Preambolo

Considerando che:

(1) Le entità critiche, in quanto fornitori di servizi essenziali, svolgono un ruolo indispensabile nel mantenimento delle funzioni sociali vitali o delle attività economiche nel mercato interno in un'economia dell'Unione sempre più interdipendente. È pertanto essenziale stabilire un quadro dell'Unione volto sia a rafforzare la resilienza delle entità critiche nel mercato interno stabilendo norme minime armonizzate, sia ad assisterle mediante misure di sostegno e vigilanza coerenti e dedicate.

(2) La direttiva 2008/114/CE del Consiglio (4) prevede una procedura per la designazione delle infrastrutture critiche europee nei settori dell'energia e dei trasporti la cui interruzione o distruzione avrebbe un impatto transfrontaliero significativo su almeno due Stati membri. Tale direttiva si concentra esclusivamente sulla protezione di tali infrastrutture. Tuttavia, la valutazione della direttiva 2008/114/CE condotta nel 2019 ha rilevato che, a causa della natura sempre più interconnessa e transfrontaliera delle operazioni che utilizzano infrastrutture critiche, le misure di protezione relative ai singoli beni sono da sole insufficienti a prevenire tutte le interruzioni. Pertanto, è necessario spostare l'approccio verso la garanzia che i rischi siano meglio considerati, che il ruolo e i doveri delle entità critiche in quanto fornitori di servizi essenziali al funzionamento del mercato interno siano meglio definiti e coerenti, e che vengano adottate norme dell'Unione per migliorare la resilienza delle entità critiche. Le entità critiche dovrebbero essere in grado di rafforzare la loro capacità di prevenire, proteggere, rispondere, resistere, mitigare, assorbire, adattarsi e riprendersi da incidenti che hanno il potenziale di interrompere la fornitura di servizi essenziali.

(3) Sebbene una serie di misure a livello dell'Unione, come il Programma europeo per la protezione delle infrastrutture critiche, e a livello nazionale mirino a sostenere la protezione delle infrastrutture critiche nell'Unione, si dovrebbe fare di più per dotare meglio le entità che gestiscono tali infrastrutture per far fronte ai rischi per le loro attività che potrebbero comportare l'interruzione della fornitura di servizi essenziali. Si dovrebbe inoltre fare di più per dotare meglio tali entità dato il panorama dinamico delle minacce, che comprende minacce ibride e terroristiche in evoluzione e crescenti interdipendenze tra infrastrutture e settori. Inoltre, vi è un aumento della vulnerabilità fisica rischioIl rischio Si intende il potenziale di perdita o di perturbazione causato da un incidente e deve essere espresso come una combinazione dell'entità di tale perdita o perturbazione e della probabilità che l'incidente si verifichi -. Definizione ai sensi dell'articolo 6 della direttiva (UE) 2022/2555 (direttiva NIS2) a causa di catastrofi naturali e cambiamenti climatici, che intensificano la frequenza e la portata degli eventi meteorologici estremi e portano a cambiamenti a lungo termine nelle condizioni climatiche medie che possono ridurre la capacità, l'efficienza e la durata di determinati tipi di infrastrutture se non vengono adottate misure di adattamento climatico. Inoltre, il mercato interno è caratterizzato da una frammentazione nell'identificazione delle entità critiche poiché i settori e le categorie di entità pertinenti non sono riconosciuti in modo coerente come critici in tutti gli Stati membri. La presente direttiva dovrebbe pertanto garantire un solido livello di armonizzazione per quanto riguarda i settori e le categorie di entità rientranti nel suo ambito di applicazione.

(4) Mentre alcuni settori dell'economia, come i settori dell'energia e dei trasporti, sono già regolamentati da atti giuridici dell'Unione specifici del settore, tali atti giuridici contengono disposizioni che riguardano solo determinati aspetti della resilienza degli enti che operano in tali settori. Per affrontare in modo completo la resilienza di tali enti che sono fondamentali per il corretto funzionamento del mercato interno, la presente direttiva crea un quadro generale che affronta la resilienza delle entità critiche rispetto a tutti i pericoli, naturali o artificiali, accidentali o intenzionali.

(5) Le crescenti interdipendenze tra infrastrutture e settori derivano da una rete di prestazione di servizi sempre più transfrontaliera e interdipendente che utilizza infrastrutture chiave nell'Unione nei settori dell'energia, dei trasporti, bancario, dell'acqua potabile, delle acque reflue, della produzione, trasformazione e distribuzione di alimenti, sanitario, spaziale, delle infrastrutture dei mercati finanziari e digitale e di alcuni aspetti del settore della pubblica amministrazione. Il settore spaziale rientra nell'ambito di applicazione della presente direttiva per quanto riguarda la fornitura di determinati servizi che dipendono da infrastrutture basate a terra di proprietà, gestite e operate da Stati membri o da soggetti privati; di conseguenza, le infrastrutture di proprietà, gestite o operate dall'Unione o per conto dell'Unione nell'ambito del suo programma spaziale non rientrano nell'ambito di applicazione della presente direttiva.

Per quanto riguarda il settore energetico e in particolare i metodi di produzione e trasmissione dell'elettricità (in materia di fornitura di elettricità), si intende che, ove ritenuto opportuno, la produzione di elettricità possa includere parti di trasmissione dell'elettricità delle centrali nucleari, ma escluda gli elementi specificamente nucleari disciplinati dai trattati e dal diritto dell'Unione, inclusi gli atti giuridici pertinenti dell'Unione in materia di energia nucleare. Il processo di identificazione delle entità critiche nel settore alimentare dovrebbe riflettere adeguatamente la natura del mercato interno in tale settore e le estese norme dell'Unione relative ai principi generali e ai requisiti della legislazione alimentare e della sicurezza alimentare. Pertanto, al fine di garantire un approccio proporzionato e di riflettere adeguatamente il ruolo e l'importanza di tali entità a livello nazionale, le entità critiche dovrebbero essere identificate solo tra le imprese alimentari, a scopo di lucro o meno, pubbliche o private, che si occupano esclusivamente di logistica e distribuzione all'ingrosso e di produzione e trasformazione industriale su larga scala con una quota di mercato significativa osservata a livello nazionale. Tali interdipendenze implicano che qualsiasi interruzione dei servizi essenziali, anche se inizialmente limitata a una entitàEntità Persona fisica o giuridica creata e riconosciuta come tale dalla legislazione nazionale del suo luogo di stabilimento, che può, agendo in nome proprio, esercitare diritti ed essere soggetta a obblighi -. Definizione ai sensi dell'articolo 6 della direttiva (UE) 2022/2555 (direttiva NIS2) o un settore, possono avere effetti a cascata più ampi, con potenziali ripercussioni di vasta portata e a lungo termine sulla prestazione dei servizi in tutto il mercato interno. Le crisi maggiori, come la pandemia di COVID-19, hanno dimostrato vulnerabilitàVulnerabilità Si intende una debolezza, una suscettibilità o un difetto dei prodotti o dei servizi ICT che può essere sfruttato da una minaccia informatica -. Definizione ai sensi dell'articolo 6 della direttiva (UE) 2022/2555 (direttiva NIS2) delle nostre società sempre più interdipendenti di fronte a rischi a basso impatto e alta probabilità.

(6) Gli enti che forniscono servizi essenziali sono sempre più soggetti a requisiti diversi imposti dal diritto nazionale. Il fatto che alcuni Stati membri impongano requisiti di sicurezza meno rigorosi a tali enti non crea solo diversi livelli di resilienza, ma rischia anche di incidere negativamente sul mantenimento delle funzioni sociali vitali o delle attività economiche in tutta l'Unione e di creare ostacoli al corretto funzionamento del mercato interno. Gli investitori e le imprese possono fare affidamento su entità critiche resilienti, e l'affidabilità e la fiducia sono i pilastri fondamentali di un mercato interno ben funzionante. Tipi simili di enti sono considerati critici in alcuni Stati membri ma non in altri, e quelli identificati come critici sono soggetti a requisiti diversi in diversi Stati membri. Ciò si traduce in un onere amministrativo aggiuntivo e non necessario per le imprese che operano a livello transfrontaliero, in particolare per le imprese attive negli Stati membri con requisiti più rigorosi. Un quadro unionale avrebbe pertanto anche l'effetto di livellare le condizioni di parità per gli enti critici in tutta l'Unione.

(7) È necessario stabilire norme minime armonizzate per garantire che i servizi essenziali nel mercato interno siano forniti, per rafforzare la resilienza delle entità critiche e per migliorare la cooperazione transfrontaliera tra le autorità competenti. È importante che tali norme siano a prova di futuro in termini di concezione e attuazione, pur consentendo la necessaria flessibilità. È inoltre fondamentale migliorare la capacità delle entità critiche di fornire servizi essenziali di fronte a una serie eterogenea di rischi.

(8) Per raggiungere un elevato livello di resilienza, gli Stati membri dovrebbero individuare le entità critiche che saranno soggette a requisiti e supervisione specifici e che riceveranno un sostegno e una guida particolari di fronte a tutti i rischi pertinenti.

(9) Data l'importanza di sicurezza informaticaSicurezza informatica per "cibersicurezza" si intende la cibersicurezza quale definita all'articolo 2, punto 1, del regolamento (UE) 2019/881; - Definizione ai sensi dell'articolo 6 della direttiva (UE) 2022/2555 (direttiva NIS2) per "sicurezza informatica" si intendono le attività necessarie per proteggere i sistemi di rete e di informazione, gli utenti di tali sistemi e le altre persone interessate dalle minacce informatiche; - definizione ai sensi dell'articolo 2, punto (1), del regolamento (UE) 2019/881; per la resilienza delle entità critiche e a fini di coerenza, dovrebbe essere garantito, ove possibile, un approccio coerente tra la presente direttiva e la direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio (5). In considerazione della maggiore frequenza e delle caratteristiche particolari dei rischi informatici, la direttiva (UE) 2022/2555 impone requisiti completi a un gran numero di entità per garantirne la cibersicurezza. Poiché la cibersicurezza è affrontata in modo sufficiente nella direttiva (UE) 2022/2555, le questioni trattate da tale direttiva dovrebbero essere escluse dall'ambito di applicazione della presente direttiva, fatto salvo il regime particolare per le entità nel settore dell'infrastruttura digitale.

(10) Ove le disposizioni di atti giuridici dell'Unione settoriali richiedano agli operatori di servizi critici di adottare misure per rafforzare la loro resilienza e tali requisiti siano riconosciuti dagli Stati membri come perlomeno equivalenti agli obblighi corrispondenti stabiliti nella presente direttiva, le disposizioni pertinenti della presente direttiva non dovrebbero applicarsi, al fine di evitare duplicazioni e oneri non necessari. In tal caso, dovrebbero applicarsi le disposizioni pertinenti di tali atti giuridici dell'Unione. Ove le disposizioni pertinenti della presente direttiva non si applichino, non dovrebbero applicarsi nemmeno le disposizioni in materia di vigilanza e di esecuzione stabilite nella presente direttiva.

(11) La presente direttiva non incide sulla competenza degli Stati membri e delle loro autorità ai fini dell'autonomia amministrativa né sulla loro responsabilità per la salvaguardia della sicurezza nazionale e della difesa, né sul loro potere di salvaguardare altre funzioni statali essenziali, in particolare per quanto riguarda la sicurezza pubblica, l'integrità territoriale e il mantenimento dell'ordine pubblico. L'esclusione degli enti della pubblica amministrazione dall'ambito di applicazione della presente direttiva dovrebbe applicarsi agli enti le cui attività sono svolte prevalentemente nei settori della sicurezza nazionale, della sicurezza pubblica, della difesa o dell'applicazione della legge, comprese le indagini, il rilevamento e il perseguimento di reati. Tuttavia, gli enti della pubblica amministrazione le cui attività sono solo marginalmente connesse a tali settori dovrebbero ricadere nell'ambito di applicazione della presente direttiva. Ai fini della presente direttiva, gli enti dotati di competenze regolamentari non sono considerati svolgere attività nel settore dell'applicazione della legge e pertanto non sono esclusi per tale motivo dall'ambito di applicazione della presente direttiva. Gli enti della pubblica amministrazione istituiti congiuntamente con un paese terzo ai sensi di un accordo internazionale sono esclusi dall'ambito di applicazione della presente direttiva. La presente direttiva non si applica alle missioni diplomatiche e consolari degli Stati membri nei paesi terzi.

Determinati soggetti fondamentali svolgono attività nei settori della sicurezza nazionale, della sicurezza pubblica, della difesa o dell'applicazione della legge, comprese le indagini, l'accertamento e la perseguibilità dei reati, oppure forniscono servizi esclusivamente a soggetti della pubblica amministrazione che svolgono attività prevalentemente in tali settori. Alla luce della responsabilità degli Stati membri di salvaguardare la sicurezza nazionale e la difesa, gli Stati membri dovrebbero poter decidere che gli obblighi a carico dei soggetti fondamentali stabiliti dalla presente direttiva non si applicano, in tutto o in parte, a tali soggetti fondamentali se i servizi che forniscono o le attività che svolgono sono prevalentemente correlati ai settori della sicurezza nazionale, della sicurezza pubblica, della difesa o dell'applicazione della legge, comprese le indagini, l'accertamento e la perseguibilità dei reati. I soggetti fondamentali i cui servizi o attività sono solo marginalmente correlati a tali settori dovrebbero rientrare nell'ambito di applicazione della presente direttiva. Nessuno Stato membro dovrebbe essere obbligato a fornire informazioni la cui divulgazione sarebbe contraria agli interessi essenziali della sua sicurezza nazionale. Le norme dell'Unione o nazionali per la protezione delle informazioni classificate e gli accordi di non divulgazione sono pertinenti.

(12) Al fine di non compromettere la sicurezza nazionale o la sicurezza e gli interessi commerciali di entità critiche, le informazioni sensibili dovrebbero essere consultate, scambiate e gestite con prudenza e con particolare attenzione ai canali di trasmissione e alle capacità di archiviazione utilizzate.

(13) Al fine di garantire un approccio globale alla resilienza delle entità critiche, ogni Stato membro dovrebbe disporre di una strategia per il rafforzamento della resilienza delle entità critiche (la ‘strategia’). La strategia dovrebbe delineare gli obiettivi strategici e le misure politiche da attuare. Nell'ottica di coerenza ed efficienza, la strategia dovrebbe essere concepita per integrare senza soluzione di continuità le politiche esistenti, basandosi, ove possibile, su strategie, piani o documenti analoghi pertinenti a livello nazionale e settoriale già esistenti. Al fine di realizzare un approccio globale, gli Stati membri dovrebbero garantire che le loro strategie prevedano un quadro politico per un miglior coordinamento tra le autorità competenti ai sensi della presente direttiva e le autorità competenti ai sensi della direttiva (UE) 2022/2555 nel contesto della condivisione di informazioni sui rischi informatici, le minacce informatiche e gli incidenti informatici, nonché sui rischi, le minacce e gli incidenti non informatici, e nel contesto dell'esercizio dei compiti di vigilanza. Nell'elaborare le loro strategie, gli Stati membri dovrebbero tenere debitamente conto della natura ibrida delle minacce per le entità critiche.

(14) Gli Stati membri dovrebbero comunicare alla Commissione le loro strategie e gli aggiornamenti sostanziali delle stesse, in particolare per consentire alla Commissione di valutare la corretta applicazione della presente direttiva per quanto riguarda gli approcci politici alla resilienza delle entità critiche a livello nazionale. Laddove necessario, le strategie potrebbero essere comunicate come informazioni classificate. La Commissione dovrebbe elaborare un rapporto sintetico delle strategie comunicate dagli Stati membri da utilizzare come base per scambi volti a identificare le migliori pratiche e le questioni di comune interesse nel quadro di un gruppo per la resilienza delle entità critiche. Data la natura sensibile delle informazioni aggregate contenute nel rapporto sintetico, classificate o meno, la Commissione dovrebbe gestire il rapporto sintetico con il livello appropriato di consapevolezza nel rispetto della sicurezza delle entità critiche, degli Stati membri e dell'Unione. Il rapporto sintetico e le strategie dovrebbero essere protetti da azioni illecite o malevole e dovrebbero essere accessibili solo a persone autorizzate al fine di conseguire gli obiettivi della presente direttiva. La comunicazione delle strategie e degli aggiornamenti sostanziali delle stesse dovrebbe inoltre aiutare la Commissione a comprendere gli sviluppi negli approcci alla resilienza delle entità critiche e ad alimentare il monitoraggio dell'impatto e del valore aggiunto della presente direttiva, che la Commissione dovrebbe riesaminare periodicamente.

(15) Le azioni degli Stati membri volte a identificare e contribuire a garantire la resilienza delle entità critiche dovrebbero seguire un approccio basato sul rischio che si concentri sulle entità più pertinenti per lo svolgimento di funzioni sociali vitali o attività economiche. Al fine di garantire un tale approccio mirato, ciascuno Stato membro dovrebbe effettuare, nell'ambito di un quadro armonizzato, una valutazione dei rischi naturali e antropici pertinenti, inclusi quelli di natura transsettoriale o transfrontaliera, che potrebbero incidere sulla fornitura di servizi essenziali, compresi incidenti, catastrofi naturali, emergenze di sanità pubblica quali pandemie e minacce ibride o altre minacce antagoniste, inclusi reati terroristici, infiltrazioni criminali e sabotaggio (‘valutazione del rischio a livello di Stato membro’). Nel condurre le valutazioni del rischio a livello di Stato membro, gli Stati membri dovrebbero tenere conto di altre valutazioni generali o settoriali del rischio effettuate ai sensi di altri atti giuridici dell'Unione e dovrebbero considerare in che misura i settori dipendano gli uni dagli altri, anche dai settori di altri Stati membri e di paesi terzi. L'esito delle valutazioni del rischio a livello di Stato membro dovrebbe essere utilizzato ai fini dell'identificazione delle entità critiche e dell'assistenza a tali entità nel soddisfare i loro requisiti di resilienza. La presente direttiva si applica solo agli Stati membri e alle entità critiche che operano nell'Unione. Ciononostante, l'esperienza e le conoscenze generate dalle autorità competenti, in particolare attraverso le valutazioni del rischio, e dalla Commissione, in particolare attraverso varie forme di supporto e cooperazione, potrebbero essere utilizzate, ove opportuno e in conformità con gli strumenti giuridici applicabili, a beneficio di paesi terzi, in particolare quelli nel vicinato diretto dell'Unione, alimentando la cooperazione esistente in materia di resilienza.

(16) Per garantire che tutte le entità pertinenti siano soggette ai requisiti di resilienza della presente direttiva e per ridurre le divergenze a tale riguardo, è importante stabilire norme armonizzate che consentano un’identificazione coerente delle entità critiche in tutta l’Unione, consentendo al contempo agli Stati membri di riflettere adeguatamente il ruolo e l’importanza di tali entità a livello nazionale. Nell’applicare i criteri stabiliti nella presente direttiva, ciascuno Stato membro dovrebbe identificare le entità che forniscono uno o più servizi essenziali e che operano sul proprio territorio e dispongono di infrastrutture critiche situate sul proprio territorio. Un’entità dovrebbe essere considerata operante sul territorio di uno Stato membro in cui svolge le attività necessarie per uno o più servizi essenziali e in cui è situata l’infrastruttura critica di tale entità utilizzata per fornire tale o tali servizi. Qualora nessuno entità soddisfi tali criteri in uno Stato membro, quest’ultimo non dovrebbe avere l’obbligo di identificare un’entità critica nel settore o sottosettore corrispondente. Nell’interesse dell’efficacia, dell’efficienza, della coerenza e della certezza del diritto, dovrebbero essere stabilite norme appropriate in merito alla notifica alle entità della loro identificazione come entità critiche.

(17) Gli Stati membri dovrebbero presentare alla Commissione, in modo da soddisfare gli obiettivi della presente direttiva, un elenco dei servizi essenziali, il numero di entità critiche individuate per ciascuno dei settori e sottosettori di cui all'allegato e per il/i servizio/i essenziale/i fornito/i da ciascuna entità e, se applicabili, le soglie. Le soglie dovrebbero poter essere presentate come tali o in forma aggregata, il che significa che le informazioni possono essere medie per area geografica, per anno, per settore, per sottosettore o con altri mezzi, e possono includere informazioni sulla gamma degli indicatori forniti.

(18) Dovrebbero essere stabiliti criteri per determinare la significatività di un effetto dirompente prodotto da un incidenteIncidente Si intende un evento che compromette la disponibilità, l'autenticità, l'integrità o la riservatezza dei dati memorizzati, trasmessi o elaborati o dei servizi offerti o accessibili tramite i sistemi di rete e di informazione -. Definizione ai sensi dell'articolo 6 della direttiva (UE) 2022/2555 (direttiva NIS2). Tali criteri dovrebbero basarsi sui criteri stabiliti dalla direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio (6) al fine di capitalizzare gli sforzi compiuti dagli Stati membri per identificare gli operatori di servizi essenziali come definiti in tale direttiva e sull'esperienza acquisita a tale riguardo. Crisi importanti, come la pandemia di COVID-19, hanno dimostrato l'importanza di garantire la sicurezza della catena di approvvigionamento e hanno dimostrato come la sua interruzione possa avere un impatto economico e sociale negativo in un elevato numero di settori e transfrontaliero. Pertanto, gli Stati membri dovrebbero anche prendere in considerazione gli effetti sulla catena di approvvigionamento, nella misura del possibile, quando determinano in che misura altri settori e sottosettori dipendono dal servizio essenziale fornito da un'entità critica.

(19) In conformità con la normativa vigente dell'Unione e nazionale, compreso il regolamento (UE) 2019/452 del Parlamento europeo e del Consiglio (7), che stabilisce un quadro per il controllo degli investimenti esteri diretti nell'Unione, si deve riconoscere la potenziale minaccia posta dalla proprietà estera di infrastrutture critiche nell'Unione, poiché i servizi, l'economia e la libera circolazione e la sicurezza dei cittadini dell'Unione dipendono dal corretto funzionamento delle infrastrutture critiche.

(20) La direttiva (UE) 2022/2555 impone agli enti appartenenti al settore dell'infrastruttura digitale, che potrebbero essere individuati come entità critiche ai sensi della presente direttiva, di adottare misure tecniche, operative e organizzative appropriate e proporzionate per gestire i rischi posti alla sicurezza delle reti e dei sistemi informativiSicurezza delle reti e dei sistemi informativi Si intende la capacità dei sistemi di rete e di informazione di resistere, a un determinato livello di fiducia, a qualsiasi evento che possa compromettere la disponibilità, l'autenticità, l'integrità o la riservatezza dei dati memorizzati, trasmessi o elaborati o dei servizi offerti o accessibili tramite tali sistemi di rete e di informazione. Definizione ai sensi dell'articolo 6 della direttiva (UE) 2022/2555 (direttiva NIS2) e di notificare incidenti significativi e minacce informatiche. Poiché le minacce alla sicurezza dei sistemi di reti e informativi possono avere origini diverse, la Direttiva (UE) 2022/2555 adotta un approccio basato sul principio di "tutte le minacce" (all-hazards approach) che include la resilienza dei sistemi di reti e informativi, nonché le componenti fisiche e l'ambiente di tali sistemi.

Dato che i requisiti stabiliti dalla direttiva (UE) 2022/2555 a tale riguardo sono almeno equivalenti agli obblighi corrispondenti stabiliti nella presente direttiva, gli obblighi stabiliti all'articolo 11 e ai capi III, IV e VI della presente direttiva non dovrebbero applicarsi agli enti appartenenti al settore dell'infrastruttura digitale al fine di evitare duplicazioni e oneri amministrativi non necessari. Tuttavia, considerando l'importanza dei servizi forniti dagli enti appartenenti al settore dell'infrastruttura digitale agli enti critici appartenenti a tutti gli altri settori, gli Stati membri dovrebbero identificare, sulla base dei criteri e utilizzando la procedura stabiliti nella presente direttiva, gli enti appartenenti al settore dell'infrastruttura digitale come enti critici. Di conseguenza, dovrebbero applicarsi le strategie, le valutazioni del rischio degli Stati membri e le misure di sostegno stabilite nel capo II della presente direttiva. Gli Stati membri dovrebbero essere in grado di adottare o mantenere disposizioni di diritto nazionale per raggiungere un livello più elevato di resilienza per tali enti critici, a condizione che tali disposizioni siano coerenti con il diritto dell'Unione applicabile.

(21) La normativa dell’Unione in materia di servizi finanziari stabilisce requisiti completi per le entità finanziarie al fine di gestire tutti i rischi da esse affrontati, inclusi i rischi operativi, e garantire la continuità operativa. Tale normativa comprende i Regolamenti (UE) n. 648/2012 (8), (UE) n. 575/2013 (9) e (UE) n. 600/2014 (10) del Parlamento europeo e del Consiglio e le Direttive 2013/36/UE (11) e 2014/65/UE (12) del Parlamento europeo e del Consiglio. Tale quadro giuridico è integrato dal Regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio (13), che stabilisce i requisiti applicabili alle entità finanziarie per la gestione dei rischi di tecnologie dell’informazione e della comunicazione (TIC), anche per quanto riguarda la protezione dell’infrastruttura TIC fisica. Poiché la resilienza di tali entità è pertanto pienamente disciplinata, l’articolo 11 e i capi III, IV e VI della presente direttiva non dovrebbero applicarsi a tali entità al fine di evitare duplicazioni e oneri amministrativi non necessari.

Tuttavia, considerando l'importanza dei servizi forniti da entità del settore finanziario a entità essenziali appartenenti a tutti gli altri settori, gli Stati membri dovrebbero identificare, sulla base dei criteri e utilizzando la procedura previsti dalla presente direttiva, le entità del settore finanziario come entità essenziali. Di conseguenza, dovrebbero applicarsi le strategie, le valutazioni del rischio dello Stato membro e le misure di sostegno di cui al capo II della presente direttiva. Gli Stati membri dovrebbero poter adottare o mantenere disposizioni di diritto nazionale per raggiungere un livello superiore di resilienza per tali entità essenziali, a condizione che tali disposizioni siano compatibili con il diritto dell'Unione applicabile.

(22) Gli Stati membri dovrebbero designare o istituire autorità competenti a vigilare sull'applicazione e, se del caso, a far rispettare le norme della presente direttiva, e dovrebbero garantire che tali autorità dispongano di poteri e risorse adeguati. Tenendo conto delle differenze nelle strutture di governance nazionali, al fine di salvaguardare gli accordi settoriali esistenti o gli organismi di vigilanza e regolamentazione dell'Unione e di evitare duplicazioni, gli Stati membri dovrebbero poter designare o istituire più di un'autorità competente. Qualora gli Stati membri designino o istituiscano più di un'autorità competente, dovrebbero definire chiaramente i rispettivi compiti delle autorità interessate e garantire la loro cooperazione fluida ed efficace. Tutte le autorità competenti dovrebbero inoltre cooperare in termini più generali con altre autorità pertinenti, sia a livello dell'Unione che nazionale.

(23) Al fine di agevolare la cooperazione e la comunicazione transfrontaliere e di consentire l'attuazione efficace della presente direttiva, ogni Stato membro dovrebbe designare un unico punto di contatto responsabile del coordinamento delle questioni relative alla resilienza delle entità critiche e alla cooperazione transfrontaliera a livello dell'Unione (‘punto di contatto unico’), ove opportuno nell'ambito di un'autorità competente, fatte salve le prescrizioni degli atti giuridici dell'Unione specifici per settore. Ogni punto di contatto unico dovrebbe stabilire collegamenti e coordinare la comunicazione, ove opportuno, con le autorità competenti del proprio Stato membro, con i punti di contatto unici degli altri Stati membri e con il gruppo per la resilienza delle entità critiche.

(24) Le autorità competenti ai sensi della presente direttiva e le autorità competenti ai sensi della direttiva (UE) 2022/2555 dovrebbero cooperare e scambiare informazioni in relazione ai rischi informatici, alle minacce informatiche e agli incidenti informatici e ai rischi, minacce e incidenti non informatici che interessano le entità critiche, nonché in relazione alle misure pertinenti adottate dalle autorità competenti ai sensi della presente direttiva e dalle autorità competenti ai sensi della direttiva (UE) 2022/2555. È importante che gli Stati membri garantiscano che i requisiti previsti dalla presente direttiva e dalla direttiva (UE) 2022/2555 siano attuati in modo complementare e che le entità critiche non siano soggette a un onere amministrativo oltre a quello necessario per raggiungere gli obiettivi della presente direttiva e di detta direttiva.

(25) Gli Stati membri dovrebbero sostenere le entità critiche, comprese quelle che rientrano nella definizione di piccole e medie imprese, nel rafforzare la loro resilienza, in conformità con gli obblighi degli Stati membri disposti dalla presente direttiva, fatte salve le responsabilità legali delle entità critiche stesse di garantire tale conformità e, così facendo, prevenire un onere amministrativo eccessivo. Gli Stati membri potrebbero, in particolare, elaborare materiale di orientamento e metodologie, sostenere l'organizzazione di esercitazioni per testare la resilienza delle entità critiche e fornire consulenza e formazione al personale delle entità critiche. Laddove necessario e giustificato da obiettivi di interesse pubblico, gli Stati membri potrebbero fornire risorse finanziarie e dovrebbero facilitare la condivisione volontaria di informazioni e lo scambio di buone pratiche tra le entità critiche, fatte salve le norme sulla concorrenza stabilite dal Trattato sul funzionamento dell'Unione europea (TFUE).

(26) Allo scopo di rafforzare la resilienza degli enti essenziali individuati dagli Stati membri e di ridurre l'onere amministrativo a carico di tali enti essenziali, le autorità competenti dovrebbero consultarsi reciprocamente, ove opportuno, al fine di garantire l'applicazione coerente della presente direttiva. Tali consultazioni dovrebbero essere avviate su richiesta di qualsiasi autorità competente interessata e dovrebbero concentrarsi sulla garanzia di un approccio convergente per quanto riguarda gli enti essenziali interconnessi che utilizzano infrastrutture critiche fisicamente collegate tra due o più Stati membri, che appartengono allo stesso gruppo o struttura societaria, o che sono stati individuati in uno Stato membro e forniscono servizi essenziali ad altri Stati membri o al loro interno.

(27) Laddove le disposizioni del diritto dell'Unione o nazionale richiedano alle entità critiche di valutare i rischi pertinenti ai fini della presente direttiva e di adottare misure per garantirne la resilienza, tali requisiti dovrebbero essere adeguatamente considerati ai fini della vigilanza sulla conformità delle entità critiche alla presente direttiva.

(28) Le entità critiche dovrebbero avere una comprensione completa dei rischi pertinenti a cui sono esposte e un obbligo di analizzare tali rischi. A tal fine, dovrebbero effettuare valutazioni del rischio ogni volta che sia necessario, in considerazione delle loro particolari circostanze e dell'evoluzione di tali rischi e, in ogni caso, ogni quattro anni, al fine di valutare tutti i rischi pertinenti che potrebbero interrompere la fornitura dei loro servizi essenziali (‘valutazione del rischio dell'entità critica’). Qualora le entità critiche abbiano effettuato altre valutazioni del rischio o abbiano redatto documenti ai sensi di obblighi stabiliti in altri atti giuridici pertinenti per la loro valutazione del rischio dell'entità critica, dovrebbero poter utilizzare tali valutazioni e documenti per soddisfare i requisiti stabiliti nella presente direttiva relativi alle valutazioni del rischio dell'entità critica. Un'autorità competente dovrebbe poter dichiarare che una valutazione del rischio esistente effettuata da un'entità critica che affronta i rischi pertinenti e il pertinente grado di dipendenza è conforme, in tutto o in parte, agli obblighi stabiliti nella presente direttiva.

(29) Gli enti critici dovrebbero adottare misure tecniche, di sicurezza e organizzative adeguate e proporzionate ai rischi cui sono esposti, al fine di prevenire, proteggersi, reagire, resistere, mitigare, assorbire, adattarsi e riprendersi da un incidente. Sebbene gli enti critici debbano adottare tali misure in conformità alla presente direttiva, i dettagli e la portata di tali misure dovrebbero riflettere i diversi rischi che ciascun ente critico ha individuato nell’ambito della propria valutazione dei rischi, nonché le specificità di tale ente in modo adeguato e proporzionato. Per promuovere un approccio coerente a livello dell’Unione, la Commissione dovrebbe, previa consultazione del gruppo sulla resilienza degli enti critici, adottare orientamenti non vincolanti per specificare ulteriormente tali misure tecniche, di sicurezza e organizzative. Gli Stati membri dovrebbero garantire che ogni entità critica designi un funzionario di collegamento o un equivalente quale punto di contatto con le autorità competenti.

(30) Ai fini dell'efficacia e della responsabilità, le entità critiche dovrebbero descrivere le misure che adottano, con un livello di dettaglio sufficiente a raggiungere gli obiettivi di efficacia e responsabilità, tenendo conto dei rischi identificati, in un piano di resilienza o in un documento o documenti equivalenti a un piano di resilienza, e applicare tale piano nella pratica. Laddove un'entità critica abbia già adottato misure tecniche, di sicurezza e organizzative e redatto documenti ai sensi di altri atti giuridici pertinenti per le misure di potenziamento della resilienza di cui alla presente direttiva, dovrebbe essere in grado, al fine di evitare duplicazioni, di utilizzare tali misure e documenti per soddisfare i requisiti relativi alle misure di resilienza ai sensi della presente direttiva. Al fine di evitare duplicazioni, un'autorità competente dovrebbe essere in grado di dichiarare le misure di resilienza esistenti adottate da un'entità critica che affrontano il suo obbligo di adottare misure tecniche, di sicurezza e organizzative ai sensi della presente direttiva conformi, in tutto o in parte, ai requisiti della presente direttiva.

(31) I regolamenti (CE) n. 725/2004 (14) e (CE) n. 300/2008 (15) del Parlamento europeo e del Consiglio e la direttiva 2005/65/CE del Parlamento europeo e del Consiglio (16) stabiliscono requisiti applicabili agli enti nei settori del trasporto aereo e marittimo per prevenire incidenti causati da atti illeciti e per resistere e mitigare le conseguenze di tali incidenti. Sebbene le misure richieste dalla presente direttiva siano più ampie in termini di rischi affrontati e tipi di misure da adottare, gli enti critici in tali settori dovrebbero riflettere nel loro piano di resilienza o documenti equivalenti le misure adottate in forza di tali altri atti giuridici dell'Unione. Gli enti critici devono inoltre tenere conto della direttiva 2008/96/CE del Parlamento europeo e del Consiglio (17), che introduce una valutazione delle strade a livello di rete per mappare il rischio di incidenti e un'ispezione mirata della sicurezza stradale per identificare condizioni pericolose, difetti e problemi che aumentano il rischio di incidenti e lesioni, sulla base di visite in loco di strade esistenti o sezioni di strade. Garantire la protezione e la resilienza degli enti critici è di estrema importanza per il settore ferroviario e, nell'attuazione delle misure di resilienza ai sensi della presente direttiva, gli enti critici sono incoraggiati a fare riferimento a documenti di orientamento non vincolanti e di buone pratiche elaborati nell'ambito di flussi di lavoro settoriali, come la Piattaforma europea per la sicurezza dei passeggeri ferroviari istituita dalla decisione 2018/C 232/03 della Commissione (18).

(32) Il rischio che i dipendenti di entità critiche o i loro appaltatori abusino, ad esempio, dei loro diritti di accesso all'interno dell'organizzazione dell'entità critica per arrecare danno e causare danni è motivo di crescente preoccupazione. Gli Stati membri dovrebbero pertanto specificare le condizioni alle quali le entità critiche sono autorizzate, in casi debitamente motivati e tenendo conto delle valutazioni del rischio degli Stati membri, a presentare richieste di controlli pregressi sulle persone appartenenti a specifiche categorie del loro personale. Dovrebbe essere garantito che le autorità competenti esaminino tali richieste entro un termine ragionevole e le elaborino in conformità con la legislazione e le procedure nazionali e con la normativa dell'Unione pertinente e applicabile, anche in materia di protezione dei dati personali. Al fine di comprovare l'identità di una persona oggetto di un controllo pregresso, è opportuno che gli Stati membri richiedano una prova di identità, come un passaporto, una carta d'identità nazionale o una forma di identificazione digitale, in conformità con la legislazione applicabile.

I controlli dei precedenti personali dovrebbero comprendere una verifica dei precedenti penali dell'interessato. Gli Stati membri dovrebbero avvalersi del sistema europeo di informazione sui casellari giudiziari in conformità con le procedure stabilite nella decisione quadro 2009/315/GAI del Consiglio (19) e, ove pertinente e applicabile, nel regolamento (UE) 2019/816 del Parlamento europeo e del Consiglio (20) al fine di ottenere informazioni dai casellari giudiziari detenuti da altri Stati membri. Gli Stati membri potrebbero inoltre, ove pertinente e applicabile, avvalersi del Sistema d’informazione Schengen di seconda generazione (SIS II) istituito dal regolamento (UE) 2018/1862 del Parlamento europeo e del Consiglio (21), di informazioni di intelligence e di qualsiasi altra informazione oggettiva disponibile che possa essere necessaria per determinare l’idoneità della persona interessata a ricoprire la posizione in relazione alla quale l’entità critica ha richiesto un controllo dei precedenti.

(33) Dovrebbe essere istituito un meccanismo di notifica di determinati incidenti per consentire alle autorità competenti di rispondere agli incidenti in modo rapido e adeguato e di avere una visione d'insieme completa dell'impatto, della natura, della causa e delle possibili conseguenze degli incidenti con cui hanno a che fare le entità critiche. Le entità critiche dovrebbero notificare, senza indebito ritardo, alle autorità competenti gli incidenti che interrompono significativamente o hanno il potenziale di interrompere significativamente la prestazione dei servizi essenziali. Salvo impossibilità operativa, le entità critiche dovrebbero presentare una notifica iniziale entro e non oltre 24 ore da quando sono venute a conoscenza di un incidente. La notifica iniziale dovrebbe includere solo le informazioni strettamente necessarie per informare l'autorità competente dell'incidente e per consentire all'entità critica di richiedere assistenza, se necessario. Tale notifica dovrebbe indicare, ove possibile, la causa presunta dell'incidente. Gli Stati membri dovrebbero garantire che l'obbligo di presentare tale notifica iniziale non distolga le risorse dell'entità critica dalle attività correlate a gestione degli incidentiGestione degli incidenti Si intende qualsiasi azione e procedura volta a prevenire, rilevare, analizzare e contenere o a rispondere e recuperare da un incidente -. Definizione ai sensi dell'articolo 6 della direttiva (UE) 2022/2555 (direttiva NIS2), che dovrebbe essere presa in priorità. La notifica iniziale dovrebbe essere seguita, ove pertinente, da una relazione dettagliata entro e non oltre un mese dall'incidente. La relazione dettagliata dovrebbe integrare la notifica iniziale e fornire una panoramica più completa dell'incidente.

(34) La standardizzazione dovrebbe rimanere principalmente un processo guidato dal mercato. Tuttavia, potrebbero ancora esserci situazioni in cui sia opportuno richiedere la conformità a norme specifiche. Gli Stati membri dovrebbero, ove utile, incoraggiare l'uso di norme e specifiche tecniche europee e internazionali pertinenti alle misure di sicurezza e resilienza applicabili alle entità critiche.

(35) Mentre le entità critiche operano generalmente nell'ambito di una rete sempre più interconnessa di prestazione di servizi e infrastrutture e forniscono spesso servizi essenziali in più di uno Stato membro, alcune di tali entità critiche rivestono particolare importanza per l'Unione e il suo mercato interno poiché forniscono servizi essenziali a o in sei o più Stati membri e potrebbero pertanto beneficiare di un sostegno specifico a livello dell'Unione. Dovrebbero quindi essere stabilite norme in materia di missioni di consulenza relative a tali entità critiche di particolare importanza europea. Tali norme sono fatte salve le norme in materia di vigilanza e attuazione di cui alla presente direttiva.

(36) Su richiesta motivata della Commissione o di uno o più Stati membri in cui viene fornito il servizio essenziale, qualora siano necessarie ulteriori informazioni per poter fornire consulenza a un'entità critica nel rispetto degli obblighi derivanti dalla presente direttiva o per valutare il rispetto di tali obblighi da parte di un'entità di particolare rilevanza europea, lo Stato membro che ha identificato un'entità di particolare rilevanza europea come entità critica dovrebbe fornire alla Commissione determinate informazioni di cui alla presente direttiva. Di concerto con lo Stato membro che ha identificato l'entità di particolare rilevanza europea come entità critica, la Commissione dovrebbe poter organizzare una missione di consulenza per valutare le misure adottate da tale entità. Per garantire che tali missioni di consulenza siano condotte correttamente, dovrebbero essere stabilite norme complementari, in particolare sull'organizzazione e lo svolgimento delle missioni di consulenza, sulle azioni di follow-up da intraprendere e sugli obblighi per le entità critiche di particolare rilevanza europea interessate. La missione di consulenza dovrebbe svolgersi, fatte salve le esigenze dello Stato membro in cui si svolge la missione di consulenza e dell'entità critica interessata di conformarsi alle norme stabilite nella presente direttiva, conformemente alle norme di dettaglio del diritto di tale Stato membro, ad esempio per quanto riguarda le condizioni precise da soddisfare per ottenere l'accesso ai locali o ai documenti pertinenti e i ricorsi giurisdizionali. Sulle competenze specifiche richieste per tali missioni di consulenza si potrebbe, ove opportuno, richiedere assistenza tramite il Centro di coordinamento della risposta alle emergenze istituito dalla decisione n. 1313/2013/UE del Parlamento europeo e del Consiglio (22).

(37) Per supportare la Commissione e facilitare la cooperazione tra gli Stati membri e lo scambio di informazioni, comprese le migliori pratiche, su questioni relative alla presente direttiva, dovrebbe essere istituito un gruppo di esperti della Commissione, denominato "Gruppo per la resilienza delle entità critiche". Gli Stati membri dovrebbero impegnarsi a garantire che i rappresentanti designati dalle loro autorità competenti nel Gruppo per la resilienza delle entità critiche cooperino in modo efficace ed efficiente, anche designando, ove opportuno, rappresentanti in possesso di un nulla osta di sicurezza. Il Gruppo per la resilienza delle entità critiche dovrebbe iniziare a svolgere i propri compiti il prima possibile, al fine di fornire mezzi aggiuntivi per un'adeguata cooperazione durante il periodo di recepimento della presente direttiva. Il Gruppo per la resilienza delle entità critiche dovrebbe interagire con altri gruppi di lavoro di esperti pertinenti specifici per settore.

(38) Il gruppo per la resilienza delle entità critiche dovrebbe cooperare con il gruppo di cooperazione istituito ai sensi della direttiva (UE) 2022/2555, al fine di sostenere un quadro completo per la resilienza cibernetica e non cibernetica delle entità critiche. Il gruppo per la resilienza delle entità critiche e il gruppo di cooperazione istituito ai sensi della direttiva (UE) 2022/2555 dovrebbero instaurare un dialogo regolare per promuovere la cooperazione tra le autorità competenti ai sensi della presente direttiva e le autorità competenti ai sensi della direttiva (UE) 2022/2555 e per facilitare lo scambio di informazioni, in particolare su temi di rilevanza per entrambi i gruppi.

(39) Per raggiungere gli obiettivi della presente direttiva e fermo restando l'obbligo giuridico degli Stati membri e delle entità critiche di garantire il rispetto dei rispettivi obblighi ad essi imposti dalla presente, la Commissione, qualora lo ritenga opportuno, dovrebbe sostenere le autorità competenti e le entità critiche al fine di agevolare il rispetto dei rispettivi obblighi. Nel fornire sostegno agli Stati membri e alle entità critiche nell'attuazione degli obblighi derivanti dalla presente direttiva, la Commissione dovrebbe basarsi su strutture e strumenti esistenti, quali quelli previsti dal meccanismo unionale di protezione civile, istituito dalla decisione n. 1313/2013/UE, e dalla rete europea di riferimento per la protezione delle infrastrutture critiche. Inoltre, dovrebbe informare gli Stati membri riguardo alle risorse disponibili a livello dell'Unione, quali quelle nel quadro del Fondo per la sicurezza interna, istituito dal regolamento (UE) 2021/1149 del Parlamento europeo e del Consiglio (23), di Orizzonte Europa, istituito dal regolamento (UE) 2021/695 del Parlamento europeo e del Consiglio (24), o di altri strumenti pertinenti per la resilienza delle entità critiche.

(40) Gli Stati membri dovrebbero garantire che le loro autorità competenti dispongano di determinati poteri specifici per la corretta applicazione e l'attuazione della presente direttiva nei confronti delle entità critiche, laddove tali entità ricadano sotto la loro giurisdizione come specificato nella presente direttiva. Tali poteri dovrebbero includere, in particolare, il potere di condurre ispezioni e audit, il potere di vigilare, il potere di richiedere alle entità critiche di fornire informazioni e prove relative alle misure da esse adottate per adempiere ai propri obblighi e, ove necessario, il potere di emettere ingiunzioni per rimediare alle violazioni accertate. Nell'emettere tali ingiunzioni, gli Stati membri non dovrebbero imporre misure che vadano oltre quanto necessario e proporzionato per garantire la conformità dell'entità critica in questione, tenendo conto, in particolare, della gravità della violazione e della capacità economica dell'entità critica in questione. Più in generale, tali poteri dovrebbero essere corredati da garanzie appropriate ed efficaci da specificare nel diritto nazionale in conformità con la Carta dei diritti fondamentali dell'Unione europea. Nel valutare la conformità di un'entità critica con i propri obblighi stabiliti nella presente direttiva, le autorità competenti ai sensi della presente direttiva dovrebbero essere in grado di chiedere alle autorità competenti ai sensi della direttiva (UE) 2022/2555 di esercitare i propri poteri di vigilanza e attuazione nei confronti di un'entità soggetta a tale direttiva che sia stata identificata come entità critica ai sensi della presente direttiva. Le autorità competenti ai sensi della presente direttiva e le autorità competenti ai sensi della direttiva (UE) 2022/2555 dovrebbero cooperare e scambiarsi informazioni a tal fine.

(41) Al fine di applicare la presente direttiva in modo efficace e coerente, il potere di adottare atti conformemente all'articolo 290 TFUE dovrebbe essere delegato alla Commissione per integrare la presente direttiva elaborando un elenco di servizi essenziali. Tale elenco dovrebbe essere utilizzato dalle autorità competenti ai fini della conduzione delle valutazioni del rischio degli Stati membri e dell'individuazione delle entità critiche ai sensi della presente direttiva. Alla luce dell'approccio di armonizzazione minima della presente direttiva, tale elenco è non esaustivo e gli Stati membri potrebbero integrarlo con ulteriori servizi essenziali a livello nazionale al fine di tenere conto delle specificità nazionali nella fornitura di servizi essenziali. È di particolare importanza che la Commissione svolga consultazioni appropriate durante i suoi lavori preparatori, anche a livello di esperti, e che tali consultazioni siano condotte in conformità dei principi stabiliti nell'accordo interistituzionale del 13 aprile 2016 sulla migliore legislazione (25). In particolare, per garantire la parità di partecipazione alla preparazione degli atti delegati, il Parlamento europeo e il Consiglio ricevono tutti i documenti contemporaneamente agli esperti degli Stati membri, e i loro esperti hanno sistematicamente accesso alle riunioni dei gruppi di esperti della Commissione che si occupano della preparazione degli atti delegati.

(42) Al fine di garantire condizioni uniformi per l'attuazione della presente direttiva, occorre conferire alla Commissione poteri di esecuzione. Tali poteri dovrebbero essere esercitati conformemente al regolamento (UE) n. 182/2011 del Parlamento europeo e del Consiglio (26).

(43) Poiché gli obiettivi della presente direttiva, ovvero garantire che i servizi essenziali per il mantenimento delle funzioni vitali della società o delle attività economiche siano forniti senza ostacoli nel mercato interno e migliorare la resilienza delle entità critiche che forniscono tali servizi, non possono essere conseguiti in misura sufficiente dagli Stati membri, ma possono invece, in ragione degli effetti dell'azione, essere conseguiti meglio a livello dell'Unione, l'Unione può adottare misure, conformemente al principio di sussidiarietà sancito dall'articolo 5 del trattato sull'Unione europea. In conformità del principio di proporzionalità sancito dallo stesso articolo 5, la presente direttiva non va oltre quanto necessario per conseguire tali obiettivi.

(44) Il Garante europeo della protezione dei dati è stato consultato conformemente all'articolo 42, paragrafo 1, del regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio (27) ed ha espresso un parere l'11 agosto 2021.

(45) La direttiva 2008/114/CE dovrebbe quindi essere abrogata,

HANNO ADOTTATO LA SEGUENTE DIRETTIVA: