Skip to main content
Other

Considerando – Direttiva NIS (EU-2016/1148)

By January 1, 2018#!30Sat, 21 Apr 2018 19:25:53 +0200+02:005330#30Sat, 21 Apr 2018 19:25:53 +0200+02:00-7Europe/Rome3030Europe/Rome201830 21pm30pm-30Sat, 21 Apr 2018 19:25:53 +0200+02:007Europe/Rome3030Europe/Rome2018302018Sat, 21 Apr 2018 19:25:53 +0200257254pmSaturday=2107#!30Sat, 21 Apr 2018 19:25:53 +0200+02:00Europe/Rome4#April 21st, 2018#!30Sat, 21 Apr 2018 19:25:53 +0200+02:005330#/30Sat, 21 Apr 2018 19:25:53 +0200+02:00-7Europe/Rome3030Europe/Rome201830#!30Sat, 21 Apr 2018 19:25:53 +0200+02:00Europe/Rome4#No Comments

Considerando

Torna all’indice

IL PARLAMENTO EUROPEO E IL CONSIGLIO DELL’UNIONE EUROPEA,

visto il trattato sul funzionamento dell’Unione europea, in particolare l’articolo 114,

vista la proposta della Commissione europea,

previa trasmissione del progetto di atto legislativo ai parlamenti nazionali,

visto il parere del Comitato economico e sociale europeo,

deliberando secondo la procedura legislativa ordinaria,

considerando quanto segue:

(1)

Le reti e i sistemi e servizi informativi svolgono un ruolo vitale nella società. È essenziale che essi siano affidabili e sicuri per le attività economiche e sociali e in particolare ai fini del funzionamento del mercato interno.

(2)

La portata, la frequenza e l’impatto degli incidenti a carico della sicurezza stanno aumentando e rappresentano una grave minaccia per il funzionamento delle reti e dei sistemi informativi. Tali sistemi possono inoltre diventare un bersaglio per azioni intenzionalmente tese a danneggiare o interrompere il funzionamento dei sistemi. Tali incidenti possono impedire l’esercizio delle attività economiche, provocare notevoli perdite finanziarie, minare la fiducia degli utenti e causare gravi danni all’economia dell’Unione.

(3)

Le reti e i sistemi informativi, e in prima linea internet, svolgono un ruolo essenziale nell’agevolare i movimenti transfrontalieri di beni, servizi e persone. Tenendo conto di questa dimensione transnazionale, gravi perturbazioni di tali sistemi, intenzionali o meno e indipendentemente dal luogo in cui si verificano, possono ripercuotersi su singoli Stati membri e avere conseguenze in tutta l’Unione. La sicurezza delle reti e dei sistemi informativi è quindi essenziale per l’armonioso funzionamento del mercato interno.

(4)

Basandosi sui notevoli progressi compiuti nell’ambito del Forum europeo degli Stati membri nel promuovere le discussioni e gli scambi di buone pratiche, come l’elaborazione dei principi della collaborazione europea in caso di crisi cibernetica, è opportuno istituire un gruppo di cooperazione composto da rappresentanti degli Stati membri, dalla Commissione e dall’Agenzia dell’Unione europea per la sicurezza delle reti e dell’informazione (ENISA) al fine di sostenere e agevolare la cooperazione strategica fra gli Stati membri in relazione alla sicurezza delle reti e dei sistemi informativi. Perché tale gruppo sia efficace e inclusivo è essenziale che tutti gli Stati membri dispongano di un livello minimo di capacità e si dotino di una strategia per garantire un livello elevato di sicurezza delle reti e dei sistemi informativi sul loro territorio. È inoltre opportuno che agli operatori di servizi essenziali e ai fornitori di servizi digitali si applichino obblighi in materia di sicurezza e notifica per promuovere una cultura della gestione dei rischi e garantire la segnalazione degli incidenti più gravi.

(5)

Le capacità esistenti non bastano a garantire un livello elevato di sicurezza delle reti e dei sistemi informativi nell’Unione. I livelli di preparazione negli Stati membri sono molto diversi tra loro il che ha comportato una frammentazione degli approcci nell’Unione. Ne deriva un livello disomogeneo di protezione dei consumatori e delle imprese che compromette il livello globale di sicurezza delle reti e dei sistemi informativi nell’Unione. La mancanza di obblighi comuni imposti agli operatori di servizi essenziali e ai fornitori di servizi digitali rende inoltre impossibile la creazione di un meccanismo globale ed efficace di cooperazione a livello dell’Unione. Le università e i centri di ricerca svolgono un ruolo determinante nell’incentivare la ricerca, lo sviluppo e l’innovazione in tali settori.

(6)

Per una risposta efficace alle sfide in materia di sicurezza delle reti e dei sistemi informativi è pertanto necessario un approccio globale a livello di Unione, che contempli la creazione di una capacità minima comune e disposizioni minime in materia di pianificazione, scambio di informazioni, cooperazione e obblighi comuni di sicurezza per gli operatori di servizi essenziali e i fornitori di servizi digitali. Nulla osta tuttavia a che gli operatori di servizi essenziali e i fornitori di servizi digitali applichino misure di sicurezza che siano più rigorose di quelle previste ai sensi della presente direttiva.

(7)

È opportuno che la presente direttiva si applichi sia agli operatori di servizi essenziali che ai fornitori di servizi digitali in modo da coprire tutti i relativi rischi e incidenti. È opportuno tuttavia che gli obblighi imposti agli operatori di servizi essenziali e ai fornitori di servizi digitali non si applichino alle imprese che forniscono reti pubbliche di comunicazioni o servizi di comunicazione elettronica accessibili al pubblico, ai sensi della direttiva 2002/21/CE del Parlamento europeo e del Consiglio, perché tali imprese sono soggette a specifici obblighi di sicurezza e integrità previsti da detta direttiva; i suddetti obblighi non dovrebbero inoltre applicarsi ai prestatori di servizi fiduciari ai sensi del regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio, che sono soggetti agli obblighi di sicurezza previsti in tale regolamento.

(8)

La presente direttiva dovrebbe lasciare impregiudicata la possibilità, per ciascuno Stato membro, di adottare le misure necessarie per assicurare la tutela degli interessi essenziali della sua sicurezza, salvaguardare l’ordine pubblico e la pubblica sicurezza e consentire la ricerca, l’individuazione e il perseguimento dei reati. Conformemente all’articolo 346 del trattato sul funzionamento dell’Unione europea (TFUE), nessuno Stato membro è tenuto a fornire informazioni la cui divulgazione sia dallo stesso considerata contraria agli interessi essenziali della propria sicurezza. In tale contesto sono pertinenti la decisione 2013/488/UE del Consiglio) e gli accordi di non divulgazione o gli accordi di non divulgazione informali, quale il protocollo del semaforo (Traffic Light Protocol).

(9)

Determinati settori dell’economia sono già regolamentati, o potrebbero esserlo in futuro, da atti giuridici settoriali dell’Unione comprendenti norme in materia di sicurezza delle reti e dei sistemi informativi. Ogniqualvolta tali atti giuridici dell’Unione contengono disposizioni che impongono obblighi in materia di sicurezza delle reti e dei sistemi informativi o di notifica di incidenti, si dovrebbero applicare tali disposizioni se gli obblighi ivi contenuti hanno effetti almeno equivalenti a quelli previsti dalla presente direttiva. Gli Stati membri dovrebbero allora applicare le disposizioni dell’atto giuridico settoriale dell’Unione, comprese quelle in materia di giurisdizione, e non compiere il processo di identificazione per gli operatori di servizi essenziali di cui alla presente direttiva. In tale contesto gli Stati membri dovrebbero fornire alla Commissione informazioni in merito all’applicazione di tali disposizioni sulla lex specialis. Nel determinare se gli obblighi in materia di sicurezza delle reti e dei sistemi informativi e di notifica di incidenti contenuti negli atti giuridici settoriali dell’Unione siano equivalenti a quelli di cui alla presente direttiva, si dovrebbero tenere in considerazione esclusivamente le disposizioni degli atti giuridici dell’Unione pertinenti e la loro applicazione negli Stati membri.

(10)

Nel settore del trasporto per via d’acqua, gli obblighi di sicurezza per le compagnie, le navi, gli impianti portuali, i porti e i servizi di gestione del traffico navale, ai sensi degli atti giuridici dell’Unione, riguardano tutte le operazioni, compresi i sistemi di radio e telecomunicazione, i sistemi informatici e le reti. Una parte delle procedure obbligatorie da seguire prevede la segnalazione di tutti gli incidenti e dovrebbe pertanto essere considerata come lex specialis, nella misura in cui detti obblighi siano almeno equivalenti alle corrispondenti disposizioni della presente direttiva.

(11)

Nell’identificare gli operatori nel settore del trasporto per via d’acqua, gli Stati membri dovrebbero tener conto dei codici internazionali e delle linee guida attuali e futuri sviluppati in particolare dall’ Organizzazione marittima internazionale, al fine di fornire ai singoli operatori marittimi un approccio coerente.

(12)

La regolamentazione e la vigilanza nel settore bancario e in quello delle infrastrutture dei mercati finanziari sono altamente armonizzate a livello dell’Unione, mediante l’applicazione del diritto primario e secondario dell’Unione e delle norme sviluppate con le autorità europee di vigilanza. All’interno dell’unione bancaria, l’applicazione e la vigilanza con riguardo a tali obblighi sono assicurate dal meccanismo di vigilanza unico. Per gli Stati membri che non fanno parte dell’Unione bancaria esse sono assicurate dalle pertinenti autorità nazionali di regolamentazione del settore bancario. In altri ambiti della regolamentazione del settore finanziario, il Sistema europeo di vigilanza finanziaria assicura anch’esso un elevato grado di analogia e convergenza nelle pratiche di vigilanza. Anche l’Autorità europea degli strumenti finanziari e dei mercati svolge un ruolo di vigilanza diretto per taluni soggetti (vale a dire agenzie di rating del credito e repertori di dati sulle negoziazioni).

(13)

Il rischio operativo rappresenta un elemento cruciale della regolamentazione e vigilanza prudenziali nel settore bancario e in quello delle infrastrutture dei mercati finanziari. Copre tutte le operazioni comprese la sicurezza, l’integrità e la resilienza delle reti e dei sistemi informativi. Gli obblighi riguardo a tali sistemi, che spesso vanno al di là di quelli previsti nell’ambito della presente direttiva, sono stabiliti in vari atti giuridici dell’Unione, comprendenti le norme sull’accesso all’attività degli enti creditizi e sulla vigilanza prudenziale degli enti creditizi e delle imprese di investimento e le norme sui requisiti prudenziali per gli enti creditizi e le imprese di investimento, comprendenti obblighi in materia di rischio operativo, nonché le norme sui mercati degli strumenti finanziari, comprendenti obblighi sulla valutazione del rischio per le imprese di investimento e per i mercati regolamentati, le norme sugli strumenti derivati OTC, le controparti centrali e i repertori di dati sulle negoziazioni, comprendenti obblighi in materia di rischio operativo per le controparti centrali e i repertori di dati sulle negoziazioni, e le norme sul miglioramento del regolamento titoli nell’Unione e sui depositari centrali di titoli, comprendenti obblighi in materia di rischio operativo. Inoltre, gli obblighi in materia di notifica di incidenti rientrano nella normale prassi di vigilanza nel settore finanziario e sono spesso inclusi nei manuali di vigilanza. Gli Stati membri dovrebbero prendere in considerazione dette norme e obblighi nell’applicazione della lex specialis.

(14)

Come rilevato dalla Banca centrale europea nel suo parere del 25 luglio 2014, la presente direttiva non incide sul regime previsto dal diritto dell’Unione per la sorveglianza dell’Eurosistema sui sistemi di pagamento e di regolamento. Sarebbe opportuno che le autorità responsabili di tale sorveglianza scambino esperienze sugli aspetti riguardanti la sicurezza delle reti e dei sistemi informativi con le autorità competenti ai sensi della presente direttiva. Lo stesso vale per i membri del Sistema europeo di banche centrali non appartenenti alla zona Euro che esercitano tale sorveglianza sui sistemi di pagamento e di regolamento sulla base di leggi e regolamenti nazionali.

(15)

Un mercato online consente ai consumatori e ai professionisti di concludere contratti di vendita o di servizi online con i professionisti, e costituisce la destinazione finale per la conclusione di tali contratti. Non dovrebbe contemplare servizi online che fungono solo da intermediari per servizi di un terzo con cui, in ultima istanza, possono essere conclusi i contratti. Non dovrebbe pertanto contemplare i servizi online che raffrontano i prezzi di particolari prodotti o servizi forniti da diversi professionisti e rimandano quindi l’utente al professionista prescelto per l’acquisto del prodotto. I servizi informatici forniti dal mercato online possono comprendere trattamento di operazioni, aggregazioni di dati o profilazione degli utenti. I negozi di applicazioni, che operano come negozi online e consentono la distribuzione digitale di applicazioni o programmi software, è devono essere considerati un tipo di mercato online.

(16)

In linea di principio, un motore di ricerca online consente all’utente di effettuare ricerche in tutti i siti web sulla base di un’interrogazione su qualsiasi tema. In alternativa, può concentrarsi sui siti web in una lingua particolare. La definizione di motore di ricerca online fornita nella presente direttiva non dovrebbe contemplare funzioni di ricerca limitate al contenuto di un sito web specifico, indipendentemente dal fatto che la funzione di ricerca sia messa a disposizione da un motore di ricerca esterno. Non dovrebbe contemplare neppure i servizi online che raffrontano i prezzi di particolari prodotti o servizi forniti da diversi professionisti e rimandano quindi l’utente al professionista prescelto per l’acquisto del prodotto.

(17)

I servizi nella nuvola (cloud computing) coprono un’ampia gamma di attività che possono essere fornite sulla base di modelli diversi. Ai fini della presente direttiva, l’espressione «servizi nella nuvola» comprende i servizi che consentono l’accesso a un insieme scalabile ed elastico di risorse informatiche condivisibili. Dette risorse informatiche comprendono risorse quali reti, server o altre infrastrutture, archiviazione, applicazioni e servizi. Il termine «scalabile» si riferisce alle risorse informatiche che sono assegnate in modo flessibile dal fornitore di servizi nella nuvola, indipendentemente dall’ubicazione geografica delle risorse, per gestire le fluttuazioni della domanda. L’espressione «insieme elastico» è usata per descrivere quelle risorse informatiche che sono fornite e diffuse in base alla richiesta, al fine di aumentare e ridurre rapidamente le risorse disponibili in base al carico di lavoro. Il termine «condivisibile» è usato per descrivere le risorse informatiche che sono fornite a una molteplicità di utenti che condividono un accesso comune al servizio, mentre il trattamento è effettuato separatamente per ogni utente anche se il servizio è fornito a partire dalla stessa apparecchiatura elettronica.

(18)

La funzione di un punto di interscambio internet (IXP) è interconnettere le reti. Un IXP non fornisce accesso alla rete, né funziona da fornitore o carrier di transito. Non fornisce nepure altri servizi non correlati all’interconnessione, per quanto ciò non impedisca a un operatore IXP di fornire servizi non correlati. Lo scopo di un IXP è connettere reti tecnicamente e organizzativamente separate. Per descrivere una rete tecnicamente indipendente si usa l’espressione sistema autonomo.

(19)

Gli Stati membri dovrebbero essere competenti per determinare quali soggetti soddisfino i criteri stabiliti nella definizione di operatore di servizi essenziali. Al fine di garantire un approccio uniforme, è opportuno che la definizione di operatore di servizi essenziali sia applicata in modo coerente da tutti gli Stati membri. A tal fine la presente direttiva prevede la valutazione dei soggetti attivi in specifici settori e sottosettori, la definizione di un elenco di servizi essenziali, l’esame di un elenco comune di fattori intersettoriali per stabilire se un potenziale incidente avrebbe effetti negativi rilevanti, un processo di consultazione che coinvolga gli Stati membri interessati nel caso di soggetti che forniscono servizi in più Stati membri, e il sostegno del gruppo di cooperazione nel processo di identificazione. Al fine di garantire che eventuali evoluzioni del mercato siano tenute accuratamente in considerazione, l’elenco di operatori identificati dovrebbe essere rivisto periodicamente dagli Stati membri e aggiornato ove necessario. Infine, gli Stati membri dovrebbero trasmettere alla Commissione le informazioni necessarie per valutare in che misure tale metodologia comune consenta un’applicazione coerente della definizione da parte degli Stati membri.

(20)

Nel processo di identificazione degli operatori di servizi essenziali, gli Stati membri dovrebbero valutare, almeno per ciascun sottosettore di cui alla presente direttiva, quali servizi debbano essere considerati essenziali per il mantenimento di attività sociali ed economiche fondamentali e se i soggetti elencati nei settori e sottosettori di cui alla presente direttiva, che forniscono tali servizi, rispettino i criteri per l’identificazione degli operatori. Nel valutare se un soggetto fornisce un servizio essenziale per il mantenimento di attività sociali ed economiche fondamentali, è sufficiente esaminare se tale soggetto fornisce un servizio incluso nell’elenco di servizi esenziali. Si dovrebbe inoltre dimostrare che la fornitura del servizio essenziale dipende dalle reti e dai sistemi informativi. Infine, nel valutare se un incidente avrebbe un effetto negativo significativo sulla fornitura del servizio, gli Stati membri dovrebbero tenere conto di una serie di fattori intersettoriali, nonché, ove opportuno, di fattori settoriali.

(21)

Ai fini dell’identificazione di operatori di servizi essenziali, lo stabilimento in uno Stato membro implica l’effettivo e reale svolgimento di attività nel quadro di un’organizzazione stabile. A tale riguardo non è determinante la forma giuridica assunta, sia essa una succursale o una filiale dotata di personalità giuridica.

(22)

È possibile che soggetti che operano nei settori e sottosettori di cui alla presente direttiva forniscano sia servizi essenziali che non essenziali. Nel settore del trasporto aereo, ad esempio, gli aeroporti forniscono servizi che potrebbero essere considerati essenziali da uno Stato membro, come la gestione delle piste, ma anche una serie di servizi che potrebbero essere considerati non essenziali, come l’allestimento di aree commerciali. Gli operatori di servizi essenziali dovrebbero essere soggetti a specifici obblighi di sicurezza solo in relazione ai servizi considerati essenziali. Ai fini dell’identificazione degli operatori, gli Stati membri dovrebbero pertanto definire un elenco di servizi considerati essenziali.

(23)

L’elenco di servizi dovrebbe contenere tutti i servizi forniti nel territorio di un determinato Stato membro che soddisfano i requisiti di cui alla presente direttiva. Gli Stati membri dovrebbero poter integrare l’elenco esistente includendovi nuovi servizi. L’elenco di servizi dovrebbe servire agli Stati membri come riferimento per l’identificazione degli operatori di servizi essenziali. Ha lo scopo di identificare i tipi di servizi essenziali in ciascuno dei settori di cui alla presente direttiva, distinguendoli così dalle attività non essenziali di cui potrebbe essere responsabile un soggetto attivo in un determinato settore. L’elenco di servizi stilato da ciascuno Stato membro costituirebbe un ulteriore contributo nella valutazione della pratica regolamentare di ciascuno Stato membro al fine di assicurare il livello globale di coerenza del processo di identificazione fra gli Stati membri.

(24)

Ai fini del processo di identificazione è opportuno che, nel caso in cui un soggetto fornisca un servizio essenziale in due o più Stati membri, tali Stati membri intraprendano discussioni bilaterali o multilaterali tra di loro. Questo processo di consultazione è inteso ad aiutarli a valutare la natura critica dell’operatore in termini di impatto transfrontaliero, consentendo in tal modo a ciascuno degli Stati membri interessati di presentare la propria posizione in merito ai rischi connessi ai servizi forniti. Gli Stati membri interessati dovrebbero tener conto delle rispettive posizioni in tale processo dovrebbero poter chiedere l’assistenza del gruppo di cooperazione al riguardo.

(25)

In seguito al processo di identificazione, gli Stati membri dovrebbero adottare misure nazionali dirette a determinare i soggetti cui si applicano gli obblighi in materia di sicurezza delle reti e dei sistemi informativi. Tale risultato potrebbe essere raggiunto adottando un elenco di tutti gli operatori di servizi essenziali oppure adottando misure nazionali comprendenti criteri oggettivi quantificabili, quali la produzione dell’operatore o il numero di utenti, che rendano possibile determinare a quali soggetti si applichino i predetti obblighi in materia di sicurezza delle reti e dei sistemi informativi. Le misure nazionali, siano esse già esistenti o adottate nel contesto della presente direttiva, dovrebbero includere tutte le misure giuridiche, le misure amministrative e le prassi che rendano possibile l’identificazione degli operatori di servizi essenziali ai sensi della presente direttiva.

(26)

Per fornire un’indicazione dell’importanza in relazione al settore interessato degli operatori identificati di servizi essenziali, gli Stati membri dovrebbero tener conto del numero e delle dimensioni di tali operatori identificati, ad esempio in termini di quota di mercato o di quantitativo prodotto o trasportato, senza essere obbligati a divulgare informazioni che rivelerebbero gli operatori identificati.

(27)

Al fine di stabilire se un incidente avrebbe effetti negativi rilevanti sulla fornitura di un servizio, gli Stati membri dovrebbero tener conto di svariati fattori, quali il numero di utenti collegati a tale servizio per scopi privati o professionali. L’uso di detto servizio può essere diretto, indiretto o intermediato. Nel valutare l’impatto che un incidente potrebbe avere, in termini di entità e di durata, sulle attività economiche e sociali o sulla pubblica sicurezza, gli Stati membri dovrebbero altresì valutare il tempo che presumibilmente trascorrerebbe prima che la discontinuità inizi a produrre un impatto negativo.

(28)

In aggiunta ai fattori intersettoriali si dovrebbe tener conto anche di fattori settoriali al fine di stabilire se un incidente avrebbe effetti negativi rilevanti sulla fornitura di un servizio essenziale. Tali fattori potrebbero comprendere: per i fornitori di energia, il volume o la quota di energia nazionale prodotta; per i fornitori di petrolio, il volume su base giornaliera; per il trasporto aereo, inclusi aeroporti e vettori aerei, il trasporto ferroviario e i porti marittimi, la quota di volume di traffico nazionale e il numero di passeggeri o di operazioni di trasporto merci su base annua; per il settore bancario o le infrastrutture dei mercati finanziari, la loro importanza sistemica in base alle attività totali o al rapporto tra tali attività totali e il PIL; per il settore sanitario, il numero di pazienti assistiti dal fornitore su base annua; per la produzione, il trattamento e la fornitura di acqua, il volume e il numero e i tipi di utenti riforniti, inclusi, ad esempio, ospedali, servizi pubblici, organizzazioni o persone fisiche, nonché l’esistenza di fonti idriche alternative per servire la stessa area geografica.

(29)

Per conseguire e mantenere un livello elevato di sicurezza della rete e dei sistemi informativi è opportuno che ogni Stato membro disponga di una strategia nazionale in materia di sicurezza della rete e dei sistemi informativi che definisca gli obiettivi strategici e gli interventi strategici concreti da attuare.

(30)

In considerazione delle differenze esistenti tra le strutture di governance nazionali e al fine di salvaguardare gli accordi settoriali già esistenti o gli organismi di vigilanza e di regolamentazione dell’Unione ed evitare duplicazioni, è opportuno che gli Stati membri abbiano la facoltà di designare più di un’autorità nazionale competente responsabile di soddisfare i compiti connessi alla sicurezza delle reti e dei sistemi informativi degli operatori di servizi essenziali e dei fornitori di servizi digitali di cui alla presente direttiva.

(31)

Onde agevolare la cooperazione e la comunicazione transfrontaliere e permettere che la presente direttiva sia attuata efficacemente, è necessario che ogni Stato membro, fatti salvi gli accordi settoriali in materia di regolamentazione, designi un punto di contatto nazionale unico incaricato di coordinare le questioni relative alla sicurezza delle reti e dei sistemi informativi e la cooperazione transfrontaliera a livello di Unione. Le autorità competenti e i punti di contatto unici dovrebbero essere dotate di risorse adeguate sul piano tecnico, finanziario e umano per garantire loro di eseguire in modo efficiente ed efficace i compiti loro assegnati e conseguire in questo modo gli obiettivi della presente direttiva. Poiché la presente direttiva è intesa a migliorare il funzionamento del mercato interno creando un clima di fiducia e sicurezza, gli organi degli Stati membri devono poter cooperare in modo efficace con gli attori economici ed essere strutturati di conseguenza.

(32)

Le autorità competenti o i gruppi di intervento per la sicurezza informatica in caso di incidente («CSIRT») dovrebbero ricevere le notifiche di incidenti. I punti di contatto unici non dovrebbero ricevere direttamente le notifiche di incidenti, a meno che non fungano anche da autorità competente o da un CSIRT. Un’autorità competente o un CSIRT dovrebbe tuttavia poter incaricare il punto di contatto unico di trasmettere notifiche di incidenti ai punti di contatto unici degli altri Stati membri interessati.

(33)

Per garantire l’effettiva fornitura di informazioni agli Stati membri e alla Commissione, una relazione sintetica dovrebbe essere presentata dal punto di contatto unico al gruppo di cooperazione e dovrebbe essere resa anonima per tutelare la riservatezza delle notifiche e dell’identità degli operatori di servizi essenziali e dei fornitori di servizi digitali, dal momento che non occorrono informazioni sull’identità dei soggetti notificanti per lo scambio di migliori prassi nel gruppo di cooperazione. La relazione sintetica dovrebbe includere informazioni sul numero di notifiche ricevute nonché un’indicazione della natura degli incidenti notificati, come i tipi di violazioni della sicurezza, la loro gravità o la loro durata.

(34)

È opportuno che gli Stati membri siano dotati delle capacità tecniche e organizzative necessarie a prevenire, individuare, rispondere e attenuare i rischi e gli incidenti a carico delle reti e dei sistemi informativi. Gli Stati membri dovrebbero pertanto assicurare la disponibilità di CSIRT, anche noti come squadre di pronto intervento informatico («CERT»), ben funzionanti e rispondenti a determinati requisiti essenziali, in modo da garantire l’esistenza di capacità effettive e compatibili per far fronte ai rischi e agli incidenti e garantire un’efficiente collaborazione a livello di Unione. Per consentire a tutti i tipi di operatori di servizi essenziali e fornitori di servizi digitali di beneficiare di tali capacità e cooperazione, gli Stati membri dovrebbero assicurare che tutti i tipi siano contemplati da un CSIRT designato. Data l’importanza della cooperazione internazionale in materia di cibersicurezza, i CSIRT dovrebbero poter partecipare a reti di cooperazione internazionale oltre alla rete di CSIRT istituita dalla presente direttiva.

(35)

Poiché la maggioranza delle reti e dei sistemi informativi è gestita da privati, la collaborazione tra il settore pubblico e il settore privato è essenziale. Gli operatori di servizi essenziali e i fornitori di servizi digitali dovrebbero essere incoraggiati a portare avanti propri meccanismi informali di collaborazione per garantire la sicurezza delle reti e dei sistemi informativi. Il gruppo di cooperazione dovrebbe avere la possibilità, se del caso, di invitare le parti interessate a partecipare alle discussioni. Per incoraggiare efficacemente la condivisione di informazioni e migliori pratiche, è essenziale garantire che gli operatori di servizi essenziali e i fornitori di servizi digitali che partecipano a tali scambi non siano svantaggiati in conseguenza della loro cooperazione.

(36)

L’ENISA dovrebbe assistere gli Stati membri e la Commissione mettendo loro a disposizione le proprie competenze e consulenze e agevolando lo scambio di migliori prassi. In particolare, nell’applicazione della presente direttiva la Commissione dovrebbe consultare l’ENISA e gli Stati membri ne dovrebbero avere la facoltà. Per creare capacità e conoscenze tra gli Stati membri, il gruppo di cooperazione dovrebbe anche servire da strumento per scambiare migliori prassi, discutere delle capacità e della preparazione degli Stati membri e, su base volontaria, assistere i propri membri nella valutazione delle strategie nazionali in materia di sicurezza della rete e dei sistemi informativi, nella creazione di capacità e valutare le esercitazioni in materia di sicurezza della rete e dei sistemi informativi.

(37)

Laddove opportuno, gli Stati membri dovrebbero poter utilizzare o adattare le strutture organizzative o le strategie esistenti al momento di applicare la presente direttiva.

(38)

I rispettivi compiti del gruppo di cooperazione e dell’ENISA sono interdipendenti e complementari. In linea generale, l’ENISA dovrebbe assistere il gruppo di cooperazione nell’esecuzione dei suoi compiti, in linea con l’obiettivo dell’ENISA nel regolamento (UE) n. 526/2013 del Parlamento europeo e del Consiglio, vale a dire di assistere le istituzioni, gli organi e gli organismi dell’Unione e gli Stati membri nell’attuazione delle politiche necessarie a soddisfare le prescrizioni legali e regolamentari in materia di sicurezza della rete e dei sistemi informativi previste dagli atti giuridici vigenti e futuri dell’Unione. In particolare, l’ENISA dovrebbe fornire assistenza nei settori corrispondenti ai propri compiti di cui al regolamento (UE) n. 526/2013, vale a dire analizzare strategie in materia di sicurezza della rete e dei sistemi informativi, sostenere l’organizzazione e lo svolgimento di esercitazioni a livello dell’Unione in materia di sicurezza della rete e dei sistemi informativi e scambiare informazioni e migliori prassi in materia di sensibilizzazione e formazione. L’ENISA dovrebbe anche partecipare all’elaborazione di linee guida per i criteri settoriali per determinare la rilevanza dell’impatto di un incidente.

(39)

Al fine di promuovere un livello avanzato di sicurezza delle reti e dei sistemi informativi, il gruppo di cooperazione dovrebbe, se del caso, collaborare con le istituzioni, gli organi e gli organismi competenti dell’Unione per scambiare conoscenze e migliori prassi e fornire consulenze sugli aspetti in materia sicurezza delle reti e dei sistemi informativi che potrebbero avere un impatto sulle loro attività, nel rispetto dei meccanismi esistenti per lo scambio di informazioni riservate. Nella collaborazione con le autorità incaricate dell’applicazione delle norme su aspetti relativi alla sicurezza della rete e dei sistemi informativi che possono avere un impatto sull’attività di questi ultimi, il gruppo di cooperazione dovrebbe avvalersi dei canali di informazione e delle reti esistenti.

(40)

Le informazioni sugli incidenti sono sempre più preziose per il pubblico in generale e per le imprese, in particolare le piccole e medie imprese. In alcuni casi, tali informazioni sono già fornite attraverso siti web a livello nazionale, nella lingua di un determinato paese e ponendo l’accento principalmente su incidenti ed avvenimenti con una dimensione nazionale. Poiché sempre più spesso le imprese operano a livello transfrontaliero e i cittadini utilizzano servizi online, le informazioni sugli incidenti dovrebbero essere fornite in forma aggregata a livello dell’Unione. Il segretariato della rete di CSIRT è incoraggiato a gestire un sito web o a ospitare una pagina dedicata su un sito web esistente in cui si mettano a disposizione del pubblico informazioni generali sui principali incidenti verificatisi in tutta l’Unione, con particolare attenzione agli interessi e alle esigenze delle imprese. I CSIRT partecipanti alla rete di CSIRT sono incoraggiati a fornire, su base volontaria, le informazioni da pubblicare su tale sito web senza comprendere informazioni riservate o sensibili.

(41)

Qualora le informazioni siano considerate riservate in virtù di norme dell’Unione e nazionali sulla riservatezza degli affari, è opportuno che tale riservatezza sia garantita nello svolgimento delle attività e nella realizzazione degli obiettivi stabiliti dalla presente direttiva.

(42)

Esercitazioni che simulino scenari di incidenti in tempo reale sono essenziali per verificare la preparazione e la cooperazione degli Stati membri in materia di sicurezza delle reti e dei sistemi informativi. Il ciclo di esercitazioni CyberEurope coordinato dall’ENISA con la partecipazione degli Stati membri è uno strumento utile per verificare ed elaborare raccomandazioni su come migliorare nel tempo il trattamento in caso di incidenti a livello dell’Unione. Dato che attualmente gli Stati membri non hanno l’obbligo di pianificare esercitazioni né di parteciparvi, la creazione della rete di CSIRT ai sensi della presente direttiva dovrebbe consentire agli Stati membri di partecipare ad esercitazioni sulla base di accurate scelte strategiche e di pianificazione. Il gruppo di cooperazione istituito ai sensi della presente direttiva dovrebbe discutere le decisioni strategiche relative alle esercitazioni, in particolare, ma non esclusivamente, per quanto riguarda la regolarità delle esercitazioni e la concezione degli scenari. È opportuno che l’ENISA, conformemente al suo mandato, sostenga l’organizzazione e lo svolgimento di esercitazioni a livello dell’Unione mettendo le proprie competenze e consulenze a disposizione del gruppo di cooperazione e della rete di CSIRT.

(43)

Data la natura planetaria dei problemi relativi alla sicurezza delle reti e dei sistemi informativi, è necessaria una cooperazione internazionale più stretta per migliorare le norme di sicurezza e gli scambi di informazioni e promuovere un approccio globale comune agli aspetti della sicurezza.

(44)

La responsabilità di garantire la sicurezza delle reti e dei sistemi informativi incombe in larga misura agli operatori di servizi essenziali e ai fornitori di servizi digitali. È opportuno promuovere e sviluppare attraverso adeguati obblighi regolamentari e pratiche industriali volontarie una cultura della gestione del rischio, che comprende la valutazione del rischio e l’attuazione di misure di sicurezza commisurate al rischio corso. È altresì fondamentale creare affidabili condizioni di parità per l’efficace funzionamento del gruppo di cooperazione e della rete di CSIRT in modo da garantire la collaborazione effettiva di tutti gli Stati membri.

(45)

La presente direttiva si applica soltanto a quelle amministrazioni pubbliche che sono identificate come operatori di servizi essenziali. Spetta pertanto agli Stati membri garantire la sicurezza delle reti e dei sistemi informativi delle pubbliche amministrazioni che non rientrano nel campo di applicazione della presente direttiva.

(46)

Le misure di gestione del rischio comprendono misure per individuare eventuali rischi di incidenti, per prevenire, rilevare e affrontare incidenti nonché per attenuarne l’impatto. La sicurezza delle reti e dei sistemi informativi comprende la sicurezza di dati conservati, trasmessi e trattati.

(47)

Le autorità competenti dovrebbero mantenere la possibilità di adottare linee guida nazionali riguardanti le circostanze in cui gli operatori di servizi essenziali sono tenuti a notificare gli incidenti.

(48)

Molte imprese nell’Unione si affidano a fornitori di servizi digitali per la fornitura dei loro servizi. Poiché alcuni servizi digitali potrebbero rappresentare una risorsa importante per i loro utenti, compresi gli operatori di servizi essenziali, e poiché tali utenti potrebbero non sempre disporre di alternative, la presente direttiva dovrebbe applicarsi anche ai fornitori di detti servizi. La sicurezza, la continuità e l’affidabilità del tipo di servizi digitali di cui alla presente direttiva sono essenziali per il buon funzionamento di molte imprese. La perturbazione di detto servizio digitale potrebbe impedire la fornitura di altri servizi che si basano su di esso e potrebbe dunque avere un impatto su attività economiche e sociali fondamentali nell’Unione. Tali servizi digitali potrebbero pertanto rivestire un’importanza fondamentale per il buon funzionamento delle imprese che dipendono da essi nonché per la partecipazione di tali imprese al mercato interno e agli scambi commerciali transfrontalieri nell’Unione. Tali fornitori di servizi digitali che sono soggetti alla presente direttiva sono quelli che si ritiene offrano servizi digitali su cui fanno sempre più affidamento molte imprese dell’Unione.

(49)

I fornitori di servizi digitali dovrebbero garantire un livello di sicurezza commisurato al grado di rischio per la sicurezza dei servizi digitali da essi forniti, data l’importanza dei loro servizi per le operazioni di altre imprese all’interno dell’Unione. In pratica, per gli operatori di servizi essenziali che spesso sono essenziali per il mantenimento delle attività sociali ed economiche critiche, il grado di rischio è più elevato che per i fornitori di servizi digitali. Pertanto, gli obblighi di sicurezza per i fornitori di servizi digitali dovrebbero essere meno rigidi. I fornitori di servizi digitali dovrebbero rimanere liberi di adottare le misure che ritengono adeguate alla gestione dei rischi che corre la sicurezza delle loro reti e dei loro sistemi informativi. Per via della loro natura transfrontaliera, i fornitori di servizi digitali dovrebbero essere oggetto di un approccio più armonizzato a livello di Unione. È opportuno agevolare la specificazione e l’attuazione di tali misure attraverso atti di esecuzione.

(50)

Anche se i produttori di hardware e gli sviluppatori di software non sono operatori di servizi essenziali, né sono fornitori di servizi digitali, i loro prodotti rafforzano la sicurezza delle reti e dei sistemi informativi. Essi svolgono pertanto un ruolo importante nel permettere agli operatori di servizi essenziali e ai fornitori di servizi digitali di mettere in sicurezza le loro reti e i loro sistemi informativi. Tali prodotti hardware e software sono già soggetti alle norme esistenti sulla garanzia dei prodotti.

(51)

Le misure tecniche e organizzative imposte agli operatori di servizi essenziali e ai fornitori di servizi digitali non dovrebbero richiedere che una particolare informazione commerciale o un particolare prodotto della tecnologia delle comunicazioni sia concepito, sviluppato e fabbricato in una maniera particolare.

(52)

È opportuno che gli operatori di servizi essenziali e i fornitori di servizi digitali garantiscano la sicurezza delle reti e dei sistemi informativi di cui fanno uso. Si tratta in particolare di rete e sistemi informativi privati gestiti dal loro personale IT interno oppure la cui sicurezza sia stata esternalizzata. Gli obblighi di sicurezza e di notifica dovrebbero applicarsi agli operatori di servizi essenziali e ai fornitori di servizi digitali indipendentemente dal fatto che la manutenzione delle loro reti e dei loro sistemi informativi sia eseguita al loro interno o sia esternalizzata.

(53)

Per evitare di imporre un onere finanziario e amministrativo sproporzionato agli operatori di servizi essenziali e ai fornitori di servizi digitali, è opportuno che gli obblighi siano proporzionati al rischio corso dalla rete e dal sistema informativo di cui si tratta, tenendo conto dello stato dell’arte di tali misure. Nel caso di fornitori di servizi digitali, questi obblighi non dovrebbero applicarsi alle microimprese e alle piccole imprese.

(54)

Qualora facciano uso di servizi offerti da fornitori di servizi digitali, in particolare di servizi nella nuvola (cloud computing), le pubbliche amministrazioni degli Stati membri potrebbero voler imporre ai fornitori di tali servizi misure di sicurezza supplementari che vadano al di là di quanto i fornitori di servizi digitali offrirebbero normalmente in base ai requisiti della presente direttiva. Dovrebbero poter procedere in tal senso mediante obblighi contrattuali.

(55)

Le definizioni di mercato online, motore di ricerca online e servizio nella nuvola (cloud computing) di cui alla presente direttiva sono formulate ai fini specifici di quest’ultima e fatti salvi altri strumenti.

(56)

La presente direttiva non dovrebbe impedire agli Stati membri di adottare misure nazionali che obblighino gli organismi del settore pubblico a garantire specifici requisiti di sicurezza nell’ambito degli appalti di servizi nella nuvola. Tali misure nazionali dovrebbero applicarsi all’organismo del settore pubblico di cui si tratta e non al fornitore di servizi nella nuvola.

(57)

Stanti le differenze fondamentali tra gli operatori di servizi essenziali, in particolare per il loro collegamento diretto con le infrastrutture fisiche, e i fornitori di servizi digitali, in particolare per la loro natura transnazionale, la presente direttiva dovrebbe adottare un approccio differenziato al livello di armonizzazione relativo ai due gruppi di soggetti. Per gli operatori di servizi essenziali, gli Stati membri dovrebbero poter identificare gli operatori pertinenti ed imporre requisiti più rigorosi di quelli previsti dalla presente direttiva. Gli Stati membri non dovrebbero identificare i fornitori di servizi digitali, in quanto la presente direttiva dovrebbe applicarsi a tutti i fornitori di servizi digitali rientranti nel suo campo di applicazione. Inoltre, la presente direttiva e i relativi atti di esecuzione dovrebbero assicurare un elevato livello di armonizzazione per i fornitori di servizi digitali con riguardo agli obblighi di notifica e di sicurezza. Ciò dovrebbe consentire che i fornitori di servizi digitali siano trattati in modo uniforme in tutta l’ Unione, in modo proporzionato alla loro natura e al grado di rischio cui potrebbero essere esposti.

(58)

La presente direttiva non dovrebbe precludere agli Stati membri di imporre obblighi di sicurezza e di notifica a soggetti che non sono fornitori di servizi digitali rientranti nell’ambito di applicazione della presente direttiva, fatti salvi gli obblighi imposti agli Stati membri dal diritto dell’Unione.

(59)

È opportuno che le autorità competenti provvedano in particolare alla salvaguardia dell’esistenza di canali informali e affidabili di scambio di informazioni. La pubblicità degli incidenti segnalati alle autorità competenti dovrebbe contemperare l’opportunità che il pubblico sia informato delle minacce esistenti nei confronti di possibili danni di immagine e commerciali per gli operatori di servizi essenziali e i fornitori di servizi digitali che segnalano gli incidenti. Nell’attuare gli obblighi di notifica è opportuno che le autorità competenti e i CSIRT tengano adeguatamente conto della necessità di mantenere strettamente riservate le informazioni sulle vulnerabilità del prodotto prima di diffondere i rimedi di sicurezza appropriati.

(60)

I prestatori di servizi digitali dovrebbero essere soggetti ad attività di vigilanza ex post semplificate e reattive, giustificate dalla natura dei loro servizi e delle loro operazioni. L’autorità competente interessata dovrebbe pertanto adottare misure solo quando ottiene la prova, ad esempio dallo stesso fornitore di servizi digitali, da un’altra autorità competente, compresa un’autorità competente di un altro Stato membro, o da un utente del servizio, che un fornitore di servizi digitali non rispetta gli obblighi della presente direttiva, in particolare in seguito al verificarsi di un incidente. Pertanto, l’autorità competente non dovrebbe avere un obbligo generale di vigilanza sui fornitori di servizi digitali.

(61)

È opportuno che le autorità competenti possiedano i mezzi necessari all’assolvimento dei loro compiti, come la facoltà di ottenere informazioni sufficienti per valutare il livello di sicurezza delle reti e dei sistemi informativi.

(62)

Gli incidenti possono essere causati da attività criminali e i relativi interventi di prevenzione, indagine e perseguimento sono supportati dal coordinamento e dalla cooperazione tra operatori di servizi essenziali, fornitori di servizi digitali, autorità competenti e autorità di contrasto. Se si sospetta che un incidente sia connesso ad attività criminali gravi ai sensi del diritto dell’Unione o nazionale, gli Stati membri dovrebbero incoraggiare gli operatori di servizi essenziali e i fornitori di servizi digitali a segnalare alle autorità di contrasto competenti gli incidenti di cui si sospetta la natura criminale grave. Se del caso, è auspicabile che il coordinamento tra le autorità competenti e le autorità di contrasto dei diversi Stati membri sia facilitato dal Centro europeo per la lotta alla criminalità informatica (EC3) e dall’ENISA.

(63)

In molti casi gli incidenti compromettono dati personali. Al riguardo è opportuno che le autorità competenti e le autorità responsabili della protezione dei dati collaborino e si scambino informazioni su tutti gli aspetti pertinenti per affrontare le violazioni ai dati personali determinate dagli incidenti.

(64)

La competenza giurisdizionale rispetto ai fornitori di servizi digitali dovrebbe spettare allo Stato membro, in cui il fornitore di servizi digitali di cui si tratta ha lo stabilimento principale nell’Unione, che in principio corrisponde al luogo in cui il fornitore ha la sua sede sociale nell’Unione. Lo stabilimento implica l’effettivo e reale svolgimento di attività nel quadro di un’organizzazione stabile. A tale riguardo non è determinante la forma giuridica assunta, sia essa una succursale o una filiale dotata di personalità giuridica. Questo criterio non dovrebbe dipendere dal fatto che le reti e i sistemi informativi siano situati fisicamente in un determinato luogo; la presenza e l’utilizzo dei sistemi in questione non costituiscono di per sé lo stabilimento principale e non sono pertanto criteri per la sua determinazione.

(65)

Qualora un fornitore di servizi digitali non stabilito nell’Unione offra servizi nell’Unione, questi dovrebbe designare un rappresentante. Per determinare se tale fornitore di servizi digitali stia offrendo servizi nell’Unione, è opportuno verificare se risulta che il fornitore di servizi digitali stia progettando di fornire servizi a persone in uno o più Stati membri. La semplice accessibilità nell’Unione del sito internet del fornitore di servizi digitali o di un intermediario, o di un indirizzo di posta elettronica e di altri dati di contatto o l’impiego di una lingua abitualmente utilizzata nel paese terzo in cui il fornitore di servizi digitali è stabilito, è insufficiente per accertare tale intenzione. Tuttavia, fattori quali l’utilizzo di una lingua o di una moneta abitualmente utilizzata in uno o più Stati membri, con la possibilità di ordinare servizi in tale altra lingua, o la menzione di clienti o utenti che si trovano nell’Unione, possono evidenziare che il fornitore di servizi digitali stia progettando di offrire servizi all’interno dell’Unione. Il rappresentante dovrebbe agire a nome del fornitore di servizi digitali e dovrebbe essere possibile per le autorità competente o i CSIRT contattare il rappresentante. Quest’ultimo dovrebbe essere esplicitamente designato mediante mandato scritto del fornitore di servizi digitali affinché agisca a suo nome con riguardo agli obblighi che a quest’ultimo derivano dalla presente direttiva, compresa la segnalazione di incidenti.

(66)

La standardizzazione degli obblighi di sicurezza è un’esigenza che nasce dal mercato. Per garantire un’applicazione convergente delle norme di sicurezza è opportuno che gli Stati membri incoraggino il rispetto o la conformità a norme specifiche volte a garantire un livello elevato di sicurezza delle reti e dei sistemi informativi in tutta l’Unione. L’ENISA dovrebbe assistere gli Stati membri mediante consulenza e linee guida. A tal fine, potrebbe essere utile elaborare norme armonizzate a norma del regolamento (UE) n. 1025/2012 del Parlamento europeo e del Consiglio.

(67)

Soggetti non rientranti nell’ambito di applicazione della presente direttiva potrebbero subire incidenti aventi un impatto rilevante sui servizi forniti. Qualora tali soggetti ritengano che sia nell’interesse pubblico notificare il verificarsi di tali incidenti, dovrebbero poterlo fare su base volontaria. Tali notifiche dovrebbero essere trattate dalle autorità competenti o dai CSIRT, purché il loro trattamento non rappresenti un onere sproporzionato o eccessivo per gli Stati membri interessati.

(68)

Al fine di garantire condizioni uniformi di esecuzione della presente direttiva, dovrebbero essere attribuite alla Commissione competenze di esecuzione per prevedere le modalità procedurali necessarie per il funzionamento del gruppo di cooperazione e gli obblighi di sicurezza e di notifica applicabili ai fornitori di servizi digitali. Tali competenze di esecuzione dovrebbero essere esercitate conformemente al regolamento (UE) n. 182/2011 del Parlamento europeo e del Consiglio (9). Nell’adottare atti di esecuzione relativi alle modalità procedurali necessarie per il funzionamento del gruppo di cooperazione, la Commissione dovrebbe tenere nella massima considerazione il parere dell’ENISA.

(69)

Nell’adottare atti di esecuzione sugli obblighi di sicurezza per i fornitori di servizi digitali, la Commissione dovrebbe tenere nella massima considerazione il parere dell’ENISA e dovrebbe consultare le parti interessate. Inoltre, la Commissione è incoraggiata a tener conto degli esempi seguenti: relativamente alla sicurezza dei sistemi e degli impianti: sicurezza fisica e dell’ambiente, sicurezza delle forniture, controllo dell’accesso alla rete ed ai sistemi informativi e integrità della rete e dei sistemi informativi; relativamente alla gestione degli incidenti: procedure per la gestione degli incidenti, capacità di rilevazione degli incidenti, comunicazione e segnalazione degli incidenti; relativamente alla gestione della continuità operativa: strategia per la continuità del servizio e piani di emergenza, capacità di ripristino in caso di disastro; e relativamente a monitoraggio, audit e test: prassi in materia di monitoraggio e registrazione, esercitazioni dei piani di emergenza, test delle reti e dei sistemi informativi, valutazioni della sicurezza e controllo di conformità.

(70)

Nell’attuazione della presente direttiva la Commissione dovrebbe coordinarsi adeguatamente con i comitati settoriali competenti e gli organi costituiti a livello dell’Unione nei settori disciplinati dalla presente direttiva.

(71)

È opportuno che la Commissione riesamini la presente direttiva a scadenze regolari, in consultazione con le parti interessate, in particolare per valutare la necessità di modificarle in funzione delle evoluzioni della società, della politica, delle tecnologie o delle condizioni del mercato.

(72)

Lo scambio di informazioni sui rischi e sugli incidenti all’interno del gruppo di cooperazione e della rete di CSIRT e il rispetto degli obblighi di notifica degli incidenti alle autorità nazionali competenti o ai CSIRT potrebbero richiedere il trattamento di dati personali. Tale trattamento dovrebbe essere conforme alla direttiva 95/46/CE del Parlamento europeo e del Consiglio (10) e al regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio (11). Nell’applicazione della presente direttiva si applica, per quanto di ragione, il regolamento (CE) n. 1049/2001 del Parlamento europeo e del Consiglio (12).

(73)

Il Garante europeo della protezione dei dati è stato consultato conformemente all’articolo 28, paragrafo 2, del regolamento (CE) n. 45/2001 e ha espresso un parere il 14 giugno 2013 (13).

(74)

Poiché l’obiettivo della presente direttiva, vale a dire conseguire un elevato livello comune di sicurezza delle reti e dei sistemi informativi nell’Unione, non può essere conseguito in misura sufficiente dagli Stati membri ma, a motivo della portata e degli effetti dell’azione, può essere conseguito meglio a livello di Unione, quest’ultima può intervenire in base al principio di sussidiarietà sancito dall’articolo 5 del trattato sull’Unione europea. La presente direttiva si limita a quanto è necessario per conseguire tale obiettivo in ottemperanza al principio di proporzionalità enunciato nello stesso articolo.

(75)

La presente direttiva rispetta i diritti fondamentali e osserva i principi riconosciuti dalla Carta dei diritti fondamentali dell’Unione europea, in particolare il diritto al rispetto della vita privata e delle comunicazioni, la protezione dei dati personali, la libertà di impresa, il diritto di proprietà, il diritto a un ricorso effettivo dinanzi a un giudice e il diritto al contraddittorio. La presente direttiva dovrebbe essere applicata nel rispetto di tali diritti e principi,

HANNO ADOTTATO LA PRESENTE DIRETTIVA:

Torna all’indice

en_US