Preambolo

Considerando che:

(1) La direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio (4) mirava a costruire sicurezza informaticaSicurezza informatica per "cibersicurezza" si intende la cibersicurezza quale definita all'articolo 2, punto 1, del regolamento (UE) 2019/881; - Definizione ai sensi dell'articolo 6 della direttiva (UE) 2022/2555 (direttiva NIS2) per "sicurezza informatica" si intendono le attività necessarie per proteggere i sistemi di rete e di informazione, gli utenti di tali sistemi e le altre persone interessate dalle minacce informatiche; - definizione ai sensi dell'articolo 2, punto (1), del regolamento (UE) 2019/881; capacità in tutta l'Unione, attenuare le minacce ai sistemi di rete e di informazione utilizzati per fornire servizi essenziali in settori chiave e garantire la continuità di tali servizi in caso di incidenti, contribuendo così alla sicurezza dell'Unione e all'efficace funzionamento della sua economia e della sua società.

(2) Dall'entrata in vigore della direttiva (UE) 2016/1148, sono stati compiuti progressi significativi nell'aumentare il livello di resilienza informatica dell'Unione. L'esame di tale direttiva ha dimostrato che essa è servita da catalizzatore per l'approccio istituzionale e normativo alla cibersicurezza nell'Unione, aprendo la strada a un significativo cambiamento di mentalità.

Tale direttiva ha garantito il completamento dei quadri nazionali in materia di sicurezza delle reti e dei sistemi informativiSicurezza delle reti e dei sistemi informativi Si intende la capacità dei sistemi di rete e di informazione di resistere, a un determinato livello di fiducia, a qualsiasi evento che possa compromettere la disponibilità, l'autenticità, l'integrità o la riservatezza dei dati memorizzati, trasmessi o elaborati o dei servizi offerti o accessibili tramite tali sistemi di rete e di informazione. Definizione ai sensi dell'articolo 6 della direttiva (UE) 2022/2555 (direttiva NIS2) stabilendo strategie nazionali sulla sicurezza delle reti e dei sistemi informativi e stabilendo capacità nazionali e attuando misure normative che coprano le infrastrutture e le entità essenziali individuate da ciascuno Stato membro.

La direttiva (UE) 2016/1148 ha inoltre contribuito alla cooperazione a livello dell'Unione attraverso l'istituzione del gruppo di cooperazione e della rete di sicurezza informatica nazionale. incidenteIncidente Si intende un evento che compromette la disponibilità, l'autenticità, l'integrità o la riservatezza dei dati memorizzati, trasmessi o elaborati o dei servizi offerti o accessibili tramite i sistemi di rete e di informazione -. Definizione ai sensi dell'articolo 6 della direttiva (UE) 2022/2555 (direttiva NIS2) squadre di risposta. Nonostante questi risultati, la revisione della Direttiva (UE) 2016/1148 ha rivelato carenze intrinseche che le impediscono di affrontare efficacemente le sfide attuali ed emergenti in materia di sicurezza informatica.

(3) Con la rapida trasformazione digitale e l'interconnessione della società, anche negli scambi transfrontalieri, le reti e i sistemi informativi sono diventati un elemento centrale della vita quotidiana. Questo sviluppo ha portato a un'espansione della minaccia informaticaMinaccia informatica qualsiasi potenziale circostanza, evento o azione che potrebbe danneggiare, interrompere o avere un impatto negativo sulla rete e sui sistemi informativi, sugli utenti di tali sistemi e su altre persone - Definizione ai sensi dell'articolo 2, punto (8), del Regolamento (UE) 2019/881 e che comporta nuove sfide, che richiedono risposte adeguate, coordinate e innovative in tutti gli Stati membri.

Il numero, l'entità, la sofisticazione, la frequenza e l'impatto degli incidenti sono in aumento e rappresentano una grave minaccia per il funzionamento dei sistemi di rete e di informazione. Di conseguenza, gli incidenti possono ostacolare lo svolgimento delle attività economiche nel mercato interno, generare perdite finanziarie, minare la fiducia degli utenti e causare gravi danni all'economia e alla società dell'Unione.

La preparazione e l'efficacia della sicurezza informatica sono quindi più che mai essenziali per il corretto funzionamento del mercato interno. Inoltre, la sicurezza informatica è un fattore chiave per molti settori critici per abbracciare con successo la trasformazione digitale e cogliere appieno i vantaggi economici, sociali e sostenibili della digitalizzazione.

(4) La base giuridica della direttiva (UE) 2016/1148 è l'articolo 114 del trattato sul funzionamento dell'Unione europea (TFUE), il cui obiettivo è l'instaurazione e il funzionamento del mercato interno attraverso il rafforzamento delle misure per il ravvicinamento delle normative nazionali. I requisiti di sicurezza informatica imposti ai soggetti che forniscono servizi o svolgono attività economicamente rilevanti variano notevolmente tra gli Stati membri in termini di tipo di requisiti, livello di dettaglio e metodo di supervisione. Tali disparità comportano costi aggiuntivi e creano difficoltà alle entità che offrono beni o servizi a livello transfrontaliero.

I requisiti imposti da uno Stato membro che sono diversi o addirittura in conflitto con quelli imposti da un altro Stato membro possono incidere in modo sostanziale su tali attività transfrontaliere. Inoltre, l'eventualità di una progettazione o di un'attuazione inadeguata dei requisiti di cibersicurezza in uno Stato membro può avere ripercussioni sul livello di cibersicurezza di altri Stati membri, in particolare data l'intensità degli scambi transfrontalieri.

Il riesame della Direttiva (UE) 2016/1148 ha evidenziato un'ampia divergenza nella sua attuazione da parte degli Stati membri, anche in relazione al suo campo di applicazione, la cui delimitazione è stata lasciata in gran parte alla discrezione degli Stati membri. La direttiva (UE) 2016/1148 ha inoltre lasciato agli Stati membri un'ampia discrezionalità per quanto riguarda l'attuazione degli obblighi di sicurezza e di segnalazione degli incidenti ivi previsti. Tali obblighi sono stati quindi attuati in modi significativamente diversi a livello nazionale. Divergenze analoghe si riscontrano nell'attuazione delle disposizioni della direttiva (UE) 2016/1148 in materia di vigilanza e applicazione.

(5) Tutte queste divergenze comportano una frammentazione del mercato interno e possono avere un effetto negativo sul suo funzionamento, incidendo in particolare sulla prestazione transfrontaliera di servizi e sul livello di resilienza informatica a causa dell'applicazione di una serie di misure. In ultima analisi, tali divergenze potrebbero portare a un aumento della vulnerabilitàVulnerabilità Si intende una debolezza, una suscettibilità o un difetto dei prodotti o dei servizi ICT che può essere sfruttato da una minaccia informatica -. Definizione ai sensi dell'articolo 6 della direttiva (UE) 2022/2555 (direttiva NIS2) di alcuni Stati membri alle minacce informatiche, con potenziali effetti di ricaduta in tutta l'Unione.

La presente direttiva mira a eliminare tali ampie divergenze tra gli Stati membri, in particolare definendo norme minime relative al funzionamento di un quadro normativo coordinato, stabilendo meccanismi per una cooperazione efficace tra le autorità responsabili in ciascuno Stato membro, aggiornando l'elenco dei settori e delle attività soggette agli obblighi di cibersicurezza e prevedendo rimedi efficaci e misure di esecuzione che sono fondamentali per l'effettiva applicazione di tali obblighi. Pertanto, la direttiva (UE) 2016/1148 dovrebbe essere abrogata e sostituita dalla presente direttiva.

(6) Con l'abrogazione della direttiva (UE) 2016/1148, è opportuno estendere l'ambito di applicazione per settori a una parte più ampia dell'economia, in modo da fornire una copertura completa dei settori e dei servizi di importanza vitale per le attività sociali ed economiche fondamentali nel mercato interno. In particolare, la presente direttiva mira a superare le carenze della differenziazione tra operatori di servizi essenziali e operatori di servizi di pubblica utilità. servizio digitaleServizio digitale si intende qualsiasi servizio della società dell'informazione, vale a dire qualsiasi servizio normalmente fornito a pagamento, a distanza, per via elettronica e su richiesta individuale di un destinatario di servizi. Ai fini della presente definizione: i) per "a distanza" si intende che il servizio è prestato senza che le parti siano simultaneamente presenti; ii) per "per via elettronica" si intende che il servizio è inviato inizialmente e ricevuto a destinazione per mezzo di apparecchiature elettroniche per il trattamento (compresa la compressione digitale) e la memorizzazione di dati, e che è interamente trasmesso, inoltrato e ricevuto via filo, via radio, con mezzi ottici o con altri mezzi elettromagnetici; iii) per "a richiesta individuale di un destinatario di servizi" si intende che il servizio è fornito attraverso la trasmissione di dati su richiesta individuale. - Definizione ai sensi dell'articolo 1, paragrafo 1, lettera b), della direttiva (UE) 2015/1535 del Parlamento europeo e del Consiglio. che si è dimostrata obsoleta, poiché non riflette l'importanza dei settori o dei servizi per le attività sociali ed economiche nel mercato interno.

(7) Ai sensi della direttiva (UE) 2016/1148, gli Stati membri erano responsabili dell'identificazione dei soggetti che soddisfacevano i criteri per essere considerati operatori di servizi essenziali. Al fine di eliminare le ampie divergenze tra gli Stati membri a tale riguardo e garantire la certezza del diritto per quanto riguarda la cybersecurity rischioIl rischio Si intende il potenziale di perdita o di perturbazione causato da un incidente e deve essere espresso come una combinazione dell'entità di tale perdita o perturbazione e della probabilità che l'incidente si verifichi -. Definizione ai sensi dell'articolo 6 della direttiva (UE) 2022/2555 (direttiva NIS2)-misure di gestione e obblighi di comunicazione per tutti gli enti interessati, è necessario stabilire un criterio uniforme che determini gli enti che rientrano nell'ambito di applicazione della presente direttiva.

Tale criterio dovrebbe consistere nell'applicazione di una regola dimensionale, in base alla quale rientrano nel suo ambito di applicazione tutti i soggetti che si qualificano come medie imprese ai sensi dell'articolo 2 dell'allegato alla raccomandazione 2003/361/CE della Commissione, o che superano i massimali per le medie imprese di cui al paragrafo 1 di tale articolo, e che operano nei settori e forniscono i tipi di servizi o svolgono le attività contemplate dalla presente direttiva. Gli Stati membri dovrebbero inoltre prevedere che alcune piccole imprese e microimprese, come definite all'articolo 2, paragrafi 2 e 3, di tale allegato, che soddisfano criteri specifici che indicano un ruolo chiave per la società, l'economia o per particolari settori o tipi di servizi, rientrino nell'ambito di applicazione della presente direttiva.

(8) È opportuno che l'esclusione degli enti della pubblica amministrazione dall'ambito di applicazione della presente direttiva si applichi agli enti le cui attività sono prevalentemente svolte nei settori della sicurezza nazionale, della pubblica sicurezza, della difesa o dell'applicazione della legge, compresi la prevenzione, le indagini, l'accertamento e il perseguimento dei reati. Tuttavia, gli enti della pubblica amministrazione le cui attività sono solo marginalmente collegate a tali settori non dovrebbero essere esclusi dall'ambito di applicazione della presente direttiva.

Ai fini della presente direttiva, gli enti con competenze di regolamentazione non sono considerati svolgere attività nel settore dell'applicazione della legge e pertanto non sono esclusi per questo motivo dall'ambito di applicazione della presente direttiva. Gli enti della pubblica amministrazione che sono stabiliti congiuntamente con un paese terzo in conformità a un accordo internazionale sono esclusi dall'ambito di applicazione della presente direttiva. La presente direttiva non si applica alle missioni diplomatiche e consolari degli Stati membri nei Paesi terzi o ai loro sistemi di rete e di informazione, nella misura in cui tali sistemi sono situati nei locali della missione o sono gestiti per gli utenti di un Paese terzo.

(9) Gli Stati membri devono poter adottare le misure necessarie per garantire la tutela degli interessi essenziali della sicurezza nazionale, per salvaguardare l'ordine pubblico e la sicurezza pubblica e per consentire la prevenzione, l'indagine, l'accertamento e il perseguimento dei reati.

A tal fine, gli Stati membri dovrebbero poter esentare determinati enti che svolgono attività nei settori della sicurezza nazionale, della pubblica sicurezza, della difesa o dell'applicazione della legge, comprese la prevenzione, le indagini, l'accertamento e il perseguimento dei reati, da alcuni obblighi previsti dalla presente direttiva in relazione a tali attività.

Dove un entitàEntità Persona fisica o giuridica creata e riconosciuta come tale dalla legislazione nazionale del suo luogo di stabilimento, che può, agendo in nome proprio, esercitare diritti ed essere soggetta a obblighi -. Definizione ai sensi dell'articolo 6 della direttiva (UE) 2022/2555 (direttiva NIS2) fornisce servizi esclusivamente ad un ente della pubblica amministrazioneEnte della Pubblica Amministrazione Si intende un ente riconosciuto come tale in uno Stato membro in conformità al diritto nazionale, ad esclusione del sistema giudiziario, dei parlamenti o delle banche centrali, che soddisfa i seguenti criteri: (a) è istituito per soddisfare esigenze di interesse generale e non ha carattere industriale o commerciale; (b) ha personalità giuridica o è autorizzato dalla legge ad agire per conto di un altro ente con personalità giuridica; (c) è finanziata in larga misura dallo Stato, dalle autorità regionali o da altri organismi di diritto pubblico, è soggetta al controllo della gestione da parte di tali autorità o organismi, o ha un consiglio di amministrazione, di gestione o di vigilanza i cui membri sono nominati per più della metà dallo Stato, dalle autorità regionali o da altri organismi di diritto pubblico; (d) ha il potere di indirizzare a persone fisiche o giuridiche decisioni amministrative o regolamentari che incidono sui loro diritti nella circolazione transfrontaliera di persone, beni, servizi o capitali. - Definizione ai sensi dell'articolo 6 della direttiva (UE) 2022/2555 (direttiva NIS2) che è escluso dall'ambito di applicazione della presente direttiva, gli Stati membri dovrebbero poter esentare tale ente da alcuni obblighi previsti dalla presente direttiva in relazione a tali servizi. Inoltre, nessuno Stato membro dovrebbe essere tenuto a fornire informazioni la cui divulgazione sarebbe contraria agli interessi essenziali della sicurezza nazionale, della pubblica sicurezza o della difesa.

In tale contesto si deve tenere conto delle norme dell'Unione o nazionali per la protezione delle informazioni classificate, degli accordi di non divulgazione e degli accordi informali di non divulgazione come il protocollo a semaforo. Il protocollo a semaforo deve essere inteso come un mezzo per fornire informazioni su eventuali limitazioni in merito all'ulteriore diffusione delle informazioni. È utilizzato in quasi tutti i team di risposta agli incidenti di sicurezza informatica (CSIRT) e in alcuni centri di analisi e condivisione delle informazioni.

(10) Sebbene la presente direttiva si applichi agli enti che svolgono attività di produzione di energia elettrica da centrali nucleari, alcune di queste attività possono essere legate alla sicurezza nazionale. In tal caso, uno Stato membro dovrebbe essere in grado di esercitare la propria responsabilità per la salvaguardia della sicurezza nazionale in relazione a tali attività, comprese quelle all'interno della catena del valore nucleare, in conformità ai trattati.

(11) Alcuni enti svolgono attività nei settori della sicurezza nazionale, della pubblica sicurezza, della difesa o dell'applicazione della legge, tra cui la prevenzione, l'indagine, l'accertamento e il perseguimento di reati, fornendo anche servizi fiduciari. Servizio fiduciarioServizio fiduciario Si intende un servizio elettronico normalmente fornito a titolo oneroso che consiste: (a) nella creazione, verifica e convalida di firme elettroniche, sigilli elettronici o marche temporali elettroniche, servizi elettronici di consegna raccomandata e certificati relativi a tali servizi, o (b) nella creazione, verifica e convalida di certificati per l'autenticazione di siti web; o (c) nella conservazione di firme elettroniche, sigilli o certificati relativi a tali servizi - Definizione ai sensi dell'articolo 3, punto (16), del regolamento (UE) n. 910/2014 I prestatori che rientrano nell'ambito di applicazione del regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio (6) dovrebbero rientrare nell'ambito di applicazione della presente direttiva al fine di garantire lo stesso livello di requisiti di sicurezza e di vigilanza precedentemente previsto da tale regolamento per i prestatori di servizi fiduciari. In linea con l'esclusione di alcuni servizi specifici dal regolamento (UE) n. 910/2014, la presente direttiva non dovrebbe applicarsi alla prestazione di servizi fiduciari utilizzati esclusivamente nell'ambito di sistemi chiusi derivanti dalla legislazione nazionale o da accordi tra un insieme definito di partecipanti.

(12) I fornitori di servizi postali quali definiti nella direttiva 97/67/CE del Parlamento europeo e del Consiglio, compresi i fornitori di servizi di corriere, devono essere soggetti alla presente direttiva se forniscono almeno una delle fasi della catena di distribuzione postale, in particolare la raccolta, lo smistamento, il trasporto o la distribuzione degli invii postali, compresi i servizi di ritiro, tenendo conto del grado di dipendenza dai sistemi di rete e di informazione. I servizi di trasporto che non sono effettuati insieme a una di queste fasi dovrebbero essere esclusi dall'ambito dei servizi postali.

(13) Data l'intensificazione e la maggiore sofisticazione delle minacce informatiche, è opportuno che gli Stati membri si adoperino per garantire che i soggetti esclusi dall'ambito di applicazione della presente direttiva raggiungano un livello elevato di cibersicurezza e per sostenere l'attuazione di misure equivalenti di gestione del rischio di cibersicurezza che riflettano la natura sensibile di tali soggetti.

(14) Il diritto dell'Unione in materia di protezione dei dati e il diritto dell'Unione in materia di privacy si applicano a qualsiasi trattamento di dati personali ai sensi della presente direttiva. In particolare, la presente direttiva non pregiudica il regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio e la direttiva 2002/58/CE del Parlamento europeo e del Consiglio. La presente direttiva non dovrebbe pertanto pregiudicare, tra l'altro, i compiti e i poteri delle autorità competenti per il controllo della conformità alla normativa dell'Unione sulla protezione dei dati e alla normativa dell'Unione sulla privacy.

(15) Gli enti che rientrano nell'ambito di applicazione della presente direttiva ai fini dell'osservanza delle misure di gestione del rischio di cibersicurezza e degli obblighi di comunicazione dovrebbero essere classificati in due categorie, enti essenziali ed enti importanti, che riflettono la misura in cui sono critici per quanto riguarda il loro settore o il tipo di servizio che forniscono, nonché le loro dimensioni. A questo proposito, si dovrebbe tenere in debito conto qualsiasi valutazione del rischio settoriale o orientamento delle autorità competenti, ove applicabile. I regimi di vigilanza e di applicazione per queste due categorie di soggetti dovrebbero essere differenziati per garantire un giusto equilibrio tra i requisiti e gli obblighi basati sul rischio, da un lato, e gli oneri amministrativi derivanti dalla supervisione della conformità, dall'altro.

(16) Per evitare che le entità che hanno imprese partner o collegate siano considerate entità essenziali o importanti quando ciò sarebbe sproporzionato, gli Stati membri possono tenere conto del grado di indipendenza di cui gode un'entità rispetto alle sue imprese partner o collegate nell'applicare l'articolo 6, paragrafo 2, dell'allegato alla raccomandazione 2003/361/CE. In particolare, gli Stati membri possono tenere conto del fatto che un'entità è indipendente dalle imprese partner o collegate per quanto riguarda la rete e i sistemi informativi che l'entità utilizza nella fornitura dei suoi servizi e per quanto riguarda i servizi che l'entità fornisce.

Su tale base, se del caso, gli Stati membri possono ritenere che tale entità non abbia i requisiti per essere considerata una media impresa ai sensi dell'articolo 2 dell'allegato alla raccomandazione 2003/361/CE, o non superi i massimali per le medie imprese di cui al paragrafo 1 di tale articolo, se, dopo aver tenuto conto del grado di indipendenza di tale entità, si ritiene che essa non avrebbe avuto i requisiti per essere considerata una media impresa o per superare tali massimali nel caso in cui fossero stati presi in considerazione solo i suoi dati. Restano impregiudicati gli obblighi previsti dalla presente direttiva per le imprese associate e collegate che rientrano nel campo di applicazione della direttiva stessa.

(17) Gli Stati membri dovrebbero poter decidere che i soggetti individuati prima dell'entrata in vigore della presente direttiva come operatori di servizi essenziali ai sensi della direttiva (UE) 2016/1148 siano considerati soggetti essenziali.

(18) Per garantire una chiara visione d'insieme delle entità che rientrano nell'ambito di applicazione della presente direttiva, è opportuno che gli Stati membri redigano un elenco di entità essenziali e importanti, nonché di entità che forniscono servizi di registrazione di nomi di dominio. A tal fine, è opportuno che gli Stati membri chiedano alle entità di presentare alle autorità competenti almeno le seguenti informazioni: nome, indirizzo e dati di contatto aggiornati, compresi gli indirizzi e-mail, gli intervalli IP e i numeri di telefono dell'entità e, se del caso, il settore e il sottosettore pertinenti di cui agli allegati, nonché, se del caso, un elenco degli Stati membri in cui forniscono servizi che rientrano nell'ambito di applicazione della presente direttiva.

A tal fine, la Commissione, con l'assistenza dell'Agenzia dell'Unione europea per la sicurezza informatica (ENISA), dovrebbe fornire senza indugio linee guida e modelli relativi all'obbligo di fornire informazioni. Per facilitare l'elaborazione e l'aggiornamento dell'elenco delle entità essenziali e importanti e delle entità che forniscono servizi di registrazione di nomi di dominio, gli Stati membri dovrebbero poter istituire meccanismi nazionali che consentano alle entità di registrarsi. Laddove esistano registri a livello nazionale, gli Stati membri possono decidere i meccanismi appropriati che consentono l'identificazione delle entità che rientrano nell'ambito di applicazione della presente direttiva.

(19) È opportuno che gli Stati membri presentino alla Commissione almeno il numero di enti essenziali e importanti per ciascun settore e sottosettore di cui agli allegati, nonché informazioni pertinenti sul numero di enti individuati e sulla disposizione, tra quelle previste dalla presente direttiva, in base alla quale sono stati individuati, nonché sul tipo di servizio che forniscono. Gli Stati membri sono incoraggiati a scambiare con la Commissione informazioni sugli enti essenziali e importanti e, nel caso di una incidente di cybersicurezza su larga scalaIncidente di cybersicurezza su larga scala Si intende un incidente che provoca un livello di perturbazione superiore alla capacità di risposta di uno Stato membro o che ha un impatto significativo su almeno due Stati membri -. Definizione ai sensi dell'articolo 6 della direttiva (UE) 2022/2555 (direttiva NIS2), informazioni rilevanti come il nome dell'ente interessato.

(20) La Commissione, in collaborazione con il gruppo di cooperazione e previa consultazione delle parti interessate, dovrebbe fornire orientamenti sull'attuazione dei criteri applicabili alle microimprese e alle piccole imprese per valutare se rientrano nell'ambito di applicazione della presente direttiva. La Commissione dovrebbe inoltre garantire che vengano forniti orientamenti adeguati alle microimprese e alle piccole imprese che rientrano nell'ambito di applicazione della presente direttiva. La Commissione dovrebbe, con l'assistenza degli Stati membri, mettere a disposizione delle microimprese e delle piccole imprese informazioni a tale riguardo.

(21) La Commissione potrebbe fornire orientamenti per assistere gli Stati membri nell'attuazione delle disposizioni della presente direttiva sull'ambito di applicazione e nella valutazione della proporzionalità delle misure da adottare a norma della presente direttiva, in particolare per quanto riguarda gli enti con modelli aziendali o ambienti operativi complessi, in cui un ente può soddisfare contemporaneamente i criteri assegnati agli enti essenziali e importanti o può svolgere contemporaneamente attività che in parte rientrano e in parte sono escluse dall'ambito di applicazione della presente direttiva.

(22) La presente direttiva stabilisce il quadro di riferimento per le misure di gestione del rischio di cibersicurezza e gli obblighi di comunicazione nei settori che rientrano nel suo ambito di applicazione. Al fine di evitare la frammentazione delle disposizioni in materia di cibersicurezza degli atti giuridici dell'Unione, qualora si ritenga necessario adottare ulteriori atti giuridici settoriali dell'Unione relativi alle misure di gestione del rischio di cibersicurezza e agli obblighi di comunicazione per garantire un livello elevato di cibersicurezza in tutta l'Unione, è opportuno che la Commissione valuti se tali ulteriori disposizioni possano essere stipulate in un atto di esecuzione della presente direttiva.

Qualora tale atto di esecuzione non fosse adatto a tale scopo, atti giuridici dell'Unione specifici per settore potrebbero contribuire a garantire un livello elevato di cibersicurezza in tutta l'Unione, tenendo pienamente conto delle specificità e delle complessità dei settori interessati. A tal fine, la presente direttiva non preclude l'adozione di ulteriori atti giuridici dell'Unione specifici per settore che trattino le misure di gestione del rischio di cibersicurezza e gli obblighi di comunicazione che tengano in debito conto la necessità di un quadro di cibersicurezza completo e coerente. La presente direttiva non pregiudica le competenze di esecuzione esistenti che sono state conferite alla Commissione in una serie di settori, tra cui i trasporti e l'energia.

(23) Se un atto giuridico dell'Unione specifico del settore contiene disposizioni che impongono agli enti essenziali o importanti di adottare misure di gestione del rischio di cibersicurezza o di notificare gli incidenti significativi, e se tali requisiti hanno un effetto almeno equivalente agli obblighi stabiliti nella presente direttiva, è opportuno che tali disposizioni, anche in materia di vigilanza e applicazione, si applichino a tali enti. Se un atto giuridico dell'Unione specifico del settore non copre tutti gli enti di un settore specifico che rientra nell'ambito di applicazione della presente direttiva, le pertinenti disposizioni della presente direttiva dovrebbero continuare ad applicarsi agli enti non coperti da tale atto.

(24) Qualora le disposizioni di un atto giuridico dell'Unione specifico del settore prevedano che gli enti essenziali o importanti debbano adempiere a obblighi di segnalazione di effetto almeno equivalente agli obblighi di segnalazione previsti dalla presente direttiva, è opportuno garantire la coerenza e l'efficacia del trattamento delle notifiche di incidenti. A tal fine, le disposizioni relative alle notifiche di incidenti dell'atto giuridico dell'Unione specifico del settore dovrebbero fornire ai CSIRT, alle autorità competenti o ai punti di contatto unici in materia di cibersicurezza (punti di contatto unici) ai sensi della presente direttiva un accesso immediato alle notifiche di incidenti presentate in conformità all'atto giuridico dell'Unione specifico del settore.

In particolare, tale accesso immediato può essere garantito se le notifiche di incidenti vengono trasmesse senza indebito ritardo al CSIRT, all'autorità competente o al punto di contatto unico ai sensi della presente direttiva. Se del caso, gli Stati membri dovrebbero istituire un meccanismo di segnalazione automatica e diretta che garantisca la condivisione sistematica e immediata delle informazioni con i CSIRT, le autorità competenti o gli sportelli unici in merito al trattamento di tali notifiche di incidenti. Al fine di semplificare la segnalazione e di attuare il meccanismo di segnalazione automatica e diretta, gli Stati membri potrebbero, in conformità con l'atto giuridico dell'Unione specifico del settore, utilizzare un punto di ingresso unico.

(25) Gli atti giuridici settoriali dell'Unione che prevedono misure di gestione del rischio di cibersicurezza o obblighi di comunicazione di effetto almeno equivalente a quelli stabiliti nella presente direttiva potrebbero prevedere che le autorità competenti ai sensi di tali atti esercitino i loro poteri di vigilanza e di esecuzione in relazione a tali misure o obblighi con l'assistenza delle autorità competenti ai sensi della presente direttiva.

Le autorità competenti interessate potrebbero stabilire accordi di cooperazione a tal fine. Tali accordi di cooperazione potrebbero specificare, tra l'altro, le procedure relative al coordinamento delle attività di vigilanza, comprese le procedure di indagine e le ispezioni in loco in conformità al diritto nazionale, e un meccanismo per lo scambio di informazioni pertinenti in materia di vigilanza e applicazione tra le autorità competenti, compreso l'accesso alle informazioni in materia informatica richieste dalle autorità competenti ai sensi della presente direttiva.

(26) Laddove gli atti giuridici settoriali dell'Unione impongano o incentivino gli enti a notificare le minacce informatiche significative, è opportuno che gli Stati membri incoraggino anche la condivisione delle minacce informatiche significative con i CSIRT, le autorità competenti o gli sportelli unici di cui alla presente direttiva, al fine di garantire un maggiore livello di consapevolezza di tali organismi in merito al panorama delle minacce informatiche e di consentire loro di rispondere in modo efficace e tempestivo qualora le minacce informatiche significative si concretizzino.

(27) È opportuno che i futuri atti giuridici settoriali dell'Unione tengano in debito conto le definizioni e il quadro di vigilanza e di applicazione stabiliti nella presente direttiva.

(28) Il regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio (10) dovrebbe essere considerato un atto giuridico dell'Unione specifico del settore in relazione alla presente direttiva per quanto riguarda gli enti finanziari. Le disposizioni del regolamento (UE) 2022/2554 relative alla gestione del rischio delle tecnologie dell'informazione e della comunicazione (TIC), alla gestione degli incidenti connessi alle TIC e, in particolare, alla segnalazione degli incidenti gravi connessi alle TIC, nonché alle prove di resilienza operativa digitale, agli accordi di condivisione delle informazioni e al rischio di terzi per le TIC dovrebbero applicarsi al posto di quelle previste dalla presente direttiva. Gli Stati membri non dovrebbero pertanto applicare le disposizioni della presente direttiva in materia di obblighi di gestione e segnalazione del rischio di cibersicurezza, nonché di vigilanza e applicazione, agli enti finanziari disciplinati dal regolamento (UE) n. 2022/2554. Allo stesso tempo, è importante mantenere una forte relazione e uno scambio di informazioni con il settore finanziario ai sensi della presente direttiva.

A tal fine, il regolamento (UE) 2022/2554 consente alle autorità europee di vigilanza (AEV) e alle autorità competenti ai sensi di tale regolamento di partecipare alle attività del gruppo di cooperazione e di scambiare informazioni e cooperare con gli sportelli unici, nonché con i CSIRT e le autorità competenti ai sensi della presente direttiva. Le autorità competenti ai sensi del Regolamento (UE) 2022/2554 dovrebbero inoltre trasmettere ai CSIRT, alle autorità competenti o agli sportelli unici di cui alla presente direttiva i dettagli degli incidenti rilevanti legati alle TIC e, se del caso, delle minacce informatiche significative. Ciò è possibile fornendo un accesso immediato alle notifiche di incidenti e trasmettendole direttamente o attraverso un unico punto di ingresso. Inoltre, gli Stati membri dovrebbero continuare a includere il settore finanziario nelle loro strategie di sicurezza informatica e i CSIRT possono includere il settore finanziario nelle loro attività.

(29) Al fine di evitare lacune o duplicazioni degli obblighi di cibersicurezza imposti agli enti del settore dell'aviazione, è opportuno che le autorità nazionali di cui ai regolamenti (CE) n. 300/2008 e (UE) 2018/1139 del Parlamento europeo e del Consiglio e le autorità competenti ai sensi della presente direttiva collaborino in relazione all'attuazione di misure di gestione del rischio di cibersicurezza e alla vigilanza sul rispetto di tali misure a livello nazionale. La conformità di un'entità ai requisiti di sicurezza stabiliti nei regolamenti (CE) n. 300/2008 e (UE) 2018/1139 e nei pertinenti atti delegati e di esecuzione adottati ai sensi di tali regolamenti potrebbe essere considerata dalle autorità competenti ai sensi della presente direttiva come conformità ai corrispondenti requisiti stabiliti nella presente direttiva.

(30) In considerazione delle interconnessioni tra la cibersicurezza e la sicurezza fisica degli enti, occorre garantire un approccio coerente tra la direttiva (UE) 2022/2557 del Parlamento europeo e del Consiglio e la presente direttiva. A tal fine, gli enti identificati come enti critici ai sensi della direttiva (UE) 2022/2557 dovrebbero essere considerati enti essenziali ai sensi della presente direttiva.

Inoltre, ogni Stato membro dovrebbe garantire che il proprio strategia nazionale di cybersicurezzaStrategia nazionale di sicurezza informatica Si intende un quadro coerente di uno Stato membro che fornisce obiettivi e priorità strategiche nel settore della cibersicurezza e la governance per raggiungerli in tale Stato membro. Definizione ai sensi dell'articolo 6 della direttiva (UE) 2022/2555 (direttiva NIS2) fornisce un quadro politico per un coordinamento rafforzato all'interno di tale Stato membro tra le autorità competenti ai sensi della presente direttiva e quelle ai sensi della direttiva (UE) 2022/2557 nel contesto della condivisione di informazioni su rischi, minacce e incidenti informatici, nonché su rischi, minacce e incidenti non informatici, e dell'esercizio dei compiti di vigilanza. Le autorità competenti ai sensi della presente direttiva e quelle ai sensi della direttiva (UE) 2022/2557 dovrebbero cooperare e scambiare informazioni senza indebito ritardo, in particolare in relazione all'identificazione di entità critiche, rischi, minacce informatiche e incidenti, nonché in relazione a rischi, minacce e incidenti non informatici che interessano entità critiche, comprese le misure di cibersicurezza e fisiche adottate dalle entità critiche e i risultati delle attività di vigilanza svolte in relazione a tali entità.

Inoltre, al fine di razionalizzare le attività di vigilanza tra le autorità competenti ai sensi della presente direttiva e quelle ai sensi della direttiva (UE) 2022/2557 e al fine di ridurre al minimo gli oneri amministrativi per gli enti interessati, tali autorità competenti dovrebbero sforzarsi di armonizzare i modelli di notifica degli incidenti e le procedure di vigilanza. Se del caso, le autorità competenti ai sensi della direttiva (UE) 2022/2557 dovrebbero poter chiedere alle autorità competenti ai sensi della presente direttiva di esercitare i loro poteri di vigilanza e di applicazione in relazione a un'entità identificata come entità critica ai sensi della direttiva (UE) 2022/2557. Le autorità competenti ai sensi della presente direttiva e quelle ai sensi della direttiva (UE) 2022/2557 dovrebbero, ove possibile in tempo reale, cooperare e scambiarsi informazioni a tal fine.

(31) I soggetti appartenenti al settore delle infrastrutture digitali si basano essenzialmente su sistemi di rete e di informazione e pertanto gli obblighi imposti a tali soggetti ai sensi della presente direttiva devono riguardare in modo completo la sicurezza fisica di tali sistemi nell'ambito delle misure di gestione del rischio di cibersicurezza e degli obblighi di comunicazione. Poiché tali questioni sono coperte dalla presente direttiva, gli obblighi stabiliti nei capitoli III, IV e VI della direttiva (UE) 2022/2557 non si applicano a tali soggetti.

(32) Il mantenimento e la conservazione di un sistema di nomi di dominio (DNS) affidabile, resiliente e sicuro sono fattori chiave per mantenere l'integrità di Internet e sono essenziali per il suo funzionamento continuo e stabile, da cui dipendono l'economia e la società digitali. Pertanto, la presente direttiva dovrebbe applicarsi ai registri dei nomi di dominio di primo livello (TLD) e ai fornitori di servizi DNS, intesi come entità che forniscono servizi di risoluzione ricorsiva dei nomi di dominio disponibili al pubblico per gli utenti finali di Internet o servizi di risoluzione autorevole dei nomi di dominio per uso di terzi. La presente direttiva non si applica ai root name server.

(33) I servizi di cloud computing dovrebbero coprire i servizi digitali che consentono l'amministrazione su richiesta e l'ampio accesso remoto a un pool scalabile ed elastico di risorse informatiche condivisibili, anche quando tali risorse sono distribuite su più sedi. Le risorse informatiche comprendono risorse quali reti, server o altre infrastrutture, sistemi operativi, software, archiviazione, applicazioni e servizi. I modelli di servizio del cloud computing includono, tra gli altri, Infrastructure as a Service (IaaS), Platform as a Service (PaaS), Software as a Service (SaaS) e Network as a Service (NaaS).

I modelli di implementazione del cloud computing dovrebbero includere cloud privato, comunitario, pubblico e ibrido. Il servizio di cloud computingServizio di cloud computing Un servizio digitale che consente l'amministrazione on-demand e un ampio accesso remoto a un pool scalabile ed elastico di risorse informatiche condivisibili, anche nel caso in cui tali risorse siano distribuite su più sedi -. Definizione ai sensi dell'articolo 6 della direttiva (UE) 2022/2555 (direttiva NIS2) e modelli di implementazione hanno lo stesso significato dei termini di servizio e dei modelli di implementazione definiti nella norma ISO/IEC 17788:2014. standardStandard Per "norma" si intende una specifica tecnica, adottata da un organismo di normalizzazione riconosciuto, per applicazione ripetuta o continua, la cui osservanza non è obbligatoria e che è una delle seguenti: (a) "norma internazionale": una norma adottata da un organismo internazionale di normalizzazione; (b) "norma europea": una norma adottata da un organismo europeo di normalizzazione; (c) "norma armonizzata": una norma europea adottata sulla base di una richiesta presentata dalla Commissione per l'applicazione della normativa di armonizzazione dell'Unione; (d) "norma nazionale": una norma adottata da un organismo nazionale di normalizzazione - Definizione ai sensi dell'articolo 2, punto (1), del regolamento (UE) n. 1025/2012 del Parlamento europeo e del Consiglio.La capacità dell'utente del cloud computing di autofornire unilateralmente capacità di elaborazione, come il tempo del server o lo storage di rete, senza alcuna interazione umana da parte del fornitore di servizi di cloud computing potrebbe essere descritta come amministrazione on-demand.

Il termine "ampio accesso remoto" è utilizzato per descrivere che le funzionalità del cloud sono fornite attraverso la rete e accessibili tramite meccanismi che promuovono l'uso di piattaforme client eterogenee sottili o spesse, tra cui telefoni cellulari, tablet, computer portatili e stazioni di lavoro. Il termine "scalabile" si riferisce a risorse informatiche che vengono allocate in modo flessibile dal fornitore di servizi cloud, indipendentemente dalla posizione geografica delle risorse, per gestire le fluttuazioni della domanda.

Il termine "pool elastico" è utilizzato per descrivere le risorse informatiche che vengono fornite e rilasciate in base alla domanda, in modo da aumentare e diminuire rapidamente le risorse disponibili in base al carico di lavoro. Il termine "condivisibile" è utilizzato per descrivere le risorse informatiche fornite a più utenti che condividono un accesso comune al servizio, ma in cui l'elaborazione viene eseguita separatamente per ciascun utente, sebbene il servizio sia fornito dalla stessa apparecchiatura elettronica. Il termine "distribuito" è utilizzato per descrivere le risorse informatiche che si trovano su diversi computer o dispositivi in rete e che comunicano e si coordinano tra loro mediante il passaggio di messaggi.

(34) Dato l'emergere di tecnologie innovative e di nuovi modelli di business, si prevede la comparsa sul mercato interno di nuovi modelli di servizio e di distribuzione del cloud computing in risposta all'evoluzione delle esigenze dei clienti. In questo contesto, i servizi di cloud computing possono essere erogati in forma altamente distribuita, anche più vicino al luogo in cui i dati vengono generati o raccolti, passando così dal modello tradizionale a quello altamente distribuito (edge computing).

(35) Servizi offerti da servizio di centro datiServizio di centro dati Si intende un servizio che comprende strutture, o gruppi di strutture, dedicate all'alloggiamento centralizzato, all'interconnessione e al funzionamento di apparecchiature informatiche e di rete che forniscono servizi di archiviazione, elaborazione e trasporto di dati, insieme a tutte le strutture e infrastrutture per la distribuzione di energia e il controllo ambientale -. Definizione ai sensi dell'articolo 6 della direttiva (UE) 2022/2555 (direttiva NIS2) non sempre vengono forniti sotto forma di servizio di cloud computing. Di conseguenza, non sempre i centri dati costituiscono una parte dell'infrastruttura di cloud computing. Al fine di gestire tutti i rischi posti alla sicurezza dei sistemi di rete e di informazione, la presente direttiva dovrebbe pertanto coprire i fornitori di servizi di data center che non sono servizi di cloud computing.

Ai fini della presente direttiva, il termine "servizio di centro dati" dovrebbe coprire la fornitura di un servizio che comprende strutture, o gruppi di strutture, dedicate alla sistemazione centralizzata, all'interconnessione e al funzionamento di apparecchiature informatiche e di rete che forniscono servizi di archiviazione, elaborazione e trasporto di dati, insieme a tutte le strutture e infrastrutture per la distribuzione di energia e il controllo ambientale. Il termine "servizio di centro dati" non si applica ai centri dati aziendali interni di proprietà dell'ente interessato e da esso gestiti per i propri scopi.

(36) Le attività di ricerca svolgono un ruolo fondamentale nello sviluppo di nuovi prodotti e processi. Molte di queste attività sono svolte da entità che condividono, diffondono o sfruttano i risultati delle loro ricerche a fini commerciali. Queste entità possono quindi essere attori importanti nelle catene del valore, il che rende la sicurezza delle loro reti e dei loro sistemi informativi parte integrante della sicurezza informatica generale del mercato interno.

Gli organismi di ricerca devono essere intesi come entità che concentrano la parte essenziale delle loro attività sulla conduzione di ricerca applicata o sviluppo sperimentale, ai sensi del Manuale di Frascati 2015 dell'Organizzazione per la Cooperazione e lo Sviluppo Economico: Guidelines for Collecting and Reporting Data on Research and Experimental Development, con l'obiettivo di sfruttarne i risultati a fini commerciali, come la produzione o lo sviluppo di un prodotto o di un processo, la fornitura di un servizio o la sua commercializzazione.

(37) Le crescenti interdipendenze sono il risultato di una rete sempre più transfrontaliera e interdipendente di fornitura di servizi che utilizzano infrastrutture chiave in tutta l'Unione in settori quali l'energia, i trasporti, le infrastrutture digitali, l'acqua potabile e le acque reflue, la sanità, alcuni aspetti della pubblica amministrazione, nonché lo spazio, nella misura in cui la fornitura di alcuni servizi dipende da infrastrutture terrestri che sono di proprietà, gestite e operate dagli Stati membri o da privati, senza quindi coprire le infrastrutture di proprietà, gestite o operate dall'Unione o per suo conto nell'ambito del suo programma spaziale.

Queste interdipendenze fanno sì che qualsiasi perturbazione, anche se inizialmente limitata a un'entità o a un settore, possa avere effetti a cascata più ampi, con potenziali ripercussioni negative di vasta portata e di lunga durata sulla fornitura di servizi in tutto il mercato interno. L'intensificazione degli attacchi informatici durante la pandemia COVID-19 ha dimostrato la vulnerabilità di società sempre più interdipendenti di fronte a rischi a bassa probabilità.

(38) In considerazione delle differenze nelle strutture di governance nazionali e al fine di salvaguardare gli accordi settoriali già esistenti o gli organismi di vigilanza e regolamentazione dell'Unione, gli Stati membri dovrebbero poter designare o istituire una o più autorità competenti responsabili della cibersicurezza e dei compiti di vigilanza ai sensi della presente direttiva.

(39) Per facilitare la cooperazione e la comunicazione transfrontaliera tra le autorità e consentire un'attuazione efficace della presente direttiva, è necessario che ciascuno Stato membro designi un unico punto di contatto responsabile del coordinamento delle questioni relative alla sicurezza delle reti e dei sistemi informativi e della cooperazione transfrontaliera a livello di Unione.

(40) I punti di contatto unici dovrebbero garantire un'efficace cooperazione transfrontaliera con le autorità competenti degli altri Stati membri e, se del caso, con la Commissione e l'ENISA. I punti di contatto unici dovrebbero pertanto essere incaricati di trasmettere le notifiche di incidenti significativi con impatto transfrontaliero ai punti di contatto unici degli altri Stati membri interessati su richiesta del CSIRT o dell'autorità competente. A livello nazionale, i punti di contatto unici dovrebbero consentire un'agevole cooperazione intersettoriale con altre autorità competenti. I punti di contatto unici potrebbero anche essere i destinatari delle informazioni pertinenti sugli incidenti riguardanti le entità finanziarie provenienti dalle autorità competenti ai sensi del regolamento (UE) 2022/2554 , che dovrebbero essere in grado di trasmettere, a seconda dei casi, ai CSIRT o alle autorità competenti ai sensi della presente direttiva.

(41) Gli Stati membri dovrebbero essere adeguatamente attrezzati, in termini di capacità tecniche e organizzative, per prevenire, individuare, rispondere e mitigare gli incidenti e i rischi. Gli Stati membri dovrebbero pertanto istituire o designare uno o più CSIRT ai sensi della presente direttiva e garantire che dispongano di risorse e capacità tecniche adeguate. I CSIRT dovrebbero essere conformi ai requisiti stabiliti nella presente direttiva per garantire capacità efficaci e compatibili per affrontare incidenti e rischi e per assicurare una cooperazione efficiente a livello dell'Unione.

Gli Stati membri dovrebbero poter designare i gruppi di pronto intervento informatico (CERT) esistenti come CSIRT. Per rafforzare il rapporto di fiducia tra gli enti e i CSIRT, nel caso in cui un CSIRT faccia parte di un'autorità competente, gli Stati membri dovrebbero poter considerare la separazione funzionale tra i compiti operativi svolti dai CSIRT, in particolare in relazione alla condivisione delle informazioni e all'assistenza fornita agli enti, e le attività di vigilanza delle autorità competenti.

(42) I CSIRT hanno il compito di gestione degli incidentiGestione degli incidenti Si intende qualsiasi azione e procedura volta a prevenire, rilevare, analizzare e contenere o a rispondere e recuperare da un incidente -. Definizione ai sensi dell'articolo 6 della direttiva (UE) 2022/2555 (direttiva NIS2). Ciò include l'elaborazione di grandi volumi di dati talvolta sensibili. Gli Stati membri dovrebbero garantire che i CSIRT dispongano di un'infrastruttura per la condivisione e l'elaborazione delle informazioni, nonché di personale ben attrezzato, che garantisca la riservatezza e l'affidabilità delle loro operazioni. I CSIRT potrebbero anche adottare dei codici di condotta a questo proposito.

(43) Per quanto riguarda i dati personali, i CSIRT dovrebbero essere in grado di fornire, in conformità al regolamento (UE) 2016/679, su richiesta di un'entità essenziale o importante, una scansione proattiva della rete e dei sistemi informativi utilizzati per la fornitura dei servizi dell'entità. Ove applicabile, gli Stati membri dovrebbero mirare a garantire un pari livello di capacità tecniche per tutti i CSIRT settoriali. Gli Stati membri dovrebbero poter richiedere l'assistenza dell'ENISA nello sviluppo dei loro CSIRT.

(44) I CSIRT devono avere la possibilità, su richiesta di un'entità essenziale o importante, di monitorare le risorse dell'entità collegate a Internet, sia all'interno che all'esterno dei locali, al fine di identificare, comprendere e gestire i rischi organizzativi complessivi dell'entità per quanto riguarda le compromissioni della catena di approvvigionamento o le vulnerabilità critiche recentemente identificate. L'entità dovrebbe essere incoraggiata a comunicare al CSIRT se dispone di un'interfaccia di gestione dei privilegi, in quanto ciò potrebbe influire sulla velocità di intraprendere azioni di mitigazione.

(45) Data l'importanza della cooperazione internazionale in materia di cibersicurezza, è opportuno che i CSIRT possano partecipare a reti di cooperazione internazionale oltre alla rete di CSIRT istituita dalla presente direttiva. Pertanto, ai fini dello svolgimento dei loro compiti, i CSIRT e le autorità competenti dovrebbero poter scambiare informazioni, compresi i dati personali, con le squadre nazionali di risposta agli incidenti di sicurezza informatica o le autorità competenti di paesi terzi, a condizione che siano soddisfatte le condizioni previste dalla normativa dell'Unione in materia di protezione dei dati per il trasferimento di dati personali a paesi terzi, tra cui quelle di cui all'articolo 49 del regolamento (UE) 2016/679.

(46) È essenziale garantire risorse adeguate per conseguire gli obiettivi della presente direttiva e consentire alle autorità competenti e ai CSIRT di svolgere i compiti ivi previsti. Gli Stati membri possono introdurre a livello nazionale un meccanismo di finanziamento per coprire le spese necessarie in relazione allo svolgimento dei compiti degli enti pubblici responsabili della cibersicurezza nello Stato membro ai sensi della presente direttiva. Tale meccanismo dovrebbe essere conforme al diritto dell'Unione, proporzionato e non discriminatorio e dovrebbe tenere conto dei diversi approcci alla fornitura di servizi sicuri.

(47) La rete dei CSIRT dovrebbe continuare a contribuire a rafforzare la fiducia e la sicurezza e a promuovere una cooperazione operativa rapida ed efficace tra gli Stati membri. Al fine di rafforzare la cooperazione operativa a livello dell'Unione, la rete dei CSIRT dovrebbe prendere in considerazione la possibilità di invitare gli organismi e le agenzie dell'Unione coinvolti nella politica di cibersicurezza, come Europol, a partecipare ai suoi lavori.

(48) Al fine di raggiungere e mantenere un livello elevato di cibersicurezza, le strategie nazionali in materia di cibersicurezza previste dalla presente direttiva dovrebbero consistere in quadri coerenti che forniscano obiettivi strategici e priorità nel settore della cibersicurezza e la governance per raggiungerli. Tali strategie possono essere composte da uno o più strumenti legislativi o non legislativi.

(49) Le politiche di igiene informatica forniscono le basi per la protezione di rete e sistema informativoRete e sistema informativo (a) una rete di comunicazione elettronica come definita all'articolo 2, punto 1, della direttiva (UE) 2018/1972; b) qualsiasi dispositivo o gruppo di dispositivi interconnessi o collegati, uno o più dei quali, in base a un programma, effettuano il trattamento automatico di dati digitali; oppure c) i dati digitali memorizzati, elaborati, recuperati o trasmessi dagli elementi di cui alle lettere a) e b) ai fini del loro funzionamento, uso, protezione e manutenzione Definizione ai sensi dell'articolo 6 della direttiva (UE) 2022/2555 (direttiva NIS2) infrastrutture, hardware, software e applicazioni online e dati aziendali o degli utenti finali su cui le entità fanno affidamento. Le politiche di igiene informatica, che comprendono un insieme comune di pratiche di base, tra cui gli aggiornamenti di software e hardware, la modifica delle password, la gestione delle nuove installazioni, la limitazione degli account di accesso a livello di amministratore e il backup dei dati, consentono di creare un quadro proattivo di preparazione e di sicurezza generale in caso di incidenti o minacce informatiche. L'ENISA dovrebbe monitorare e analizzare le politiche di igiene informatica degli Stati membri.

(50) La consapevolezza della cibersicurezza e l'igiene informatica sono essenziali per migliorare il livello di cibersicurezza nell'Unione, in particolare alla luce del crescente numero di dispositivi connessi che vengono sempre più utilizzati per gli attacchi informatici. Occorre impegnarsi per migliorare la consapevolezza generale dei rischi legati a tali dispositivi, mentre le valutazioni a livello dell'Unione potrebbero contribuire a garantire una comprensione comune di tali rischi nel mercato interno.

(51) È opportuno che gli Stati membri incoraggino l'uso di qualsiasi tecnologia innovativa, compresa l'intelligenza artificiale, il cui impiego potrebbe migliorare l'individuazione e la prevenzione dei ciberattacchi, consentendo di dirottare le risorse verso i ciberattacchi in modo più efficace. Gli Stati membri dovrebbero pertanto incoraggiare, nell'ambito della loro strategia nazionale di cibersicurezza, attività di ricerca e sviluppo volte a facilitare l'uso di tali tecnologie, in particolare quelle relative a strumenti automatizzati o semiautomatici di cibersicurezza e, se del caso, la condivisione dei dati necessari per la formazione degli utenti di tali tecnologie e per il loro miglioramento.

L'uso di qualsiasi tecnologia innovativa, compresa l'intelligenza artificiale, dovrebbe rispettare la normativa dell'Unione in materia di protezione dei dati, compresi i principi di accuratezza, minimizzazione, correttezza e trasparenza dei dati e la sicurezza dei dati, come la crittografia all'avanguardia. È necessario sfruttare appieno i requisiti di protezione dei dati per progettazione e per impostazione predefinita previsti dal Regolamento (UE) 2016/679.

(52) Gli strumenti e le applicazioni di cibersicurezza open-source possono contribuire a un maggior grado di apertura e avere un impatto positivo sull'efficienza dell'innovazione industriale. Gli standard aperti facilitano l'interoperabilità tra gli strumenti di sicurezza, a vantaggio della sicurezza degli attori industriali. Gli strumenti e le applicazioni di cybersecurity open-source possono sfruttare una comunità di sviluppatori più ampia, consentendo la diversificazione dei fornitori. L'open source può portare a un processo di verifica più trasparente degli strumenti di cybersecurity e a un processo di scoperta delle vulnerabilità guidato dalla comunità.

Gli Stati membri dovrebbero quindi essere in grado di promuovere l'uso di software open-source e standard aperti perseguendo politiche relative all'uso di dati aperti e open-source come parte della sicurezza attraverso la trasparenza. Le politiche che promuovono l'introduzione e l'uso sostenibile di strumenti di cybersecurity open-source sono di particolare importanza per le piccole e medie imprese che devono affrontare costi significativi per l'implementazione, che potrebbero essere minimizzati riducendo la necessità di applicazioni o strumenti specifici.

(53) I servizi di pubblica utilità sono sempre più connessi alle reti digitali nelle città, allo scopo di migliorare le reti di trasporto urbano, potenziare l'approvvigionamento idrico e gli impianti di smaltimento dei rifiuti e aumentare l'efficienza dell'illuminazione e del riscaldamento degli edifici. Queste utenze digitalizzate sono vulnerabili ai cyberattacchi e rischiano, in caso di successo di un cyberattacco, di danneggiare i cittadini su larga scala a causa della loro interconnessione. Gli Stati membri dovrebbero sviluppare una politica che affronti lo sviluppo di queste città connesse o intelligenti e i loro potenziali effetti sulla società, come parte della loro strategia nazionale di cybersecurity.

(54) Negli ultimi anni, l'Unione ha assistito a un aumento esponenziale degli attacchi ransomware, in cui il malware cripta i dati e i sistemi e chiede il pagamento di un riscatto per poterli sbloccare. L'aumento della frequenza e della gravità degli attacchi di ransomware può essere determinato da diversi fattori, come i diversi modelli di attacco, i modelli commerciali criminali basati sul "ransomware come servizio" e sulle criptovalute, le richieste di riscatto e l'aumento degli attacchi alla catena di approvvigionamento. Gli Stati membri dovrebbero sviluppare una politica che affronti l'aumento degli attacchi ransomware come parte della loro strategia nazionale di sicurezza informatica.

(55) I partenariati pubblico-privato (PPP) nel campo della cibersicurezza possono fornire un quadro adeguato per lo scambio di conoscenze, la condivisione delle migliori pratiche e la creazione di un livello comune di comprensione tra le parti interessate. Gli Stati membri dovrebbero promuovere politiche che sostengano la creazione di PPP specifici per la cybersicurezza.

Tali politiche dovrebbero chiarire, tra l'altro, l'ambito di applicazione e le parti interessate coinvolte, il modello di governance, le opzioni di finanziamento disponibili e l'interazione tra le parti interessate partecipanti in relazione ai PPP. I PPP possono sfruttare le competenze delle entità del settore privato per assistere le autorità competenti nello sviluppo di servizi e processi all'avanguardia, tra cui lo scambio di informazioni, gli allarmi precoci, le esercitazioni sulle minacce e gli incidenti informatici, la gestione delle crisi e la pianificazione della resilienza.

(56) Nelle loro strategie nazionali di cibersicurezza, gli Stati membri dovrebbero affrontare le esigenze specifiche di cibersicurezza delle piccole e medie imprese. Le piccole e medie imprese rappresentano, in tutta l'Unione, un'ampia percentuale del mercato industriale e commerciale e spesso faticano ad adattarsi alle nuove pratiche commerciali in un mondo più connesso e all'ambiente digitale, con dipendenti che lavorano da casa e attività commerciali sempre più svolte online.

Alcune piccole e medie imprese devono affrontare sfide specifiche in materia di cybersecurity, come la scarsa consapevolezza informatica, la mancanza di sicurezza informatica remota, il costo elevato delle soluzioni di cybersecurity e l'aumento delle minacce, come il ransomware, per le quali dovrebbero ricevere indicazioni e assistenza. Le piccole e medie imprese sono sempre più spesso bersaglio di attacchi alla supply chain a causa delle misure di gestione del rischio di cybersecurity meno rigorose e della gestione degli attacchi, nonché del fatto che dispongono di risorse di sicurezza limitate.

Tali attacchi alla catena di approvvigionamento non solo hanno un impatto sulle piccole e medie imprese e sulle loro operazioni in modo isolato, ma possono anche avere un effetto a cascata su attacchi più grandi a entità a cui hanno fornito forniture. Gli Stati membri dovrebbero, attraverso le loro strategie nazionali di cybersicurezza, aiutare le piccole e medie imprese ad affrontare le sfide della loro catena di approvvigionamento.

Gli Stati membri dovrebbero disporre di un punto di contatto per le piccole e medie imprese a livello nazionale o regionale, che fornisca orientamento e assistenza alle piccole e medie imprese o le indirizzi verso gli organismi appropriati per l'orientamento e l'assistenza in materia di sicurezza informatica. Gli Stati membri sono inoltre incoraggiati a offrire servizi come la configurazione dei siti web e l'abilitazione alla registrazione alle microimprese e alle piccole imprese che non dispongono di tali capacità.

(57) Nell'ambito delle strategie nazionali di cibersicurezza, gli Stati membri dovrebbero adottare politiche di promozione della protezione informatica attiva come parte di una più ampia strategia difensiva. Anziché rispondere in modo reattivo, la protezione informatica attiva consiste nella prevenzione, nel rilevamento, nel monitoraggio, nell'analisi e nell'attenuazione delle violazioni della sicurezza della rete in modo attivo, combinando l'uso di capacità dispiegate all'interno e all'esterno della rete vittima.

Ciò potrebbe includere l'offerta da parte degli Stati membri di servizi o strumenti gratuiti a determinate entità, tra cui controlli self-service, strumenti di rilevamento e servizi di takedown. La capacità di condividere e comprendere in modo rapido e automatico le informazioni e le analisi sulle minacce, gli avvisi sulle attività informatiche e le azioni di risposta è fondamentale per consentire un'unità di sforzi nel prevenire, rilevare, affrontare e bloccare con successo gli attacchi contro i sistemi di rete e informatici. La protezione informatica attiva si basa su una strategia difensiva che esclude le misure offensive.

(58) Poiché lo sfruttamento delle vulnerabilità nei sistemi di rete e informativi può causare interruzioni e danni significativi, la rapida identificazione e correzione di tali vulnerabilità è un fattore importante per ridurre il rischio. Le entità che sviluppano o amministrano sistemi di rete e informativi devono quindi stabilire procedure appropriate per gestire le vulnerabilità quando vengono scoperte. Poiché le vulnerabilità sono spesso scoperte e divulgate da terzi, il produttore o il fornitore di prodotti o servizi TIC dovrebbe anche mettere in atto le procedure necessarie per ricevere informazioni sulle vulnerabilità da terzi.

A questo proposito, gli standard internazionali ISO/IEC 30111 e ISO/IEC 29147 forniscono indicazioni sulla gestione e sulla divulgazione delle vulnerabilità. Il rafforzamento del coordinamento tra le persone fisiche e giuridiche che effettuano le segnalazioni e i produttori o fornitori di prodotti o servizi TIC è particolarmente importante per facilitare il quadro volontario di divulgazione delle vulnerabilità.

La divulgazione coordinata delle vulnerabilità specifica un processo strutturato attraverso il quale le vulnerabilità vengono segnalate al produttore o al fornitore di prodotti o servizi TIC potenzialmente vulnerabili in modo da consentirgli di diagnosticare e porre rimedio alla vulnerabilità prima che le informazioni dettagliate sulla vulnerabilità vengano divulgate a terzi o al pubblico. La divulgazione coordinata delle vulnerabilità dovrebbe anche includere il coordinamento tra la persona fisica o giuridica che effettua la segnalazione e il produttore o fornitore dei prodotti o servizi TIC potenzialmente vulnerabili per quanto riguarda i tempi di correzione e pubblicazione delle vulnerabilità.

(59) È opportuno che la Commissione, l'ENISA e gli Stati membri continuino a promuovere l'allineamento con gli standard internazionali e con le migliori pratiche esistenti nel settore della gestione del rischio di cibersicurezza, ad esempio per quanto riguarda le valutazioni della sicurezza della catena di approvvigionamento, la condivisione delle informazioni e la divulgazione delle vulnerabilità.

(60) È opportuno che gli Stati membri, in collaborazione con l'ENISA, adottino misure per facilitare la divulgazione coordinata delle vulnerabilità stabilendo una politica nazionale pertinente. Nell'ambito della loro politica nazionale, gli Stati membri dovrebbero mirare ad affrontare, per quanto possibile, le sfide che i ricercatori di vulnerabilità devono affrontare, compresa la loro potenziale esposizione alla responsabilità penale, conformemente alla legislazione nazionale. Dato che in alcuni Stati membri le persone fisiche e giuridiche che ricercano vulnerabilità potrebbero essere esposte a responsabilità penale e civile, gli Stati membri sono incoraggiati ad adottare linee guida per quanto riguarda la non perseguibilità dei ricercatori di sicurezza informatica e l'esenzione dalla responsabilità civile per le loro attività.

(61) Gli Stati membri dovrebbero designare uno dei loro CSIRT come coordinatore, che agisca come intermediario di fiducia tra le persone fisiche o giuridiche che effettuano la segnalazione e i fabbricanti o i fornitori di prodotti o servizi TIC che potrebbero essere interessati dalla vulnerabilità, se necessario.

I compiti del CSIRT designato come coordinatore dovrebbero includere l'identificazione e il contatto con le entità interessate, l'assistenza alle persone fisiche o giuridiche che segnalano una vulnerabilità, la negoziazione delle tempistiche di divulgazione e la gestione delle vulnerabilità che interessano più entità (divulgazione di vulnerabilità coordinata da più parti). Quando la vulnerabilità segnalata potrebbe avere un impatto significativo su entità in più di uno Stato membro, i CSIRT designati come coordinatori dovrebbero cooperare all'interno della rete di CSIRT, se opportuno.

(62) L'accesso a informazioni corrette e tempestive sulle vulnerabilità che interessano i prodotti e i servizi TIC contribuisce a migliorare la gestione del rischio di cibersicurezza. Le fonti di informazioni pubblicamente disponibili sulle vulnerabilità sono uno strumento importante per le entità e per gli utenti dei loro servizi, ma anche per le autorità competenti e i CSIRT. Per questo motivo, l'ENISA dovrebbe istituire una banca dati europea sulle vulnerabilità in cui le entità, indipendentemente dal fatto che rientrino o meno nell'ambito di applicazione della presente direttiva, e i loro fornitori di sistemi di rete e informativi, nonché le autorità competenti e i CSIRT, possano divulgare e registrare, su base volontaria, le vulnerabilità pubblicamente note per consentire agli utenti di adottare misure di mitigazione adeguate.

L'obiettivo di tale banca dati è quello di affrontare le sfide uniche poste dai rischi per le entità dell'Unione. Inoltre, l'ENISA dovrebbe stabilire una procedura appropriata per quanto riguarda il processo di pubblicazione, in modo da dare alle entità il tempo di adottare misure di attenuazione delle loro vulnerabilità e di impiegare misure di gestione del rischio di cybersecurity all'avanguardia, nonché set di dati leggibili a macchina e interfacce corrispondenti. Per incoraggiare una cultura della divulgazione delle vulnerabilità, la divulgazione non dovrebbe avere effetti negativi sulla persona fisica o giuridica che la segnala.

(63) Sebbene esistano registri o banche dati di vulnerabilità simili, essi sono ospitati e gestiti da entità che non sono stabilite nell'Unione. Una banca dati europea delle vulnerabilità gestita dall'ENISA garantirebbe una maggiore trasparenza per quanto riguarda il processo di pubblicazione prima che la vulnerabilità sia resa pubblica e una maggiore resilienza in caso di interruzione o di interruzione della fornitura di servizi simili.

Al fine di evitare, per quanto possibile, una duplicazione degli sforzi e di ricercare la complementarità, l'ENISA dovrebbe esplorare la possibilità di stipulare accordi di cooperazione strutturata con registri o banche dati simili che ricadono sotto la giurisdizione di paesi terzi. In particolare, l'ENISA dovrebbe esplorare la possibilità di una stretta collaborazione con gli operatori del sistema Common Vulnerabilities and Exposures (CVE).

(64) Il gruppo di cooperazione deve sostenere e facilitare la cooperazione strategica e lo scambio di informazioni, nonché rafforzare la fiducia tra gli Stati membri. Il gruppo di cooperazione dovrebbe stabilire un programma di lavoro ogni due anni. Il programma di lavoro dovrebbe includere le azioni che il gruppo di cooperazione deve intraprendere per realizzare i suoi obiettivi e compiti. Il calendario per la definizione del primo programma di lavoro ai sensi della presente direttiva dovrebbe essere allineato con il calendario dell'ultimo programma di lavoro stabilito ai sensi della direttiva (UE) 2016/1148, al fine di evitare potenziali interruzioni nel lavoro del gruppo di cooperazione.

(65) Nell'elaborare i documenti di orientamento, il gruppo di cooperazione dovrebbe mappare coerentemente le soluzioni e le esperienze nazionali, valutare l'impatto dei risultati del gruppo di cooperazione sugli approcci nazionali, discutere i problemi di attuazione e formulare raccomandazioni specifiche, in particolare per quanto riguarda la facilitazione dell'allineamento del recepimento della presente direttiva tra gli Stati membri, da affrontare attraverso una migliore attuazione delle norme esistenti. Il gruppo di cooperazione potrebbe anche mappare le soluzioni nazionali per promuovere la compatibilità delle soluzioni di cibersicurezza applicate a ciascun settore specifico in tutta l'Unione. Ciò è particolarmente importante per i settori che hanno una natura internazionale o transfrontaliera.

(66) Il gruppo di cooperazione deve rimanere un forum flessibile e in grado di reagire alle nuove priorità e sfide politiche, tenendo conto della disponibilità di risorse. Potrebbe organizzare regolarmente riunioni congiunte con le parti interessate private di tutta l'Unione per discutere le attività svolte dal gruppo di cooperazione e raccogliere dati e contributi sulle sfide politiche emergenti. Inoltre, il Gruppo di cooperazione dovrebbe effettuare una valutazione periodica dello stato di avanzamento delle minacce o degli incidenti informatici, come il ransomware.

Al fine di rafforzare la cooperazione a livello dell'Unione, il gruppo di cooperazione dovrebbe prendere in considerazione la possibilità di invitare a partecipare ai suoi lavori le istituzioni, gli organi, gli uffici e le agenzie dell'Unione coinvolti nella politica di cibersicurezza, come il Parlamento europeo, Europol, il Comitato europeo per la protezione dei dati, l'Agenzia dell'Unione europea per la sicurezza aerea, istituita dal regolamento (UE) 2018/1139, e l'Agenzia dell'Unione europea per il programma spaziale, istituita dal regolamento (UE) 2021/696 del Parlamento europeo e del Consiglio (14).

(67) Le autorità competenti e i CSIRT dovrebbero poter partecipare a programmi di scambio per funzionari di altri Stati membri, in un quadro specifico e, se del caso, subordinatamente al nulla osta di sicurezza richiesto per i funzionari che partecipano a tali programmi di scambio, al fine di migliorare la cooperazione e rafforzare la fiducia tra gli Stati membri. Le autorità competenti dovrebbero adottare le misure necessarie per consentire ai funzionari di altri Stati membri di svolgere un ruolo effettivo nelle attività dell'autorità competente o del CSIRT ospitante.

(68) È opportuno che gli Stati membri contribuiscano all'istituzione del quadro di risposta dell'UE alle crisi di cibersicurezza di cui alla raccomandazione (UE) 2017/1584 della Commissione (15) attraverso le reti di cooperazione esistenti, in particolare la rete dell'organizzazione europea di collegamento per le crisi informatiche (EU-CyCLONe), la rete dei CSIRT e il gruppo di cooperazione. EU-CyCLONe e la rete dei CSIRT dovrebbero cooperare sulla base di accordi procedurali che specifichino i dettagli di tale cooperazione ed evitino la duplicazione dei compiti.

Il regolamento interno di EU-CyCLONe dovrebbe specificare ulteriormente le modalità di funzionamento di tale rete, compresi i ruoli della rete, i mezzi di cooperazione, le interazioni con altri attori pertinenti e i modelli per la condivisione delle informazioni, nonché i mezzi di comunicazione. Per la gestione delle crisi a livello dell'Unione, le parti interessate dovrebbero affidarsi agli accordi di risposta politica integrata alle crisi dell'UE ai sensi della decisione di esecuzione (UE) 2018/1993 del Consiglio (16) (accordi IPCR). La Commissione dovrebbe utilizzare a tal fine il processo di coordinamento intersettoriale di alto livello delle crisi ARGUS. Se la crisi comporta un'importante dimensione esterna o di politica di sicurezza e difesa comune, dovrebbe essere attivato il meccanismo di risposta alle crisi del Servizio europeo per l'azione esterna.

(69) Conformemente all'allegato della raccomandazione (UE) 2017/1584, per incidente di cibersicurezza su larga scala si intende un incidente che provoca un livello di perturbazione superiore alla capacità di risposta di uno Stato membro o che ha un impatto significativo su almeno due Stati membri. A seconda della causa e dell'impatto, gli incidenti di cibersicurezza su larga scala possono aggravarsi e trasformarsi in crisi vere e proprie che non consentono il corretto funzionamento del mercato interno o che comportano gravi rischi per la sicurezza pubblica e l'incolumità di enti o cittadini in diversi Stati membri o nell'Unione nel suo complesso.

Data l'ampia portata e, nella maggior parte dei casi, la natura transfrontaliera di tali incidenti, gli Stati membri e le istituzioni, gli organi, gli uffici e le agenzie dell'Unione competenti dovrebbero cooperare a livello tecnico, operativo e politico per coordinare adeguatamente la risposta in tutta l'Unione.

(70) Gli incidenti e le crisi di cibersicurezza su larga scala a livello dell'Unione richiedono un'azione coordinata per garantire una risposta rapida ed efficace a causa dell'elevato grado di interdipendenza tra settori e Stati membri. La disponibilità di reti e sistemi informativi resilienti al cyberspazio e la disponibilità, la riservatezza e l'integrità dei dati sono fondamentali per la sicurezza dell'Unione e per la protezione dei suoi cittadini, delle sue imprese e delle sue istituzioni contro gli incidenti e le minacce informatiche, nonché per rafforzare la fiducia dei singoli e delle organizzazioni nella capacità dell'Unione di promuovere e proteggere un cyberspazio globale, aperto, libero, stabile e sicuro, fondato sui diritti umani, le libertà fondamentali, la democrazia e lo Stato di diritto.

(71) L'EU-CyCLONe dovrebbe fungere da intermediario tra il livello tecnico e quello politico durante gli incidenti e le crisi di cibersicurezza su larga scala e dovrebbe rafforzare la cooperazione a livello operativo e sostenere il processo decisionale a livello politico. In collaborazione con la Commissione, tenendo conto delle competenze della Commissione nel settore della gestione delle crisi, EU-CyCLONe dovrebbe basarsi sui risultati della rete dei CSIRT e utilizzare le proprie capacità per creare un'analisi dell'impatto degli incidenti e delle crisi di cibersicurezza su larga scala.

(72) Gli attacchi informatici sono di natura transfrontaliera e un incidente significativo può interrompere e danneggiare le infrastrutture critiche di informazione da cui dipende il buon funzionamento del mercato interno. La raccomandazione (UE) 2017/1584 affronta il ruolo di tutti i soggetti interessati. Inoltre, la Commissione è responsabile, nell'ambito del meccanismo unionale di protezione civile, istituito dalla decisione n. 1313/2013/UE del Parlamento europeo e del Consiglio, delle azioni di preparazione generale, tra cui la gestione del Centro di coordinamento della risposta alle emergenze e del Sistema comune di comunicazione e informazione in caso di emergenza, il mantenimento e l'ulteriore sviluppo della consapevolezza della situazione e della capacità di analisi, nonché la creazione e la gestione della capacità di mobilitare e inviare squadre di esperti in caso di richiesta di assistenza da parte di uno Stato membro o di un Paese terzo.

La Commissione è inoltre responsabile della fornitura di relazioni analitiche per gli accordi IPCR ai sensi della Decisione di esecuzione (UE) 2018/1993, anche in relazione alla conoscenza situazionale e alla preparazione in materia di cibersicurezza, nonché alla conoscenza situazionale e alla risposta alle crisi nei settori dell'agricoltura, delle condizioni meteorologiche avverse, della mappatura e delle previsioni dei conflitti, dei sistemi di allarme rapido per le catastrofi naturali, delle emergenze sanitarie, della sorveglianza delle malattie da infezione, della salute delle piante, degli incidenti chimici, della sicurezza degli alimenti e dei mangimi, della salute degli animali, della migrazione, delle dogane, delle emergenze nucleari e radiologiche e dell'energia.

(73) L'Unione può, se del caso, concludere accordi internazionali, conformemente all'articolo 218 del TFUE, con paesi terzi o organizzazioni internazionali, consentendo e organizzando la loro partecipazione a particolari attività del gruppo di cooperazione, della rete di CSIRT e di EU-CyCLONe. Tali accordi dovrebbero garantire gli interessi dell'Unione e l'adeguata protezione dei dati. Ciò non dovrebbe precludere il diritto degli Stati membri di cooperare con i Paesi terzi per la gestione delle vulnerabilità e la gestione del rischio di cibersicurezza, facilitando la segnalazione e la condivisione generale delle informazioni in conformità al diritto dell'Unione.

(74) Per agevolare l'attuazione efficace della presente direttiva per quanto riguarda, tra l'altro, la gestione delle vulnerabilità, le misure di gestione del rischio di cibersicurezza, gli obblighi di comunicazione e gli accordi di condivisione delle informazioni in materia di cibersicurezza, gli Stati membri possono cooperare con i paesi terzi e intraprendere le attività ritenute appropriate a tal fine, tra cui lo scambio di informazioni su minacce informatiche, incidenti, vulnerabilità, strumenti e metodi, tattiche, tecniche e procedure, la preparazione e le esercitazioni di gestione delle crisi in materia di cibersicurezza, la formazione, la creazione di un clima di fiducia e gli accordi strutturati di condivisione delle informazioni.

(75) Le valutazioni inter pares dovrebbero essere introdotte per aiutare a imparare dalle esperienze condivise, rafforzare la fiducia reciproca e raggiungere un elevato livello comune di cibersicurezza. Le revisioni paritetiche possono portare a preziose intuizioni e raccomandazioni che rafforzano le capacità generali di cibersicurezza, creando un altro percorso funzionale per la condivisione delle migliori pratiche tra gli Stati membri e contribuendo a migliorare i livelli di maturità degli Stati membri in materia di cibersicurezza. Inoltre, le revisioni paritetiche dovrebbero tenere conto dei risultati di meccanismi simili, come il sistema di revisione paritetica della rete dei CSIRT, e dovrebbero aggiungere valore ed evitare duplicazioni. L'attuazione delle revisioni paritetiche non dovrebbe pregiudicare il diritto dell'Unione o nazionale sulla protezione delle informazioni riservate o classificate.

(76) È opportuno che il gruppo di cooperazione stabilisca una metodologia di autovalutazione per gli Stati membri, volta a coprire fattori quali il livello di attuazione delle misure di gestione del rischio di cibersicurezza e degli obblighi di comunicazione, il livello di capacità e l'efficacia dell'esercizio dei compiti delle autorità competenti, le capacità operative dei CSIRT, il livello di attuazione dell'assistenza reciproca, il livello di attuazione degli accordi di condivisione delle informazioni in materia di cibersicurezza o questioni specifiche di natura transfrontaliera o intersettoriale. Gli Stati membri dovrebbero essere incoraggiati a effettuare autovalutazioni su base regolare e a presentare e discutere i risultati della loro autovalutazione all'interno del gruppo di cooperazione.

(77) La responsabilità di garantire la sicurezza delle reti e dei sistemi informativi ricade in larga misura sulle entità essenziali e importanti. È necessario promuovere e sviluppare una cultura della gestione del rischio, che preveda valutazioni del rischio e l'attuazione di misure di gestione del rischio di cybersecurity adeguate ai rischi affrontati.

(78) Le misure di gestione del rischio di cibersicurezza dovrebbero tenere conto del grado di dipendenza dell'entità essenziale o importante dai sistemi di rete e informativi e includere misure per identificare eventuali rischi di incidenti, per prevenire, rilevare, rispondere e recuperare dagli incidenti e per attenuarne l'impatto. La sicurezza della rete e dei sistemi informativi deve includere la sicurezza dei dati memorizzati, trasmessi ed elaborati. Le misure di gestione del rischio di cybersecurity devono prevedere un'analisi sistemica, che tenga conto del fattore umano, al fine di avere un quadro completo della sicurezza della rete e del sistema informativo.

(79) Poiché le minacce alla sicurezza delle reti e dei sistemi informativi possono avere origini diverse, le misure di gestione del rischio di cibersicurezza dovrebbero basarsi su un approccio omnicomprensivo, volto a proteggere le reti e i sistemi informativi e l'ambiente fisico di tali sistemi da eventi quali furti, incendi, inondazioni, interruzioni delle telecomunicazioni o dell'alimentazione, o l'accesso fisico non autorizzato e il danneggiamento e l'interferenza con le strutture di elaborazione delle informazioni e delle informazioni di un'entità essenziale o importante, che potrebbero compromettere la disponibilità, l'autenticità, l'integrità o la riservatezza dei dati memorizzati, trasmessi o elaborati o dei servizi offerti o accessibili tramite i sistemi di rete e di informazione.

Le misure di gestione del rischio di cybersecurity dovrebbero quindi riguardare anche la sicurezza fisica e ambientale dei sistemi di rete e informativi, includendo misure per proteggere tali sistemi da guasti del sistema, errori umani, atti dolosi o fenomeni naturali, in linea con gli standard europei e internazionali, come quelli inclusi nella serie ISO/IEC 27000. A questo proposito, gli enti essenziali e importanti dovrebbero, nell'ambito delle loro misure di gestione del rischio di cybersecurity, occuparsi anche della sicurezza delle risorse umane e disporre di adeguate politiche di controllo degli accessi. Tali misure dovrebbero essere coerenti con la Direttiva (UE) 2022/2557.

(80) Al fine di dimostrare la conformità alle misure di gestione del rischio di cibersicurezza e in assenza di adeguati sistemi europei di certificazione della cibersicurezza adottati conformemente al regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio (18), è opportuno che gli Stati membri, in consultazione con il gruppo di cooperazione e il gruppo europeo di certificazione della cibersicurezza, promuovano l'uso di norme europee e internazionali pertinenti da parte di entità essenziali e importanti o possano imporre alle entità di utilizzare prodotti, servizi e processi TIC certificati.

---

(81) Per evitare di imporre un onere finanziario e amministrativo sproporzionato agli enti essenziali e importanti, le misure di gestione del rischio di cibersicurezza dovrebbero essere proporzionate ai rischi posti alla rete e al sistema informativo in questione, tenendo conto dello stato dell'arte di tali misure e, se del caso, delle norme europee e internazionali pertinenti, nonché del costo della loro attuazione.

(82) Le misure di gestione del rischio di cibersicurezza devono essere proporzionate al grado di esposizione ai rischi dell'ente essenziale o importante e all'impatto sociale ed economico che un incidente potrebbe avere. Nello stabilire le misure di gestione del rischio di cibersicurezza adattate agli enti essenziali e importanti, occorre tenere in debito conto la diversa esposizione al rischio degli enti essenziali e importanti, come la criticità dell'ente, i rischi, compresi i rischi per la società, a cui è esposto, le dimensioni dell'ente e la probabilità che si verifichino incidenti e la loro gravità, compreso il loro impatto sociale ed economico.

(83) Gli enti essenziali e importanti devono garantire la sicurezza della rete e dei sistemi informativi che utilizzano nelle loro attività. Tali sistemi sono principalmente reti e sistemi informativi privati gestiti dal personale informatico interno degli enti essenziali e importanti o la cui sicurezza è stata esternalizzata. Le misure di gestione del rischio di cibersicurezza e gli obblighi di comunicazione previsti dalla presente direttiva dovrebbero applicarsi ai pertinenti enti essenziali e importanti indipendentemente dal fatto che tali enti gestiscano la propria rete e i propri sistemi informativi internamente o ne esternalizzino la manutenzione.

(84) Tenendo conto della loro natura transfrontaliera, i fornitori di servizi DNS, i registri di nomi TLD, i fornitori di servizi di cloud computing, i fornitori di servizi di centri dati, rete di distribuzione dei contenutiRete di distribuzione dei contenuti Si intende una rete di server distribuiti geograficamente allo scopo di garantire un'elevata disponibilità, accessibilità o consegna rapida di contenuti e servizi digitali agli utenti di Internet per conto di fornitori di contenuti e servizi -. Definizione ai sensi dell'articolo 6 della direttiva (UE) 2022/2555 (direttiva NIS2) I fornitori di servizi, i fornitori di servizi gestiti, i fornitori di servizi di sicurezza gestiti, i fornitori di mercati online, di motori di ricerca online e di piattaforme di servizi di social network e i fornitori di servizi fiduciari dovrebbero essere soggetti a un elevato grado di armonizzazione a livello di Unione. L'attuazione di misure di gestione del rischio di cibersicurezza nei confronti di tali soggetti dovrebbe pertanto essere agevolata da un atto di esecuzione.

(85) Affrontare i rischi derivanti dalla catena di approvvigionamento di un'entità e dai suoi rapporti con i fornitori, come i fornitori di servizi di archiviazione ed elaborazione dei dati o i fornitori di servizi di sicurezza gestiti e gli editori di software, è particolarmente importante data la prevalenza di incidenti in cui le entità sono state vittime di attacchi informatici e in cui autori malintenzionati sono stati in grado di compromettere la sicurezza della rete e dei sistemi informativi di un'entità sfruttando le vulnerabilità dei prodotti e dei servizi di terzi.

Gli enti essenziali e importanti dovrebbero quindi valutare e prendere in considerazione la qualità complessiva e la resilienza dei prodotti e dei servizi, le misure di gestione del rischio di cibersicurezza in essi incorporate e le pratiche di cibersicurezza dei loro fornitori e prestatori di servizi, comprese le loro procedure di sviluppo sicuro. Le entità essenziali e importanti dovrebbero essere incoraggiate in particolare a incorporare misure di gestione del rischio di cybersecurity negli accordi contrattuali con i loro fornitori diretti e fornitori di servizi. Tali entità potrebbero prendere in considerazione i rischi derivanti da altri livelli di fornitori e fornitori di servizi.

(86) Tra i fornitori di servizi, i fornitori di servizi di sicurezza gestiti in settori quali la risposta agli incidenti, i test di penetrazione, gli audit di sicurezza e la consulenza svolgono un ruolo particolarmente importante nell'assistere le entità nei loro sforzi per prevenire, rilevare, rispondere o recuperare dagli incidenti. Tuttavia, anche i fornitori di servizi di sicurezza gestiti sono stati oggetto di attacchi informatici e, a causa della loro stretta integrazione nelle operazioni delle entità, rappresentano un rischio particolare. Le entità essenziali e importanti dovrebbero quindi esercitare una maggiore diligenza nella selezione di un fornitore di servizi di sicurezza gestiti. fornitore di servizi di sicurezza gestitiFornitore di servizi di sicurezza gestiti Un fornitore di servizi gestiti che svolge o fornisce assistenza per attività relative alla gestione del rischio di cybersecurity. Definizione ai sensi dell'articolo 6 della direttiva (UE) 2022/2555 (direttiva NIS2).

(87) Le autorità competenti, nell'ambito dei loro compiti di vigilanza, possono anche beneficiare di servizi di cibersicurezza quali audit di sicurezza, test di penetrazione o risposte agli incidenti.

(88) Le entità essenziali e importanti dovrebbero anche affrontare i rischi derivanti dalle loro interazioni e relazioni con altre parti interessate all'interno di un ecosistema più ampio, anche per quanto riguarda la lotta allo spionaggio industriale e la protezione dei segreti commerciali.

In particolare, tali enti dovrebbero adottare misure appropriate per garantire che la loro cooperazione con gli istituti accademici e di ricerca avvenga in linea con le loro politiche di cybersecurity e segua le buone pratiche per quanto riguarda l'accesso sicuro e la diffusione delle informazioni in generale e la protezione della proprietà intellettuale in particolare. Allo stesso modo, data l'importanza e il valore dei dati per le attività di enti essenziali e importanti, quando si affidano a servizi di trasformazione e analisi dei dati da parte di terzi, tali enti dovrebbero adottare tutte le misure appropriate di gestione del rischio di cybersecurity.

(89) È opportuno che le entità essenziali e importanti adottino un'ampia gamma di pratiche di base per l'igiene informatica, come i principi di fiducia zero, gli aggiornamenti del software, la configurazione dei dispositivi, la segmentazione della rete, la gestione dell'identità e dell'accesso o la sensibilizzazione degli utenti, organizzino la formazione del proprio personale e lo sensibilizzino in merito alle minacce informatiche, al phishing o alle tecniche di ingegneria sociale. Inoltre, tali entità dovrebbero valutare le proprie capacità di cybersecurity e, se del caso, perseguire l'integrazione di tecnologie di potenziamento della cybersecurity, come l'intelligenza artificiale o i sistemi di apprendimento automatico, per migliorare le proprie capacità e la sicurezza della rete e dei sistemi informativi.

(90) Per affrontare ulteriormente i principali rischi della catena di approvvigionamento e aiutare i soggetti essenziali e importanti che operano nei settori disciplinati dalla presente direttiva a gestire in modo appropriato i rischi legati alla catena di approvvigionamento e ai fornitori, il gruppo di cooperazione, in collaborazione con la Commissione e l'ENISA e, se del caso, dopo aver consultato le parti interessate, comprese quelle del settore, dovrebbe effettuare valutazioni coordinate dei rischi per la sicurezza delle catene di approvvigionamento critiche, come fatto per le reti 5G a seguito della raccomandazione (UE) 2019/534 della Commissione, con l'obiettivo di individuare, per settore, i servizi TIC critici, i sistemi TIC o i prodotti TIC, le minacce e le vulnerabilità pertinenti.

Tali valutazioni coordinate dei rischi per la sicurezza dovrebbero identificare misure, piani di mitigazione e migliori pratiche per contrastare le dipendenze critiche, i potenziali singoli punti di guasto, le minacce, le vulnerabilità e gli altri rischi associati alla catena di approvvigionamento e dovrebbero esplorare i modi per incoraggiare ulteriormente la loro più ampia adozione da parte di entità essenziali e importanti. I potenziali fattori di rischio non tecnici, come l'influenza indebita di un Paese terzo sui fornitori e sui prestatori di servizi, in particolare nel caso di modelli alternativi di governance, includono vulnerabilità nascoste o backdoor e potenziali interruzioni sistemiche della fornitura, in particolare nel caso di lock-in tecnologico o di dipendenza dal fornitore.

(91) Le valutazioni coordinate dei rischi per la sicurezza delle catene di approvvigionamento critiche, alla luce delle caratteristiche del settore interessato, dovrebbero tenere conto di fattori tecnici e, se del caso, non tecnici, compresi quelli definiti nella raccomandazione (UE) 2019/534, nella valutazione coordinata dei rischi per la cibersicurezza delle reti 5G e nel pacchetto di strumenti dell'UE sulla cibersicurezza 5G concordato dal gruppo di cooperazione.

Per identificare le catene di fornitura che dovrebbero essere sottoposte a una valutazione coordinata del rischio di sicurezza, si dovrebbero prendere in considerazione i seguenti criteri:

(i) la misura in cui entità essenziali e importanti utilizzano e fanno affidamento su specifici servizi TIC critici, sistemi TIC o prodotti TIC;

(ii) la rilevanza di specifici servizi TIC critici, sistemi TIC o prodotti TIC per lo svolgimento di funzioni critiche o sensibili, compreso il trattamento dei dati personali;

(iii) la disponibilità di servizi TIC, sistemi TIC o prodotti TIC alternativi;

(iv) la resilienza dell'intera catena di fornitura di servizi, sistemi o prodotti TIC per tutto il loro ciclo di vita rispetto a eventi dirompenti; e

(v) per i servizi ICT emergenti, i sistemi ICT o i prodotti ICT, la loro potenziale importanza futura per le attività delle entità.

Inoltre, si dovrebbe porre particolare attenzione ai servizi, ai sistemi o ai prodotti TIC che sono soggetti a requisiti specifici provenienti da Paesi terzi.

(92) Al fine di razionalizzare gli obblighi imposti ai fornitori di reti pubbliche di comunicazione elettronica o di servizi di comunicazione elettronica accessibili al pubblico e ai prestatori di servizi fiduciari in materia di sicurezza delle loro reti e dei loro sistemi informativi, nonché per consentire a tali soggetti e alle autorità competenti ai sensi rispettivamente della direttiva (UE) 2018/1972 del Parlamento europeo e del Consiglio e del regolamento (UE) n. 910/2014 di beneficiare del quadro giuridico istituito dalla presente direttiva, compresa la designazione di un CSIRT responsabile della gestione degli incidenti, la partecipazione delle autorità competenti interessate alle attività del gruppo di cooperazione e la rete dei CSIRT, è opportuno che tali soggetti rientrino nell'ambito di applicazione della presente direttiva.

Le corrispondenti disposizioni di cui al regolamento (UE) n. 910/2014 e alla direttiva (UE) 2018/1972 relative all'imposizione di obblighi di sicurezza e di notifica a tali tipi di entità dovrebbero pertanto essere soppresse. Le norme sugli obblighi di comunicazione stabilite nella presente direttiva non dovrebbero pregiudicare il regolamento (UE) 2016/679 e la direttiva 2002/58/CE.

(93) Gli obblighi in materia di cibersicurezza stabiliti nella presente direttiva dovrebbero essere considerati complementari agli obblighi imposti ai prestatori di servizi fiduciari ai sensi del regolamento (UE) n. 910/2014. I prestatori di servizi fiduciari dovrebbero essere tenuti ad adottare tutte le misure appropriate e proporzionate per gestire i rischi posti ai loro servizi, anche in relazione ai clienti e ai terzi che fanno affidamento, e a segnalare gli incidenti ai sensi della presente direttiva. Tali obblighi di cybersicurezza e di segnalazione dovrebbero riguardare anche la protezione fisica dei servizi forniti. I requisiti per servizio fiduciario qualificatoServizio fiduciario qualificato Si intende un servizio fiduciario che soddisfa i requisiti applicabili stabiliti nel presente regolamento - Definizione ai sensi dell'articolo 3, punto (17), del regolamento (UE) n. 910/2014 continuano ad applicarsi i fornitori di cui all'articolo 24 del regolamento (UE) n. 910/2014.

(94) Gli Stati membri possono assegnare il ruolo di autorità competenti per i servizi fiduciari agli organismi di vigilanza ai sensi del regolamento (UE) n. 910/2014, al fine di garantire la continuazione delle pratiche attuali e di basarsi sulle conoscenze e sull'esperienza acquisite nell'applicazione di tale regolamento. In tal caso, le autorità competenti ai sensi della presente direttiva dovrebbero cooperare strettamente e tempestivamente con tali organismi di vigilanza scambiando le informazioni pertinenti al fine di garantire una vigilanza efficace e la conformità dei prestatori di servizi fiduciari ai requisiti stabiliti nella presente direttiva e nel regolamento (UE) n. 910/2014.

Ove applicabile, il CSIRT o l'autorità competente ai sensi della presente direttiva dovrebbe informare immediatamente l'organismo di vigilanza ai sensi del regolamento (UE) n. 910/2014 in merito a qualsiasi notifica minaccia informatica significativaMinaccia informatica significativa Si intende una minaccia informatica che, in base alle sue caratteristiche tecniche, si può presumere abbia un impatto potenziale grave sulla rete e sui sistemi informativi di un'entità o sugli utenti dei servizi dell'entità stessa, causando danni materiali o immateriali considerevoli -. Definizione ai sensi dell'articolo 6 della direttiva (UE) 2022/2555 (direttiva NIS2) o incidente che riguardi i servizi fiduciari, nonché su eventuali violazioni da parte di un fornitore di servizi fiduciariFornitore di servizi fiduciari Persona fisica o giuridica che presta uno o più servizi fiduciari in qualità di prestatore di servizi fiduciari qualificato o non qualificato - Definizione ai sensi dell'articolo 3, punto (19), del Regolamento (UE) n. 910/2014 della presente direttiva. Ai fini della segnalazione, gli Stati membri possono, se del caso, utilizzare il punto di ingresso unico istituito per ottenere una segnalazione comune e automatica degli incidenti sia all'organismo di vigilanza ai sensi del regolamento (UE) n. 910/2014 sia al CSIRT o all'autorità competente ai sensi della presente direttiva.

(95) Ove opportuno e al fine di evitare inutili perturbazioni, gli orientamenti nazionali esistenti adottati per il recepimento delle norme relative alle misure di sicurezza di cui agli articoli 40 e 41 della direttiva (UE) 2018/1972 dovrebbero essere presi in considerazione nel recepimento della presente direttiva, basandosi in tal modo sulle conoscenze e sulle competenze già acquisite ai sensi della direttiva (UE) 2018/1972 in materia di misure di sicurezza e notifiche di incidenti.

L'ENISA può inoltre elaborare orientamenti sui requisiti di sicurezza e sugli obblighi di segnalazione per i fornitori di reti pubbliche di comunicazione elettronica o di servizi di comunicazione elettronica accessibili al pubblico per facilitare l'armonizzazione e la transizione e ridurre al minimo le interruzioni. Gli Stati membri possono assegnare il ruolo di autorità competenti per le comunicazioni elettroniche alle autorità nazionali di regolamentazione ai sensi della direttiva (UE) 2018/1972, al fine di garantire il mantenimento delle pratiche attuali e di sfruttare le conoscenze e l'esperienza acquisite in seguito all'attuazione di tale direttiva.

(96) Data la crescente importanza dei servizi di comunicazione interpersonale indipendenti dal numero, come definiti nella direttiva (UE) 2018/1972, è necessario garantire che anche tali servizi siano soggetti a requisiti di sicurezza adeguati in considerazione della loro natura specifica e della loro importanza economica. Con la continua espansione della superficie di attacco, i servizi di comunicazione interpersonale indipendenti dal numero, come i servizi di messaggistica, stanno diventando vettori di attacco diffusi.

I malintenzionati utilizzano le piattaforme per comunicare e attirare le vittime ad aprire pagine web compromesse, aumentando così la probabilità di incidenti che comportano lo sfruttamento dei dati personali e, di conseguenza, la sicurezza delle reti e dei sistemi informativi. I fornitori di servizi di comunicazione interpersonale indipendenti dal numero devono garantire un livello di sicurezza della rete e dei sistemi informativi adeguato ai rischi posti.

Dato che i fornitori di servizi di comunicazione interpersonale indipendenti dal numero di solito non esercitano un controllo effettivo sulla trasmissione dei segnali attraverso le reti, il grado di rischio per tali servizi può essere considerato per certi versi inferiore a quello dei servizi di comunicazione elettronica tradizionali. Lo stesso vale per i servizi di comunicazione interpersonale definiti nella Direttiva (UE) 2018/1972 che fanno uso di numeri e che non esercitano un controllo effettivo sulla trasmissione dei segnali.

(97) Il mercato interno dipende più che mai dal funzionamento di Internet. I servizi di quasi tutti gli enti essenziali e importanti dipendono da servizi forniti via Internet. Al fine di garantire la regolare fornitura di servizi da parte di entità essenziali e importanti, è importante che tutti i fornitori di reti pubbliche di comunicazione elettronica adottino adeguate misure di gestione del rischio di cibersicurezza e segnalino incidenti significativi in relazione ad essi.

Gli Stati membri dovrebbero garantire il mantenimento della sicurezza delle reti pubbliche di comunicazione elettronica e la protezione dei loro interessi vitali di sicurezza da sabotaggi e spionaggio. Poiché la connettività internazionale rafforza e accelera la digitalizzazione competitiva dell'Unione e della sua economia, gli incidenti che interessano i cavi di comunicazione sottomarini dovrebbero essere segnalati al CSIRT o, se del caso, all'autorità competente. La strategia nazionale di cibersicurezza dovrebbe, se del caso, tenere conto della cibersicurezza dei cavi di comunicazione sottomarini e includere una mappatura dei potenziali rischi di cibersicurezza e delle misure di mitigazione per garantire il massimo livello di protezione.

(98) Per salvaguardare la sicurezza delle reti pubbliche di comunicazione elettronica e dei servizi di comunicazione elettronica accessibili al pubblico, è opportuno promuovere l'uso di tecnologie di cifratura, in particolare la cifratura da punto a punto, e di concetti di sicurezza incentrati sui dati, come la cartografia, la segmentazione, l'etichettatura, la politica e la gestione dell'accesso e le decisioni di accesso automatizzate. Ove necessario, l'uso della crittografia, in particolare della crittografia da punto a punto, dovrebbe essere obbligatorio per i fornitori di reti pubbliche di comunicazione elettronica o di servizi di comunicazione elettronica accessibili al pubblico, conformemente ai principi della sicurezza e della privacy per impostazione predefinita e finalizzata alla progettazione ai fini della presente direttiva.

L'uso della crittografia end-to-end dovrebbe essere conciliato con i poteri degli Stati membri di garantire la protezione dei loro interessi essenziali di sicurezza e la sicurezza pubblica, e di consentire la prevenzione, l'indagine, l'accertamento e il perseguimento dei reati in conformità al diritto dell'Unione. Tuttavia, ciò non dovrebbe indebolire la crittografia end-to-end, che è una tecnologia fondamentale per l'effettiva protezione dei dati e della privacy e per la sicurezza delle comunicazioni.

(99) Per salvaguardare la sicurezza e prevenire abusi e manipolazioni delle reti pubbliche di comunicazione elettronica e dei servizi di comunicazione elettronica accessibili al pubblico, è opportuno promuovere l'uso di norme di instradamento sicure per garantire l'integrità e la solidità delle funzioni di instradamento nell'ecosistema dei fornitori di servizi di accesso a Internet.

(100) Per salvaguardare la funzionalità e l'integrità di Internet e promuovere la sicurezza e la resilienza del DNS, è opportuno incoraggiare le parti interessate, comprese le entità del settore privato dell'Unione, i fornitori di servizi di comunicazione elettronica accessibili al pubblico, in particolare i fornitori di servizi di accesso a Internet, e i fornitori di motori di ricerca online, ad adottare una strategia di diversificazione della risoluzione DNS. Inoltre, gli Stati membri dovrebbero incoraggiare lo sviluppo e l'utilizzo di un servizio di risoluzione DNS europeo pubblico e sicuro.

(101) La presente direttiva stabilisce un approccio a più fasi per la segnalazione di incidenti significativi, al fine di trovare il giusto equilibrio tra, da un lato, una segnalazione rapida che contribuisca a mitigare la potenziale diffusione di incidenti significativi e consenta a entità essenziali e importanti di richiedere assistenza e, dall'altro, una segnalazione approfondita che tragga preziosi insegnamenti da singoli incidenti e migliori nel tempo la resilienza informatica di singole entità e interi settori.

A questo proposito, la presente direttiva dovrebbe includere la segnalazione di incidenti che, sulla base di una valutazione iniziale effettuata dall'entità interessata, potrebbero causare gravi interruzioni operative dei servizi o perdite finanziarie per tale entità o colpire altre persone fisiche o giuridiche causando notevoli danni materiali o non materiali.

Tale valutazione iniziale dovrebbe tenere conto, tra l'altro, della rete e dei sistemi informativi colpiti, in particolare della loro importanza nella fornitura dei servizi dell'ente, della gravità e delle caratteristiche tecniche di una minaccia informatica e di eventuali vulnerabilità sottostanti che vengono sfruttate, nonché dell'esperienza dell'ente in caso di incidenti simili. Indicatori quali la misura in cui il funzionamento del servizio è compromesso, la durata di un incidente o il numero di destinatari di servizi interessati potrebbero svolgere un ruolo importante nell'identificare se l'interruzione operativa del servizio è grave.

(102) Quando enti essenziali o importanti vengono a conoscenza di un incidente significativo, devono essere tenuti a trasmettere un allarme tempestivo e in ogni caso entro 24 ore. L'allarme preventivo deve essere seguito da una notifica di incidente. Gli enti interessati dovrebbero presentare una notifica di incidente senza ritardi ingiustificati e in ogni caso entro 72 ore dal momento in cui sono venuti a conoscenza dell'incidente significativo, con l'obiettivo, in particolare, di aggiornare le informazioni trasmesse attraverso l'allerta precoce e di indicare una valutazione iniziale dell'incidente significativo, compresi la gravità e l'impatto, nonché gli indicatori di compromissione, se disponibili.

Il rapporto finale deve essere presentato entro un mese dalla notifica dell'incidente. L'allerta precoce dovrebbe includere solo le informazioni necessarie per mettere il CSIRT, o se del caso l'autorità competente, al corrente dell'incidente significativo e consentire all'ente interessato di chiedere assistenza, se necessario. L'allerta precoce, se del caso, deve indicare se si sospetta che l'incidente significativo sia causato da atti illeciti o dolosi e se è probabile che abbia un impatto transfrontaliero.

Gli Stati membri dovrebbero garantire che l'obbligo di presentare l'allerta precoce o la successiva notifica dell'incidente non distolga le risorse dell'ente notificante dalle attività di gestione degli incidenti che dovrebbero essere prioritarie, al fine di evitare che gli obblighi di notifica degli incidenti distolgano risorse dalla gestione della risposta agli incidenti significativi o compromettano in altro modo gli sforzi dell'ente in tal senso. Nel caso di un incidente in corso al momento della presentazione della relazione finale, gli Stati membri dovrebbero garantire che gli enti interessati forniscano una relazione sullo stato di avanzamento in quel momento e una relazione finale entro un mese dalla gestione dell'incidente significativo.

(103) Ove applicabile, è opportuno che i soggetti essenziali e importanti comunichino, senza indebito ritardo, ai propri destinatari di servizi le misure o i rimedi che possono adottare per attenuare i rischi derivanti da una minaccia informatica significativa. Tali entità dovrebbero, se del caso e in particolare quando è probabile che la minaccia informatica significativa si concretizzi, informare i destinatari dei loro servizi anche della minaccia stessa.

L'obbligo di informare i destinatari di minacce informatiche significative dovrebbe essere soddisfatto sulla base dei migliori sforzi, ma non dovrebbe esimere tali entità dall'obbligo di adottare, a proprie spese, misure appropriate e immediate per prevenire o porre rimedio a tali minacce e ripristinare il normale livello di sicurezza del servizio. La fornitura di tali informazioni sulle minacce informatiche significative ai destinatari del servizio dovrebbe essere gratuita e redatta in un linguaggio facilmente comprensibile.

(104) I fornitori di reti pubbliche di comunicazione elettronica o di servizi di comunicazione elettronica accessibili al pubblico devono implementare la sicurezza per progettazione e per impostazione predefinita e informare i destinatari dei loro servizi delle minacce informatiche significative e delle misure che possono adottare per proteggere la sicurezza dei loro dispositivi e delle loro comunicazioni, ad esempio utilizzando tipi specifici di software o tecnologie di crittografia.

(105) Un approccio proattivo alle minacce informatiche è una componente essenziale della gestione del rischio di cibersicurezza che dovrebbe consentire alle autorità competenti di impedire efficacemente che le minacce informatiche si concretizzino in incidenti che possono causare danni materiali o morali considerevoli. A tal fine, la notifica delle minacce informatiche è di fondamentale importanza. A tal fine, le entità sono incoraggiate a segnalare su base volontaria le minacce informatiche.

(106) Al fine di semplificare la comunicazione delle informazioni richieste ai sensi della presente direttiva e di ridurre l'onere amministrativo per gli enti, gli Stati membri dovrebbero fornire mezzi tecnici quali un punto di ingresso unico, sistemi automatizzati, moduli online, interfacce di facile utilizzo, modelli, piattaforme dedicate ad uso degli enti, indipendentemente dal fatto che rientrino o meno nell'ambito di applicazione della presente direttiva, per la presentazione delle informazioni pertinenti da comunicare.

I finanziamenti dell'Unione a sostegno dell'attuazione della presente direttiva, in particolare nell'ambito del programma Europa digitale, istituito dal regolamento (UE) 2021/694 del Parlamento europeo e del Consiglio (21), potrebbero includere il sostegno ai punti di ingresso unici. Inoltre, gli enti si trovano spesso nella situazione in cui un particolare incidente, a causa delle sue caratteristiche, deve essere segnalato a diverse autorità a causa degli obblighi di notifica previsti da vari strumenti giuridici. Questi casi creano un ulteriore onere amministrativo e potrebbero anche portare a incertezze riguardo al formato e alle procedure di tali notifiche.

Quando viene istituito un punto di ingresso unico, gli Stati membri sono incoraggiati a utilizzarlo anche per le notifiche di incidenti di sicurezza previste da altre normative dell'Unione, come il regolamento (UE) 2016/679 e la direttiva 2002/58/CE. L'utilizzo di tale punto di ingresso unico per la segnalazione di incidenti di sicurezza ai sensi del regolamento (UE) 2016/679 e della direttiva 2002/58/CE non dovrebbe pregiudicare l'applicazione delle disposizioni del regolamento (UE) 2016/679 e della direttiva 2002/58/CE, in particolare quelle relative all'indipendenza delle autorità ivi menzionate. L'ENISA, in collaborazione con il gruppo di cooperazione, dovrebbe sviluppare modelli comuni di notifica mediante linee guida per semplificare e snellire le informazioni da comunicare ai sensi del diritto dell'Unione e ridurre l'onere amministrativo per gli enti notificanti.

(107) Qualora si sospetti che un incidente sia collegato ad attività criminali gravi ai sensi del diritto dell'Unione o nazionale, gli Stati membri dovrebbero incoraggiare i soggetti essenziali e importanti, sulla base delle norme applicabili in materia di procedimenti penali in conformità al diritto dell'Unione, a segnalare gli incidenti di sospetta natura criminale grave alle autorità di contrasto competenti. Se del caso, e fatte salve le norme sulla protezione dei dati personali che si applicano a Europol, è auspicabile che il coordinamento tra le autorità competenti e le autorità di contrasto dei diversi Stati membri sia facilitato dal Centro europeo per la criminalità informatica (EC3) e dall'ENISA.

(108) In molti casi i dati personali sono compromessi a seguito di incidenti. In tale contesto, le autorità competenti dovrebbero cooperare e scambiare informazioni su tutte le questioni pertinenti con le autorità di cui al regolamento (UE) 2016/679 e alla direttiva 2002/58/CE.

(109) Mantenere banche dati accurate e complete dei dati di registrazione dei nomi di dominio (dati WHOIS) e fornire un accesso legittimo a tali dati è essenziale per garantire la sicurezza, la stabilità e la resilienza del DNS, che a sua volta contribuisce a un elevato livello comune di sicurezza informatica in tutta l'Unione. Per questo scopo specifico, i registri dei nomi di dominio di primo livello e le entità che forniscono servizi di registrazione dei nomi di dominio dovrebbero essere tenuti a trattare alcuni dati necessari per raggiungere tale scopo.

Tale trattamento dovrebbe costituire un obbligo legale ai sensi dell'articolo 6, paragrafo 1, lettera c), del Regolamento (UE) 2016/679. Tale obbligo non pregiudica la possibilità di raccogliere i dati di registrazione dei nomi di dominio per altri scopi, ad esempio sulla base di accordi contrattuali o di requisiti legali stabiliti in altre leggi dell'Unione o nazionali. Tale obbligo mira a ottenere una serie completa e accurata di dati di registrazione e non dovrebbe comportare la raccolta degli stessi dati più volte. I registri dei nomi di dominio di primo livello e le entità che forniscono servizi di registrazione dei nomi di dominio dovrebbero cooperare tra loro per evitare la duplicazione di tale compito.

(110) La disponibilità e l'accessibilità tempestiva dei dati di registrazione dei nomi di dominio ai legittimi richiedenti l'accesso è essenziale per la prevenzione e la lotta contro gli abusi del DNS, nonché per la prevenzione, l'individuazione e la risposta agli incidenti. Per legittimo richiedente di accesso si intende qualsiasi persona fisica o giuridica che ne faccia richiesta ai sensi del diritto dell'Unione o nazionale.

Possono includere le autorità competenti ai sensi della presente direttiva e quelle competenti ai sensi del diritto dell'Unione o nazionale per la prevenzione, l'indagine, l'accertamento o il perseguimento dei reati, nonché i CERT o i CSIRT. I registri dei nomi di dominio di primo livello e le entità che forniscono servizi di registrazione dei nomi di dominio dovrebbero essere tenuti a consentire l'accesso legittimo a specifici dati di registrazione dei nomi di dominio, necessari ai fini della richiesta di accesso, ai legittimi richiedenti, in conformità al diritto dell'Unione e nazionale. La richiesta dei legittimi richiedenti l'accesso dovrebbe essere accompagnata da una motivazione che consenta di valutare la necessità di accedere ai dati.

(111) Per garantire la disponibilità di dati di registrazione dei nomi di dominio accurati e completi, i registri dei nomi di dominio e le entità che forniscono servizi di registrazione dei nomi di dominio devono raccogliere e garantire l'integrità e la disponibilità dei dati di registrazione dei nomi di dominio. In particolare, i registri dei nomi di dominio e le entità che forniscono servizi di registrazione di nomi di dominio devono stabilire politiche e procedure per raccogliere e mantenere dati di registrazione dei nomi di dominio accurati e completi, nonché per prevenire e correggere i dati di registrazione inesatti, in conformità alla normativa dell'Unione sulla protezione dei dati.

Tali politiche e procedure dovrebbero tenere conto, per quanto possibile, degli standard sviluppati dalle strutture di governance multi-stakeholder a livello internazionale. I registri dei nomi di dominio di primo livello e le entità che forniscono servizi di registrazione dei nomi di dominio dovrebbero adottare e attuare procedure proporzionate per verificare i dati di registrazione dei nomi di dominio.

Tali procedure devono rispecchiare le migliori pratiche utilizzate nel settore e, per quanto possibile, i progressi compiuti nel campo dell'identificazione elettronica. Esempi di procedure di verifica possono essere i controlli ex ante effettuati al momento della registrazione e i controlli ex post effettuati dopo la registrazione. I registri dei nomi di dominio di primo livello e le entità che forniscono servizi di registrazione dei nomi di dominio dovrebbero, in particolare, verificare almeno un mezzo di contatto del registrante.

(112) È opportuno che i registri dei nomi di dominio e le entità che forniscono servizi di registrazione dei nomi di dominio siano tenuti a rendere pubblici i dati di registrazione dei nomi di dominio che non rientrano nell'ambito di applicazione del diritto dell'Unione in materia di protezione dei dati, come i dati che riguardano le persone giuridiche, in linea con il preambolo del regolamento (UE) 2016/679. Per le persone giuridiche, i registri dei nomi di dominio di primo livello e le entità che forniscono servizi di registrazione dei nomi di dominio dovrebbero rendere pubblici almeno il nome del registrante e il numero di telefono di contatto.

Anche l'indirizzo e-mail di contatto dovrebbe essere pubblicato, a condizione che non contenga dati personali, come nel caso di alias e-mail o account funzionali. I registri dei nomi di dominio e le entità che forniscono servizi di registrazione dei nomi di dominio dovrebbero inoltre consentire l'accesso legittimo ai dati specifici di registrazione dei nomi di dominio relativi alle persone fisiche, in conformità alla normativa dell'Unione sulla protezione dei dati. Gli Stati membri dovrebbero richiedere ai registri dei nomi di dominio di primo livello e alle entità che forniscono servizi di registrazione dei nomi di dominio di rispondere senza indebiti ritardi alle richieste di divulgazione dei dati di registrazione dei nomi di dominio da parte dei legittimi richiedenti l'accesso.

I registri dei nomi di dominio di primo livello e le entità che forniscono servizi di registrazione dei nomi di dominio dovrebbero stabilire politiche e procedure per la pubblicazione e la divulgazione dei dati di registrazione, compresi gli accordi sui livelli di servizio per gestire le richieste di accesso da parte dei legittimi richiedenti. Tali politiche e procedure dovrebbero tenere conto, per quanto possibile, di qualsiasi guida e degli standard sviluppati dalle strutture di governance multi-stakeholder a livello internazionale. La procedura di accesso potrebbe includere l'uso di un'interfaccia, di un portale o di un altro strumento tecnico per fornire un sistema efficiente di richiesta e accesso ai dati di registrazione.

Al fine di promuovere pratiche armonizzate in tutto il mercato interno, la Commissione può, fatte salve le competenze del Comitato europeo per la protezione dei dati, fornire orientamenti in merito a tali procedure, che tengano conto, nella misura del possibile, degli standard sviluppati dalle strutture di governance multi-stakeholder a livello internazionale. Gli Stati membri devono garantire che tutti i tipi di accesso ai dati di registrazione dei nomi di dominio personali e non personali siano gratuiti.

(113) Le entità che rientrano nell'ambito di applicazione della presente direttiva devono essere considerate soggette alla giurisdizione dello Stato membro in cui sono stabilite. Tuttavia, i fornitori di reti pubbliche di comunicazione elettronica o di servizi di comunicazione elettronica accessibili al pubblico devono essere considerati soggetti alla giurisdizione dello Stato membro in cui forniscono i loro servizi.

I fornitori di servizi DNS, i registri di nomi TLD, le entità che forniscono servizi di registrazione di nomi di dominio, i fornitori di servizi di cloud computing, i fornitori di servizi di data center, i fornitori di reti di distribuzione di contenuti, i fornitori di servizi gestiti, i fornitori di servizi di sicurezza gestiti, nonché i fornitori di mercati online, di motori di ricerca online e di piattaforme di servizi di social network dovrebbero essere considerati soggetti alla giurisdizione dello Stato membro in cui hanno il loro stabilimento principale nell'Unione.

Gli enti della pubblica amministrazione dovrebbero rientrare nella giurisdizione dello Stato membro che li ha istituiti. Se l'ente fornisce servizi o è stabilito in più di uno Stato membro, dovrebbe rientrare nella giurisdizione separata e concorrente di ciascuno di tali Stati membri. Le autorità competenti di tali Stati membri dovrebbero cooperare, fornirsi reciproca assistenza e, se del caso, svolgere azioni di vigilanza congiunte. Quando gli Stati membri esercitano la loro giurisdizione, non dovrebbero imporre misure esecutive o sanzioni più di una volta per la stessa condotta, in linea con il principio del ne bis in idem.

(114) Per tenere conto della natura transfrontaliera dei servizi e delle operazioni dei fornitori di servizi DNS, dei registri di nomi TLD, delle entità che forniscono servizi di registrazione di nomi di dominio, dei fornitori di servizi di cloud computing, dei fornitori di servizi di data center, dei fornitori di reti di distribuzione di contenuti, dei fornitori di servizi gestiti, dei fornitori di servizi di sicurezza gestiti, nonché dei fornitori di mercati online, di motori di ricerca online e di piattaforme di servizi di social network, è opportuno che un solo Stato membro abbia giurisdizione su tali entità. La giurisdizione dovrebbe essere attribuita allo Stato membro in cui l'entità interessata ha il suo stabilimento principale nell'Unione.

Il criterio dello stabilimento ai fini della presente direttiva implica l'esercizio effettivo dell'attività attraverso un regime stabile. La forma giuridica di tali accordi, che si tratti di una succursale o di una filiale con personalità giuridica, non è il fattore determinante a tale riguardo. Il soddisfacimento di tale criterio non deve dipendere dal fatto che la rete e i sistemi informativi siano fisicamente ubicati in un determinato luogo; la presenza e l'utilizzo di tali sistemi non costituiscono, di per sé, uno stabilimento principale e non sono quindi criteri decisivi per determinare lo stabilimento principale.

Lo stabilimento principale dovrebbe essere considerato nello Stato membro in cui le decisioni relative alle misure di gestione del rischio di cibersicurezza sono prevalentemente adottate nell'Unione. Questo corrisponde di norma al luogo in cui si trova l'amministrazione centrale dell'entità nell'Unione. Se non è possibile determinare tale Stato membro o se tali decisioni non vengono prese nell'Unione, lo stabilimento principale dovrebbe essere considerato lo Stato membro in cui vengono effettuate le operazioni di cibersicurezza.

Se non è possibile determinare tale Stato membro, lo stabilimento principale deve essere considerato lo Stato membro in cui l'entità ha lo stabilimento con il maggior numero di dipendenti nell'Unione. Se i servizi sono prestati da un gruppo di imprese, lo stabilimento principale dell'impresa controllante deve essere considerato lo stabilimento principale del gruppo di imprese.

(115) Se un servizio DNS ricorsivo accessibile al pubblico è fornito da un fornitore di reti pubbliche di comunicazione elettronica o di servizi di comunicazione elettronica accessibili al pubblico solo come parte del servizio di accesso a Internet, l'entità deve essere considerata soggetta alla giurisdizione di tutti gli Stati membri in cui i suoi servizi sono forniti.

(116) Se un Fornitore di servizi DNSFornitore di servizi DNS Si intende un'entità che fornisce: (a) servizi di risoluzione ricorsiva dei nomi di dominio disponibili al pubblico per gli utenti finali di Internet; o (b) servizi di risoluzione autorevole dei nomi di dominio per uso da parte di terzi, ad eccezione dei server dei nomi radice -. Definizione ai sensi dell'articolo 6 della direttiva (UE) 2022/2555 (direttiva NIS2), un registro di nomi TLD, un entità che fornisce servizi di registrazione di nomi di dominioEntità che fornisce servizi di registrazione di nomi di dominio Si intende una società di registrazione o un agente che agisce per conto delle società di registrazione, come un fornitore di servizi di registrazione della privacy o di delega o un rivenditore -. Definizione ai sensi dell'articolo 6 della direttiva (UE) 2022/2555 (direttiva NIS2), un fornitore di servizi di cloud computing, un fornitore di servizi di data center, un fornitore di reti di distribuzione di contenuti, un fornitore di servizi di cloud computing. fornitore di servizi gestitiFornitore di servizi gestiti Si intende un'entità che fornisce servizi relativi all'installazione, alla gestione, al funzionamento o alla manutenzione di prodotti ICT, reti, infrastrutture, applicazioni o qualsiasi altra rete e sistemi informativi, attraverso l'assistenza o l'amministrazione attiva effettuata sia presso i clienti che a distanza -. Definizione ai sensi dell'articolo 6 della direttiva (UE) 2022/2555 (direttiva NIS2)un fornitore di servizi di sicurezza gestiti o un fornitore di un mercato online, di una motore di ricerca onlineMotore di ricerca online Un servizio digitale che consente agli utenti di inserire query per effettuare ricerche, in linea di principio, su tutti i siti web o su tutti i siti web in una determinata lingua, sulla base di un'interrogazione su qualsiasi argomento sotto forma di parola chiave, richiesta vocale, frase o altro input, e restituisce risultati in qualsiasi formato in cui sia possibile reperire informazioni relative al contenuto richiesto - Definizione ai sensi dell'articolo 2, punto (5), del Regolamento (UE) 2019/1150 del Parlamento europeo e del Consiglio o di un piattaforma di servizi di social networkPiattaforma di servizi di social network Si intende una piattaforma che consente agli utenti finali di connettersi, condividere, scoprire e comunicare tra loro su più dispositivi, in particolare tramite chat, post, video e raccomandazioni -. Definizione ai sensi dell'articolo 6 della direttiva (UE) 2022/2555 (direttiva NIS2)che non è stabilita nell'Unione, offre servizi all'interno dell'Unione, dovrebbe designare una rappresentanteRappresentante Persona fisica o giuridica stabilita nell'Unione esplicitamente designata ad agire per conto di un fornitore di servizi DNS, di un registro di nomi TLD, di un'entità che fornisce servizi di registrazione di nomi di dominio, di un fornitore di servizi di cloud computing, di un fornitore di servizi di data center, di un fornitore di reti di distribuzione di contenuti, di un fornitore di servizi gestiti, di un fornitore di servizi di sicurezza gestiti o di un fornitore di un mercato online, di un motore di ricerca online o di una piattaforma di servizi di social network non stabilita nell'Unione, che può essere interpellata da un'autorità competente o da un CSIRT al posto dell'entità stessa per quanto riguarda gli obblighi di tale entità ai sensi della presente direttiva. - Definizione ai sensi dell'articolo 6 della direttiva (UE) 2022/2555 (direttiva NIS2) nell'Unione.

Per determinare se tale entità offra servizi all'interno dell'Unione, occorre accertare se l'entità intenda offrire servizi a persone in uno o più Stati membri. La semplice accessibilità nell'Unione del sito web dell'ente o di un intermediario o di un indirizzo e-mail o di altri dettagli di contatto, o l'uso di una lingua generalmente utilizzata nel paese terzo in cui l'ente è stabilito, dovrebbero essere considerati insufficienti per accertare tale intenzione.

Tuttavia, fattori quali l'uso di una lingua o di una valuta generalmente utilizzata in uno o più Stati membri, con la possibilità di ordinare servizi in quella lingua, o la menzione di clienti o utenti che si trovano nell'Unione, potrebbero rendere evidente che l'entità sta pianificando di offrire servizi all'interno dell'Unione. Il rappresentante dovrebbe agire per conto dell'ente e le autorità competenti o i CSIRT dovrebbero potersi rivolgere al rappresentante. Il rappresentante dovrebbe essere esplicitamente designato da un mandato scritto dell'ente ad agire per conto di quest'ultimo in relazione agli obblighi previsti dalla presente direttiva, compresa la segnalazione di incidenti.

(117) Per garantire una chiara panoramica dei fornitori di servizi DNS, dei registri di nomi di dominio di primo livello, delle entità che forniscono servizi di registrazione di nomi di dominio, dei fornitori di servizi di cloud computing, dei fornitori di servizi di centri dati, dei fornitori di reti di distribuzione di contenuti, dei fornitori di servizi gestiti, dei fornitori di servizi di sicurezza gestiti, nonché dei fornitori di mercati online, di motori di ricerca online e di piattaforme di servizi di social network, che forniscono servizi in tutta l'Unione che rientrano nell'ambito di applicazione della presente direttiva, è opportuno che l'ENISA crei e mantenga un registro di tali entità, sulla base delle informazioni ricevute dagli Stati membri, se del caso attraverso i meccanismi nazionali istituiti per la registrazione delle entità stesse.

Gli sportelli unici devono trasmettere all'ENISA le informazioni e le loro eventuali modifiche. Al fine di garantire l'accuratezza e la completezza delle informazioni da inserire in tale registro, gli Stati membri possono presentare all'ENISA le informazioni disponibili in qualsiasi registro nazionale su tali entità. L'ENISA e gli Stati membri dovrebbero adottare misure per facilitare l'interoperabilità di tali registri, garantendo al contempo la protezione delle informazioni riservate o classificate. L'ENISA dovrebbe stabilire protocolli appropriati di classificazione e gestione delle informazioni per garantire la sicurezza e la riservatezza delle informazioni divulgate e limitare l'accesso, l'archiviazione e la trasmissione di tali informazioni agli utenti previsti.

(118) Quando le informazioni classificate ai sensi del diritto dell'Unione o nazionale sono scambiate, comunicate o altrimenti condivise ai sensi della presente direttiva, occorre applicare le norme corrispondenti sul trattamento delle informazioni classificate. Inoltre, l'ENISA dovrebbe disporre dell'infrastruttura, delle procedure e delle norme per trattare le informazioni sensibili e classificate conformemente alle norme di sicurezza applicabili per la protezione delle informazioni classificate dell'UE.

(119) Poiché le minacce informatiche diventano sempre più complesse e sofisticate, una buona individuazione di tali minacce e le relative misure di prevenzione dipendono in larga misura da una regolare condivisione delle informazioni sulle minacce e sulle vulnerabilità tra le entità. La condivisione delle informazioni contribuisce a una maggiore consapevolezza delle minacce informatiche che, a sua volta, aumenta la capacità degli enti di impedire che tali minacce si concretizzino in incidenti e consente agli enti di contenere meglio gli effetti degli incidenti e di riprendersi in modo più efficiente. In assenza di orientamenti a livello dell'Unione, diversi fattori sembrano aver ostacolato tale condivisione di informazioni, in particolare l'incertezza sulla compatibilità con le norme sulla concorrenza e sulla responsabilità.

(120) Le entità dovrebbero essere incoraggiate e assistite dagli Stati membri a sfruttare collettivamente le loro conoscenze individuali e la loro esperienza pratica a livello strategico, tattico e operativo al fine di migliorare le loro capacità di prevenire, rilevare, rispondere o recuperare adeguatamente gli incidenti o di attenuarne l'impatto. È quindi necessario consentire la nascita, a livello di Unione, di accordi volontari per la condivisione delle informazioni sulla sicurezza informatica.

A tal fine, gli Stati membri dovrebbero assistere e incoraggiare attivamente i soggetti, come quelli che forniscono servizi e ricerca in materia di cibersicurezza, nonché i soggetti pertinenti che non rientrano nell'ambito di applicazione della presente direttiva, a partecipare a tali accordi di condivisione delle informazioni sulla cibersicurezza. Tali accordi dovrebbero essere stabiliti nel rispetto delle norme dell'Unione in materia di concorrenza e della legislazione dell'Unione in materia di protezione dei dati.

---

(121) Il trattamento dei dati personali, nella misura in cui sia necessario e proporzionato al fine di garantire la sicurezza della rete e dei sistemi informativi da parte di entità essenziali e importanti, potrebbe essere considerato lecito sulla base del fatto che tale trattamento rispetta un obbligo legale a cui è soggetto il titolare del trattamento, conformemente ai requisiti di cui all'articolo 6, paragrafo 1, lettera c), e all'articolo 6, paragrafo 3, del regolamento (UE) 2016/679.

Il trattamento dei dati personali potrebbe anche essere necessario per gli interessi legittimi perseguiti da entità essenziali e importanti, nonché da fornitori di tecnologie e servizi di sicurezza che agiscono per conto di tali entità, ai sensi dell'articolo 6, paragrafo 1, lettera f), del regolamento (UE) 2016/679, anche quando tale trattamento è necessario per accordi di condivisione di informazioni sulla sicurezza informatica o per la notifica volontaria di informazioni pertinenti in conformità alla presente direttiva.

Le misure relative alla prevenzione, al rilevamento, all'identificazione, al contenimento, all'analisi e alla risposta agli incidenti, le misure di sensibilizzazione in relazione a specifiche minacce informatiche, lo scambio di informazioni nel contesto della correzione delle vulnerabilità e della divulgazione coordinata delle vulnerabilità, lo scambio volontario di informazioni su tali incidenti, e le minacce e le vulnerabilità informatiche, gli indicatori di compromissione, le tattiche, le tecniche e le procedure, gli avvisi di cybersicurezza e gli strumenti di configurazione potrebbero richiedere il trattamento di alcune categorie di dati personali, come gli indirizzi IP, i localizzatori uniformi di risorse (URL), i nomi di dominio, gli indirizzi e-mail e, laddove rivelino dati personali, le marche temporali.

Il trattamento dei dati personali da parte delle autorità competenti, degli sportelli unici e dei CSIRT, potrebbe costituire un obbligo legale o essere considerato necessario per l'esecuzione di un compito di interesse pubblico o per l'esercizio di pubblici poteri di cui è investito il titolare del trattamento ai sensi dell'articolo 6, paragrafo 1, lettere c) o e), e dell'articolo 6, paragrafo 3, del regolamento (UE) 2016/679, o per il perseguimento di un legittimo interesse dei soggetti essenziali e importanti, di cui all'articolo 6, paragrafo 1, lettera f), del medesimo regolamento.

Inoltre, il diritto nazionale potrebbe stabilire norme che consentano alle autorità competenti, agli sportelli unici e ai CSIRT, nella misura in cui ciò sia necessario e proporzionato al fine di garantire la sicurezza della rete e dei sistemi informativi di entità essenziali e importanti, di trattare categorie particolari di dati personali conformemente all'articolo 9 del regolamento (UE) 2016/679, in particolare prevedendo misure adeguate e specifiche per salvaguardare i diritti e gli interessi fondamentali delle persone fisiche, tra cui limitazioni tecniche al riutilizzo di tali dati e l'utilizzo di misure di sicurezza e di tutela della privacy all'avanguardia, come la pseudonimizzazione o la cifratura qualora l'anonimizzazione possa incidere significativamente sulle finalità perseguite.

(122) Al fine di rafforzare i poteri e le misure di vigilanza che contribuiscono a garantire l'effettivo rispetto delle norme, la presente direttiva deve prevedere un elenco minimo di misure di vigilanza e di strumenti attraverso i quali le autorità competenti possono vigilare sugli enti essenziali e importanti. Inoltre, è opportuno che la presente direttiva stabilisca una differenziazione del regime di vigilanza tra enti essenziali e importanti al fine di garantire un giusto equilibrio degli obblighi per tali enti e per le autorità competenti.

Pertanto, i soggetti essenziali dovrebbero essere soggetti a un regime di vigilanza completo ex ante ed ex post, mentre i soggetti importanti dovrebbero essere soggetti a un regime di vigilanza leggero, solo ex post. I soggetti importanti non dovrebbero quindi essere tenuti a documentare sistematicamente la conformità alle misure di gestione del rischio di cibersicurezza, mentre le autorità competenti dovrebbero attuare un approccio reattivo alla vigilanza ex post e, quindi, non avere un obbligo generale di vigilanza su tali soggetti.

La vigilanza ex post di importanti entità può essere attivata da prove, indicazioni o informazioni portate all'attenzione delle autorità competenti e ritenute da queste ultime indicative di potenziali violazioni della presente direttiva. Ad esempio, tali prove, indicazioni o informazioni potrebbero essere del tipo fornito alle autorità competenti da altre autorità, enti, cittadini, media o altre fonti o informazioni pubblicamente disponibili, oppure potrebbero emergere da altre attività svolte dalle autorità competenti nell'adempimento dei loro compiti.

(123) L'esecuzione dei compiti di vigilanza da parte delle autorità competenti non deve ostacolare inutilmente le attività commerciali del soggetto interessato. Quando le autorità competenti svolgono i loro compiti di vigilanza in relazione a soggetti essenziali, compresa l'esecuzione di ispezioni in loco e di vigilanza fuori sede, l'accertamento di violazioni della presente direttiva e l'esecuzione di controlli o scansioni di sicurezza, dovrebbero ridurre al minimo l'impatto sulle attività commerciali del soggetto interessato.

(124) Nell'esercizio della vigilanza ex ante, le autorità competenti devono essere in grado di decidere se dare priorità all'uso delle misure e dei mezzi di vigilanza a loro disposizione in modo proporzionato. Ciò implica che le autorità competenti possono decidere tale priorità sulla base di metodologie di vigilanza che dovrebbero seguire un approccio basato sul rischio.

Più specificamente, tali metodologie potrebbero includere criteri o parametri di riferimento per la classificazione dei soggetti essenziali in categorie di rischio e le corrispondenti misure e mezzi di vigilanza raccomandati per categoria di rischio, come l'uso, la frequenza o i tipi di ispezioni in loco, i controlli di sicurezza mirati o le scansioni di sicurezza, il tipo di informazioni da richiedere e il livello di dettaglio di tali informazioni. Tali metodologie di vigilanza potrebbero anche essere accompagnate da programmi di lavoro ed essere valutate e riviste periodicamente, anche per quanto riguarda aspetti quali l'allocazione e il fabbisogno di risorse. In relazione agli enti della pubblica amministrazione, i poteri di vigilanza dovrebbero essere esercitati in linea con i quadri legislativi e istituzionali nazionali.

(125) Le autorità competenti dovrebbero garantire che i loro compiti di vigilanza in relazione a entità essenziali e importanti siano svolti da professionisti formati, che dovrebbero avere le competenze necessarie per svolgere tali compiti, in particolare per quanto riguarda la conduzione di ispezioni in loco e la supervisione fuori sede, compresa l'individuazione di carenze nelle banche dati, nell'hardware, nei firewall, nella crittografia e nelle reti. Le ispezioni e la supervisione devono essere condotte in modo obiettivo.

(126) Nei casi debitamente comprovati in cui è a conoscenza di una minaccia informatica significativa o di un rischio imminente, l'autorità competente dovrebbe essere in grado di adottare decisioni immediate di esecuzione al fine di prevenire o rispondere a un incidente.

(127) Al fine di rendere efficace l'applicazione della normativa, è opportuno stabilire un elenco minimo di poteri di esecuzione che possono essere esercitati in caso di violazione delle misure di gestione del rischio di cibersicurezza e degli obblighi di comunicazione previsti dalla presente direttiva, istituendo un quadro chiaro e coerente per tale applicazione in tutta l'Unione. È opportuno tenere in debita considerazione la natura, la gravità e la durata della violazione della presente direttiva, il danno materiale o immateriale causato, l'intenzionalità o la negligenza della violazione, le azioni intraprese per prevenire o attenuare il danno materiale o immateriale, il grado di responsabilità o eventuali violazioni precedenti, il grado di cooperazione con l'autorità competente e qualsiasi altro fattore aggravante o attenuante.

Le misure di esecuzione, comprese le sanzioni amministrative pecuniarie, dovrebbero essere proporzionate e la loro imposizione dovrebbe essere soggetta ad adeguate garanzie procedurali in conformità ai principi generali del diritto dell'Unione e alla Carta dei diritti fondamentali dell'Unione europea (la "Carta"), compreso il diritto a un ricorso effettivo e a un giudice imparziale, la presunzione di innocenza e i diritti della difesa.

(128) La presente direttiva non impone agli Stati membri di prevedere la responsabilità penale o civile delle persone fisiche responsabili di garantire che un'entità si conformi alla presente direttiva per i danni subiti da terzi a seguito di una violazione della stessa.

(129) Per garantire l'effettiva applicazione degli obblighi previsti dalla presente direttiva, ogni autorità competente dovrebbe avere il potere di imporre o richiedere l'imposizione di sanzioni amministrative pecuniarie.

(130) Se un'ammenda amministrativa è inflitta a un'entità essenziale o importante che è un'impresa, a tali fini si dovrebbe intendere un'impresa ai sensi degli articoli 101 e 102 del TFUE. Quando un'ammenda amministrativa è inflitta a una persona che non è un'impresa, l'autorità competente dovrebbe tenere conto del livello generale di reddito nello Stato membro e della situazione economica della persona nel valutare l'importo adeguato dell'ammenda. Dovrebbe spettare agli Stati membri stabilire se e in quale misura le autorità pubbliche debbano essere soggette a sanzioni amministrative pecuniarie. L'imposizione di una sanzione amministrativa non pregiudica l'applicazione di altri poteri delle autorità competenti o di altre sanzioni previste dalle norme nazionali di recepimento della presente direttiva.