendamento  18

Proposta di regolamento

Articolo 1 – comma 1 – lettera a

 

Testo della Commissione

Emendamento

(a) l'obbligo, per le istituzioni, gli organi e le agenzie dell'Unione, di stabilire un quadro interno di gestione, di governance e di controllo dei rischi per la cibersicurezza;

(a) l'obbligo, per le istituzioni, gli organi, gli uffici e le agenzie dell'Unione, di stabilire un quadro interno di gestione, di governance e di controllo dei rischi per la cibersicurezza;

Emendamento  19

Proposta di regolamento

Articolo 1 – comma 1 – lettera c

 

Testo della Commissione

Emendamento

(c) norme riguardanti l'organizzazione e il funzionamento del centro per la cibersicurezza delle istituzioni, degli organi e delle agenzie dell'Unione (CERT-UE) e l'organizzazione e il funzionamento del comitato interistituzionale per la cibersicurezza.

(c) norme riguardanti l'organizzazione e il funzionamento del centro per la cibersicurezza delle istituzioni, degli organi, degli uffici e delle agenzie dell'Unione (CERT-UE) e il funzionamento, l'organizzazione e le operazioni del comitato interistituzionale per la cibersicurezza (IICB).

Emendamento  20

Proposta di regolamento

Articolo 2 bis (nuovo)

 

Testo della Commissione

Emendamento

 

Articolo 2 bis

 

Trattamento dei dati personali

 

Il trattamento dei dati personali a norma del presente regolamento da parte del CERT-UE, dell'IICB e di tutte le istituzioni, organi, uffici e agenzie dell'Unione è effettuato in conformità del regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio.

Emendamento  21

Proposta di regolamento

Articolo 3 – comma 1 – punto 2

 

Testo della Commissione

Emendamento

(2) "sistema informatico e di rete": il sistema informatico e di rete ai sensi dell'articolo 4, punto 1, della direttiva [proposta NIS 2];

(2) "sistema informatico e di rete": il sistema informatico e di rete quale definito all'articolo 6 , punto 1, della direttiva [proposta NIS 2];

Emendamento  22

Proposta di regolamento

Articolo 3 – comma 1 – punto 4

 

Testo della Commissione

Emendamento

(4) "cibersicurezza": la cibersicurezza ai sensi dell'articolo 4, punto 3, della direttiva [proposta NIS 2];

(4) "cibersicurezza": la cibersicurezza quale definita all'articolo 2, punto 1, del regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio1bis

 

_________________

 

1 bis Regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio, del 17 aprile 2019, relativo all'ENISA, l'Agenzia dell'Unione europea per la cibersicurezza, e alla certificazione della cibersicurezza per le tecnologie dell'informazione e della comunicazione, e che abroga il regolamento (UE) n. 526/2013 ("regolamento sulla cibersicurezza") (GU L 151 del 7.6.2019, pag. 15).

Emendamento  23

Proposta di regolamento

Articolo 3 – comma 1 – punto 5

 

Testo della Commissione

Emendamento

(5) "livello di dirigenza più elevato": un dirigente, un organo di gestione o di coordinamento e sorveglianza al livello amministrativo più alto, tenuto conto dei sistemi di governance ad alto livello di ogni istituzione, organo o agenzia dell'Unione;

(5) "livello di dirigenza più elevato": un dirigente, un organo di gestione o di coordinamento e sorveglianza al livello amministrativo più alto con un mandato per adottare o autorizzare decisioni, tenuto conto dei sistemi di governance ad alto livello di ogni istituzione, organo, ufficio o agenzia dell'Unione;

Emendamento  24

Proposta di regolamento

Articolo 3 – comma 1 – punto 7

 

Testo della Commissione

Emendamento

(7)  "incidente significativo": qualsiasi incidente,  salvo se presenta un impatto limitato ed è probabile che sia già adeguatamente compreso in termini di metodo o tecnologia;

(7)  "incidente significativo": qualsiasi incidente che abbia causato o sia in grado di causare gravi perturbazioni operative al funzionamento dell'entità dell'Unione o perdite finanziarie per il soggetto dell'Unione interessato o che abbia colpito o sia in grado di colpire altre persone fisiche o giuridiche causando notevoli danni materiali o immateriali;

 

Emendamento  25

Proposta di regolamento

Articolo 3 – comma 1 – punto 11

 

Testo della Commissione

Emendamento

(11) "minaccia informatica significativa": una minaccia informatica caratterizzata dall'intento, dalla possibilità e dalla capacità di causare un incidente significativo;

(11) "minaccia informatica significativa": una minaccia informatica quale definita all'articolo 6, punto 11, della direttiva [proposta NIS 2];

Emendamento  26

Proposta di regolamento

Articolo 3 – comma 1 – punto 14

 

Testo della Commissione

Emendamento

(14) "rischio per la cibersicurezza": ogni circostanza o evento ragionevolmente individuabile con potenziali effetti pregiudizievoli per la sicurezza dei sistemi informatici e di rete;

(14) "rischio": qualsiasi rischio quale definito all'articolo 6, punto 9, della direttiva [proposta NIS 2];

Emendamento  27

Proposta di regolamento

Articolo 3 – comma 1 – punto 14 bis (nuovo)

 

Testo della Commissione

Emendamento

 

(14 bis) "ambiente TIC": qualsiasi prodotto TIC, servizio TIC e processo TIC virtuale o in loco, quali definiti all'articolo 2, punti 12, 13 e 14 del regolamento (UE) 2019/881, e qualsiasi rete e sistema informativo di proprietà di un'istituzione, di un organo, di un ufficio o di un'agenzia dell'Unione o da esso gestito, oppure ospitato o gestito da terzi, compresi i dispositivi mobili, le reti aziendali e le reti professionali non connesse a Internet e qualsiasi dispositivo connesso all'ambiente TIC;

Motivazione

Il termine è spostato dall'articolo 4, paragrafo 2, della presente proposta all'articolo sulle definizioni, dato che tale termine è utilizzato in modo coerente in tutto il testo. La definizione proposta per questo termine si basa sulle definizioni dei suoi componenti di cui all'articolo 2 del regolamento (UE) 2019/881 relativo alla cibersicurezza.

Emendamento  28

Proposta di regolamento

Articolo 3 – comma 1 – punto 15

 

Testo della Commissione

Emendamento

(15) "unità congiunta per il ciberspazio": piattaforma virtuale e fisica per la cooperazione fra le diverse comunità di cibersicurezza nell'Unione, incentrata sulla cooperazione operativa e tecnica contro minacce e incidenti informatici transfrontalieri gravi ai sensi della raccomandazione della Commissione del 23 giugno 2021;

soppresso

Emendamento  29

Proposta di regolamento

Articolo 4 – paragrafo 1

 

Testo della Commissione

Emendamento

1. Ogni istituzione, organo e agenzia dell'Unione stabilisce il proprio quadro interno di gestione, di governance e di controllo dei rischi per la cibersicurezza ("il quadro") a sostegno della propria missione ed esercitando la propria autonomia istituzionale. Tali lavori sono soggetti alla vigilanza del livello di dirigenza più elevato dei rispettivi soggetti per garantire una gestione efficace e prudente di tutti i rischi per la cibersicurezza.  Il quadro è predisposto entro il …. [15 mesi dopo l'entrata in vigore del presente regolamento].

1. Sulla base di un audit completo sulla sicurezza, ogni istituzione, organo e agenzia dell'Unione stabilisce il proprio quadro interno di gestione, di governance e di controllo dei rischi per la cibersicurezza ("il quadro") a sostegno della propria missione ed esercitando la propria autonomia istituzionale, tenendo conto nel contempo della coerenza e dell'interoperabilità del loro quadro con quelli di altre istituzioni, organi, uffici e agenzie pertinenti. Tali lavori sono soggetti alla vigilanza del livello di dirigenza più elevato dei rispettivi soggetti che avrà la responsabilità di garantire una gestione efficace e prudente di tutti i rischi per la cibersicurezza. Il quadro è predisposto entro il …. [15 mesi dopo la data di entrata in vigore del presente regolamento].

Emendamento  30

Proposta di regolamento

Articolo 4 – paragrafo 2

 

Testo della Commissione

Emendamento

2. Il quadro interessa la totalità dell'ambiente informatico dell'istituzione, dell'organo o dell'agenzia interessati, compresi ogni ambiente informatico in loco, le risorse e i servizi esternalizzati in ambienti di cloud computing od ospitati da terzi, i dispositivi mobili, le reti interne, le reti professionali non connesse a internet e qualsiasi dispositivo connesso all'ambiente informatico. Il quadro tiene conto della continuità operativa e della gestione delle crisi e prende in considerazione la sicurezza della catena di approvvigionamento, come pure la gestione dei rischi umani che potrebbero avere ripercussioni sulla cibersicurezza dell'istituzione, organo o agenzia dell'Unione.

2. Il quadro interessa la totalità dell'ambiente TIC dell'istituzione, dell'organo, dell'ufficio o dell'agenzia interessati, compresi ogni ambiente TIC in loco, le risorse e i servizi esternalizzati in ambienti di cloud computing od ospitati da terzi, i dispositivi mobili, le reti interne, le reti professionali non connesse a internet e qualsiasi dispositivo connesso all'ambiente TIC. Il quadro tiene conto della continuità operativa e della gestione delle crisi e prende in considerazione la sicurezza della catena di approvvigionamento, come pure la gestione dei rischi umani che potrebbero avere ripercussioni sulla cibersicurezza dell'istituzione, organo, ufficio o agenzia dell'Unione.

Emendamento  31

Proposta di regolamento

Articolo 4 – paragrafo 4

 

Testo della Commissione

Emendamento

4. Ogni istituzione, organo e agenzia dell'Unione dispone di meccanismi efficaci per garantire che un'adeguata percentuale della dotazione di bilancio destinata alle tecnologie dell'informazione sia spesa per la cibersicurezza.

4. Ogni istituzione, organo, ufficio e agenzia dell'Unione dispone di meccanismi efficaci per garantire che almeno il 10% della dotazione di bilancio aggregata destinata alle TIC sia spesa per la cibersicurezza nel medio termine.

Emendamento  32

Proposta di regolamento

Articolo 4 – paragrafo 5 bis (nuovo)

 

Testo della Commissione

Emendamento

 

5 bis. Il responsabile locale della cibersicurezza coopera con il responsabile della protezione dei dati di cui all'articolo 43 del regolamento (UE) 2018/1725 nell'affrontare la sovrapposizione delle attività che applicano la protezione dei dati fin dalla progettazione e per impostazione predefinita alle misure di cibersicurezza e nella selezione delle misure di cibersicurezza che comportano la protezione dei dati personali, la gestione integrata dei rischi e il trattamento integrato degli incidenti di sicurezza.

Emendamento  33

 

Proposta di regolamento

Articolo 5 – paragrafo 1

 

Testo della Commissione

Emendamento

1. Il livello di dirigenza più elevato di ogni istituzione, organo e agenzia dell'Unione approva la base di riferimento per la cibersicurezza del rispettivo soggetto per affrontare i rischi individuati nell'ambito del quadro di cui all'articolo 4, paragrafo 1. Nel far ciò agisce a sostegno della sua missione e nell'esercizio della sua autonomia istituzionale. La base di riferimento per la cibersicurezza è predisposta entro il …. [18 mesi dopo l'entrata in vigore del presente regolamento] e riguarda i settori elencati nell'allegato I e le misure elencate nell'allegato II.

1. Il livello di dirigenza più elevato di ogni istituzione, organo, ufficio e agenzia dell'Unione approva la base di riferimento per la cibersicurezza del rispettivo soggetto per affrontare i rischi individuati nell'ambito del quadro di cui all'articolo 4, paragrafo 1. Nel far ciò agisce a sostegno della sua missione e nell'esercizio della sua autonomia istituzionale nel pieno rispetto dei requisiti del presente regolamento e tenendo conto della coerenza e dell'interoperabilità del suo quadro con quelli di altri istituzioni, organi, uffici e agenzie pertinenti, dei documenti di orientamento e delle raccomandazioni adottati dall'IICB su proposta del CERT-UE e dei sistemi di certificazione della cibersicurezza dell'UE applicabili. La base di riferimento per la cibersicurezza è predisposta entro il …. [18 mesi dopo la data di entrata in vigore del presente regolamento] e riguarda i settori elencati nell'allegato I e le misure elencate nell'allegato II.

Emendamento  34

 

Proposta di regolamento

Articolo 5 – paragrafo 2

 

Testo della Commissione

Emendamento

2. Gli alti dirigenti di ogni istituzione, organo e agenzia dell'Unione seguono periodicamente attività di formazione specifiche al fine di acquisire conoscenze e competenze sufficienti per comprendere e valutare i rischi e le pratiche di gestione in materia di cibersicurezza, e il loro impatto sulle attività dell'organizzazione.

2. Gli alti dirigenti di ogni istituzione, organo, ufficio e agenzia dell'Unione seguono periodicamente attività di formazione specifiche e dotate di risorse adeguate al fine di acquisire conoscenze e competenze sufficienti per comprendere e valutare i rischi e le pratiche di gestione in materia di cibersicurezza, e il loro impatto sulle attività dell'organizzazione. Oltre a tali formazioni specifiche e al fine di costruire e consolidare la cultura della cibersicurezza, la formazione periodica del personale in materia di cibersicurezza è inclusa nel piano per la cibersicurezza e aggiornata almeno ogni due anni. Sono garantite risorse sufficienti per fornire una formazione di qualità.

 

Emendamento  35

 

Proposta di regolamento

Articolo 6 – comma 1

 

Testo della Commissione

Emendamento

Ogni istituzione, organo e agenzia dell'Unione svolge almeno ogni tre anni valutazioni di maturità della cibersicurezza, che comprendono tutti gli elementi del proprio ambiente informatico come descritto all'articolo 4, tenendo conto dei documenti di orientamento e delle raccomandazioni pertinenti adottati conformemente all'articolo 13.

Ogni istituzione, organo, ufficio e agenzia dell'Unione svolge entro ... [sei mesi dall'entrata in vigore del presente regolamento], e successivamente almeno ogni due anni, valutazioni di maturità della cibersicurezza, che comprendono tutti gli elementi del proprio ambiente TIC come descritto all'articolo 4, tenendo conto dei documenti di orientamento e delle raccomandazioni pertinenti adottati conformemente all'articolo 13. La valutazione di maturità si basa su audit indipendenti della cibersicurezza eseguiti da fornitori abilitati.

Emendamento  36

 

Proposta di regolamento

Articolo 7 – paragrafo 1