Considerando del Regolamento UE sulla cibersicurezza 2019/881

(1)

Le reti e i sistemi informativi e le reti e i servizi di comunicazione elettronica svolgono un ruolo essenziale nella società e sono diventati i pilastri della crescita economica. Le tecnologie dell’informazione e della comunicazione (TIC) sono alla base dei sistemi complessi su cui poggiano le attività quotidiane della società, fanno funzionare le nostre economie in settori essenziali quali la sanità, l’energia, la finanza e i trasporti e, in particolare, contribuiscono al funzionamento del mercato interno.

(2)

L’uso delle reti e dei sistemi informativi da parte di cittadini, organizzazioni e imprese di tutta l’Unione è attualmente molto diffuso. La digitalizzazione e la connettività stanno diventando caratteristiche fondamentali di un numero di prodotti e servizi in costante aumento, e con l’avvento dell’Internet degli oggetti (Internet of Things — IoT) nel prossimo decennio dovrebbero essere disponibile in tutta l’Unione un numero estremamente elevato di dispositivi digitali connessi. Sebbene un numero crescente di dispositivi sia connesso a Internet, la sicurezza e la resilienza non sono sufficientemente integrate nella progettazione, il che rende inadeguata la cibersicurezza. In tale contesto, l’uso limitato della certificazione fa sì che gli utenti individuali, nelle organizzazioni e nelle aziende dispongano di informazioni insufficienti sulle caratteristiche dei prodotti TIC, dei servizi TIC e dei processi TIC in termini di cibersicurezza, il che mina la fiducia nelle soluzioni digitali. La rete e i sistemi informativi sono in grado di aiutarci in tutti gli aspetti della vita e danno impulso alla crescita economica dell’Unione. Sono fondamentali per il raggiungimento del mercato unico digitale.

(3)

L’incremento della digitalizzazione e della connettività comporta maggiori rischi connessi alla cibersicurezza, il che rende la società in generale più vulnerabile alle minacce informatiche e aggrava i pericoli cui sono esposte le persone, comprese quelle vulnerabili come i minori. Al fine di attenuare tali rischi, occorre prendere tutti i provvedimenti necessari per migliorare la cibersicurezza nell’Unione allo scopo di proteggere meglio dalle minacce informatiche le reti e i sistemi informativi, le reti di comunicazione, i prodotti digitali, i servizi e i dispositivi utilizzati da cittadini, organizzazioni e imprese, a partire dalle piccole e medie imprese (PMI), quali definite nella raccomandazione della Commissione 2003/361/CE (4), fino ai gestori delle infrastrutture critiche.

(4)

Mettendo a disposizione del pubblico le informazioni pertinenti, l’Agenzia dell’Unione europea per la cibersicurezza (European Union Agency for Network and Information Security — ENISA), istituita dal regolamento (UE) n. 526/2013 del Parlamento europeo e del Consiglio (5), contribuisce allo sviluppo del settore della cibersicurezza nell’Unione, in particolare le PMI e le start-up. L’ENISA dovrebbe puntare a una cooperazione più stretta con le università e gli istituti di ricerca al fine di contribuire alla riduzione della dipendenza da prodotti e servizi della cibersicurezza provenienti dall’esterno dell’Unione e a rinforzare le filiere all’interno dell’Unione.

(5)

Gli attacchi informatici sono in aumento e la maggiore vulnerabilità alle minacce e agli attacchi informatici di un’economia e di una società connesse impone un rafforzamento delle difese. Tuttavia, mentre gli attacchi informatici avvengono spesso attraverso le frontiere, le competenze in materia di cibersicurezza e autorità incaricate dell’applicazione della legge e le relative risposte politiche sono prevalentemente nazionali. Gli incidenti su vasta scala possono ostacolare la prestazione di servizi essenziali in tutto il territorio dell’Unione. Ciò richiede capacità effettive e coordinate di risposta e di gestione delle crisi a livello di Unione, sulla base di apposite politiche e strumenti di più ampia portata per la solidarietà europea e l’assistenza reciproca. Inoltre, una valutazione periodica dello stato della cibersicurezza e della resilienza nell’Unione, che sia basata su dati affidabili a livello di Unione, e previsioni sistematiche degli sviluppi, delle sfide e delle minacce futuri, a livello di Unione e a livello mondiale, sono importanti per i responsabili delle politiche, il settore e gli utenti.

(6)

Tenuto conto delle maggiori sfide che l’Unione si trova ad affrontare in materia di cibersicurezza, è necessario disporre di una serie completa di misure che si basino su precedenti azioni dell’Unione e promuovano obiettivi sinergici. Tra questi obiettivi figura il rafforzamento ulteriore delle capacità e della preparazione degli Stati membri e delle imprese e il miglioramento della cooperazione, la condivisione di informazioni e il coordinamento tra gli Stati membri e le istituzioni, gli organi e gli organismi dell’Unione. Inoltre, data la natura transfrontaliera delle minacce informatiche, è necessario aumentare le capacità a livello di Unione che potrebbero integrare l’azione degli Stati membri, in particolare nei casi di crisi e incidenti transfrontalieri su vasta scala, pur tenendo conto dell’importanza di mantenere e rafforzare ulteriormente le capacità nazionali di risposta alle minacce informatiche di qualsiasi dimensione.

(7)

Sono inoltre necessari ulteriori sforzi per accrescere la consapevolezza dei cittadini, delle organizzazioni e delle imprese circa le questioni riguardanti la cibersicurezza. In aggiunta, dato che gli incidenti minano la fiducia nei fornitori di servizi digitali e nel mercato unico digitale stesso, soprattutto fra i consumatori, essa dovrebbe essere ulteriormente rafforzata fornendo informazioni in maniera trasparente in merito al livello di sicurezza dei prodotti TIC, dei servizi TIC e dei processi TIC che evidenzi che persino un livello elevato di certificazione della cibersicurezza non può garantire che un prodotto TIC, un servizio TIC o un processo TIC sia completamente sicuro. Un aumento di fiducia può essere agevolato da una certificazione a livello di Unione che preveda requisiti e criteri di valutazione comuni in materia di cibersicurezza validi per tutti i settori e i mercati nazionali.

(8)

La cibersicurezza non costituisce soltanto una questione relativa alla tecnologia, ma anche una in cui il comportamento umano è di pari importanza. Di conseguenza, è opportuno promuovere energicamente l’«igiene informatica», vale a dire semplici misure di routine che, se attuate e svolte regolarmente da cittadini, organizzazioni e imprese, riducono al minimo la loro esposizione a rischi derivanti da minacce informatiche.

(9)

Al fine di rafforzare le strutture della cibersicurezza dell’Unione, è importante mantenere e sviluppare le capacità degli Stati membri di rispondere in modo globale alle minacce informatiche, compresi gli incidenti transfrontalieri.

(10)

Le imprese e i singoli consumatori dovrebbero disporre di informazioni precise sul livello di affidabilità con cui è stata certificata la sicurezza dei loro prodotti TIC, servizi TIC e processi TIC. Allo stesso tempo, nessun prodotto TIC o servizio TIC garantisce completamente la cibersicurezza e bisogna promuovere regole basilari sull’igiene informatica, dando loro la priorità. Alla luce della crescente disponibilità di dispositivi IoT, vi è una serie di misure volontarie che il settore privato può adottare per rafforzare la fiducia nella sicurezza dei prodotti TIC, servizi TIC e processi TIC.

(11)

I moderni prodotti e sistemi TIC spesso integrano e utilizzano una o più tecnologie e componenti terzi quali moduli software, biblioteche o interfacce per programmi applicativi. Tale utilizzo, detto «dipendenza», potrebbe presentare rischi supplementari connessi alla cibersicurezza in quanto le vulnerabilità riscontrate in componenti terzi potrebbero pregiudicare anche la sicurezza dei prodotti TIC, servizi TIC e processi TIC. In molti casi, l’individuazione e la documentazione di tali dipendenze consentono agli utenti finali dei prodotti TIC, servizi TIC e processi TIC di migliorare le loro attività di gestione dei rischi in materia di cibersicurezza ottimizzando, ad esempio, le procedure messe in atto per individuare le vulnerabilità e porvi rimedio.

(12)

Le organizzazioni, i fabbricanti o i fornitori coinvolti nella progettazione e nello sviluppo di prodotti TIC, servizi TIC e processi TIC dovrebbero essere incoraggiati ad attuare misure nelle prime fasi di progettazione e sviluppo per tutelare il più possibile sin dall’inizio la sicurezza di tali prodotti, servizi e processi, in modo che si presuma il verificarsi di attacchi informatici e se ne anticipi e riduca al minimo l’impatto («sicurezza fin dalla progettazione»). La sicurezza dovrebbe essere assicurata in tutto il ciclo di vita del prodotto TIC, servizio TIC o processo TIC, con un’evoluzione costante dei processi di progettazione e sviluppo al fine di ridurre il rischio di danni derivanti da un utilizzo doloso.

(13)

Le imprese, le organizzazioni e il settore pubblico dovrebbero configurare i prodotti TIC, servizi TIC o processi TIC da loro progettati in modo da garantire un livello di sicurezza superiore che dovrebbe consentire al primo utente di ricevere una configurazione predefinita con le impostazioni più sicure possibili («sicurezza predefinita»), riducendo al contempo l’onere in capo agli utenti di dover configurare un prodotto TIC, servizio TIC o processo TIC in modo adeguato. La sicurezza predefinita non dovrebbe necessitare di configurazioni dettagliate né di conoscenze tecniche specifiche o di un comportamento non intuitivo da parte dell’utente, e dovrebbe funzionare in modo semplice e affidabile quando attuata. Qualora, su base puntuale, un’analisi del rischio e dell’usabilità porti a concludere che tali impostazioni predefinite non sono attuabili, gli utenti dovrebbero essere sollecitati a optare per l’impostazione più sicura.

(14)

Il regolamento (CE) n. 460/2004 del Parlamento europeo e del Consiglio (6) ha istituito l’ENISA al fine di contribuire ad assicurare un livello di sicurezza elevato ed efficace delle reti e dell’informazione nell’ambito dell’Unione e di sviluppare una cultura in materia di sicurezza delle reti e dell’informazione a vantaggio dei cittadini, dei consumatori, delle imprese e delle amministrazioni pubbliche. Il regolamento (CE) n. 1007/2008 del Parlamento europeo e del Consiglio (7) ha prorogato il mandato dell’ENISA fino a marzo 2012. Il regolamento (EU) n. 580/2011 del Parlamento europeo e del Consiglio (8) ha prorogato ulteriormente il mandato dell’ENISA fino al 13 settembre 2013. Il regolamento (UE) n. 526/2013 ha prorogato il mandato dell’ENISA fino al 19 giugno 2020.

(15)

L’Unione ha già adottato importanti provvedimenti per garantire la cibersicurezza e accrescere la fiducia nelle tecnologie digitali. Nel 2013 è stata adottata la Strategia dell’Unione europea per la cibersicurezza per orientare la risposta politica dell’Unione alle minacce e ai rischi informatici. Nell’intento di proteggere maggiormente i cittadini online, nel 2016 è stato adottato il primo atto giuridico nel campo della cibersicurezza, vale a dire la direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio (9). La direttiva (UE) 2016/1148 ha stabilito obblighi concernenti le capacità nazionali nel campo della cibersicurezza, ha istituito i primi meccanismi volti a rafforzare la cooperazione strategica e operativa tra gli Stati membri e ha introdotto obblighi riguardanti le misure di sicurezza e le notifiche degli incidenti in tutti i settori che sono di vitale importanza per l’economia e la società, quali l’energia, i trasporti, fornitura e distribuzione di acqua potabile, i servizi bancari, le infrastrutture dei mercati finanziari, la sanità, le infrastrutture digitali e i fornitori di servizi digitali essenziali (motori di ricerca, servizi di cloud computing e mercati online).

All’ENISA è stato attribuito un ruolo fondamentale nel sostegno all’attuazione di tale direttiva. Inoltre, la lotta efficace contro la cibercriminalità è una priorità importante dell’agenda europea sulla sicurezza e contribuisce al conseguimento dell’obiettivo generale di raggiungere un elevato livello di cibersicurezza. Altri atti giuridici, quali il regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio (10) e le direttive 2002/58/CE (11) e (UE) 2018/1972 (12) del Parlamento europeo e del Consiglio, contribuiscono inoltre a un elevato livello di cibersicurezza nel mercato unico digitale.

(16)

Dall’adozione della Strategia dell’Unione europea per la cibersicurezza nel 2013 e dall’ultima revisione del mandato dell’ENISA, il contesto politico generale è cambiato in modo significativo, in quanto il contesto globale è diventato più incerto e meno sicuro. Data la situazione e considerato lo sviluppo positivo del ruolo dell’ENISA quale punto di riferimento per pareri e competenze e facilitatore della cooperazione e dello sviluppo delle capacità, nonché nel quadro della nuova politica dell’Unione in materia di cibersicurezza, è necessario rivedere il mandato dell’ENISA per definirne il ruolo nel mutato ecosistema della cibersicurezza e garantire che contribuisca efficacemente alla risposta dell’Unione alle sfide poste in questo ambito dalla radicale trasformazione del panorama della minaccia informatica, a fronte del quale l’attuale mandato non è sufficiente, come riconosciuto in fase di valutazione dell’ENISA.

(17)

L’ENISA istituita dal presente regolamento dovrebbe succedere all’ENISA istituita con il regolamento (UE) n. 526/2013. L’ENISA dovrebbe svolgere i compiti che le sono conferiti dal presente regolamento e dagli altri atti giuridici dell’Unione nel campo della cibersicurezza, anche fornendo pareri e competenze e fungendo da centro di informazioni e conoscenze dell’Unione. Dovrebbe promuovere lo scambio di buone pratiche tra gli Stati membri e i portatori di interessi del settore privato, fornire suggerimenti strategici alla Commissione e agli Stati membri, fungere da punto di riferimento per iniziative politiche settoriali dell’Unione sulle questioni di cibersicurezza e promuovere la cooperazione operativa, sia tra gli Stati membri sia tra questi ultimi e le istituzioni, gli organi e gli organismi dell’Unione.

(18)

Nel quadro della decisione 2004/97/CE, Euratom adottata di comune accordo dai rappresentanti dei governi degli Stati membri, riuniti a livello di capi di Stato o di governo (13), i rappresentanti degli Stati membri hanno deciso che la sede dell’ENISA sarebbe stata in Grecia, in una città designata dal governo greco. Lo Stato membro ospitante dovrebbe garantire le migliori condizioni possibili per il corretto ed efficace funzionamento dell’ENISA. Per uno svolgimento adeguato ed efficiente dei suoi compiti, per l’assunzione e il trattenimento del personale e per aumentare l’efficacia delle attività di rete, è imprescindibile che l’ENISA sia ubicata in una sede adeguata che garantisca, tra l’altro, collegamenti e infrastrutture di trasporto appropriati per i coniugi e i figli del personale. Le disposizioni necessarie dovrebbero essere fissate in un accordo concluso tra l’ENISA e lo Stato membro ospitante, previa approvazione del consiglio di amministrazione dell’ENISA.

(19)

Tenuto conto dei rischi e delle sfide crescenti in materia di cibersicurezza che l’Unione si trova ad affrontare, le risorse finanziarie e umane destinate all’ENISA dovrebbero essere aumentate per riflettere il potenziamento del suo ruolo e dei suoi compiti, come pure la sua posizione cruciale nell’ecosistema delle organizzazioni che difendono l’ecosistema digitale dell’Unione, consentendo all’ENISA di svolgere efficacemente i compiti che le sono conferiti dal presente regolamento.

(20)

È opportuno che l’ENISA sviluppi e mantenga un elevato livello di competenza e che operi come punto di riferimento generando fiducia nel mercato interno grazie alla propria indipendenza, alla qualità delle consulenze e delle informazioni fornite, alla trasparenza delle procedure e dei metodi operativi come pure alla diligenza nell’esecuzione dei suoi compiti. Nello svolgimento dei suoi compiti l’ENISA dovrebbe sostenere attivamente gli sforzi nazionali e contribuire in modo proattivo agli sforzi dell’Unione, collaborando pienamente con le istituzioni, gli organi e gli organismi dell’Unione e con gli Stati membri, evitando la duplicazione delle attività e promuovendo le sinergie. Inoltre, dovrebbe avvalersi dei contributi e della collaborazione del settore privato e di altri portatori d’interessi. È opportuno stabilire una serie di compiti che definiscano in che modo l’ENISA debba raggiungere i propri obiettivi, lasciandole nel contempo una certa flessibilità di azione.

(21)

Per poter fornire adeguato sostegno alla cooperazione operativa tra gli Stati membri, l’ENISA dovrebbe rafforzare ulteriormente le proprie capacità e abilità tecniche e umane. L’ENISA dovrebbe incrementare il proprio know-how e le proprie capacità. L’ENISA e gli Stati membri, su base volontaria, potrebbero sviluppare programmi per il distacco di esperti nazionali presso l’ENISA, la creazione di pool di esperti e lo scambio di personale.

(22)

L’ENISA dovrebbe assistere la Commissione tramite consulenze, pareri e analisi su tutte le questioni inerenti all’Unione e riguardanti l’elaborazione, l’aggiornamento e la revisione di politiche e normative nel campo della cibersicurezza, nonché i relativi aspetti settoriali al fine di rafforzare la pertinenza delle politiche e normative dell’Unione aventi una dimensione di cibersicurezza e assicurarne la coerenza dell’attuazione a livello nazionale. L’ENISA dovrebbe fungere da punto di riferimento per pareri e competenze sulle iniziative politiche e legislative settoriali dell’Unione che presentano aspetti correlati alla cibersicurezza. L’ENISA dovrebbe informare periodicamente il Parlamento europeo in merito alle sue attività.

(23)

Il nucleo pubblico dell’Internet aperta, vale a dire i suoi protocolli e le sue infrastrutture principali, che costituiscono un bene pubblico globale, consente la funzionalità essenziale di Internet nel suo complesso e ne supporta il normale funzionamento. L’ENISA dovrebbe sostenere la sicurezza del nucleo pubblico dell’Internet aperta e la stabilità del suo funzionamento, compresi, solo a titolo di esempio, i protocolli chiave (in particolare DNS, BGP e IPv6), il funzionamento del sistema dei nomi di dominio (come il funzionamento di tutti i domini di primo livello) e il funzionamento della zona root.

(24)

Il compito di base dell’ENISA è promuovere l’attuazione coerente del pertinente quadro normativo, in particolare l’effettiva attuazione della direttiva (UE) 2016/1148 e degli altri strumenti giuridici pertinenti che presentano aspetti relativi alla cibersicurezza, che è essenziale per rafforzare la ciberresilienza. In considerazione del panorama delle minacce informatiche in rapida evoluzione, è chiaro che gli Stati membri devono essere sostenuti da un approccio trasversale più ampio allo sviluppo della ciberresilienza.

(25)

L’ENISA dovrebbe assistere gli Stati membri e le istituzioni, gli organi e gli organismi dell’Unione nei loro sforzi volti a sviluppare e consolidare le capacità e la preparazione per prevenire e individuare le minacce e gli incidenti e relativi alla sicurezza delle reti e dei sistemi informativi e per reagirvi. In particolare, dovrebbe sostenere lo sviluppo e il potenziamento dei gruppi di intervento per la sicurezza informatica in caso di incidente (computer security incident response teams — «CSIRT») nazionali e dell’Unione previsti dalla direttiva (UE) 2016/1148 perché raggiungano un livello comune elevato di maturità nell’Unione. Le attività svolte dall’ENISA in relazione alle capacità operative degli Stati membri dovrebbero sostenere attivamente le azioni intraprese dagli Stati membri per adempiere agli obblighi derivanti dalla direttiva (UE) 2016/1148 e non dovrebbero pertanto sostituirsi a esse.

(26)

L’ENISA dovrebbe inoltre fornire assistenza nello sviluppo e nell’aggiornamento delle strategie in materia di sicurezza delle reti e dei sistemi informativi a livello di Unione e, su richiesta, a livello di Stati membri, in particolare per quanto riguarda la cibersicurezza, e dovrebbe promuovere la diffusione di tali strategie e seguirne il progresso della loro attuazione. Dovrebbe inoltre contribuire a soddisfare la necessità di formazione e materiale formativo, comprese le necessità degli enti pubblici e, se del caso, in larga misura «formare i formatori», basandosi sul quadro delle competenze digitali per i cittadini al fine di assistere gli Stati membri e le istituzioni, gli organi e gli organismi dell’Unione nello sviluppo di capacità di formazione autonome.

(27)

L’ENISA dovrebbe sostenere gli Stati membri nel campo della sensibilizzazione e dell’istruzione in materia di cibersicurezza facilitando un coordinamento più stretto e lo scambio delle migliori pratiche tra Stati membri. Tale sostegno potrebbe consistere nello sviluppo di una rete di punti di contatto nazionali in materia di istruzione e di una piattaforma di formazione sulla cibersicurezza. La rete di punti di contatto nazionali in materia di istruzione potrebbe operare nel quadro della rete dei funzionari nazionali di collegamento e costituire un punto di partenza per il coordinamento futuro all’interno degli Stati membri.

(28)

L’ENISA dovrebbe assistere il gruppo di cooperazione istituito dalla direttiva (UE) 2016/1148 nell’esecuzione dei suoi compiti, in particolare mettendo a disposizione competenze, fornendo consulenze e agevolando lo scambio di migliori pratiche, tra l’altro per quanto riguarda l’individuazione degli operatori di servizi essenziali da parte degli Stati membri, nonché in relazione alle dipendenze transfrontaliere, riguardo a rischi e incidenti.

(29)

Al fine di promuovere la cooperazione tra il settore pubblico e il settore privato e all’interno di quest’ultimo, in particolare per sostenere la protezione delle infrastrutture critiche, l’ENISA dovrebbe sostenere la condivisione delle informazioni intra e intersettoriale, in particolare nei settori che figurano nell’allegato II della direttiva (UE) 2016/1148, fornendo migliori pratiche e orientamenti sugli strumenti disponibili e sulle procedure, nonché fornendo orientamenti su come affrontare le questioni normative relative alla condivisione delle informazioni, ad esempio agevolando la creazione di centri settoriali di condivisione e di analisi delle informazioni.

(30)

Considerando il potenziale impatto negativo delle vulnerabilità nei prodotti TIC, servizi TIC e processi TIC è in costante aumento, nella riduzione del rischio totale connesso alla cibersicurezza è di considerevole importanza individuare ed eliminare tali vulnerabilità. È comprovato che la cooperazione tra le organizzazioni, i fabbricanti o i fornitori di prodotti TIC, servizi TIC e processi TIC vulnerabili, i membri della comunità di ricerca in materia di cibersicurezza e le autorità che individuano tali vulnerabilità accresce considerevolmente il tasso di individuazione e di eliminazione delle vulnerabilità nei prodotti TIC, servizi TIC e processi TIC. La divulgazione coordinata delle vulnerabilità consiste in un processo strutturato di cooperazione in cui le vulnerabilità sono segnalate al proprietario del sistema informativo, offrendo in tal modo all’organizzazione la possibilità di diagnosticarle ed eliminarle prima che informazioni dettagliate in merito siano comunicate a terze parti o al pubblico. Il processo prevede anche il coordinamento tra la parte che ha individuato le vulnerabilità e l’organizzazione per quanto riguarda la pubblicazione di dette vulnerabilità. Le politiche di gestione della divulgazione coordinata delle vulnerabilità potrebbero svolgere un ruolo importante negli sforzi degli Stati membri tesi a migliorare la cibersicurezza.

(31)

L’ENISA dovrebbe aggregare e analizzare le relazioni nazionali volontariamente condivise dei CSIRT e della squadra di pronto intervento informatico delle istituzioni, degli organi e delle agenzie dell’Unione istituita dall’accordo tra il Parlamento europeo, il Consiglio europeo, il Consiglio dell’Unione europea, la Commissione europea, la Corte di giustizia dell’Unione europea, la Banca centrale europea, la Corte dei conti europea, il Servizio europeo per l’azione esterna, il Comitato economico e sociale europeo, il Comitato europeo delle regioni e la Banca europea per gli investimenti sull’organizzazione e il funzionamento della squadra di pronto intervento informatico delle istituzioni, degli organi e delle agenzie dell’Unione (Computer Emergency Response Team — «CERT-UE») (14) allo scopo di contribuire alla definizione di procedure, lingua e terminologia comuni per lo scambio delle informazioni. In tale contesto l’ENISA dovrebbe coinvolgere il settore privato nell’ambito della direttiva (UE) 2016/1148, che ha gettato le basi per lo scambio volontario di informazioni tecniche a livello operativo, nella rete di gruppi di intervento per la sicurezza informatica in caso di incidente (Computer Security Incident Response Teams — «rete CSIRT») istituita da tale direttiva.

(32)

L’ENISA dovrebbe contribuire a una risposta a livello di Unione in caso di crisi e incidenti transfrontalieri su vasta scala relativi alla cibersicurezza. Tale compito dovrebbe essere espletato questa funzione conformemente al mandato assegnatole ai sensi del presente regolamento e a un approccio da concordarsi tra gli Stati membri nel contesto della raccomandazione (UE) 2017/1584 della Commissione (15) e delle conclusioni del Consiglio del 26 giugno 2018 relative alla risposta coordinata dell’UE agli incidenti e alle crisi di cibersicurezza su vasta scala. Tale compito potrebbe comprendere la raccolta delle informazioni pertinenti e il ruolo di facilitatore tra la rete di CSIRT e la comunità tecnica nonché tra i responsabili decisionali nella gestione delle crisi. Inoltre, l’ENISA dovrebbe sostenere la cooperazione operativa tra gli Stati membri, se richiesto da uno o più Stati membri, nella gestione degli incidenti dal punto di vista tecnico, agevolando gli scambi di soluzioni tecniche tra gli Stati membri e contribuendo alla comunicazione pubblica. L’ENISA dovrebbe sostenere la cooperazione operativa sottoponendo a prova le modalità di tale cooperazione attraverso esercitazioni periodiche di cibersicurezza.

(33)

Nel sostenere la cooperazione operativa, l’ENISA dovrebbe avvalersi delle competenze tecniche e operative disponibili della CERT-UE attraverso una cooperazione strutturata. Tale cooperazione strutturata potrebbe fondarsi sulle competenze dell’ENISA. Se del caso, dovrebbero essere conclusi appositi accordi tra i due soggetti per definire l’attuazione pratica di tale cooperazione ed evitare la duplicazione delle attività.

(34)

Nello svolgere il suo compito di sostegno della cooperazione operativa nell’ambito della rete di CSIRT, l’ENISA dovrebbe essere in grado di assistere gli Stati membri su loro richiesta, ad esempio fornendo consulenza su come migliorare le loro capacità di prevenzione e rilevazione degli incidenti e di risposta agli stessi, agevolando la gestione tecnica di incidenti aventi un impatto rilevante o sostanziale, o assicurando che minacce e incidenti informatici siano analizzati. L’ENISA dovrebbe agevolare la gestione tecnica di incidenti aventi un impatto rilevante o sostanziale, in particolare sostenendo la condivisione volontaria di soluzioni tecniche tra gli Stati membri o producendo informazioni tecniche combinate, quali soluzioni tecniche volontariamente condivise dagli Stati membri. Nella raccomandazione (UE) 2017/1584, la Commissione raccomanda agli Stati membri di cooperare in buona fede e di condividere tra loro e con l’ENISA, senza indebiti ritardi, le informazioni sugli incidenti e le crisi su vasta scala relativi alla cibersicurezza. Tali informazioni aiuterebbero ulteriormente l’ENISA nello svolgimento dei suoi compiti di sostegno alla cooperazione operativa.

(35)

Nell’ambito della costante cooperazione a livello tecnico per sostenere la consapevolezza della situazione dell’Unione, l’ENISA dovrebbe elaborare periodicamente, in stretta cooperazione con gli Stati membri, una relazione approfondita sulla situazione tecnica della cibersicurezza nell’Unione in merito agli incidenti e alle minacce informatici, sulla base delle informazioni pubblicamente disponibili, della propria analisi e delle relazioni condivise dai CSIRT degli Stati membri o dai punti di contatto unici in materia di sicurezza delle reti e dei sistemi informativi («punti di contatto unici») previsti dalla direttiva (UE) 2016/1148, in entrambi i casi su base volontaria, dal Centro europeo per la lotta alla criminalità informatica (European Cybercrime Centre — EC3) presso Europol, dalla CERT-UE e, ove necessario, dal Centro UE di situazione e di intelligence (European Union Intelligence and Situation Centre — EU INTCEN) presso il Servizio europeo per l’azione esterna. Tale relazione dovrebbe essere messa a disposizione del Consiglio, della Commissione, dell’alto rappresentante dell’Unione per gli affari esteri e la politica di sicurezza e della rete di CSIRT.

(36)

Il sostegno dell’ENISA alle indagini tecniche ex post effettuate, su richiesta degli Stati membri interessati, sugli incidenti aventi un impatto rilevante o sostanziale dovrebbe essere incentrato sulla prevenzione degli incidenti futuri. Gli Stati membri interessati dovrebbero fornire le informazioni e l’assistenza necessarie per consentire all’ENISA di sostenere efficacemente l’indagine tecnica ex post.

(37)

Gli Stati membri possono invitare le imprese interessate dall’incidente a collaborare fornendo le informazioni e l’assistenza necessarie all’ENISA, fatto salvo il loro diritto di tutelare le informazioni sensibili sul piano commerciale e le informazioni pertinenti alla pubblica sicurezza.

(38)

Per comprendere meglio le sfide nel campo della cibersicurezza e al fine di fornire consulenza strategica a lungo termine agli Stati membri e alle istituzioni, agli organi e agli organismi dell’Unione, l’ENISA ha bisogno di analizzare i rischi attuali ed emergenti connessi alla cibersicurezza. A tal fine, in cooperazione con gli Stati membri e se del caso con gli istituti di statistica e con altri organismi, l’ENISA dovrebbe raccogliere le informazioni pertinenti pubblicamente disponibili o volontariamente condivise, analizzare le tecnologie emergenti e fornire valutazioni su temi specifici in relazione agli impatti previsti dal punto di vista sociale, giuridico, economico e regolamentare delle innovazioni tecnologiche sulla sicurezza delle reti e dell’informazione, in particolare sulla cibersicurezza. L’ENISA dovrebbe inoltre assistere gli Stati membri e le istituzioni, gli organi e gli organismi dell’Unione nell’individuazione dei rischi emergenti connessi alla cibersicurezza e nella prevenzione degli incidenti attraverso l’analisi di minacce informatiche, vulnerabilità e incidenti.

(39)

Al fine di aumentare la resilienza dell’Unione, l’ENISA dovrebbe sviluppare le competenze nel campo della cibersicurezza delle infrastrutture, in particolare per sostenere i settori di cui all’allegato II della direttiva (UE) 2016/1148 e di quelle utilizzate dai fornitori di servizi digitali elencati nell’allegato III di tale direttiva, fornendo consulenza, emanando orientamenti e scambiando migliori pratiche. Allo scopo di agevolare l’accesso a informazioni meglio strutturate sui rischi connessi alla cibersicurezza e sulle possibili soluzioni, l’ENISA dovrebbe sviluppare e mantenere il «polo d’informazione» dell’Unione, un portale che gli utenti possano utilizzare come sportello unico per accedere alle informazioni sulla cibersicurezza provenienti dalle istituzioni, dagli organi e dagli organismi dell’Unione e nazionali. Facilitare l’accesso a informazioni meglio strutturate sui rischi connessi alla cibersicurezza e sulle possibili misure correttive potrebbe anche aiutare gli Stati membri a rafforzare le loro capacità, ad allineare le loro pratiche migliorando così la loro resilienza generale agli attacchi informatici.

(40)

L’ENISA dovrebbe contribuire a sensibilizzare l’opinione pubblica sui rischi connessi alla cibersicurezza, anche per mezzo di una campagna di sensibilizzazione in tutta l’UE promuovendo l’istruzione, e a fornire orientamenti in materia di buone pratiche per i singoli utenti destinati a cittadini, organizzazioni e imprese. L’ENISA dovrebbe altresì contribuire a promuovere migliori pratiche e soluzioni, igiene informatica e alfabetizzazione informatica comprese, a livello di cittadini, organizzazioni e imprese mediante la raccolta e l’analisi delle informazioni disponibili al pubblico relative agli incidenti di rilievo, come pure mediante l’elaborazione e la pubblicazione di relazioni e orientamenti per cittadini, organizzazioni e imprese, e a migliorare il livello complessivo di preparazione e resilienza di questi. L’ENISA dovrebbe impegnarsi, inoltre, a comunicare ai consumatori le informazioni pertinenti relative ai sistemi di certificazione applicabili, ad esempio fornendo orientamenti e raccomandazioni. L’ENISA dovrebbe inoltre organizzare regolarmente, in linea con il piano d’azione per l’istruzione digitale stabilito nella comunicazione della Commissione del 17 gennaio 2018 e in cooperazione con gli Stati membri e con le istituzioni, gli organi e gli organismi dell’Unione, campagne d’informazione e di sensibilizzazione del pubblico destinate agli utenti finali per promuovere comportamenti online più sicuri da parte degli individui e l’alfabetizzazione digitale, di accrescere la consapevolezza circa le potenziali minacce informatiche, compresa l’attività informatica online, ad esempio phishing, botnet, frodi finanziarie e bancarie, casi di frode di dati, nonché di promuovere consigli di base in materia di autenticazione multifattoriale, patching, cifratura, anonimizzazione e protezione dei dati.

(41)

L’ENISA dovrebbe svolgere un ruolo centrale nell’accelerare la sensibilizzazione degli utenti finali sulla sicurezza dei dispositivi e sull’uso sicuro dei servizi, e dovrebbe promuovere sicurezza e privacy fin dalla progettazione a livello di Unione. Nel perseguire tale obiettivo, l’ENISA dovrebbe utilizzare le migliori pratiche ed esperienze disponibili, in particolare quelle delle istituzioni universitarie e dei ricercatori che si occupano di sicurezza informatica.

(42)

Al fine di sostenere le imprese operanti nel campo della cibersicurezza, come pure gli utilizzatori delle soluzioni di cibersicurezza, l’ENISA dovrebbe sviluppare e mantenere un «osservatorio del mercato» mediante l’esecuzione di analisi periodiche e la diffusione di informazioni sulle principali tendenze del mercato della cibersicurezza, sul versante sia della domanda che dell’offerta.

(43)

L’ENISA dovrebbe contribuire agli sforzi di cooperazione dell’Unione con organizzazioni internazionali come anche nell’ambito dei pertinenti quadri di cooperazione internazionale nel campo della cibersicurezza. In particolare dovrebbe contribuire, se del caso, alla cooperazione con organizzazioni quali l’OCSE, l’OSCE e la NATO. Tale cooperazione potrebbe comprendere, tra l’altro, esercitazioni congiunte di cibersicurezza e il coordinamento congiunto della risposta agli incidenti. Occorre che tali attività si svolgano nel pieno rispetto dei principi di inclusività, reciprocità e autonomia decisionale dell’Unione, fatto salvo il carattere specifico della politica di sicurezza e di difesa di ciascuno Stato membro.

(44)

Per conseguire appieno i propri obiettivi, l’ENISA dovrebbe instaurare rapporti con le autorità di vigilanza dell’Unione e con altre autorità competenti nell’Unione, le istituzioni, gli organi e gli organismi pertinenti dell’Unione, compresi la CERT-UE, l’EC3, l’Agenzia europea per la difesa (AED), l’Agenzia del sistema globale di navigazione via satellite europeo (Agenzia del GNSS europeo), l’organismo dei regolatori europei delle comunicazioni elettroniche (Body of European Regulators for Electronic Communications — BEREC), l’Agenzia europea per la gestione operativa dei sistemi IT su larga scala nello spazio di libertà, sicurezza e giustizia (eu-LISA), la Banca centrale europea (BCE), l’Autorità bancaria europea (ABE), il comitato europeo per la protezione dei dati (European Data Protection Board — EDPB), l’Agenzia per la cooperazione fra i regolatori nazionali dell’energia (Agency for the Cooperation of Energy Regulators — ACER), l’Agenzia europea per la sicurezza aerea (European Union Aviation Safety Agency — EASA) e tutte le agenzie dell’Unione coinvolte nella cibersicurezza. L’ENISA dovrebbe inoltre instaurare rapporti con le autorità competenti in materia di protezione dei dati, al fine di scambiare conoscenze e migliori pratiche e fornire consulenza sugli aspetti della cibersicurezza che potrebbero avere un impatto sulle loro attività. I rappresentanti delle autorità di contrasto e delle autorità preposte alla protezione dei dati nazionali e dell’Unione dovrebbero poter essere rappresentati nel gruppo di consulenza dell’ENISA. Nei contatti con le autorità di contrasto sugli aspetti relativi alla sicurezza delle reti e dell’informazione che possono avere un impatto sull’attività di tali autorità, l’ENISA dovrebbe avvalersi dei canali di informazione e delle reti esistenti.

(45)

Si potrebbero istituire partenariati con le istituzioni universitarie che hanno avviato iniziative di ricerca nei settori interessati e vi dovrebbero essere opportuni canali per il contributo delle organizzazioni dei consumatori e di altre organizzazioni, che dovrebbe essere preso in considerazione.

(46)

L’ENISA, nel suo ruolo di segretariato della rete di CSIRT, dovrebbe sostenere i CSIRT degli Stati membri e la CERT-UE nella cooperazione operativa in relazione a tutte le pertinenti funzioni della rete di CSIRT di cui alla direttiva (UE) 2016/1148. Inoltre, l’ENISA dovrebbe promuovere e sostenere la cooperazione tra i CSIRT interessati in caso di incidenti, attacchi o perturbazioni delle reti o delle infrastrutture della cui gestione o protezione sono responsabili i CSIRT e nei quali siano o possano essere coinvolti almeno due CSIRT, tenendo debitamente conto delle procedure operative standard della rete di CSIRT.

(47)

Al fine di rafforzare la preparazione dell’Unione nel rispondere agli incidenti, l’ENISA dovrebbe organizzare periodicamente esercitazioni di cibersicurezza a livello di Unione e, su loro richiesta, assistere gli Stati membri e le istituzioni, gli organi e gli organismi dell’Unione e nell’organizzazione delle esercitazioni. Ogni due anni dovrebbero essere organizzate esercitazioni globali su vasta scala che comprendano elementi tecnici, operativi o strategici. L’ENISA dovrebbe poter inoltre organizzare periodicamente esercitazioni meno estese con lo stesso obiettivo di rafforzare la preparazione dell’Unione nel rispondere agli incidenti.

(48)

L’ENISA dovrebbe sviluppare ulteriormente e mantenere le proprie competenze in materia di certificazione della cibersicurezza al fine di sostenere la politica dell’Unione in tale campo. L’ENISA dovrebbe basarsi sulle migliori pratiche esistenti e promuovere la diffusione della certificazione della cibersicurezza nell’Unione, anche contribuendo all’istituzione e al mantenimento di un apposito quadro di certificazione a livello di Unione (quadro europeo di certificazione della cibersicurezza) al fine di aumentare la trasparenza dell’affidabilità dei prodotti TIC, servizi TIC e processi TIC in termini di cibersicurezza, rafforzando in tal modo la fiducia nel mercato unico digitale e la sua competitività.

(49)

Strategie efficaci in materia di cibersicurezza dovrebbero essere basate su buoni metodi di valutazione dei rischi, sia nel settore pubblico che in quello privato. I metodi di valutazione dei rischi sono utilizzati a diversi livelli, e non esiste una prassi comune per quanto riguarda le modalità per una loro applicazione efficiente. La promozione e lo sviluppo di migliori pratiche per la valutazione dei rischi e per soluzioni interoperabili per la loro gestione nelle organizzazioni del settore pubblico e del settore privato aumenteranno il livello di cibersicurezza nell’Unione. A tal fine, l’ENISA dovrebbe sostenere la cooperazione tra i portatori di interessi a livello di Unione e facilitare il loro impegno nella definizione e nella diffusione di norme europee e internazionali in materia di gestione dei rischi e di sicurezza misurabile di prodotti, sistemi, reti e servizi elettronici che, insieme ai software, costituiscono le reti e i sistemi informativi.

(50)

L’ENISA dovrebbe incoraggiare gli Stati membri, i fabbricanti o i fornitori prodotti TIC, servizi TIC o processi TIC a innalzare i loro standard di sicurezza generale in modo che tutti gli utenti di Internet possano adottare le misure necessarie a garantire la propria cibersicurezza e incentivarli a farlo. In particolare, i fabbricanti e i fornitori di servizi di prodotti TIC, servizi TIC o processi TIC dovrebbero fornire tutti i necessari aggiornamenti e richiamare, ritirare o riciclare i prodotti TIC, i servizi TIC o i processi TIC non conformi alle norme in materia di cibersicurezza, mentre gli importatori e i distributori dovrebbero garantire che i prodotti TIC, servizi TIC e processi TIC che immettono sul mercato dell’Unione siano conformi ai requisiti applicabili e non presentino rischi per i consumatori dell’Unione.

(51)

In collaborazione con le autorità competenti, l’ENISA dovrebbe poter diffondere informazioni sul livello di cibersicurezza dei prodotti TIC, servizi TIC e processi TIC offerti nel mercato interno e dovrebbe rivolgere avvertimenti ai fabbricanti e ai fornitori di prodotti TIC, servizi TIC o processi TIC imponendo loro di migliorare la sicurezza dei loro prodotti TIC, servizi TIC o processi TIC, ivi inclusa la cibersicurezza.

(52)

L’ENISA dovrebbe tenere pienamente conto delle attività di ricerca, sviluppo e valutazione tecnologica già in atto, in particolare quelle condotte nell’ambito delle varie iniziative di ricerca dell’Unione per fornire consulenza alle istituzioni, agli organi e agli organismi dell’Unione e ove opportuno agli Stati membri, su loro richiesta, sulle esigenze in materia di ricerca e le priorità nel campo della cibersicurezza. Per individuare le esigenze e priorità in materia di ricerca, l’ENISA dovrebbe inoltre consultare i pertinenti gruppi di utenti. Più nello specifico si potrebbe istituire una cooperazione con il Consiglio europeo della ricerca, con l’Istituto europeo di innovazione e tecnologia e con l’Istituto dell’Unione europea per gli studi sulla sicurezza.

(53)

L’ENISA dovrebbe consultare regolarmente le organizzazioni di normazione, in particolare quelle europee, nell’elaborare i sistemi europei di certificazione della cibersicurezza.

(54)

Le minacce informatiche sono un problema globale. È necessaria una più stretta cooperazione internazionale per migliorare le norme di cibersicurezza, anche definendo norme di comportamento, ed è necessaria l’adozione di codici di condotta comuni, l’utilizzo di norme internazionali e la condivisione di informazioni, promuovendo una più celere cooperazione internazionale nel fornire una risposta alle questioni relative alla sicurezza delle reti e dell’informazione nonché un approccio globale comune a tali questioni. A tale scopo l’ENISA dovrebbe sostenere una partecipazione e una cooperazione maggiori dell’Unione con i paesi terzi e le organizzazioni internazionali fornendo le competenze e le analisi necessarie alle istituzioni, agli organi e agli organismi dell’Unione competenti, se del caso.

(55)

L’ENISA dovrebbe essere in grado di rispondere alle richieste specifiche di consulenza e di assistenza inoltrate dagli Stati membri e dalle istituzioni, dagli organi e dagli organismi dell’Unione su materie che rientrano nei suoi obiettivi.

(56)

È ragionevole e raccomandabile applicare taluni principi per la gestione dell’ENISA al fine di conformarsi alla dichiarazione congiunta e nell’approccio comune concordati nel luglio 2012 dal gruppo di lavoro interistituzionale sulle agenzie decentrate dell’Unione, il cui obiettivo è di razionalizzare le attività delle agenzie decentrate e di migliorarne l’efficacia. Le raccomandazioni contenute nella dichiarazione congiunta e nell’approccio comune dovrebbero riflettersi, se del caso, nei programmi di lavoro dell’ENISA, nelle sue valutazioni e nelle sue prassi di informazione e amministrazione.

(57)

Il consiglio di amministrazione, composto dai rappresentanti degli Stati membri e della Commissione, dovrebbe stabilire l’orientamento generale delle operazioni dell’ENISA e garantire che questa svolga i propri compiti conformemente al presente regolamento. Il consiglio di amministrazione dovrebbe godere dei poteri necessari per formare il bilancio, verificare l’esecuzione del bilancio, adottare l’opportuna regolamentazione finanziaria, stabilire procedure di lavoro trasparenti per l’iter decisionale dell’ENISA, adottare il documento unico di programmazione dell’ENISA, adottare il proprio regolamento interno, nominare il direttore esecutivo e decidere in merito all’estensione e alla conclusione del suo mandato.

(58)

Per garantire il funzionamento corretto ed efficace dell’ENISA, la Commissione e gli Stati membri dovrebbero assicurare che le persone da nominare nel consiglio di amministrazione dispongano di competenze professionali e di esperienza adeguate. La Commissione e gli Stati membri dovrebbero inoltre sforzarsi di limitare l’avvicendamento dei loro rispettivi rappresentanti nel consiglio di amministrazione, per assicurarne la continuità dei lavori.

(59)

Il corretto funzionamento dell’ENISA esige che il direttore esecutivo sia nominato in base ai meriti e alle comprovate abilità amministrative e manageriali, nonché alla competenza e all’esperienza acquisita in materia di cibersicurezza. Le funzioni del direttore esecutivo dovrebbero essere svolte in completa indipendenza. Previa consultazione della Commissione, il direttore esecutivo dovrebbe elaborare una proposta di programma di lavoro dell’ENISA e adottare tutte le misure necessarie a garantirne l’adeguata attuazione. Il direttore esecutivo dovrebbe redigere una relazione annuale da trasmettere al consiglio di amministrazione che includa l’attuazione del programma di lavoro annuale dell’ENISA, fornire un progetto di stato di previsione delle entrate e delle spese dell’ENISA e dare esecuzione al bilancio. Inoltre, è opportuno che il direttore esecutivo abbia la possibilità di istituire gruppi di lavoro ad hoc per affrontare questioni specifiche, in particolare di natura scientifica, tecnica, giuridica o socio-economica. Si considera necessaria l’istituzione di un gruppo ad hoc soprattutto per quanto riguarda la preparazione di una specifica proposta di sistema europeo di certificazione della cibersicurezza («proposta di sistema»). Il direttore esecutivo dovrebbe garantire che i membri dei gruppi di lavoro ad hoc siano scelti secondo i più elevati standard di competenza, con l’intento di garantire un equilibrio di genere e un equilibrio adeguato, in base alle questioni specifiche, tra gli amministratori pubblici degli Stati membri, le istituzioni, gli organi e gli organismi dell’Unione e il settore privato, tra cui le imprese, gli utilizzatori e gli esperti del mondo accademico in materia di sicurezza delle reti e dell’informazione.

(60)

Il comitato esecutivo dovrebbe contribuire al funzionamento efficace del consiglio di amministrazione. Nel quadro dei lavori preparatori relativi alle decisioni del consiglio di amministrazione, il comitato esecutivo dovrebbe esaminare dettagliatamente le informazioni pertinenti, valutare le opzioni disponibili e fornire consulenza e soluzioni per la preparazione delle decisioni del consiglio di amministrazione.

(61)

È opportuno che l’ENISA disponga di un gruppo consultivo ENISA come organo consultivo, per garantire un dialogo regolare con il settore privato, le organizzazioni di consumatori e gli altri soggetti interessati. Il gruppo consultivo ENISA, istituito dal consiglio di amministrazione su proposta del direttore esecutivo, dovrebbe concentrarsi sulle questioni rilevanti per i portatori di interessi e sottoporle all’attenzione dell’ENISA. Il gruppo consultivo ENISA dovrebbe essere consultato in particolare in merito al progetto di programma di lavoro annuale dell’ENISA. La composizione del gruppo consultivo ENISA e i compiti assegnatigli dovrebbero garantire un’adeguata rappresentanza dei portatori di interessi nell’ambito del lavoro svolto dall’ENISA.

(62)

È opportuno istituire il gruppo dei portatori di interessi per la certificazione della cibersicurezza al fine di aiutare l’ENISA e la Commissione ad agevolare la consultazione con i pertinenti portatori di interessi. Il gruppo dei portatori di interessi per la certificazione della cibersicurezza dovrebbe essere costituito da membri che rappresentino il settore in proporzione equilibrata, sul versante sia della domanda che dell’offerta di prodotti TIC e servizi TIC, fra cui in particolare le PMI, i fornitori di servizi digitali, gli organismi europei e internazionali di normazione, gli organismi nazionali di accreditamento, le autorità di controllo preposte alla protezione dei dati e gli organismi di valutazione della conformità a norma del regolamento (CE) n. 765/2008 del Parlamento europeo e del Consiglio (16), e le università, nonché le organizzazioni dei consumatori.

(63)

L’ENISA dovrebbe disporre di regole relative alla prevenzione e alla gestione dei conflitti di interessi. L’ENISA dovrebbe inoltre applicare le disposizioni pertinenti dell’Unione in materia di accesso del pubblico ai documenti stabilite dal regolamento (CE) n. 1049/2001 del Parlamento europeo e del Consiglio (17). Il trattamento dei dati personali da parte dell’ENISA dovrebbe avvenire in conformità del regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio (18). È opportuno che l’ENISA si conformi alle disposizioni applicabili alle istituzioni, gli organi e gli organismi dell’Unione e alla legislazione nazionale in materia di gestione delle informazioni, in particolare delle informazioni sensibili non classificate e delle informazioni classificate UE (ICUE).

(64)

Per garantire all’ENISA piena autonomia e indipendenza e consentirle di svolgere compiti aggiuntivi, compresi compiti urgenti imprevisti, è opportuno che sia dotata di un bilancio congruo e autonomo le cui entrate siano essenzialmente costituite da un contributo dell’Unione e da contributi provenienti da paesi terzi che partecipano alle attività dell’ENISA. Un idoneo bilancio è essenziale per garantire che l’ENISA disponga di capacità sufficienti ad adempiere i suoi crescenti compiti e conseguire i suoi obiettivi nella loro totalità. La maggior parte del personale dell’ENISA dovrebbe essere impiegata nell’attuazione operativa del suo mandato. Allo Stato membro ospitante, e a qualsiasi altro Stato membro, dovrebbe essere consentito di contribuire volontariamente al bilancio dell’ENISA. La procedura di bilancio dell’Unione dovrebbe restare applicabile a qualsiasi sovvenzione a carico del bilancio generale dell’Unione. Inoltre, ai fini della trasparenza e della rendicontabilità, la revisione contabile dell’ENISA dovrebbe essere svolta dalla Corte dei conti.

(65)

La certificazione della cibersicurezza riveste un ruolo importante nel rafforzare la sicurezza di prodotti TIC, servizi TIC e processi TIC e nell’accrescere la fiducia negli stessi. Il mercato unico digitale, in particolare l’economia dei dati e l’Internet degli oggetti, possono prosperare solo se i cittadini sono convinti che tali prodotti, servizi e processi offrono un determinato livello di cibersicurezza. Le automobili connesse e automatizzate, i dispositivi medici elettronici, i sistemi di controllo per l’automazione industriale e le reti elettriche intelligenti sono solo alcuni esempi di settori in cui la certificazione è già ampiamente utilizzata o sarà probabilmente utilizzata in un prossimo futuro. La certificazione della cibersicurezza riveste un’importanza fondamentale anche nei settori disciplinati dalla direttiva (UE) 2016/1148.

(66)

Nella comunicazione del 2016 dal titolo «Rafforzare il sistema di resilienza informatica dell’Europa e promuovere la competitività e l’innovazione nel settore della cibersicurezza» la Commissione ha sottolineato la necessità di prodotti e soluzioni di alta qualità, a costi contenuti e interoperabili. L’offerta di prodotti, servizi TIC e processi TIC nel mercato unico resta molto frammentata dal punto di vista geografico. La causa di tale frammentazione va ravvisata nel fatto che il settore della cibersicurezza in Europa si è sviluppato soprattutto in risposta alla domanda pubblica nazionale. Inoltre, l’assenza di soluzioni interoperabili (norme tecniche), di pratiche e di meccanismi di certificazione nell’Unione è un’altra delle lacune che influisce sul mercato unico nel campo della cibersicurezza. Ciò incide negativamente sulla competitività delle imprese europee a livello nazionale, dell’Unione e mondiale. Allo stesso tempo limita la gamma di tecnologie di cibersicurezza valide e utilizzabili a cui cittadini e imprese hanno accesso. Anche nella comunicazione del 2017 sulla revisione intermedia dell’attuazione della strategia per il mercato unico digitale — Un mercato unico digitale connesso per tutti, la Commissione ha evidenziato la necessità di prodotti e sistemi connessi sicuri e ha dichiarato che la creazione di un quadro europeo di sicurezza delle TIC che definisca regole su come organizzare la certificazione della sicurezza delle TIC nell’Unione potrebbe sia preservare la fiducia nei confronti di Internet sia permettere di affrontare l’attuale frammentazione del mercato interno.

(67)

Attualmente la certificazione della cibersicurezza di prodotti TIC, servizi TIC e processi TIC è utilizzata solo in misura limitata. Quando esiste, è disponibile prevalentemente a livello di Stato membro o nell’ambito di sistemi promossi dal settore. In tale contesto, un certificato rilasciato da un’autorità nazionale di certificazione della cibersicurezza non è, in linea di principio, riconosciuto negli altri Stati membri. Le imprese pertanto potrebbero dover certificare i loro prodotti TIC, servizi TIC e processi TIC nei diversi Stati membri in cui operano, ad esempio ai fini della partecipazione a procedure nazionali di aggiudicazione degli appalti, il che aumenta i relativi costi. Inoltre, stanno emergendo nuovi sistemi ma non sembra esservi un approccio coerente e olistico per quanto riguarda le questioni orizzontali relative alla cibersicurezza, ad esempio nel settore dell’Internet degli oggetti. I sistemi esistenti presentano notevoli carenze e differenze in termini di copertura dei prodotti, livelli di affidabilità, criteri sostanziali e utilizzo effettivo, impedendo meccanismi di riconoscimento reciproco nell’Unione.

(68)

Sono stati compiuti sforzi finalizzati a garantire il reciproco riconoscimento dei certificati all’interno dell’Unione. Il loro successo tuttavia è stato solo parziale. L’esempio più importante in tal senso è l’accordo sul reciproco riconoscimento (ARR) del gruppo di alti funzionari competente in materia di sicurezza dei sistemi di informazione (Senior Officials Group — Information Systems Security — SOG-IS). Sebbene rappresenti il più importante modello di cooperazione e di riconoscimento reciproco nel campo della certificazione della sicurezza, il SOG-IS comprende solo alcuni Stati membri. Ciò ha limitato l’efficacia dell’ARR del SOG-IS dal punto di vista del mercato interno.

(69)

È pertanto necessario adottare un approccio comune e definire un quadro europeo di certificazione della cibersicurezza che stabilisca i principali requisiti orizzontali per i sistemi europei di certificazione della cibersicurezza da sviluppare e che consenta di riconoscere e utilizzare i certificati europei di cibersicurezza e le dichiarazioni UE di conformità per i prodotti TIC, i servizi TIC o i processi TIC in tutti gli Stati membri. In questo senso, è essenziale basarsi sui sistemi nazionali e internazionali esistenti, nonché sui sistemi di riconoscimento reciproco, in particolare il SOG-IS, e consentire un’agevole transizione dai sistemi esistenti funzionanti nel loro ambito verso sistemi basati sul nuovo quadro europeo di certificazione della cibersicurezza. Il quadro europeo di certificazione della cibersicurezza dovrebbe avere un duplice obiettivo. In primo luogo dovrebbe contribuire ad aumentare la fiducia nei prodotti TIC, servizi TIC e processi TIC che sono stati certificati in base a detti sistemi europei di certificazione della cibersicurezza. In secondo luogo, dovrebbe evitare il proliferare di sistemi di certificazione nazionali della cibersicurezza confliggenti o sovrapposte e ridurre così i costi per le imprese operanti nel mercato unico digitale. I sistemi europei di certificazione della cibersicurezza dovrebbero essere non discriminatori e basati su norme europee o internazionali, a meno che tali norme non siano inefficaci o inadeguate ai fini del conseguimento dei legittimi obiettivi dell’Unione in tale ambito.

(70)

Il quadro europeo di certificazione della cibersicurezza dovrebbe essere istituito in modo uniforme in tutti gli Stati membri, in modo da evitare la scelta della certificazione più vantaggiosa in base ai diversi livelli di rigore nei vari Stati membri.

(71)

I sistemi europei di certificazione della cibersicurezza dovrebbero essere basati sui sistemi già esistenti a livello nazionale e internazionale e, se necessario, sulle specifiche tecniche di forum e consorzi, partendo dai loro punti di forza attuali e analizzando e correggendo i punti deboli.

(72)

Occorrono soluzioni flessibili di cibersicurezza affinché il settore resti un passo avanti rispetto alle minacce, per cui qualsiasi sistema di certificazione dovrebbe essere ideato in modo tale da evitare il rischio di una rapida obsolescenza.

(73)

La Commissione dovrebbe avere la facoltà di adottare sistemi europei di certificazione della cibersicurezza relativi a gruppi specifici di prodotti, servizi TIC e processi TIC. Tali sistemi dovrebbero essere attuati e supervisionati dalle autorità nazionali di certificazione della cibersicurezza e i certificati rilasciati nel loro ambito dovrebbero essere validi e riconosciuti in tutta l’Unione. I sistemi di certificazione gestiti dal settore o da altre organizzazioni private non dovrebbero rientrare nell’ambito di applicazione del presente regolamento. Tuttavia, gli organismi che li gestiscono dovrebbero poter proporre alla Commissione di considerarli come base per l’approvazione degli stessi come sistema europeo di certificazione della cibersicurezza.

(74)

Le disposizioni del presente regolamento dovrebbero lasciare impregiudicato il diritto dell’Unione che prevede regole specifiche sulla certificazione di prodotti TIC, servizi TIC e processi TIC. In particolare, il regolamento (UE) 2016/679 stabilisce disposizioni per l’istituzione di meccanismi di certificazione nonché di sigilli e marchi di protezione dei dati allo scopo di dimostrare la conformità a detto regolamento dei trattamenti effettuati dai titolari del trattamento e dai responsabili del trattamento. Tali meccanismi di certificazione e sigilli e marchi di protezione dei dati dovrebbero consentire agli interessati di valutare rapidamente il livello di protezione dei dati dei prodotti e dei servizi. Il presente regolamento lascia impregiudicata la certificazione delle operazioni di trattamento dei dati nel quadro del regolamento (UE) 2016/679, anche nel caso in cui tali operazioni siano integrate nei TIC, servizi TIC e processi TIC.

(75)

Lo scopo dei sistemi europei di certificazione della cibersicurezza dovrebbe essere quello di assicurare che i prodotti TIC, servizi TIC e processi TIC certificati nel loro ambito siano conformi a determinati requisiti volti a proteggere la disponibilità, l’autenticità, l’integrità e la riservatezza dei dati conservati, trasmessi o trattati o delle funzioni di o dei servizi offerti da o accessibili tramite tali prodotti, servizi e processi per tutto il loro ciclo di vita. Non è possibile definire dettagliatamente nel presente regolamento i requisiti di cibersicurezza per tutti i prodotti TIC, servizi TIC e processi TIC nel presente regolamento. I prodotti TIC, servizi TIC e processi TIC e le esigenze di cibersicurezza ad essi relative sono talmente diversi che risulta molto difficile formulare requisiti generali in materia di cibersicurezza che siano validi in tutti i casi. È pertanto necessario adottare una nozione ampia e generale di cibersicurezza ai fini della certificazione, che dovrebbe essere integrata da una serie di obiettivi di cibersicurezza specifici da prendere in considerazione al momento della progettazione dei sistemi europei di certificazione della cibersicurezza. Le modalità con cui conseguire tali obiettivi nei prodotti TIC, servizi TIC e processi TIC specifici dovrebbero quindi essere ulteriormente specificate in modo dettagliato per ogni singolo sistema di certificazione adottato dalla Commissione, ad esempio facendo riferimento a norme o specifiche tecniche in assenza di norme appropriate.

(76)

Le specifiche tecniche da usare nei sistemi europei di certificazione della cibersicurezza dovrebbero rispettare i requisiti principi enunciati nell’allegato II del regolamento (UE) n. 1025/2012 del Parlamento europeo e del Consiglio (19). In casi debitamente giustificati, tuttavia, si potrebbe ritenere necessario discostarsi da detti requisiti qualora le specifiche tecniche siano da usare in un sistema europeo di certificazione della cibersicurezza che fa riferimento a un livello di affidabilità elevato. Le motivazioni di tali scostamenti dovrebbero essere rese pubbliche.

(77)

La valutazione della conformità è la procedura volta a valutare se siano stati rispettati i requisiti specifici connessi a un prodotto TIC, servizio TIC o processo TIC. Tale procedura è effettuata da un soggetto terzo indipendente, diverso dal fabbricante o dal fornitore del prodotto TIC, servizio TIC o processo TIC oggetto di valutazione. Il rilascio di un certificato europeo di cibersicurezza è in linea con la procedura di valutazione di un prodotto TIC, servizio TIC o processo TIC. Un certificato europeo di cibersicurezza dovrebbe essere rilasciato qualora la valutazione di un prodotto TIC, servizio TIC o processo TIC dia esito positivo. In funzione del livello di affidabilità, il sistema europeo di certificazione della cibersicurezza dovrebbe specificare se il certificato europeo di cibersicurezza deve essere rilasciato da un organismo pubblico o privato. La valutazione della conformità e la certificazione non possono garantire di per sé la cibersicurezza dei prodotti TIC, servizi TIC e processi TIC certificati. Si tratta piuttosto di procedure e metodologie tecniche volte ad attestare che i prodotti TIC, servizi TIC e processi TIC sono stati testati e che rispettano determinati requisiti di cibersicurezza stabiliti altrove, ad esempio nelle norme tecniche.

(78)

La scelta della certificazione appropriata e dei relativi requisiti di sicurezza da parte degli utenti dei certificati europei di cibersicurezza dovrebbe fondarsi su un’analisi dei rischi associati all’uso di un prodotto TIC, servizio TIC o processo TIC. Conseguentemente, il livello di affidabilità dovrebbe essere commisurato al livello del rischio associato al previsto uso di un prodotto TIC, servizio TIC o processo TIC.

(79)

I sistemi europei di certificazione della cibersicurezza potrebbero prevedere che la valutazione della conformità sia effettuata sotto la sola responsabilità del fabbricante o del fornitore di prodotti TIC, servizi TIC o processi TIC («autovalutazione della conformità»). In tal caso dovrebbe essere sufficiente che il fabbricante o il fornitore di prodotti TIC, servizi TIC o processi TIC effettui direttamente tutti i controlli per garantire che i prodotti TIC, servizi TIC o processi TIC siano conformi al sistema europeo di certificazione della cibersicurezza. L’autovalutazione della conformità dovrebbe essere considerata idonea per prodotti TIC, servizi TIC o processi TIC a bassa complessità che presentano un basso livello di rischio per l’interesse pubblico, ad esempio progettazione e meccanismi di produzione semplici. Inoltre, l’autovalutazione della conformità dovrebbe essere consentita solo per i prodotti TIC, servizi TIC o processi TIC che corrispondono al livello di affidabilità «di base».

(80)

I sistemi europei di certificazione della cibersicurezza potrebbero prevedere sia l’autovalutazione della conformità sia la certificazione di prodotti TIC, servizi TIC e processi TIC. In tale caso, il sistema dovrebbe comprendere mezzi chiari e comprensibili che consentano ai consumatori o altri utenti di distinguere tra i prodotti TIC, servizi TIC o processi TIC riguardo ai quali il fabbricante o fornitore di prodotti TIC, servizi TIC e processi TIC è responsabile della valutazione di prodotti TIC, servizi TIC e processi TIC certificati da terzi.

(81)

I fabbricanti o fornitori di prodotti TIC, servizi TIC o processi TIC che effettuano un’autovalutazione della conformità dovrebbero poter rilasciare e firmare la dichiarazione UE di conformità nell’ambito della procedura di valutazione della conformità. Una dichiarazione UE di conformità è un documento che attesta che un prodotto TIC, servizio TIC o processo TIC specifico è conforme ai requisiti del sistema europeo di certificazione della cibersicurezza. Rilasciando e firmando la dichiarazione UE di conformità, il fabbricante o fornitore di prodotti TIC, servizi TIC o processi TIC si assume la responsabilità della conformità del prodotto TIC, servizio TIC o processo TIC con i requisiti di legge del sistema europeo di certificazione della cibersicurezza. Una copia della dichiarazione UE di conformità dovrebbe essere trasmessa all’autorità nazionale di certificazione della cibersicurezza e all’ENISA.

(82)

I fabbricanti o fornitori di prodotti TIC, servizi TIC o processi TIC dovrebbero mettere a disposizione della competente autorità nazionale di certificazione della cibersicurezza, per un periodo stabilito nel sistema europeo di certificazione della cibersicurezza interessato, la dichiarazione UE di conformità, la documentazione tecnica e tutte le altre informazioni pertinenti relative alla conformità dei prodotti TIC, servizi TIC o processi TIC al pertinente sistema europeo di certificazione della cibersicurezza. La documentazione tecnica dovrebbe precisare i requisiti applicabili nell’ambito del sistema e riguardare la progettazione, la fabbricazione e il funzionamento del prodotto TIC, servizio TIC o processo TIC per quanto rileva ai fini dell’autovalutazione della conformità. La documentazione tecnica dovrebbe essere compilata in modo da permettere di valutare se un prodotto TIC, servizio TIC o processo TIC sia conforme ai requisiti applicabili nell’ambito di tale sistema.

(83)

La governance del quadro europeo di certificazione della cibersicurezza tiene conto della partecipazione degli Stati membri e dell’adeguato coinvolgimento dei portatori di interessi e stabilisce il ruolo della Commissione durante l’intero processo di pianificazione e di proposta, richiesta, preparazione, adozione e revisione dei sistemi europei di certificazione della cibersicurezza.

(84)

È opportuno che la Commissione prepari, con il sostegno del gruppo europeo per la certificazione della cibersicurezza (European Cybersecurity Certification Group — «ECCG») e del gruppo dei portatori di interessi per la certificazione della cibersicurezza e dopo una consultazione ampia e aperta, un programma di lavoro progressivo dell’Unione per i sistemi europei di certificazione della cibersicurezza e lo pubblichi sotto forma di strumento non vincolante. Il programma di lavoro progressivo dell’Unione dovrebbe consistere in un documento strategico atto a consentire al settore, alle autorità nazionali e agli organismi di normazione, in particolare, di prepararsi in anticipo ai futuri sistemi europei di certificazione della sicurezza. Il programma di lavoro progressivo dell’Unione dovrebbe includere una panoramica pluriennale delle richieste di proposte di sistemi che la Commissione intende presentare all’ENISA ai fini della loro preparazione in base a motivi specifici. La Commissione dovrebbe tenere conto del programma di lavoro progressivo dell’Unione nella preparazione del suo programma continuativo per la normazione delle TIC e delle richieste di normazione alle organizzazioni europee di normazione. In considerazione della rapida introduzione e diffusione di nuove tecnologie, dell’emergere di rischi connessi alla cibersicurezza prima sconosciuti e degli sviluppi legislativi e del mercato, è opportuno autorizzare la Commissione o l’ECCG a chiedere all’ENISA di preparare proposte di sistemi che non siano stati previsti nel programma di lavoro progressivo dell’Unione. In siffatti casi, la Commissione e l’ECCG dovrebbero inoltre valutare la necessità di tale richiesta, tenendo conto degli scopi e obiettivi generali del presente regolamento e la necessità di assicurare la continuità per quanto riguarda la pianificazione e l’uso delle risorse da parte dell’ENISA.

A seguito di una simile richiesta, l’ENISA dovrebbe preparare senza indebiti ritardi le proposte di sistemi per prodotti TIC, servizi TIC e processi TIC specifici. La Commissione dovrebbe valutare l’impatto positivo e negativo della sua richiesta sullo specifico mercato interessato, in particolare sulle PMI, sull’innovazione, sugli ostacoli all’accesso a tale mercato e sui costi per gli utenti finali. La Commissione, sulla base dei sistemi preparati dall’ENISA, dovrebbe essere autorizzata ad adottare il sistema europeo di certificazione della cibersicurezza mediante atti di esecuzione. Tenendo conto dell’obiettivo generale e degli obiettivi di sicurezza fissati nel presente regolamento, i sistemi europei di certificazione della cibersicurezza adottati dalla Commissione dovrebbero specificare una serie minima di elementi riguardanti l’oggetto, l’ambito di applicazione e il funzionamento di ogni singolo sistema. Detti elementi dovrebbero includere, tra l’altro, l’ambito di applicazione e l’oggetto della certificazione della cibersicurezza, compresi le categorie di prodotti TIC, servizi TIC e processi TIC, l’indicazione particolareggiata dei requisiti di cibersicurezza, ad esempio con riferimenti a norme o specifiche tecniche, i criteri e i metodi di valutazione specifici e il livello di affidabilità desiderato («di base», «sostanziale» o «elevato»), nonché i livelli di valutazione ove applicabili. L’ENISA dovrebbe poter respingere, in casi debitamente giustificati, una richiesta dell’ECCG. Tali decisioni dovrebbero essere assunte dal consiglio di amministrazione e dovrebbero essere debitamente motivate.

(85)

L’ENISA dovrebbe gestire un sito web che fornisca informazioni sui sistemi europei di certificazione della cibersicurezza e che li pubblicizzi, in cui figurino, tra l’altro, le richieste di preparazione di una proposta di sistema e il riscontro ricevuto nella procedura di consultazione effettuata dall’ENISA durante la fase di preparazione. Il sito web dovrebbe anche fornire informazioni sui certificati europei di cibersicurezza e sulle dichiarazioni UE di conformità rilasciati ai sensi del presente regolamento, incluse le informazioni sulla revoca e sulla scadenza di tali certificati e dichiarazioni. Il sito web dovrebbe inoltre indicare i sistemi nazionali di certificazione della cibersicurezza che sono stati sostituiti da un sistema europeo di certificazione della cibersicurezza.

(86)

Il livello di affidabilità di un sistema europeo di certificazione è la base per la fiducia nel fatto che un prodotto TIC, servizio TIC o processo TIC soddisfi i requisiti di sicurezza di uno specifico sistema europeo di certificazione della cibersicurezza. Allo scopo di garantire la coerenza del quadro europeo di certificazione della cibersicurezza, un sistema europeo di certificazione della cibersicurezza dovrebbe poter specificare i livelli di affidabilità per i certificati europei di cibersicurezza e le dichiarazioni UE di conformità rilasciati nell’ambito di detto sistema. Ciascun certificato europeo di cibersicurezza potrebbe far riferimento a uno dei livelli di affidabilità: «di base», «sostanziale» o «elevato», mentre la dichiarazione UE di conformità potrebbe far riferimento solo al livello di affidabilità «di base». I livelli di affidabilità fornirebbero il rigore e la specificità corrispondenti della valutazione del prodotto TIC, servizio TIC o processo TIC e sarebbero caratterizzati in riferimento alle specifiche tecniche, norme e procedure correlate, tra cui i controlli tecnici, l’obiettivo delle quali è attenuare o prevenire gli incidenti. Ciascun livello di affidabilità dovrebbe essere coerente nei vari settori in cui la certificazione si applica.

(87)

Un sistema europeo di certificazione della cibersicurezza potrebbe precisare vari livelli di valutazione in funzione del rigore e della specificità della metodologia usata. I livelli di valutazione dovrebbero corrispondere a uno dei livelli di affidabilità ed essere associati a un’idonea combinazione di componenti dell’affidabilità. Per tutti i livelli di affidabilità, il prodotto TIC, servizio TIC o processo TIC dovrebbe contenere alcune funzioni sicure, specificate nel sistema, che possono comprendere una configurazione sicura già predisposta in fabbrica, un codice firmato, aggiornamenti sicuri e tecniche utilizzate per ostacolare lo sfruttamento delle vulnerabilità (exploit mitigations) nonché la piena protezione della memoria a impilaggio o della memoria heap. Dette funzioni dovrebbero essere soggette a sviluppo e manutenzione utilizzando approcci allo sviluppo centrati sulla sicurezza e strumenti ad essi associati onde assicurare che meccanismi efficaci di software e di hardware siano inclusi in maniera affidabile.

(88)

Per il livello di affidabilità «di base», la valutazione dovrebbe essere guidata almeno dai seguenti componenti di affidabilità: la valutazione dovrebbe comprendere almeno un riesame della documentazione tecnica del prodotto TIC, servizio TIC o processo TIC da parte dell’organismo di valutazione della conformità. Se la certificazione comprende processi TIC, dovrebbe essere soggetto a riesame tecnico anche il processo usato per la progettazione, lo sviluppo e la manutenzione del prodotto TIC o servizio TIC. Se un sistema europeo di certificazione della cibersicurezza prevede un’autovalutazione della conformità, dovrebbe essere sufficiente che il fabbricante o fornitore di prodotti TIC, servizi TIC o processi TIC abbia effettuato un’autovalutazione della conformità del prodotto TIC, servizio TIC o processo TIC al sistema di certificazione.

(89)

Per il livello di affidabilità «sostanziale», la valutazione, oltre ai requisiti per il livello di affidabilità «di base», dovrebbe essere guidata almeno dalla verifica della conformità delle funzionalità di sicurezza del prodotto TIC, servizio TIC o processo TIC alla documentazione tecnica ad esso relativa.

(90)

Per il livello di affidabilità «elevato», la valutazione, oltre ai criteri requisiti per il livello di affidabilità «sostanziale», dovrebbe essere guidata almeno da un test di efficacia che accerti la resistenza delle funzionalità di sicurezza di un prodotto TIC, servizio TIC o processo TIC nei confronti di complessi ciberattacchi perpetrati da persone che dispongono di abilità e risorse significative.

(91)

Il ricorso alla certificazione europea della cibersicurezza e alle dichiarazioni UE di conformità dovrebbe restare volontario, salvo disposizioni contrarie previste dal diritto dell’Unione o dalla normativa degli Stati membri adottata in conformità del diritto dell’Unione. In mancanza di un diritto dell’Unione armonizzato, gli Stati membri possono adottare regolamentazioni tecniche nazionali in cui sia prevista una certificazione obbligatoria nel quadro di un sistema europeo di certificazione della cibersicurezza in virtù della direttiva (UE) 2015/1535 del Parlamento europeo e del Consiglio (20). Gli Stati membri ricorrono anche alla certificazione europea della cibersicurezza nell’ambito degli appalti pubblici e della direttiva 2014/24/UE del Parlamento europeo e del Consiglio (21).

(92)

In alcuni settori potrebbe essere necessario in futuro imporre specifici requisiti di cibersicurezza e rendere obbligatoria la relativa certificazione in relazione a taluni prodotti TIC, servizi TIC o processi TIC, al fine di aumentare il livello di cibersicurezza nell’Unione. La Commissione dovrebbe vigilare periodicamente sull’impatto dei sistemi europei di certificazione della cibersicurezza adottati sulla disponibilità di prodotti TIC, servizi TIC e processi TIC sicuri nel mercato interno e valutare periodicamente il livello di utilizzo dei sistemi di certificazione da parte dei fabbricanti o fornitori di prodotti TIC, servizi TIC e processi TIC nell’Unione. L’efficacia dei sistemi europei di certificazione della cibersicurezza e l’opportunità di rendere obbligatori sistemi specifici dovrebbero essere valutate alla luce della normativa dell’Unione in materia di cibersicurezza, in particolare la direttiva (UE) 2016/1148, tenendo in considerazione la sicurezza delle reti e dei sistemi informativi utilizzati dagli operatori di servizi essenziali.

(93)

I certificati europei di cibersicurezza e le dichiarazioni UE di conformità dovrebbero aiutare gli utenti finali a compiere scelte consapevoli. I prodotti TIC, servizi TIC e processi TIC che siano stati certificati o per i quali sia stata rilasciata una dichiarazione UE di conformità dovrebbero pertanto essere accompagnati da informazioni strutturate adeguate al livello tecnico atteso nell’utente finale previsto. Tutte queste informazioni dovrebbero essere disponibili online e, ove opportuno, in forma fisica. L’utente finale dovrebbe avere accesso alle informazioni relative al numero di riferimento del sistema di certificazione, al livello di affidabilità, alla descrizione dei rischi connessi alla cibersicurezza associati al prodotto TIC, servizio TIC o processo TIC, e all’autorità o organismo che ha rilasciato il certificato, o dovrebbe poter ottenere una copia del certificato europeo di cibersicurezza. Inoltre, l’utente finale dovrebbe essere informato della politica di assistenza in materia di cibersicurezza —ossia per quanto tempo l’utente finale può aspettarsi di ricevere aggiornamenti o patch per la cibersicurezza — del fabbricante o fornitore di prodotti TIC, servizi TIC e processi TIC. Se del caso, dovrebbero essere forniti orientamenti sulle azioni da compiere o sui parametri che l’utente finale può applicare per mantenere o aumentare la cibersicurezza del prodotto TIC o del servizio TIC e informazioni di contatto del punto di contatto unico a cui fare capo e da cui ricevere assistenza in caso di ciberattacchi (oltre alle segnalazioni automatiche). Tali informazioni dovrebbero essere aggiornate periodicamente e rese disponibili su un sito web che fornisca informazioni sui sistemi europei di certificazione della cibersicurezza.

(94)

Al fine di conseguire gli obiettivi del presente regolamento e di evitare la frammentazione del mercato interno, i sistemi e le procedure nazionali di certificazione della cibersicurezza per i prodotti TIC, servizi TIC o processi TIC contemplati da un sistema europeo di certificazione della cibersicurezza dovrebbero cessare di produrre effetti a decorrere da una data stabilita dalla Commissione mediante atti di esecuzione. Inoltre, gli Stati membri non dovrebbero introdurre nuovi sistemi nazionali di certificazione della cibersicurezza di prodotti TIC, servizi TIC o processi TIC già contemplati da un sistema europeo di certificazione della cibersicurezza in vigore. Non si dovrebbe tuttavia impedire agli Stati membri di adottare o mantenere in vigore sistemi nazionali di certificazione della cibersicurezza per motivi di sicurezza nazionale. Gli Stati membri dovrebbero informare la Commissione e l’ECCG dell’eventuale intenzione di elaborare nuovi sistemi nazionali di certificazione della cibersicurezza. La Commissione e l’ECCG dovrebbero valutare l’impatto dei nuovi sistemi nazionali di certificazione della cibersicurezza sul corretto funzionamento del mercato interno, tenendo conto anche dell’eventuale interesse strategico di richiedere invece un sistema europeo di certificazione della cibersicurezza.

(95)

I sistemi europei di certificazione della cibersicurezza sono volti ad armonizzare nell’Unione le pratiche in tale settore. Devono contribuire ad accrescere il livello di cibersicurezza nell’Unione. La progettazione dei sistemi europei di certificazione della cibersicurezza dovrebbe tener conto delle innovazioni nel campo della cibersicurezza e consentirne lo sviluppo.

(96)

I sistemi europei di certificazione della cibersicurezza dovrebbero tener conto degli attuali metodi di sviluppo di software e hardware e, in particolare, dell’impatto di frequenti aggiornamenti del software e del firmware sui singoli certificati europei di cibersicurezza. I sistemi europei di certificazione della cibersicurezza dovrebbero specificare le condizioni alle quali un aggiornamento possa rendere necessario sottoporre nuovamente a certificazione un prodotto TIC, servizio TIC o processo TIC oppure ridurre l’ambito di applicazione di uno specifico certificato europeo di cibersicurezza, tenuto conto dei possibili effetti negativi dell’aggiornamento sulla conformità ai requisiti di sicurezza del certificato.

(97)

In seguito all’adozione di un sistema europeo di certificazione della cibersicurezza, i fabbricanti o fornitori di prodotti TIC, servizi TIC e processi TIC dovrebbero poter presentare domande di certificazione dei loro prodotti TIC, servizi TIC e processi TIC all’organismo di valutazione della conformità di propria scelta, ovunque nell’Unione. Se soddisfano determinati requisiti stabiliti nel presente regolamento, gli organismi di valutazione della conformità dovrebbero essere accreditati da un organismo nazionale di accreditamento. L’accreditamento dovrebbe essere concesso per un periodo massimo di cinque anni e dovrebbe essere rinnovato alle stesse condizioni, purché l’organismo di valutazione della conformità continui a soddisfare i requisiti. Gli organismi di accreditamento dovrebbero limitare, sospendere o revocare l’accreditamento di un organismo di valutazione della conformità se le condizioni per l’accreditamento non sono state, o non sono più, soddisfatte o se l’organismo di valutazione della conformità viola le disposizioni del presente regolamento.

(98)

Riferimenti nella legislazione nazionale a norme nazionali che non sono più applicabili a seguito dell’entrata in vigore di un sistema europeo di certificazione della cibersicurezza possono costituire una fonte di confusione. Gli Stati membri dovrebbero quindi tener conto dell’adozione di un sistema di certificazione europeo della cibersicurezza nella propria legislazione nazionale.

(99)

Al fine di ottenere norme equivalenti in tutta l’Unione, agevolare il reciproco riconoscimento e promuovere l’accettazione generale dei certificati europei di cibersicurezza e delle dichiarazioni UE di conformità, è necessario istituire un sistema di valutazione inter pares tra le autorità nazionali di certificazione della cibersicurezza. La valutazione inter pares dovrebbe riguardare le procedure per vigilare sulla conformità dei prodotti TIC, servizi TIC e processi TIC con i certificati europei di cibersicurezza, per monitorare gli obblighi dei fabbricanti o fornitori di prodotti TIC, servizi TIC e processi TIC che effettuano l’autovalutazione della conformità, per monitorare gli organismi di valutazione della conformità e l’adeguatezza delle competenze del personale degli organismi che rilasciano certificati di livello di affidabilità «elevato». La Commissione dovrebbe poter stabilire, mediante atti di esecuzione, almeno un piano quinquennale per le valutazioni inter pares e stabilire i criteri e le metodologie di funzionamento del sistema di valutazione inter pares.

(100)

Fatto salvo il sistema generale di valutazione inter pares che tutte le autorità nazionali di certificazione della cibersicurezza devono istituire nell’ambito del quadro europeo di certificazione della cibersicurezza, taluni sistemi di certificazione possono includere un meccanismo di valutazione inter pares per gli organismi che rilasciano certificati europei di cibersicurezza per prodotti TIC, servizi TIC e processi TIC con un livello di affidabilità «elevato» nel quadro di tali sistemi. L’ECCG dovrebbe sostenere l’attuazione di tali meccanismi di valutazione inter pares. Le valutazioni inter pares dovrebbero in particolare valutare se gli organismi interessati svolgono i rispettivi compiti in maniera armonizzata e possono comprendere meccanismi di impugnazione. I risultati delle valutazioni inter pares dovrebbero essere resi pubblici. Gli organismi interessati possono adottare le opportune misure per adeguare le proprie prassi e competenze di conseguenza.

(101)

Gli Stati membri dovrebbero designare una o più autorità nazionale di certificazione della cibersicurezza per vigilare sulla conformità agli obblighi derivanti dal presente regolamento. L’autorità nazionale di certificazione della cibersicurezza può essere un’autorità già esistente o una nuova autorità. Gli Stati membri dovrebbero altresì avere facoltà di designare, previo accordo con un altro Stato membro, una o più autorità nazionali di certificazione della cibersicurezza nel territorio di tale altro Stato membro.

(102)

In particolare, l’autorità nazionale di certificazione della cibersicurezza dovrebbe monitorare e far applicare gli obblighi che incombono ai fabbricanti o ai fornitori di prodotti TIC, servizi TIC o processi TIC stabiliti nel suo territorio in relazione alla dichiarazione UE di conformità, assistere gli organismi nazionali di accreditamento nel monitoraggio e nella vigilanza delle attività degli organismi di valutazione della conformità mettendo a loro disposizione le proprie competenze e pertinenti informazioni, autorizzare gli organismi di valutazione della conformità a svolgere i loro compiti qualora questi soddisfino i requisiti supplementari previsti in un sistema europeo di certificazione della cibersicurezza e monitorare i pertinenti sviluppi nel settore della certificazione della cibersicurezza. Le autorità nazionali di certificazione della cibersicurezza dovrebbero anche trattare i reclami presentati dalle persone fisiche o giuridiche in relazione ai certificati europei di cibersicurezza che sono da loro rilasciati o ai certificati europei di cibersicurezza rilasciati dagli organismi di valutazione della conformità, ove tali certificati indichino un livello di affidabilità «elevato», svolgere le indagini opportune sull’oggetto del reclamo e informare il reclamante dello stato e dell’esito delle indagini entro un termine ragionevole. Le autorità nazionali di certificazione della cibersicurezza dovrebbero inoltre cooperare con le altre autorità nazionali di certificazione della cibersicurezza o con altre autorità pubbliche, anche mediante la condivisione scambio di informazioni sugli eventuali prodotti TIC, servizi TIC o processi TIC non conformi ai requisiti del presente regolamento o a specifici sistemi europei di certificazione della cibersicurezza. La Commissione dovrebbe facilitare tale condivisione di informazioni mettendo a disposizione un sistema di sostegno generale delle informazioni elettroniche, ad esempio il sistema di informazione e comunicazione per la vigilanza del mercato (ICSMS) e il sistema d’informazione rapida sui prodotti non alimentari pericolosi (RAPEX) già impiegati dalle autorità di vigilanza del mercato a norma del regolamento (CE) n. 765/2008.

(103)

Al fine di garantire un’applicazione coerente del quadro europeo di certificazione della cibersicurezza, dovrebbe essere costituito un ECCG costituito dai rappresentanti delle autorità nazionali di certificazione della cibersicurezza o di altre autorità nazionali competenti. I compiti principali dell’ECCG dovrebbero consistere nel consigliare e nell’assistere la Commissione nelle attività volte ad assicurare un’attuazione e un’applicazione coerenti del quadro europeo di certificazione della cibersicurezza, nell’assistere e nel cooperare strettamente con l’ENISA nella preparazione delle proposte di sistemi europei di certificazione della cibersicurezza, in casi debitamente giustificati nell’incaricare l’ENISA di preparare una proposta di sistema, nell’adottare pareri indirizzati all’ENISA in merito alle proposte di sistemi e nell’adottare pareri indirizzati sul mantenimento e la revisione degli attuali sistemi europei di certificazione della cibersicurezza. L’ECCG dovrebbe agevolare lo scambio di buone prassi e di competenze tra le diverse autorità nazionali di certificazione della cibersicurezza responsabili dell’autorizzazione degli organismi di valutazione della conformità e del rilascio dei certificati europei di cibersicurezza.

(104)

Al fine di accrescere la consapevolezza e facilitare l’accettazione dei futuri sistemi europei di cibersicurezza, la Commissione può emanare orientamenti generali o settoriali in materia di cibersicurezza, ad esempio orientamenti sulle buone prassi o sul comportamento responsabile in tale ambito, sottolineando l’effetto positivo dell’utilizzo di prodotti TIC, servizi TIC e processi TIC certificati.

(105)

Allo scopo di agevolare ulteriormente gli scambi e riconoscendo il carattere globale delle catene di fornitura di TIC, l’Unione può concludere, conformemente all’articolo 218 del trattato sul funzionamento dell’Unione europea (TFUE), accordi per il reciproco riconoscimento di certificati europei di cibersicurezza. La Commissione, tenuto conto del parere dell’ENISA e dell’ECCG, può raccomandare l’apertura dei negoziati pertinenti. Ciascun sistema europeo di certificazione della cibersicurezza dovrebbe prevedere condizioni specifiche per tali accordi per il reciproco riconoscimento con i paesi terzi.

(106)

Al fine di garantire condizioni uniformi di esecuzione del presente regolamento, è opportuno attribuire alla Commissione competenze di esecuzione. È altresì opportuno che tali competenze siano esercitate conformemente al regolamento (UE) n. 182/2011 del Parlamento europeo e del Consiglio (22).

(107)

La procedura d’esame dovrebbe essere utilizzata per l’adozione degli atti di esecuzione sui sistemi europei di certificazione della cibersicurezza per i prodotti TIC, i servizi TIC e i processi TIC; per l’adozione degli atti di esecuzione sulle modalità di conduzione delle indagini da parte dell’ENISA; per l’adozione degli atti di esecuzione su un piano di valutazione inter pares delle autorità nazionali di certificazione della cibersicurezza nonché per l’adozione degli atti di esecuzione sulle circostanze, sui formati e sulle procedure delle notifiche degli organismi di valutazione della conformità accreditati da parte delle autorità nazionali di certificazione della cibersicurezza alla Commissione.

(108)

L’operato dell’ENISA dovrebbe essere soggetto a una valutazione periodica e indipendente. La valutazione dovrebbe tenere conto del conseguimento degli obiettivi da parte dell’ENISA, delle sue pratiche di lavoro e della pertinenza dei suoi compiti, in particolare i compiti relativi alla cooperazione operativa a livello di Unione. La valutazione dovrebbe altresì valutare l’impatto, l’efficacia e l’efficienza del quadro europeo di certificazione della cibersicurezza. In caso di riesame, la Commissione dovrebbe valutare come possa essere rafforzato il ruolo dell’ENISA come punto di riferimento per pareri e competenze e dovrebbe anche valutare la possibilità di un ruolo dell’ENISA nel sostenere la valutazione di prodotti TIC, servizi TIC e processi e i servizi TIC di paesi terzi che non rispettano le regole dell’Unione, ove tali prodotti, servizi e processi entrino nell’Unione.

(109)

Poiché gli obiettivi del presente regolamento non possono essere conseguiti in misura sufficiente dagli Stati membri ma, a motivo della loro portata e dei loro effetti, possono essere conseguiti meglio a livello di Unione, quest’ultima può intervenire in base al principio di sussidiarietà sancito dall’articolo 5 del trattato sull’Unione europea (TUE). Il presente regolamento si limita a quanto è necessario per conseguire tali obiettivi in ottemperanza al principio di proporzionalità enunciato nello stesso articolo.

(110)

Il regolamento (UE) n. 526/2013 dovrebbe essere abrogato,