REGOLAMENTO (UE) 2019/881 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO
del 17 aprile 2019
su ENISA (l'Agenzia dell'Unione Europea per Sicurezza informaticaSicurezza informatica per "cibersicurezza" si intende la cibersicurezza quale definita all'articolo 2, punto 1, del regolamento (UE) 2019/881; - Definizione ai sensi dell'articolo 6 della direttiva (UE) 2022/2555 (direttiva NIS2) per "sicurezza informatica" si intendono le attività necessarie per proteggere i sistemi di rete e di informazione, gli utenti di tali sistemi e le altre persone interessate dalle minacce informatiche; - definizione ai sensi dell'articolo 2, punto (1), del regolamento (UE) 2019/881;) e sulla certificazione della cybersecurity delle tecnologie dell'informazione e della comunicazione e che abroga il regolamento (UE) n. 526/2013 (legge sulla cybersecurity)
(Testo rilevante ai fini del SEE)
IL PARLAMENTO EUROPEO E IL CONSIGLIO DELL'UNIONE EUROPEA,
visto il trattato sul funzionamento dell'Unione europea, in particolare l'articolo 114,
Vista la proposta della Commissione europea,
Dopo la trasmissione del progetto di atto legislativo ai parlamenti nazionali,
visto il parere del Comitato economico e sociale europeo (1),
visto il parere del Comitato delle regioni (2),
Agendo secondo la procedura legislativa ordinaria (3),
Considerando che:
(1) I sistemi di rete e di informazione e le reti e i servizi di comunicazione elettronica svolgono un ruolo fondamentale nella società e sono diventati la spina dorsale della crescita economica. Le tecnologie dell'informazione e della comunicazione (TIC) sono alla base dei complessi sistemi che supportano le attività quotidiane della società, fanno funzionare le nostre economie in settori chiave come la sanità, l'energia, la finanza e i trasporti e, in particolare, sostengono il funzionamento del mercato interno.
(2) L'uso di reti e sistemi informativi da parte di cittadini, organizzazioni e imprese in tutta l'Unione è ormai pervasivo. La digitalizzazione e la connettività stanno diventando caratteristiche fondamentali di un numero sempre maggiore di prodotti e servizi e con l'avvento dell'Internet degli oggetti (IoT) si prevede che nel prossimo decennio nell'Unione si diffonderà un numero estremamente elevato di dispositivi digitali connessi. Mentre un numero crescente di dispositivi è connesso a Internet, la sicurezza e la resilienza non sono sufficientemente integrate nella progettazione, il che porta a una sicurezza informatica insufficiente. In questo contesto, l'uso limitato della certificazione fa sì che gli utenti individuali, organizzativi e aziendali non dispongano di informazioni sufficienti sulle caratteristiche di sicurezza informatica dei prodotti, dei servizi e dei processi TIC, il che mina la fiducia nelle soluzioni digitali. Le reti e i sistemi informativi sono in grado di supportare tutti gli aspetti della nostra vita e di guidare la crescita economica dell'Unione. Sono la pietra miliare per la realizzazione del mercato unico digitale.
(3) L'aumento della digitalizzazione e della connettività accresce i rischi per la sicurezza informatica, rendendo così la società nel suo complesso più vulnerabile alle minacce informatiche e aggravando i pericoli che corrono gli individui, comprese le persone vulnerabili come i bambini. Per attenuare tali rischi, è necessario intraprendere tutte le azioni necessarie per migliorare la sicurezza informatica nell'Unione, in modo che i sistemi di rete e di informazione, le reti di comunicazione, i prodotti, i servizi e i dispositivi digitali utilizzati dai cittadini, dalle organizzazioni e dalle imprese - dalle piccole e medie imprese (PMI), come definite nella raccomandazione 2003/361/CE della Commissione (4), agli operatori di infrastrutture critiche - siano maggiormente protetti dalle minacce informatiche.
(4) Mettendo a disposizione del pubblico le informazioni pertinenti, l'Agenzia dell'Unione europea per la sicurezza delle reti e dell'informazione (ENISA), istituita dal regolamento (UE) n. 526/2013 del Parlamento europeo e del Consiglio (5), contribuisce allo sviluppo dell'industria della cibersicurezza nell'Unione, in particolare delle PMI e delle start-up. L'ENISA dovrebbe adoperarsi per una più stretta collaborazione con le università e gli enti di ricerca al fine di contribuire a ridurre la dipendenza da prodotti e servizi di cibersicurezza provenienti dall'esterno dell'Unione e a rafforzare le catene di approvvigionamento all'interno dell'Unione.
(5) Gli attacchi informatici sono in aumento e un'economia e una società connesse e più vulnerabili alle minacce e agli attacchi informatici richiedono difese più forti. Tuttavia, sebbene gli attacchi informatici abbiano spesso luogo a livello transfrontaliero, le competenze delle autorità preposte alla sicurezza informatica e alle attività di contrasto e le relative risposte politiche sono prevalentemente nazionali. Gli incidenti su larga scala potrebbero interrompere la fornitura di servizi essenziali in tutta l'Unione. Ciò richiede risposte efficaci e coordinate e una gestione delle crisi a livello dell'Unione, sulla base di politiche specifiche e di strumenti più ampi di solidarietà europea e assistenza reciproca. Inoltre, una valutazione regolare dello stato della sicurezza informatica e della resilienza nell'Unione, basata su dati affidabili dell'Unione, nonché previsioni sistematiche sugli sviluppi, le sfide e le minacce future, a livello dell'Unione e globale, sono importanti per i responsabili politici, l'industria e gli utenti.
(6) Alla luce delle crescenti sfide che l'Unione si trova ad affrontare in materia di cibersicurezza, è necessaria una serie completa di misure che si basino sulle precedenti azioni dell'Unione e promuovano obiettivi che si rafforzino a vicenda. Tali obiettivi includono l'ulteriore aumento delle capacità e della preparazione degli Stati membri e delle imprese, nonché il miglioramento della cooperazione, della condivisione delle informazioni e del coordinamento tra gli Stati membri e le istituzioni, gli organi, gli uffici e le agenzie dell'Unione. Inoltre, data la natura senza confini delle minacce informatiche, è necessario aumentare le capacità a livello dell'Unione che potrebbero integrare l'azione degli Stati membri, in particolare in caso di incidenti e crisi transfrontaliere su larga scala, tenendo conto dell'importanza di mantenere e potenziare ulteriormente le capacità nazionali di rispondere alle minacce informatiche di qualsiasi portata.
(7) Sono inoltre necessari ulteriori sforzi per aumentare la consapevolezza dei cittadini, delle organizzazioni e delle imprese sui temi della sicurezza informatica. Inoltre, dato che gli incidenti minano la fiducia in servizio digitaleServizio digitale si intende qualsiasi servizio della società dell'informazione, vale a dire qualsiasi servizio normalmente fornito a pagamento, a distanza, per via elettronica e su richiesta individuale di un destinatario di servizi. Ai fini della presente definizione: i) per "a distanza" si intende che il servizio è prestato senza che le parti siano simultaneamente presenti; ii) per "per via elettronica" si intende che il servizio è inviato inizialmente e ricevuto a destinazione per mezzo di apparecchiature elettroniche per il trattamento (compresa la compressione digitale) e la memorizzazione di dati, e che è interamente trasmesso, inoltrato e ricevuto via filo, via radio, con mezzi ottici o con altri mezzi elettromagnetici; iii) per "a richiesta individuale di un destinatario di servizi" si intende che il servizio è fornito attraverso la trasmissione di dati su richiesta individuale. - Definizione ai sensi dell'articolo 1, paragrafo 1, lettera b), della direttiva (UE) 2015/1535 del Parlamento europeo e del Consiglio. e nel mercato unico digitale stesso, soprattutto tra i consumatori, la fiducia dovrebbe essere ulteriormente rafforzata offrendo informazioni in modo trasparente sul livello di sicurezza dei prodotti, dei servizi e dei processi TIC, sottolineando che anche un alto livello di certificazione di cybersecurity non può garantire che una Prodotto ICTProdotto ICT Un elemento o un gruppo di elementi di una rete o di un sistema informativo - Definizione ai sensi dell'articolo 2, punto (12), del regolamento (UE) 2019/881., Servizio ICTServizio ICT Si intende un servizio che consiste interamente o principalmente nella trasmissione, memorizzazione, recupero o elaborazione di informazioni mediante reti e sistemi informativi - Definizione ai sensi dell'articolo 2, punto (13), del Regolamento (UE) 2019/881 o Processo ICTProcesso ICT Un insieme di attività svolte per progettare, sviluppare, fornire o mantenere un prodotto o un servizio TIC - Definizione ai sensi dell'articolo 2, punto (14), del regolamento (UE) 2019/881. è completamente sicuro. Un aumento della fiducia può essere facilitato da una certificazione a livello dell'Unione che preveda requisiti di sicurezza informatica e criteri di valutazione comuni a tutti i mercati e settori nazionali.
(8) La sicurezza informatica non è solo una questione legata alla tecnologia, ma è altrettanto importante il comportamento umano. Pertanto, è necessario promuovere con forza la "cyber-igiene", ossia misure semplici e di routine che, se attuate ed eseguite regolarmente da cittadini, organizzazioni e imprese, riducono al minimo la loro esposizione ai rischi derivanti dalle minacce informatiche.
(9) Ai fini del rafforzamento delle strutture di cibersicurezza dell'Unione, è importante mantenere e sviluppare le capacità degli Stati membri di rispondere in modo globale alle minacce informatiche, compresi gli incidenti transfrontalieri.
(10) Le imprese e i singoli consumatori devono disporre di informazioni accurate sul livello di garanzia con cui è stata certificata la sicurezza dei loro prodotti, servizi e processi TIC. Allo stesso tempo, nessun prodotto o servizio TIC è completamente sicuro dal punto di vista informatico e le regole di base della cyber-igiene devono essere promosse e privilegiate. Data la crescente disponibilità di dispositivi IoT, esiste una serie di misure volontarie che il settore privato può adottare per rafforzare la fiducia nella sicurezza dei prodotti, dei servizi e dei processi ICT.
(11) I moderni prodotti e sistemi TIC spesso integrano e si affidano a una o più tecnologie e componenti di terzi, come moduli software, librerie o interfacce di programmazione delle applicazioni. Questo affidamento, che viene definito "dipendenza", potrebbe comportare ulteriori rischi di cybersecurity, poiché le vulnerabilità riscontrate nei componenti di terze parti potrebbero influire anche sulla sicurezza dei prodotti, dei servizi e dei processi TIC. In molti casi, l'identificazione e la documentazione di tali dipendenze consente agli utenti finali di prodotti, servizi e processi TIC di migliorare la loro sicurezza informatica. rischioIl rischio Si intende il potenziale di perdita o di perturbazione causato da un incidente e deve essere espresso come una combinazione dell'entità di tale perdita o perturbazione e della probabilità che l'incidente si verifichi -. Definizione ai sensi dell'articolo 6 della direttiva (UE) 2022/2555 (direttiva NIS2) attività di gestione migliorando, ad esempio, la sicurezza informatica degli utenti. vulnerabilitàVulnerabilità Si intende una debolezza, una suscettibilità o un difetto dei prodotti o dei servizi ICT che può essere sfruttato da una minaccia informatica -. Definizione ai sensi dell'articolo 6 della direttiva (UE) 2022/2555 (direttiva NIS2) procedure di gestione e bonifica.
(12) Le organizzazioni, i produttori o i fornitori coinvolti nella progettazione e nello sviluppo di prodotti, servizi o processi TIC dovrebbero essere incoraggiati ad attuare misure nelle primissime fasi della progettazione e dello sviluppo per proteggere la sicurezza di tali prodotti, servizi e processi al massimo livello possibile, in modo tale da presumere il verificarsi di attacchi informatici e prevederne e ridurne al minimo l'impatto ("security-by-design"). La sicurezza deve essere garantita per tutto il ciclo di vita del prodotto, del servizio o del processo TIC attraverso processi di progettazione e sviluppo che si evolvono costantemente per ridurre il rischio di danni derivanti da uno sfruttamento doloso.
(13) Le imprese, le organizzazioni e il settore pubblico devono configurare i prodotti, i servizi o i processi TIC da loro progettati in modo da garantire un livello di sicurezza più elevato che consenta al primo utente di ricevere una configurazione predefinita con le impostazioni più sicure possibili ("sicurezza per impostazione predefinita"), riducendo così l'onere per gli utenti di dover configurare adeguatamente un prodotto, un servizio o un processo TIC. La sicurezza per impostazione predefinita non dovrebbe richiedere una configurazione estesa o una comprensione tecnica specifica o un comportamento non intuitivo da parte dell'utente, e dovrebbe funzionare in modo semplice e affidabile quando viene implementata. Se, caso per caso, un'analisi dei rischi e dell'usabilità porta a concludere che tale impostazione predefinita non è fattibile, gli utenti dovrebbero essere invitati a scegliere l'impostazione più sicura.
(14) Il regolamento (CE) n. 460/2004 del Parlamento europeo e del Consiglio (6) ha istituito l'ENISA con l'obiettivo di contribuire a garantire un livello elevato ed efficace di sicurezza delle reti e dell'informazione all'interno dell'Unione e di sviluppare una cultura della sicurezza delle reti e dell'informazione a vantaggio dei cittadini, dei consumatori, delle imprese e delle amministrazioni pubbliche. Il regolamento (CE) n. 1007/2008 del Parlamento europeo e del Consiglio (7) ha prorogato il mandato dell'ENISA fino a marzo 2012. Il regolamento (UE) n. 580/2011 del Parlamento europeo e del Consiglio (8) ha ulteriormente prorogato il mandato dell'ENISA fino al 13 settembre 2013. Il regolamento (UE) n. 526/2013 ha prorogato il mandato dell'ENISA fino al 19 giugno 2020.
(15) L'Unione ha già adottato misure importanti per garantire la sicurezza informatica e aumentare la fiducia nelle tecnologie digitali. Nel 2013 è stata adottata la Strategia di cibersicurezza dell'Unione europea per guidare la risposta politica dell'Unione alle minacce e ai rischi informatici. Nel tentativo di proteggere meglio i cittadini online, nel 2016 è stato adottato il primo atto giuridico dell'Unione nel campo della sicurezza informatica, sotto forma di direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio (9). La direttiva (UE) 2016/1148 ha stabilito i requisiti relativi alle capacità nazionali nel campo della cibersicurezza, ha istituito i primi meccanismi per rafforzare la cooperazione strategica e operativa tra gli Stati membri e ha introdotto obblighi relativi a misure di sicurezza e incidenteIncidente Si intende un evento che compromette la disponibilità, l'autenticità, l'integrità o la riservatezza dei dati memorizzati, trasmessi o elaborati o dei servizi offerti o accessibili tramite i sistemi di rete e di informazione -. Definizione ai sensi dell'articolo 6 della direttiva (UE) 2022/2555 (direttiva NIS2) notifiche in settori vitali per l'economia e la società, come l'energia, i trasporti, la fornitura e la distribuzione di acqua potabile, le banche, le infrastrutture dei mercati finanziari, la sanità, le infrastrutture digitali e i principali fornitori di servizi digitali (motori di ricerca, servizi di cloud computing e mercati online).
All'ENISA è stato attribuito un ruolo chiave nel sostenere l'attuazione di tale direttiva. Inoltre, la lotta efficace alla criminalità informatica è una priorità importante dell'Agenda europea sulla sicurezza, che contribuisce all'obiettivo generale di raggiungere un livello elevato di sicurezza informatica. Anche altri atti giuridici, come il regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio (10) e le direttive 2002/58/CE (11) e (UE) 2018/1972 (12) del Parlamento europeo e del Consiglio, contribuiscono a un livello elevato di sicurezza informatica nel mercato unico digitale.
(16) Dall'adozione della strategia dell'Unione europea in materia di cibersicurezza nel 2013 e dall'ultima revisione del mandato dell'ENISA, il contesto politico generale è cambiato in modo significativo, poiché l'ambiente globale è diventato più incerto e meno sicuro. In questo contesto e nell'ambito dell'evoluzione positiva del ruolo dell'ENISA come punto di riferimento per la consulenza e le competenze, come facilitatore della cooperazione e dello sviluppo di capacità, nonché nel quadro della nuova politica dell'Unione in materia di cibersicurezza, è necessario rivedere il mandato dell'ENISA, stabilire il suo ruolo nel mutato ecosistema della cibersicurezza e garantire che contribuisca efficacemente alla risposta dell'Unione alle sfide della cibersicurezza derivanti da un contesto radicalmente trasformato. minaccia informaticaMinaccia informatica qualsiasi potenziale circostanza, evento o azione che potrebbe danneggiare, interrompere o avere un impatto negativo sulla rete e sui sistemi informativi, sugli utenti di tali sistemi e su altre persone - Definizione ai sensi dell'articolo 2, punto (8), del Regolamento (UE) 2019/881 per il quale, come riconosciuto durante la valutazione dell'ENISA, l'attuale mandato non è sufficiente.
(17) L'ENISA istituita dal presente regolamento dovrebbe succedere all'ENISA istituita dal regolamento (UE) n. 526/2013. L'ENISA dovrebbe svolgere i compiti che le sono stati conferiti dal presente regolamento e da altri atti giuridici dell'Unione nel settore della cibersicurezza, tra l'altro fornendo consulenze e competenze e fungendo da centro di informazione e conoscenza dell'Unione. Dovrebbe promuovere lo scambio di buone pratiche tra gli Stati membri e le parti interessate private, offrire suggerimenti politici alla Commissione e agli Stati membri, fungere da punto di riferimento per le iniziative politiche settoriali dell'Unione in materia di cibersicurezza e promuovere la cooperazione operativa, sia tra gli Stati membri che tra gli Stati membri e le istituzioni, gli organi, gli uffici e le agenzie dell'Unione.
(18) Nell'ambito della decisione 2004/97/CE, Euratom adottata di comune accordo dai rappresentanti degli Stati membri riuniti a livello di capi di Stato o di governo (13), i rappresentanti degli Stati membri hanno deciso che l'ENISA avrà sede in una città della Grecia che sarà determinata dal governo greco. Lo Stato membro ospitante dell'ENISA deve garantire le migliori condizioni possibili per un funzionamento regolare ed efficiente dell'ENISA. Per un corretto ed efficiente svolgimento dei suoi compiti, per assumere e trattenere il personale e per migliorare l'efficienza delle attività di rete, è indispensabile che l'ENISA abbia sede in un luogo appropriato, che fornisca tra l'altro adeguati collegamenti di trasporto e strutture per i coniugi e i figli che accompagnano i membri del personale dell'ENISA. Le disposizioni necessarie dovrebbero essere stabilite in un accordo tra l'ENISA e lo Stato membro ospitante, concluso previa approvazione del consiglio di amministrazione dell'ENISA.
(19) Dati i rischi e le sfide crescenti che l'Unione si trova ad affrontare in materia di cibersicurezza, è opportuno aumentare le risorse finanziarie e umane assegnate all'ENISA per rispecchiare il suo ruolo e i suoi compiti rafforzati e la sua posizione critica nell'ecosistema di organizzazioni che difendono l'ecosistema digitale dell'Unione, consentendo all'ENISA di svolgere efficacemente i compiti che le sono conferiti dal presente regolamento.
(20) È opportuno che l'ENISA sviluppi e mantenga un elevato livello di competenza e operi come punto di riferimento, instaurando la fiducia nel mercato unico grazie alla sua indipendenza, alla qualità dei pareri che fornisce, alla qualità delle informazioni che diffonde, alla trasparenza delle sue procedure, alla trasparenza dei suoi metodi operativi e alla diligenza con cui svolge i suoi compiti. L'ENISA dovrebbe sostenere attivamente gli sforzi nazionali e contribuire in modo proattivo agli sforzi dell'Unione, svolgendo i propri compiti in piena collaborazione con le istituzioni, gli organi, gli uffici e le agenzie dell'Unione e con gli Stati membri, evitando qualsiasi duplicazione del lavoro e promuovendo le sinergie. Inoltre, l'ENISA dovrebbe avvalersi dei contributi e della collaborazione del settore privato e di altre parti interessate. Una serie di compiti dovrebbe stabilire il modo in cui l'ENISA deve raggiungere i suoi obiettivi, consentendo al contempo una certa flessibilità nelle sue operazioni.
(21) Per poter fornire un sostegno adeguato alla cooperazione operativa tra gli Stati membri, l'ENISA dovrebbe rafforzare ulteriormente le proprie capacità e competenze tecniche e umane. L'ENISA dovrebbe aumentare il proprio know-how e le proprie capacità. L'ENISA e gli Stati membri, su base volontaria, potrebbero sviluppare programmi per il distacco di esperti nazionali presso l'ENISA, creando gruppi di esperti e scambi di personale.
(22) È opportuno che l'ENISA assista la Commissione mediante consulenze, pareri e analisi su tutte le questioni dell'Unione relative all'elaborazione delle politiche e del diritto, agli aggiornamenti e alle revisioni nel campo della cibersicurezza e dei relativi aspetti settoriali, al fine di rafforzare la pertinenza delle politiche e del diritto dell'Unione con una dimensione di cibersicurezza e di consentire la coerenza nell'attuazione di tali politiche e leggi a livello nazionale. L'ENISA dovrebbe fungere da punto di riferimento per consulenze e competenze per le iniziative politiche e legislative settoriali dell'Unione in cui sono coinvolte questioni relative alla cibersicurezza. L'ENISA dovrebbe informare regolarmente il Parlamento europeo sulle sue attività.
(23) Il nucleo pubblico dell'internet aperta, ossia i suoi protocolli e le sue infrastrutture principali, che sono un bene pubblico globale, fornisce la funzionalità essenziale dell'internet nel suo complesso e ne sostiene il normale funzionamento. L'ENISA dovrebbe sostenere la sicurezza del nucleo pubblico dell'internet aperta e la stabilità del suo funzionamento, compresi, ma non solo, i protocolli chiave (in particolare DNS, BGP e IPv6), il funzionamento del sistema dei nomi di dominio (come il funzionamento di tutti i domini di primo livello) e il funzionamento della zona root.
(24) Il compito fondamentale dell'ENISA è promuovere l'attuazione coerente del quadro giuridico pertinente, in particolare l'attuazione efficace della direttiva (UE) 2016/1148 e di altri strumenti giuridici pertinenti contenenti aspetti di cibersicurezza, che è essenziale per aumentare la resilienza informatica. Alla luce della rapida evoluzione del panorama delle minacce informatiche, è chiaro che gli Stati membri devono essere sostenuti da un approccio più completo e trasversale alle politiche per costruire la resilienza informatica.
(25) È opportuno che l'ENISA assista gli Stati membri e le istituzioni, gli organi, gli uffici e le agenzie dell'Unione nei loro sforzi per costruire e migliorare le capacità e la preparazione a prevenire, individuare e rispondere alle minacce e agli incidenti informatici e in relazione alla sicurezza delle reti e dei sistemi informativiSicurezza delle reti e dei sistemi informativi Si intende la capacità dei sistemi di rete e di informazione di resistere, a un determinato livello di fiducia, a qualsiasi evento che possa compromettere la disponibilità, l'autenticità, l'integrità o la riservatezza dei dati memorizzati, trasmessi o elaborati o dei servizi offerti o accessibili tramite tali sistemi di rete e di informazione. Definizione ai sensi dell'articolo 6 della direttiva (UE) 2022/2555 (direttiva NIS2). In particolare, l'ENISA dovrebbe sostenere lo sviluppo e il potenziamento delle squadre nazionali e dell'Unione di risposta agli incidenti di sicurezza informatica ("CSIRT") previste dalla direttiva (UE) 2016/1148, al fine di raggiungere un elevato livello comune di maturità nell'Unione. Le attività svolte dall'ENISA relative alle capacità operative degli Stati membri dovrebbero sostenere attivamente le azioni intraprese dagli Stati membri per adempiere ai loro obblighi ai sensi della direttiva (UE) 2016/1148 e pertanto non dovrebbero sostituirsi ad essi.
(26) L'ENISA dovrebbe inoltre contribuire all'elaborazione e all'aggiornamento di strategie sulla sicurezza delle reti e dei sistemi informativi a livello dell'Unione e, su richiesta, a livello degli Stati membri, in particolare per quanto riguarda la cibersicurezza, e dovrebbe promuovere la diffusione di tali strategie e seguire i progressi della loro attuazione. L'ENISA dovrebbe inoltre contribuire a coprire il fabbisogno di formazione e di materiali formativi, comprese le esigenze degli enti pubblici, e se del caso, in larga misura, "formare i formatori", sulla base del Quadro delle competenze digitali dei cittadini, al fine di assistere gli Stati membri e le istituzioni, gli organi e gli organismi dell'Unione nello sviluppo delle proprie capacità di formazione.
(27) L'ENISA dovrebbe sostenere gli Stati membri nel campo della sensibilizzazione e dell'istruzione in materia di cibersicurezza, facilitando un più stretto coordinamento e lo scambio di migliori pratiche tra gli Stati membri. Tale sostegno potrebbe consistere nello sviluppo di una rete di punti di contatto nazionali per l'istruzione e nello sviluppo di una piattaforma di formazione sulla cibersicurezza. La rete di punti di contatto nazionali per l'istruzione potrebbe operare all'interno della rete dei funzionari di collegamento nazionali e costituire un punto di partenza per il futuro coordinamento all'interno degli Stati membri.
(28) L'ENISA dovrebbe assistere il gruppo di cooperazione istituito dalla direttiva (UE) 2016/1148 nell'esecuzione dei suoi compiti, in particolare fornendo competenze, consulenza e facilitando lo scambio di migliori pratiche, tra l'altro, per quanto riguarda l'identificazione degli operatori di servizi essenziali da parte degli Stati membri, nonché in relazione alle dipendenze transfrontaliere, per quanto riguarda rischi e incidenti.
(29) Al fine di stimolare la cooperazione tra il settore pubblico e privato e all'interno del settore privato, in particolare per sostenere la protezione delle infrastrutture critiche, l'ENISA dovrebbe sostenere la condivisione delle informazioni all'interno e tra i settori, in particolare quelli elencati nell'allegato II della direttiva (UE) 2016/1148, fornendo le migliori pratiche e gli orientamenti sugli strumenti disponibili e sulla procedura, nonché fornendo indicazioni su come affrontare le questioni normative relative alla condivisione delle informazioni, ad esempio facilitando la creazione di centri settoriali di condivisione e analisi delle informazioni.
(30) Considerando che il potenziale impatto negativo delle vulnerabilità nei prodotti, nei servizi e nei processi TIC è in costante aumento, l'individuazione e la correzione di tali vulnerabilità svolge un ruolo importante nella riduzione del rischio complessivo di cibersicurezza. È stato dimostrato che la cooperazione tra le organizzazioni, i produttori o i fornitori di prodotti, servizi e processi TIC vulnerabili e i membri della comunità di ricerca sulla sicurezza informatica e i governi che individuano le vulnerabilità aumenta in modo significativo sia il tasso di scoperta che la risoluzione delle vulnerabilità nei prodotti, servizi e processi TIC. La divulgazione coordinata delle vulnerabilità specifica un processo strutturato di cooperazione in cui le vulnerabilità vengono segnalate al proprietario del sistema informativo, dando all'organizzazione l'opportunità di diagnosticare e porre rimedio alla vulnerabilità prima che le informazioni dettagliate sulla vulnerabilità vengano divulgate a terzi o al pubblico. Il processo prevede anche il coordinamento tra chi trova le vulnerabilità e l'organizzazione per quanto riguarda la loro pubblicazione. Politiche coordinate di divulgazione delle vulnerabilità potrebbero svolgere un ruolo importante negli sforzi degli Stati membri per migliorare la sicurezza informatica.
(31) L'ENISA dovrebbe aggregare e analizzare le relazioni nazionali condivise volontariamente dai CSIRT e dalla squadra interistituzionale di pronto intervento informatico per le istituzioni, gli organi e le agenzie dell'Unione istituita dall'accordo tra il Parlamento europeo, il Consiglio europeo, il Consiglio dell'Unione europea, la Commissione europea, la Corte di giustizia dell'Unione europea, la Banca centrale europea, la Corte dei conti europea, il Servizio europeo per l'azione esterna, il Comitato economico e sociale europeo, il Comitato delle regioni e la Banca europea per gli investimenti sull'organizzazione e il funzionamento di una squadra di pronto intervento informatico per le istituzioni, gli organi e le agenzie dell'Unione (CERT-UE) (14), al fine di contribuire alla definizione di procedure, linguaggio e terminologia comuni per lo scambio di informazioni. In tale contesto l'ENISA dovrebbe coinvolgere il settore privato nell'ambito della direttiva (UE) 2016/1148 che stabilisce le basi per lo scambio volontario di informazioni tecniche a livello operativo, nella rete di squadre di pronto intervento per la sicurezza informatica ("rete CSIRT") creata da tale direttiva.
(32) È opportuno che l'ENISA contribuisca alle risposte a livello di Unione in caso di incidenti e crisi transfrontalieri su larga scala legati alla cibersicurezza. Tale compito dovrebbe essere svolto conformemente al mandato dell'ENISA ai sensi del presente regolamento e a un approccio che gli Stati membri devono concordare nel contesto della raccomandazione (UE) 2017/1584 della Commissione (15) e delle conclusioni del Consiglio del 26 giugno 2018 sulla risposta coordinata dell'UE agli incidenti e alle crisi di cibersicurezza su larga scala. Tale compito potrebbe includere la raccolta di informazioni rilevanti e la funzione di facilitatore tra la rete dei CSIRT e la comunità tecnica, nonché tra i decisori responsabili della gestione delle crisi. Inoltre, l'ENISA dovrebbe sostenere la cooperazione operativa tra gli Stati membri, ove richiesto da uno o più Stati membri, nella gestione degli incidenti da un punto di vista tecnico, facilitando gli scambi di soluzioni tecniche tra gli Stati membri e fornendo contributi alle comunicazioni pubbliche. L'ENISA dovrebbe sostenere la cooperazione operativa testando le modalità di tale cooperazione attraverso esercitazioni periodiche di cibersicurezza.
(33) Nel sostenere la cooperazione operativa, l'ENISA dovrebbe avvalersi delle competenze tecniche e operative disponibili della CERT-UE attraverso una cooperazione strutturata. Tale cooperazione strutturata potrebbe basarsi sulle competenze dell'ENISA. Se del caso, si dovrebbero stabilire accordi specifici tra le due entità per definire l'attuazione pratica di tale cooperazione ed evitare la duplicazione delle attività.
(34) Nello svolgimento del suo compito di sostenere la cooperazione operativa all'interno della rete dei CSIRT, l'ENISA dovrebbe essere in grado di fornire sostegno agli Stati membri su loro richiesta, ad esempio fornendo consulenza su come migliorare le loro capacità di prevenire, rilevare e rispondere agli incidenti, facilitando la gestione tecnica degli incidenti che hanno un impatto significativo o sostanziale o garantendo l'analisi delle minacce e degli incidenti informatici. L'ENISA dovrebbe facilitare la gestione tecnica degli incidenti che hanno un impatto significativo o sostanziale, in particolare sostenendo la condivisione volontaria di soluzioni tecniche tra gli Stati membri o producendo informazioni tecniche combinate, come le soluzioni tecniche condivise volontariamente dagli Stati membri. La raccomandazione (UE) 2017/1584 raccomanda agli Stati membri di cooperare in buona fede e di condividere tra loro e con l'ENISA le informazioni su incidenti e crisi su larga scala relativi alla sicurezza informatica senza indebiti ritardi. Tali informazioni aiuterebbero ulteriormente l'ENISA a svolgere il suo compito di supporto alla cooperazione operativa.
(35) Nell'ambito della cooperazione regolare a livello tecnico per sostenere la consapevolezza situazionale dell'Unione, è opportuno che l'ENISA, in stretta collaborazione con gli Stati membri, elabori periodicamente una relazione approfondita sulla situazione tecnica dell'UE in materia di cibersicurezza sugli incidenti e le minacce informatiche, sulla base delle informazioni disponibili al pubblico, sulla base delle proprie analisi e delle relazioni condivise dai CSIRT degli Stati membri o dai punti di contatto unici nazionali per la sicurezza delle reti e dei sistemi informativi ("punti di contatto unici") previsti dalla direttiva (UE) 2016/1148, entrambi su base volontaria, dal Centro europeo per la criminalità informatica (EC3) di Europol, dal CERT-EU e, se del caso, dal Centro di informazione e situazione dell'Unione europea (EU INTCEN) del Servizio europeo per l'azione esterna. Tale relazione dovrebbe essere messa a disposizione del Consiglio, della Commissione, dell'Alto Commissariato e del Parlamento europeo. RappresentanteRappresentante Persona fisica o giuridica stabilita nell'Unione esplicitamente designata ad agire per conto di un fornitore di servizi DNS, di un registro di nomi TLD, di un'entità che fornisce servizi di registrazione di nomi di dominio, di un fornitore di servizi di cloud computing, di un fornitore di servizi di data center, di un fornitore di reti di distribuzione di contenuti, di un fornitore di servizi gestiti, di un fornitore di servizi di sicurezza gestiti o di un fornitore di un mercato online, di un motore di ricerca online o di una piattaforma di servizi di social network non stabilita nell'Unione, che può essere interpellata da un'autorità competente o da un CSIRT al posto dell'entità stessa per quanto riguarda gli obblighi di tale entità ai sensi della presente direttiva. - Definizione ai sensi dell'articolo 6 della direttiva (UE) 2022/2555 (direttiva NIS2) dell'Unione per gli affari esteri e la politica di sicurezza e la rete dei CSIRT.
(36) Il sostegno dell'ENISA alle indagini tecniche ex post su incidenti che hanno avuto un impatto significativo o sostanziale, intraprese su richiesta degli Stati membri interessati, deve concentrarsi sulla prevenzione di incidenti futuri. Gli Stati membri interessati devono fornire le informazioni e l'assistenza necessarie per consentire all'ENISA di sostenere efficacemente l'indagine tecnica ex post.
(37) Gli Stati membri possono invitare le imprese interessate dall'incidente a collaborare fornendo all'ENISA le informazioni e l'assistenza necessarie, fatto salvo il loro diritto di proteggere le informazioni sensibili dal punto di vista commerciale e le informazioni rilevanti per la pubblica sicurezza.
(38) Per comprendere meglio le sfide nel settore della cibersicurezza e al fine di fornire consulenza strategica a lungo termine agli Stati membri e alle istituzioni, agli organi e agli organismi dell'Unione, l'ENISA deve analizzare i rischi attuali ed emergenti in materia di cibersicurezza. A tal fine, l'ENISA dovrebbe, in collaborazione con gli Stati membri e, se del caso, con organismi statistici e altri enti, raccogliere informazioni pertinenti disponibili al pubblico o condivise volontariamente, effettuare analisi delle tecnologie emergenti e fornire valutazioni specifiche sull'impatto previsto a livello sociale, giuridico, economico e normativo delle innovazioni tecnologiche sulla sicurezza delle reti e dell'informazione, in particolare sulla sicurezza informatica. L'ENISA dovrebbe inoltre sostenere gli Stati membri e le istituzioni, gli organi, gli uffici e le agenzie dell'Unione nell'identificazione dei rischi emergenti in materia di sicurezza informatica e nella prevenzione degli incidenti, effettuando analisi delle minacce, delle vulnerabilità e degli incidenti informatici.
(39) Per aumentare la resilienza dell'Unione, l'ENISA dovrebbe sviluppare competenze nel campo della cibersicurezza delle infrastrutture, in particolare per sostenere i settori elencati nell'allegato II della direttiva (UE) 2016/1148 e quelli utilizzati dai fornitori di servizi digitali elencati nell'allegato III di tale direttiva, fornendo consulenza, emanando orientamenti e scambiando migliori pratiche. Al fine di garantire un accesso più agevole a informazioni meglio strutturate sui rischi di cibersicurezza e sui possibili rimedi, l'ENISA dovrebbe sviluppare e mantenere il "polo informativo" dell'Unione, un portale a sportello unico che fornisca al pubblico informazioni sulla cibersicurezza provenienti da istituzioni, organi, uffici e agenzie dell'Unione e nazionali. Facilitare l'accesso a informazioni meglio strutturate sui rischi di cybersecurity e sui possibili rimedi potrebbe anche aiutare gli Stati membri a rafforzare le loro capacità e ad allineare le loro pratiche, aumentando così la loro resilienza complessiva agli attacchi informatici.
(40) È opportuno che l'ENISA contribuisca a sensibilizzare il pubblico sui rischi della cibersicurezza, anche attraverso una campagna di sensibilizzazione a livello dell'UE, promuovendo l'istruzione e fornendo orientamenti sulle buone pratiche per i singoli utenti rivolti a cittadini, organizzazioni e imprese. L'ENISA dovrebbe inoltre contribuire a promuovere le migliori pratiche e soluzioni, tra cui l'igiene informatica e l'alfabetizzazione informatica a livello di cittadini, organizzazioni e imprese, raccogliendo e analizzando le informazioni disponibili al pubblico relative a incidenti significativi e compilando e pubblicando relazioni e orientamenti per i cittadini, le organizzazioni e le imprese, per migliorare il loro livello generale di preparazione e resilienza. L'ENISA dovrebbe anche sforzarsi di fornire ai consumatori informazioni pertinenti sui sistemi di certificazione applicabili, ad esempio fornendo linee guida e raccomandazioni. L'ENISA dovrebbe inoltre organizzare, in linea con il piano d'azione per l'educazione digitale stabilito nella comunicazione della Commissione del 17 gennaio 2018 e in collaborazione con gli Stati membri e le istituzioni, gli organi, gli uffici e le agenzie dell'Unione, campagne periodiche di sensibilizzazione e di educazione pubblica rivolte agli utenti finali, per promuovere un comportamento online più sicuro da parte degli individui e l'alfabetizzazione digitale, per aumentare la consapevolezza delle potenziali minacce informatiche, comprese le attività criminali online come gli attacchi di phishing, le botnet, le frodi finanziarie e bancarie, gli incidenti di frode dei dati, e per promuovere l'autenticazione di base a più fattori, le patch, la crittografia, l'anonimizzazione e la consulenza sulla protezione dei dati.
(41) È opportuno che l'ENISA svolga un ruolo centrale nell'accelerare la sensibilizzazione degli utenti finali alla sicurezza dei dispositivi e all'uso sicuro dei servizi e che promuova la "security-by-design" e la "privacy-by-design" a livello dell'Unione. Nel perseguire tale obiettivo, l'ENISA dovrebbe avvalersi delle migliori pratiche ed esperienze disponibili, in particolare delle migliori pratiche e dell'esperienza delle istituzioni accademiche e dei ricercatori in materia di sicurezza informatica.
(42) Per sostenere le imprese che operano nel settore della cibersicurezza e gli utenti delle soluzioni di cibersicurezza, l'ENISA dovrebbe sviluppare e mantenere un "osservatorio del mercato", effettuando analisi regolari e diffondendo informazioni sulle principali tendenze del mercato della cibersicurezza, sia dal lato della domanda che dell'offerta.
(43) È opportuno che l'ENISA contribuisca agli sforzi dell'Unione per cooperare con le organizzazioni internazionali e nell'ambito dei pertinenti quadri di cooperazione internazionale nel settore della cibersicurezza. In particolare, l'ENISA dovrebbe contribuire, ove opportuno, alla cooperazione con organizzazioni quali l'OCSE, l'OSCE e la NATO. Tale cooperazione potrebbe includere esercitazioni congiunte di cybersicurezza e coordinamento congiunto della risposta agli incidenti. Tali attività devono essere svolte nel pieno rispetto dei principi di inclusività, reciprocità e autonomia decisionale dell'Unione, senza pregiudicare il carattere specifico della politica di sicurezza e di difesa di ciascuno Stato membro.
(44) Per garantire il pieno conseguimento dei suoi obiettivi, l'ENISA dovrebbe collaborare con le pertinenti autorità di vigilanza dell'Unione e con le altre autorità competenti dell'Unione, le istituzioni, gli organi, gli uffici e le agenzie dell'Unione, tra cui CERT-EU, EC3, l'Agenzia europea per la difesa (EDA), l'Agenzia europea per i sistemi globali di navigazione via satellite (Agenzia GNSS europea), l'Organismo dei regolatori europei delle comunicazioni elettroniche (BEREC), l'Agenzia europea per la gestione operativa dei sistemi IT su larga scala nello spazio di libertà, sicurezza e giustizia (eu-LISA), la Banca centrale europea (BCE), l'Autorità bancaria europea (EBA), il Comitato europeo per la protezione dei dati, l'Agenzia per la cooperazione fra i regolatori nazionali dell'energia (ACER), l'Agenzia dell'Unione europea per la sicurezza aerea (EASA) e qualsiasi altra agenzia dell'Unione coinvolta nella sicurezza informatica. L'ENISA dovrebbe inoltre mantenere i contatti con le autorità che si occupano di protezione dei dati al fine di scambiare know-how e buone pratiche e dovrebbe fornire consulenza sulle questioni di cybersecurity che potrebbero avere un impatto sul loro lavoro. I rappresentanti delle autorità nazionali e dell'Unione preposte all'applicazione della legge e alla protezione dei dati dovrebbero poter essere rappresentati nel gruppo consultivo dell'ENISA. Nel mantenere i contatti con le autorità di contrasto in merito a questioni di sicurezza delle reti e delle informazioni che potrebbero avere un impatto sul loro lavoro, l'ENISA dovrebbe rispettare i canali di informazione esistenti e le reti consolidate.
(45) Potrebbero essere istituiti partenariati con istituzioni accademiche che hanno iniziative di ricerca nei settori pertinenti e dovrebbero essere previsti canali appropriati per i contributi delle organizzazioni dei consumatori e di altre organizzazioni, che dovrebbero essere presi in considerazione.
(46) L'ENISA, nel suo ruolo di segretariato della rete di CSIRT, dovrebbe sostenere i CSIRT degli Stati membri e il CERT-EU nella cooperazione operativa in relazione ai compiti pertinenti della rete di CSIRT, come indicato nella direttiva (UE) 2016/1148. Inoltre, l'ENISA dovrebbe promuovere e sostenere la cooperazione tra i CSIRT pertinenti in caso di incidenti, attacchi o interruzioni di reti o infrastrutture gestite o protette dai CSIRT e che coinvolgano o possano coinvolgere almeno due CSIRT, tenendo in debita considerazione i seguenti fattori StandardStandard Per "norma" si intende una specifica tecnica, adottata da un organismo di normalizzazione riconosciuto, per applicazione ripetuta o continua, la cui osservanza non è obbligatoria e che è una delle seguenti: (a) "norma internazionale": una norma adottata da un organismo internazionale di normalizzazione; (b) "norma europea": una norma adottata da un organismo europeo di normalizzazione; (c) "norma armonizzata": una norma europea adottata sulla base di una richiesta presentata dalla Commissione per l'applicazione della normativa di armonizzazione dell'Unione; (d) "norma nazionale": una norma adottata da un organismo nazionale di normalizzazione - Definizione ai sensi dell'articolo 2, punto (1), del regolamento (UE) n. 1025/2012 del Parlamento europeo e del Consiglio. Procedure operative della rete dei CSIRT.
(47) Al fine di aumentare la preparazione dell'Unione nel rispondere agli incidenti, l'ENISA dovrebbe organizzare regolarmente esercitazioni di cibersicurezza a livello dell'Unione e, su loro richiesta, sostenere gli Stati membri e le istituzioni, gli organi e gli organismi dell'Unione nell'organizzazione di tali esercitazioni. Esercitazioni complete su larga scala che includano elementi tecnici, operativi o strategici dovrebbero essere organizzate su base biennale. Inoltre, l'ENISA dovrebbe essere in grado di organizzare regolarmente esercitazioni meno complete con lo stesso obiettivo di aumentare la preparazione dell'Unione nel rispondere agli incidenti.
(48) È opportuno che l'ENISA sviluppi ulteriormente e mantenga le proprie competenze in materia di certificazione della cibersicurezza al fine di sostenere la politica dell'Unione in questo settore. L'ENISA dovrebbe basarsi sulle migliori pratiche esistenti e promuovere l'adozione della certificazione di cibersicurezza all'interno dell'Unione, anche contribuendo all'istituzione e al mantenimento di un quadro di certificazione di cibersicurezza a livello dell'Unione (quadro europeo di certificazione di cibersicurezza) al fine di aumentare la trasparenza della garanzia di cibersicurezza dei prodotti, dei servizi e dei processi TIC, rafforzando così la fiducia nel mercato interno digitale e la sua competitività.
(49) Politiche di sicurezza informatica efficienti dovrebbero basarsi su metodi di valutazione del rischio ben sviluppati, sia nel settore pubblico che in quello privato. I metodi di valutazione del rischio sono utilizzati a diversi livelli, senza che vi sia una prassi comune su come applicarli in modo efficiente. La promozione e lo sviluppo di buone pratiche per la valutazione del rischio e per soluzioni interoperabili di gestione del rischio nelle organizzazioni del settore pubblico e privato aumenterà il livello di sicurezza informatica nell'Unione. A tal fine, l'ENISA dovrebbe sostenere la cooperazione tra le parti interessate a livello dell'Unione e facilitare i loro sforzi relativi alla creazione e all'adozione di standard europei e internazionali per la gestione del rischio e per la sicurezza misurabile di prodotti, sistemi, reti e servizi elettronici che, insieme al software, comprendono la rete e i sistemi informativi.
(50) L'ENISA deve incoraggiare gli Stati membri, i fabbricanti o i fornitori di prodotti, servizi o processi TIC a innalzare i loro standard generali di sicurezza in modo che tutti gli utenti di Internet possano prendere le misure necessarie per garantire la propria sicurezza informatica personale e deve fornire incentivi in tal senso. In particolare, i produttori e i fornitori di prodotti, servizi o processi TIC dovrebbero fornire tutti gli aggiornamenti necessari e dovrebbero richiamare, ritirare o riciclare i prodotti, i servizi o i processi TIC che non soddisfano gli standard di sicurezza informatica, mentre gli importatori e i distributori dovrebbero assicurarsi che i prodotti, i servizi e i processi TIC che immettono sul mercato dell'Unione siano conformi ai requisiti applicabili e non rappresentino un rischio per i consumatori dell'Unione.
(51) In collaborazione con le autorità competenti, l'ENISA dovrebbe essere in grado di diffondere informazioni sul livello di cibersicurezza dei prodotti, dei servizi e dei processi TIC offerti nel mercato interno e dovrebbe emettere avvertimenti rivolti ai fabbricanti o ai fornitori di prodotti, servizi o processi TIC, chiedendo loro di migliorare la sicurezza dei loro prodotti, servizi e processi TIC, compresa la cibersicurezza.
(52) È opportuno che l'ENISA tenga pienamente conto delle attività di ricerca, sviluppo e valutazione tecnologica in corso, in particolare quelle svolte dalle varie iniziative di ricerca dell'Unione, per consigliare le istituzioni, gli organi, gli uffici e le agenzie dell'Unione e, se del caso, gli Stati membri su loro richiesta, in merito alle esigenze e alle priorità di ricerca nel settore della cibersicurezza. Per individuare le esigenze e le priorità di ricerca, l'ENISA dovrebbe anche consultare i gruppi di utenti interessati. In particolare, si potrebbe instaurare una cooperazione con il Consiglio europeo della ricerca, l'Istituto europeo per l'innovazione e la tecnologia e l'Istituto dell'Unione europea per gli studi sulla sicurezza.
(53) L'ENISA deve consultare regolarmente le organizzazioni di standardizzazione, in particolare quelle europee, nella preparazione dei sistemi europei di certificazione della cibersicurezza.
(54) Le minacce informatiche sono un problema globale. È necessaria una più stretta cooperazione internazionale per migliorare gli standard di sicurezza informatica, tra cui la necessità di definire norme di comportamento comuni, l'adozione di codici di condotta, l'uso di standard internazionali e la condivisione delle informazioni, promuovendo una più rapida collaborazione internazionale in risposta ai problemi di sicurezza delle reti e dell'informazione e promuovendo un approccio globale comune a tali questioni. A tal fine, l'ENISA dovrebbe sostenere l'ulteriore coinvolgimento e la cooperazione dell'Unione con i Paesi terzi e le organizzazioni internazionali, fornendo le competenze e le analisi necessarie alle istituzioni, agli organi, agli uffici e alle agenzie dell'Unione competenti, ove opportuno.
(55) L'ENISA dovrebbe essere in grado di rispondere a richieste di consulenza e assistenza ad hoc da parte degli Stati membri e delle istituzioni, degli organi e degli organismi dell'Unione su questioni che rientrano nel mandato dell'ENISA.
(56) È opportuno e raccomandabile attuare alcuni principi relativi alla governance dell'ENISA per conformarsi alla dichiarazione congiunta e all'approccio comune concordati nel luglio 2012 dal gruppo di lavoro interistituzionale sulle agenzie decentrate dell'UE, il cui scopo è razionalizzare le attività delle agenzie decentrate e migliorarne le prestazioni. Le raccomandazioni contenute nella dichiarazione congiunta e nell'approccio comune dovrebbero inoltre riflettersi, se del caso, nei programmi di lavoro dell'ENISA, nelle valutazioni dell'ENISA e nella prassi amministrativa e di rendicontazione dell'ENISA.
(57) È opportuno che il consiglio di amministrazione, composto dai rappresentanti degli Stati membri e della Commissione, stabilisca la direzione generale delle operazioni dell'ENISA e garantisca che essa svolga i propri compiti in conformità al presente regolamento. Al consiglio di amministrazione dovrebbero essere conferiti i poteri necessari per stabilire il bilancio, verificarne l'esecuzione, adottare norme finanziarie adeguate, stabilire procedure di lavoro trasparenti per il processo decisionale dell'ENISA, adottare il documento unico di programmazione dell'ENISA, adottare il proprio regolamento interno, nominare il direttore esecutivo e decidere in merito alla proroga e alla cessazione del mandato del direttore esecutivo.
(58) Affinché l'ENISA possa funzionare correttamente ed efficacemente, la Commissione e gli Stati membri dovrebbero garantire che le persone da nominare nel consiglio di amministrazione abbiano competenze ed esperienze professionali adeguate. La Commissione e gli Stati membri dovrebbero inoltre adoperarsi per limitare l'avvicendamento dei rispettivi rappresentanti nel consiglio di amministrazione, al fine di garantire la continuità del suo lavoro.
(59) Per il buon funzionamento dell'ENISA è necessario che il suo direttore esecutivo sia nominato in base al merito e alle documentate capacità amministrative e gestionali, nonché alla competenza e all'esperienza in materia di cibersicurezza. I compiti del direttore esecutivo dovrebbero essere svolti in totale indipendenza. Il direttore esecutivo dovrebbe preparare una proposta di programma di lavoro annuale dell'ENISA, previa consultazione con la Commissione, e dovrebbe adottare tutte le misure necessarie per garantire la corretta attuazione di tale programma di lavoro. Il direttore esecutivo dovrebbe preparare una relazione annuale da sottoporre al consiglio di amministrazione, riguardante l'attuazione del programma di lavoro annuale dell'ENISA, redigere un progetto di stato di previsione delle entrate e delle spese dell'ENISA e attuare il bilancio. Inoltre, il direttore esecutivo dovrebbe avere la possibilità di istituire gruppi di lavoro ad hoc per affrontare questioni specifiche, in particolare di natura scientifica, tecnica, giuridica o socioeconomica. In particolare, in relazione alla preparazione di uno specifico schema di certificazione europeo di cybersecurity candidato ("schema candidato"), si ritiene necessaria l'istituzione di un gruppo di lavoro ad hoc. Il Direttore esecutivo dovrebbe garantire che i membri dei gruppi di lavoro ad hoc siano selezionati secondo i più alti standard di competenza, con l'obiettivo di assicurare l'equilibrio di genere e un adeguato equilibrio, in base alle questioni specifiche in questione, tra le amministrazioni pubbliche degli Stati membri, le istituzioni, gli organi, gli uffici e le agenzie dell'Unione e il settore privato, compresi l'industria, gli utenti e gli esperti accademici in materia di sicurezza delle reti e dell'informazione.
(60) L'organo esecutivo deve contribuire all'efficace funzionamento del consiglio di amministrazione. Nell'ambito dei lavori preparatori relativi alle decisioni del Consiglio di amministrazione, il Comitato esecutivo dovrebbe esaminare in dettaglio le informazioni pertinenti, esplorare le opzioni disponibili e offrire consulenza e soluzioni per preparare le decisioni del Consiglio di amministrazione.
(61) È opportuno che l'ENISA disponga di un gruppo consultivo ENISA come organo consultivo per garantire un dialogo regolare con il settore privato, le organizzazioni dei consumatori e altre parti interessate. Il gruppo consultivo ENISA, istituito dal consiglio di amministrazione su proposta del direttore esecutivo, dovrebbe concentrarsi sulle questioni rilevanti per le parti interessate e portarle all'attenzione dell'ENISA. Il gruppo consultivo dell'ENISA dovrebbe essere consultato in particolare per quanto riguarda la bozza del programma di lavoro annuale dell'ENISA. La composizione del gruppo consultivo ENISA e i compiti ad esso assegnati dovrebbero garantire una sufficiente rappresentanza delle parti interessate nei lavori dell'ENISA.
(62) Occorre istituire il gruppo di certificazione della cibersicurezza delle parti interessate per aiutare l'ENISA e la Commissione a facilitare la consultazione delle parti interessate. Il gruppo di certificazione della cibersicurezza delle parti interessate deve essere composto da membri che rappresentino in modo equilibrato l'industria, sia dal lato della domanda che da quello dell'offerta di prodotti e servizi TIC, e che includano, in particolare, le PMI, i fornitori di servizi digitali, gli organismi di standardizzazione europei e internazionali, gli organismi nazionali di accreditamento, le autorità di controllo della protezione dei dati e gli organismi di valutazione della conformità ai sensi del regolamento (CE) n. 765/2008 del Parlamento europeo e del Consiglio (16 ), il mondo accademico e le organizzazioni dei consumatori.
(63) È opportuno che l'ENISA disponga di norme per la prevenzione e la gestione dei conflitti di interesse. L'ENISA dovrebbe inoltre applicare le pertinenti disposizioni dell'Unione relative all'accesso del pubblico ai documenti di cui al regolamento (CE) n. 1049/2001 del Parlamento europeo e del Consiglio (17). Il trattamento dei dati personali da parte dell'ENISA dovrebbe essere soggetto al regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio (18). L'ENISA dovrebbe rispettare le disposizioni applicabili alle istituzioni, agli organi e agli organismi dell'Unione e la legislazione nazionale in materia di trattamento delle informazioni, in particolare le informazioni sensibili non classificate e le informazioni classificate dell'Unione europea (ICUE).
(64) Per garantire la piena autonomia e indipendenza dell'ENISA e consentirle di svolgere ulteriori compiti, compresi quelli imprevisti di emergenza, è opportuno che l'ENISA disponga di un bilancio sufficiente e autonomo, le cui entrate dovrebbero provenire principalmente da un contributo dell'Unione e dai contributi dei paesi terzi che partecipano alle attività dell'ENISA. Un bilancio adeguato è fondamentale per garantire che l'ENISA abbia una capacità sufficiente per svolgere tutti i suoi crescenti compiti e per raggiungere i suoi obiettivi. La maggior parte del personale dell'ENISA dovrebbe essere direttamente impegnata nell'attuazione operativa del mandato dell'ENISA. Lo Stato membro ospitante e qualsiasi altro Stato membro dovrebbero essere autorizzati a versare contributi volontari al bilancio dell'ENISA. La procedura di bilancio dell'Unione dovrebbe rimanere applicabile per quanto riguarda le sovvenzioni a carico del bilancio generale dell'Unione. Inoltre, la Corte dei conti dovrebbe controllare i conti dell'ENISA per garantire trasparenza e responsabilità.
(65) La certificazione della cibersicurezza svolge un ruolo importante nell'aumentare la fiducia e la sicurezza nei prodotti, nei servizi e nei processi TIC. Il mercato unico digitale, e in particolare l'economia dei dati e l'IoT, possono prosperare solo se il pubblico ha fiducia che tali prodotti, servizi e processi offrano un certo livello di sicurezza informatica. Le automobili connesse e automatizzate, i dispositivi medici elettronici, i sistemi di controllo dell'automazione industriale e le reti intelligenti sono solo alcuni esempi di settori in cui la certificazione è già ampiamente utilizzata o probabilmente lo sarà nel prossimo futuro. Anche i settori regolamentati dalla Direttiva (UE) 2016/1148 sono settori in cui la certificazione di cybersecurity è fondamentale.
(66) Nella comunicazione del 2016 "Rafforzare il sistema europeo di resilienza informatica e promuovere un'industria della cibersicurezza competitiva e innovativa", la Commissione ha sottolineato la necessità di prodotti e soluzioni di cibersicurezza di alta qualità, accessibili e interoperabili. L'offerta di prodotti, servizi e processi TIC all'interno del mercato unico rimane molto frammentata a livello geografico. Questo perché l'industria della cybersecurity in Europa si è sviluppata in gran parte sulla base della domanda dei governi nazionali. Inoltre, la mancanza di soluzioni interoperabili (standard tecnici), di pratiche e di meccanismi di certificazione a livello di Unione sono tra le altre lacune che affliggono il mercato unico nel campo della cybersecurity. Ciò rende difficile per le imprese europee competere a livello nazionale, dell'Unione e globale. Inoltre, riduce la scelta di tecnologie di cybersecurity valide e utilizzabili a cui individui e imprese hanno accesso. Analogamente, nella comunicazione del 2017 sulla revisione intermedia dell'attuazione della strategia per il mercato unico digitale - Un mercato unico digitale connesso per tutti, la Commissione ha sottolineato la necessità di prodotti e sistemi connessi sicuri e ha indicato che la creazione di un quadro europeo per la sicurezza delle TIC che stabilisca le regole su come organizzare la certificazione della sicurezza delle TIC nell'Unione potrebbe sia preservare la fiducia in Internet che affrontare l'attuale frammentazione del mercato interno.
(67) Attualmente la certificazione della cibersicurezza dei prodotti, dei servizi e dei processi TIC è utilizzata solo in misura limitata. Quando esiste, avviene per lo più a livello di Stati membri o nell'ambito di schemi guidati dall'industria. In questo contesto, un certificato rilasciato da un'autorità nazionale di certificazione della cybersicurezza non è in linea di principio riconosciuto in altri Stati membri. Le aziende possono quindi dover certificare i propri prodotti, servizi e processi TIC in diversi Stati membri in cui operano, ad esempio per partecipare alle procedure di appalto nazionali, con un conseguente aggravio dei costi. Inoltre, sebbene stiano emergendo nuovi schemi, non sembra esistere un approccio coerente e olistico alle questioni orizzontali di cybersecurity, ad esempio nel campo dell'IoT. Gli schemi esistenti presentano carenze e differenze significative in termini di copertura dei prodotti, livelli di garanzia, criteri sostanziali e utilizzo effettivo, impedendo i meccanismi di riconoscimento reciproco all'interno dell'Unione.
(68) Sono stati compiuti alcuni sforzi per garantire il riconoscimento reciproco dei certificati all'interno dell'Unione. Tuttavia, hanno avuto successo solo in parte. L'esempio più importante a questo proposito è l'Accordo di Mutuo Riconoscimento (ARR) del Gruppo degli Alti Funzionari - Sicurezza dei Sistemi Informativi (SOG-IS). Pur rappresentando il modello più importante di cooperazione e riconoscimento reciproco nel campo della certificazione di sicurezza, il SOG-IS comprende solo alcuni Stati membri. Questo fatto ha limitato l'efficacia dell'ARR SOG-IS dal punto di vista del mercato interno.
(69) È pertanto necessario adottare un approccio comune e istituire un quadro europeo di certificazione della cibersicurezza che stabilisca i principali requisiti orizzontali per lo sviluppo di sistemi europei di certificazione della cibersicurezza e consenta il riconoscimento e l'utilizzo in tutti gli Stati membri dei certificati europei di cibersicurezza e delle dichiarazioni di conformità dell'UE per i prodotti, i servizi o i processi TIC. Nel fare ciò, è essenziale basarsi sui sistemi nazionali e internazionali esistenti, nonché sui sistemi di riconoscimento reciproco, in particolare il SOG-IS, e rendere possibile una transizione agevole dai sistemi esistenti nell'ambito di tali sistemi a quelli del nuovo quadro europeo di certificazione della cibersicurezza. Il quadro europeo di certificazione della cibersicurezza dovrebbe avere un duplice scopo. In primo luogo, dovrebbe contribuire ad aumentare la fiducia nei prodotti, nei servizi e nei processi TIC che sono stati certificati nell'ambito dei sistemi europei di certificazione della cibersicurezza. In secondo luogo, dovrebbe contribuire a evitare il moltiplicarsi di schemi nazionali di certificazione della cibersicurezza in conflitto o sovrapposti, riducendo così i costi per le imprese che operano nel mercato unico digitale. I sistemi europei di certificazione della cibersicurezza dovrebbero essere non discriminatori e basati su standard europei o internazionali, a meno che tali standard non siano inefficaci o inadeguati a soddisfare i legittimi obiettivi dell'Unione in materia.
(70) Il quadro europeo di certificazione della cibersicurezza deve essere definito in modo uniforme in tutti gli Stati membri, al fine di evitare il "certification shopping" basato su livelli di rigore diversi nei vari Stati membri.
(71) I sistemi europei di certificazione della cibersicurezza dovrebbero basarsi su quanto già esiste a livello internazionale e nazionale e, se necessario, sulle specifiche tecniche di forum e consorzi, imparando dagli attuali punti di forza e valutando e correggendo i punti deboli.
(72) Le soluzioni di cybersecurity flessibili sono necessarie al settore per rimanere al passo con le minacce informatiche e pertanto qualsiasi schema di certificazione dovrebbe essere concepito in modo da evitare il rischio di essere rapidamente superato.
(73) La Commissione dovrebbe essere autorizzata ad adottare sistemi europei di certificazione della cibersicurezza relativi a gruppi specifici di prodotti, servizi e processi TIC. Tali sistemi dovrebbero essere attuati e supervisionati dalle autorità nazionali di certificazione della cibersicurezza e i certificati rilasciati nell'ambito di tali sistemi dovrebbero essere validi e riconosciuti in tutta l'Unione. I sistemi di certificazione gestiti dall'industria o da altre organizzazioni private non dovrebbero rientrare nell'ambito di applicazione del presente regolamento. Tuttavia, gli organismi che gestiscono tali schemi dovrebbero poter proporre alla Commissione di prendere in considerazione tali schemi come base per approvarli come schema europeo di certificazione della cibersicurezza.
(74) Le disposizioni del presente regolamento dovrebbero lasciare impregiudicato il diritto dell'Unione che prevede norme specifiche sulla certificazione di prodotti, servizi e processi TIC. In particolare, il regolamento (UE) 2016/679 stabilisce disposizioni per l'istituzione di meccanismi di certificazione e di sigilli e marchi di protezione dei dati, al fine di dimostrare la conformità dei trattamenti effettuati dai responsabili del trattamento e dagli incaricati del trattamento a tale regolamento. Tali meccanismi di certificazione e sigilli e marchi di protezione dei dati dovrebbero consentire agli interessati di valutare rapidamente il livello di protezione dei dati dei prodotti, dei servizi e dei processi TIC pertinenti. Il presente regolamento non pregiudica la certificazione delle operazioni di trattamento dei dati ai sensi del regolamento (UE) 2016/679, anche quando tali operazioni sono integrate in prodotti, servizi e processi TIC.
(75) L'obiettivo dei sistemi europei di certificazione della cibersicurezza dovrebbe essere quello di garantire che i prodotti, i servizi e i processi TIC certificati nell'ambito di tali sistemi siano conformi a requisiti specifici volti a proteggere la disponibilità, l'autenticità, l'integrità e la riservatezza dei dati memorizzati, trasmessi o elaborati o delle relative funzioni o dei servizi offerti o accessibili tramite tali prodotti, servizi e processi per tutto il loro ciclo di vita. Non è possibile definire in dettaglio i requisiti di cibersicurezza relativi a tutti i prodotti, servizi e processi TIC nel presente regolamento. I prodotti, i servizi e i processi TIC e le esigenze di cibersicurezza relative a tali prodotti, servizi e processi sono così diversi che è molto difficile sviluppare requisiti generali di cibersicurezza validi in tutte le circostanze. È quindi necessario adottare una nozione ampia e generale di cybersicurezza ai fini della certificazione, che dovrebbe essere integrata da una serie di obiettivi specifici di cybersicurezza da tenere in considerazione nella progettazione dei sistemi europei di certificazione della cybersicurezza. Le modalità con cui tali obiettivi devono essere raggiunti in specifici prodotti TIC, servizi TIC e processi TIC dovrebbero poi essere ulteriormente specificate in dettaglio a livello del singolo schema di certificazione adottato dalla Commissione, ad esempio facendo riferimento a norme o specifiche tecniche se non sono disponibili norme adeguate.
(76) Le specifiche tecniche da utilizzare nei sistemi europei di certificazione della cibersicurezza devono rispettare i requisiti di cui all'allegato II del regolamento (UE) n. 1025/2012 del Parlamento europeo e del Consiglio (19). Alcune deviazioni da tali requisiti potrebbero tuttavia essere considerate necessarie in casi debitamente giustificati, qualora tali specifiche tecniche debbano essere utilizzate in un sistema europeo di certificazione della cibersicurezza che si riferisce al livello di garanzia "elevato". Le ragioni di tali deviazioni dovrebbero essere rese pubbliche.
(77) La valutazione della conformità è una procedura per valutare se i requisiti specificati relativi a un prodotto, servizio o processo TIC sono stati soddisfatti. Tale procedura viene eseguita da una terza parte indipendente che non è il produttore o il fornitore dei prodotti, servizi o processi TIC oggetto della valutazione. Un certificato europeo di cibersicurezza dovrebbe essere rilasciato a seguito dell'esito positivo della valutazione di un prodotto, servizio o processo TIC. Il certificato europeo di cibersicurezza deve essere considerato come una conferma che la valutazione è stata effettuata correttamente. A seconda del livello di garanzia, lo schema di certificazione europea di cibersicurezza deve indicare se il certificato europeo di cibersicurezza deve essere rilasciato da un ente pubblico o privato. La valutazione della conformità e la certificazione non possono garantire di per sé che i prodotti, i servizi e i processi TIC certificati siano sicuri dal punto di vista informatico. Sono invece procedure e metodologie tecniche per attestare che i prodotti, i servizi e i processi TIC sono stati testati e che sono conformi a determinati requisiti di cibersicurezza stabiliti altrove, ad esempio in norme tecniche.
(78) La scelta della certificazione appropriata e dei requisiti di sicurezza associati da parte degli utenti dei certificati europei di cibersicurezza deve basarsi su un'analisi dei rischi associati all'uso dei prodotti, servizi o processi TIC. Di conseguenza, il livello di garanzia dovrebbe essere commisurato al livello di rischio associato all'uso previsto di un prodotto, servizio o processo TIC.
(79) I sistemi europei di certificazione della cibersicurezza potrebbero prevedere che la valutazione della conformità sia effettuata sotto la sola responsabilità del fabbricante o del fornitore di prodotti, servizi o processi TIC ("autovalutazione della conformità"). In questi casi, dovrebbe essere sufficiente che il fabbricante o il fornitore di prodotti, servizi o processi TIC effettui da solo tutti i controlli per garantire che i prodotti, i servizi o i processi TIC siano conformi al sistema europeo di certificazione della cibersicurezza. L'autovalutazione della conformità dovrebbe essere considerata appropriata per i prodotti, i servizi o i processi TIC a bassa complessità che presentano un basso rischio per il pubblico, come i meccanismi di progettazione e produzione semplici. Inoltre, l'autovalutazione della conformità dovrebbe essere consentita per i prodotti, i servizi o i processi TIC solo se corrispondono al livello di garanzia "base".
(80) I sistemi europei di certificazione della cibersicurezza potrebbero consentire sia autovalutazioni di conformità che certificazioni di prodotti, servizi o processi TIC. In tal caso, il sistema dovrebbe prevedere mezzi chiari e comprensibili per i consumatori o altri utenti per distinguere tra prodotti, servizi o processi TIC per i quali il fabbricante o il fornitore di prodotti, servizi o processi TIC è responsabile della valutazione e prodotti, servizi o processi TIC che sono certificati da una terza parte.
(81) Il fabbricante o il fornitore di prodotti, servizi o processi TIC che effettuano un'autovalutazione di conformità devono essere in grado di rilasciare e firmare la dichiarazione di conformità UE come parte della procedura di valutazione della conformità. La dichiarazione di conformità UE è un documento che attesta che uno specifico prodotto ICT, servizio ICT o processo ICT è conforme ai requisiti dello schema di certificazione europeo di cybersecurity. Rilasciando e firmando la dichiarazione di conformità UE, il produttore o il fornitore di prodotti ICT, servizi ICT o processi ICT si assume la responsabilità della conformità del prodotto ICT, del servizio ICT o del processo ICT ai requisiti legali dello schema di certificazione europeo di cybersecurity. Una copia della dichiarazione di conformità UE deve essere presentata all'autorità nazionale di certificazione della cybersecurity e all'ENISA.
(82) I fabbricanti o i fornitori di prodotti, servizi o processi TIC devono mettere a disposizione dell'autorità nazionale di certificazione della cibersicurezza competente la dichiarazione di conformità UE, la documentazione tecnica e tutte le altre informazioni pertinenti relative alla conformità dei prodotti, servizi o processi TIC a un sistema europeo di certificazione della cibersicurezza per un periodo previsto dal sistema europeo di certificazione della cibersicurezza pertinente. La documentazione tecnica deve specificare i requisiti applicabili nell'ambito del sistema e deve riguardare la progettazione, la fabbricazione e il funzionamento del prodotto TIC, del servizio TIC o del processo TIC nella misura in cui è rilevante per l'autovalutazione della conformità. La documentazione tecnica deve essere compilata in modo da consentire di valutare se un prodotto o un servizio TIC è conforme ai requisiti applicabili in base a tale schema.
(83) La governance del quadro europeo di certificazione della cibersicurezza tiene conto del coinvolgimento degli Stati membri e dell'adeguata partecipazione delle parti interessate e stabilisce il ruolo della Commissione durante la pianificazione e la proposta, la richiesta, la preparazione, l'adozione e la revisione dei sistemi europei di certificazione della cibersicurezza.
(84) È opportuno che la Commissione prepari, con il sostegno del Gruppo europeo di certificazione della cibersicurezza (ECCG) e del Gruppo di certificazione della cibersicurezza delle parti interessate e dopo un'ampia consultazione, un programma di lavoro modulato dell'Unione per i regimi europei di certificazione della cibersicurezza e lo pubblichi sotto forma di strumento non vincolante. Il programma di lavoro modulato dell'Unione dovrebbe essere un documento strategico che consenta all'industria, alle autorità nazionali e agli organismi di standardizzazione, in particolare, di prepararsi in anticipo per i futuri sistemi europei di certificazione della cibersicurezza. Il programma di lavoro aperto dell'Unione dovrebbe includere una panoramica pluriennale delle richieste di sistemi candidati che la Commissione intende sottoporre all'ENISA per la preparazione sulla base di motivazioni specifiche. La Commissione dovrebbe tenere conto del programma di lavoro aperto dell'Unione durante la preparazione del suo piano aperto per la standardizzazione delle TIC e delle richieste di standardizzazione alle organizzazioni europee di standardizzazione. Alla luce della rapida introduzione e adozione di nuove tecnologie, dell'emergere di rischi di cybersicurezza precedentemente sconosciuti e degli sviluppi legislativi e di mercato, la Commissione o l'ECCG dovrebbero avere il diritto di chiedere all'ENISA di preparare schemi candidati che non sono stati inclusi nel programma di lavoro aperto dell'Unione. In questi casi, la Commissione e l'ECCG dovrebbero anche valutare la necessità di tale richiesta, tenendo conto delle finalità e degli obiettivi generali del presente regolamento e della necessità di garantire la continuità per quanto riguarda la pianificazione e l'uso delle risorse dell'ENISA.
A seguito di tale richiesta, l'ENISA dovrebbe preparare i regimi candidati per specifici prodotti, servizi e processi TIC senza ritardi ingiustificati. La Commissione dovrebbe valutare l'impatto positivo e negativo della richiesta sul mercato specifico in questione, in particolare l'impatto sulle PMI, sull'innovazione, sulle barriere all'ingresso in tale mercato e sui costi per gli utenti finali. La Commissione, sulla base dello schema candidato preparato dall'ENISA, dovrebbe avere il potere di adottare il sistema europeo di certificazione della cibersicurezza mediante atti di esecuzione. Tenendo conto delle finalità generali e degli obiettivi di sicurezza stabiliti nel presente regolamento, i sistemi europei di certificazione della cibersicurezza adottati dalla Commissione dovrebbero specificare una serie minima di elementi riguardanti l'oggetto, l'ambito di applicazione e il funzionamento del singolo sistema. Tali elementi dovrebbero includere, tra l'altro, l'ambito e l'oggetto della certificazione di cibersicurezza, comprese le categorie di prodotti TIC, servizi TIC e processi TIC coperti, la specificazione dettagliata dei requisiti di cibersicurezza, ad esempio con riferimento a norme o specifiche tecniche, i criteri di valutazione specifici e i metodi di valutazione, nonché il livello di garanzia previsto ("di base", "sostanziale" o "elevato") e i livelli di valutazione, se del caso. L'ENISA dovrebbe essere in grado di rifiutare una richiesta dell'ECCG. Tali decisioni devono essere prese dal consiglio di amministrazione e devono essere debitamente motivate.
(85) È opportuno che l'ENISA mantenga un sito web che fornisca informazioni e pubblicizzi i sistemi europei di certificazione della cibersicurezza, che includa, tra l'altro, le richieste di preparazione di un sistema candidato e il feedback ricevuto nel processo di consultazione svolto dall'ENISA nella fase di preparazione. Il sito web dovrebbe inoltre fornire informazioni sui certificati europei di cibersicurezza e sulle dichiarazioni di conformità UE rilasciati ai sensi del presente regolamento, comprese le informazioni relative al ritiro e alla scadenza di tali certificati europei di cibersicurezza e dichiarazioni di conformità UE. Il sito web dovrebbe inoltre indicare i sistemi nazionali di certificazione della cibersicurezza che sono stati sostituiti da un sistema europeo di certificazione della cibersicurezza.
(86) Il livello di garanzia di un sistema di certificazione europeo è una base per confidare che un prodotto, un servizio o un processo TIC soddisfi i requisiti di sicurezza di uno specifico sistema di certificazione europeo di cibersicurezza. Al fine di garantire la coerenza del quadro europeo di certificazione della cibersicurezza, un sistema europeo di certificazione della cibersicurezza dovrebbe essere in grado di specificare i livelli di garanzia per i certificati europei di cibersicurezza e le dichiarazioni di conformità UE rilasciate nell'ambito di tale sistema. Ogni certificato europeo di cibersicurezza potrebbe fare riferimento a uno dei livelli di garanzia: "base", "sostanziale" o "elevato", mentre la dichiarazione di conformità UE potrebbe fare riferimento solo al livello di garanzia "base". I livelli di garanzia forniranno il rigore e la profondità della valutazione del prodotto, del servizio o del processo TIC e saranno caratterizzati da un riferimento alle specifiche tecniche, agli standard e alle procedure relative, compresi i controlli tecnici, il cui scopo è quello di mitigare o prevenire gli incidenti. Ogni livello di garanzia dovrebbe essere coerente tra i diversi ambiti settoriali in cui viene applicata la certificazione.
(87) Un sistema europeo di certificazione della cibersicurezza potrebbe specificare diversi livelli di valutazione a seconda del rigore e della profondità della metodologia di valutazione utilizzata. I livelli di valutazione dovrebbero corrispondere a uno dei livelli di garanzia e dovrebbero essere associati a una combinazione appropriata di componenti di garanzia. Per tutti i livelli di garanzia, il prodotto TIC, il servizio TIC o il processo TIC devono contenere un certo numero di funzioni sicure, come specificato dallo schema, che possono includere: una configurazione sicura out-of-the-box, un codice firmato, aggiornamenti sicuri e mitigazioni degli exploit e protezioni complete dello stack o della memoria heap. Tali funzioni devono essere state sviluppate e mantenute utilizzando approcci di sviluppo incentrati sulla sicurezza e strumenti associati per garantire che siano incorporati in modo affidabile meccanismi software e hardware efficaci.
(88) Per il livello di garanzia "base", la valutazione dovrebbe essere guidata almeno dalle seguenti componenti di garanzia: la valutazione dovrebbe includere almeno un esame della documentazione tecnica del prodotto, del servizio o del processo TIC da parte dell'organismo di valutazione della conformità. Se la certificazione include processi TIC, anche il processo utilizzato per progettare, sviluppare e mantenere un prodotto o un servizio TIC dovrebbe essere soggetto all'esame tecnico. Quando uno schema di certificazione europeo di cybersecurity prevede un'autovalutazione della conformità, dovrebbe essere sufficiente che il produttore o il fornitore di prodotti TIC, servizi TIC o processi TIC abbia effettuato un'autovalutazione della conformità del prodotto TIC, del servizio TIC o del processo TIC allo schema di certificazione.
(89) Per il livello di garanzia "sostanziale", la valutazione, oltre ai requisiti per il livello di garanzia "di base", deve essere guidata almeno dalla verifica della conformità delle funzionalità di sicurezza del prodotto, del servizio o del processo TIC alla relativa documentazione tecnica.
(90) Per il livello di garanzia "elevato", la valutazione, oltre ai requisiti per il livello di garanzia "sostanziale", deve essere guidata almeno da un test di efficienza che valuti la resistenza delle funzionalità di sicurezza del prodotto, del servizio o del processo TIC a fronte di attacchi informatici elaborati eseguiti da persone che dispongono di competenze e risorse significative.
(91) È opportuno che il ricorso alla certificazione europea di cibersicurezza e alle dichiarazioni di conformità dell'UE rimanga volontario, a meno che non sia altrimenti previsto dal diritto dell'Unione o dal diritto degli Stati membri adottato in conformità al diritto dell'Unione. In assenza di un diritto dell'Unione armonizzato, gli Stati membri possono adottare norme tecniche nazionali che prevedano una certificazione obbligatoria nell'ambito di un sistema europeo di certificazione della cibersicurezza, conformemente alla direttiva (UE) 2015/1535 del Parlamento europeo e del Consiglio (20). Gli Stati membri possono inoltre ricorrere alla certificazione europea di cibersicurezza nel contesto degli appalti pubblici e della direttiva 2014/24/UE del Parlamento europeo e del Consiglio (21).
(92) In alcuni settori potrebbe essere necessario in futuro imporre requisiti specifici di cibersicurezza e rendere obbligatoria la relativa certificazione per determinati prodotti, servizi o processi TIC, al fine di migliorare il livello di cibersicurezza nell'Unione. La Commissione dovrebbe monitorare regolarmente l'impatto dei sistemi europei di certificazione della cibersicurezza adottati sulla disponibilità di prodotti, servizi e processi TIC sicuri nel mercato interno e dovrebbe valutare regolarmente il livello di utilizzo dei sistemi di certificazione da parte dei fabbricanti o dei fornitori di prodotti, servizi o processi TIC nell'Unione. L'efficienza dei sistemi europei di certificazione della cibersicurezza e l'eventuale obbligatorietà di sistemi specifici dovrebbero essere valutati alla luce della legislazione dell'Unione in materia di cibersicurezza, in particolare della Direttiva (UE) 2016/1148, tenendo conto della sicurezza della rete e dei sistemi informativi utilizzati dagli operatori di servizi essenziali.
(93) I certificati europei di cibersicurezza e le dichiarazioni di conformità dell'UE devono aiutare gli utenti finali a compiere scelte informate. Pertanto, i prodotti TIC, i servizi TIC e i processi TIC che sono stati certificati o per i quali è stata rilasciata una dichiarazione di conformità UE dovrebbero essere accompagnati da informazioni strutturate e adeguate al livello tecnico previsto dell'utente finale. Tutte queste informazioni dovrebbero essere disponibili online e, se del caso, in forma fisica. L'utente finale dovrebbe avere accesso alle informazioni relative al numero di riferimento dello schema di certificazione, al livello di garanzia, alla descrizione dei rischi di cibersicurezza associati al prodotto TIC, al servizio TIC o al processo TIC e all'autorità o all'organismo emittente, oppure dovrebbe poter ottenere una copia del certificato europeo di cibersicurezza. Inoltre, l'utente finale dovrebbe essere informato della politica di supporto alla cybersecurity, ovvero per quanto tempo l'utente finale può aspettarsi di ricevere aggiornamenti o patch di cybersecurity, del produttore o del fornitore di prodotti, servizi o processi ICT. Ove applicabile, devono essere fornite indicazioni sulle azioni o le impostazioni che l'utente finale può attuare per mantenere o aumentare la sicurezza informatica del prodotto o del servizio TIC e le informazioni di contatto di un unico punto di contatto per segnalare e ricevere assistenza in caso di attacchi informatici (oltre alla segnalazione automatica). Tali informazioni dovrebbero essere regolarmente aggiornate e rese disponibili su un sito web che fornisca informazioni sui sistemi europei di certificazione della cybersicurezza.
(94) Al fine di conseguire gli obiettivi del presente regolamento e di evitare la frammentazione del mercato interno, è opportuno che i regimi o le procedure nazionali di certificazione della cibersicurezza per i prodotti, i servizi o i processi TIC coperti da un sistema europeo di certificazione della cibersicurezza cessino di essere efficaci a partire da una data stabilita dalla Commissione mediante atti di esecuzione. Inoltre, gli Stati membri non dovrebbero introdurre nuovi sistemi nazionali di certificazione della cibersicurezza per prodotti, servizi o processi TIC già coperti da un sistema europeo di certificazione della cibersicurezza esistente. Tuttavia, agli Stati membri non dovrebbe essere impedito di adottare o mantenere schemi nazionali di certificazione della cibersicurezza per scopi di sicurezza nazionale. Gli Stati membri dovrebbero informare la Commissione e l'ECCG di qualsiasi intenzione di elaborare nuovi schemi nazionali di certificazione della cibersicurezza. La Commissione e l'ECCG dovrebbero valutare l'impatto dei nuovi sistemi nazionali di certificazione della cibersicurezza sul corretto funzionamento del mercato interno e alla luce di qualsiasi interesse strategico nel richiedere invece un sistema europeo di certificazione della cibersicurezza.
(95) I sistemi europei di certificazione della cibersicurezza sono destinati a contribuire all'armonizzazione delle pratiche di cibersicurezza all'interno dell'Unione. Devono contribuire ad aumentare il livello di cibersicurezza all'interno dell'Unione. La progettazione dei sistemi europei di certificazione della cibersicurezza deve tenere conto e consentire lo sviluppo di innovazioni nel campo della cibersicurezza.
(96) I sistemi europei di certificazione della cibersicurezza dovrebbero tenere conto degli attuali metodi di sviluppo del software e dell'hardware e, in particolare, dell'impatto dei frequenti aggiornamenti del software o del firmware sui singoli certificati europei di cibersicurezza. I sistemi europei di certificazione della cibersicurezza dovrebbero specificare le condizioni in cui un aggiornamento può richiedere la ricertificazione di un prodotto, di un servizio o di un processo TIC o la riduzione del campo di applicazione di uno specifico certificato europeo di cibersicurezza, tenendo conto di ogni possibile effetto negativo dell'aggiornamento sulla conformità ai requisiti di sicurezza di tale certificato.
(97) Una volta adottato un sistema europeo di certificazione della cibersicurezza, i fabbricanti o i fornitori di prodotti, servizi o processi TIC devono poter presentare domande di certificazione dei loro prodotti o servizi TIC all'organismo di valutazione della conformità di loro scelta in qualsiasi parte dell'Unione. Gli organismi di valutazione della conformità dovrebbero essere accreditati da un organismo nazionale di accreditamento se soddisfano alcuni requisiti specifici stabiliti nel presente regolamento. L'accreditamento dovrebbe essere rilasciato per un massimo di cinque anni e dovrebbe essere rinnovabile alle stesse condizioni, a condizione che l'organismo di valutazione della conformità continui a soddisfare i requisiti. Gli organismi nazionali di accreditamento devono limitare, sospendere o revocare l'accreditamento di un organismo di valutazione della conformità se le condizioni per l'accreditamento non sono state soddisfatte o non lo sono più, o se l'organismo di valutazione della conformità viola il presente regolamento.
(98) I riferimenti nella legislazione nazionale a norme nazionali che hanno cessato di essere efficaci a causa dell'entrata in vigore di un sistema europeo di certificazione della cibersicurezza possono essere fonte di confusione. Pertanto, gli Stati membri dovrebbero riflettere l'adozione di un sistema europeo di certificazione della cibersicurezza nella loro legislazione nazionale.
(99) Per ottenere norme equivalenti in tutta l'Unione, facilitare il riconoscimento reciproco e promuovere l'accettazione generale dei certificati europei di cibersicurezza e delle dichiarazioni di conformità dell'UE, è necessario istituire un sistema di revisione tra pari tra le autorità nazionali di certificazione della cibersicurezza. La peer review dovrebbe riguardare le procedure di supervisione della conformità dei prodotti, servizi e processi TIC ai certificati europei di cibersicurezza, il monitoraggio degli obblighi dei fabbricanti o dei fornitori di prodotti, servizi o processi TIC che effettuano l'autovalutazione di conformità, il monitoraggio degli organismi di valutazione della conformità, nonché l'adeguatezza delle competenze del personale degli organismi che rilasciano certificati per il livello di garanzia "alto". La Commissione dovrebbe essere in grado, mediante atti di esecuzione, di stabilire almeno un piano quinquennale per le revisioni paritetiche, nonché di definire criteri e metodologie per il funzionamento del sistema di revisione paritetica.
(100) Fatto salvo il sistema generale di valutazione inter pares che deve essere messo in atto da tutte le autorità nazionali di certificazione della cibersicurezza nell'ambito del quadro europeo di certificazione della cibersicurezza, alcuni sistemi europei di certificazione della cibersicurezza possono includere un meccanismo di valutazione inter pares per gli organismi che rilasciano certificati europei di cibersicurezza per i prodotti TIC, i servizi TIC e i processi TIC con un livello di garanzia "elevato" nell'ambito di tali sistemi. L'ECCG dovrebbe sostenere l'attuazione di tali meccanismi di valutazione tra pari. Le valutazioni tra pari dovrebbero valutare in particolare se gli organismi interessati svolgono i loro compiti in modo armonizzato e possono includere meccanismi di appello. I risultati delle valutazioni inter pares dovrebbero essere resi pubblici. Gli organismi interessati possono adottare misure appropriate per adattare le loro pratiche e competenze di conseguenza.
(101) Gli Stati membri dovrebbero designare una o più autorità nazionali di certificazione della cibersicurezza per sorvegliare l'osservanza degli obblighi derivanti dal presente regolamento. Un'autorità nazionale di certificazione della cibersicurezza può essere un'autorità esistente o nuova. Uno Stato membro dovrebbe anche poter designare, previo accordo con un altro Stato membro, una o più autorità nazionali di certificazione della cibersicurezza nel territorio di tale altro Stato membro.
(102) Le autorità nazionali di certificazione della cibersicurezza dovrebbero in particolare monitorare e far rispettare gli obblighi dei fabbricanti o dei fornitori di prodotti TIC, servizi TIC o processi TIC stabiliti nel rispettivo territorio in relazione alla dichiarazione di conformità dell'UE, dovrebbero assistere gli organismi nazionali di accreditamento nel monitoraggio e nella supervisione delle attività degli organismi di valutazione della conformità fornendo loro competenze e informazioni pertinenti, dovrebbero autorizzare gli organismi di valutazione della conformità a svolgere i loro compiti qualora tali organismi soddisfino requisiti aggiuntivi stabiliti in un sistema europeo di certificazione della cibersicurezza e dovrebbero monitorare gli sviluppi pertinenti nel settore della certificazione della cibersicurezza. Le autorità nazionali di certificazione della cibersicurezza dovrebbero inoltre gestire i reclami presentati da persone fisiche o giuridiche in relazione ai certificati europei di cibersicurezza rilasciati da tali autorità o in relazione ai certificati europei di cibersicurezza rilasciati dagli organismi di valutazione della conformità, qualora tali certificati indichino un livello di garanzia "elevato", dovrebbero indagare, nella misura appropriata, sull'oggetto del reclamo e dovrebbero informare il reclamante dei progressi e dell'esito dell'indagine entro un termine ragionevole. Inoltre, le autorità nazionali di certificazione della cibersicurezza dovrebbero cooperare con altre autorità nazionali di certificazione della cibersicurezza o con altre autorità pubbliche, anche condividendo informazioni sull'eventuale non conformità di prodotti, servizi e processi TIC ai requisiti del presente regolamento o a specifici sistemi europei di certificazione della cibersicurezza. La Commissione dovrebbe facilitare tale condivisione di informazioni mettendo a disposizione un sistema elettronico generale di supporto alle informazioni, ad esempio il sistema di informazione e comunicazione sulla sorveglianza del mercato (ICSMS) e il sistema di allarme rapido per i prodotti pericolosi non alimentari (RAPEX), già utilizzati dalle autorità di sorveglianza del mercato ai sensi del regolamento (CE) n. 765/2008.
(103) Al fine di garantire l'applicazione coerente del quadro europeo di certificazione della cibersicurezza, è opportuno istituire un ECCG composto da rappresentanti delle autorità nazionali di certificazione della cibersicurezza o di altre autorità nazionali competenti. I compiti principali dell'ECCG dovrebbero essere quelli di consigliare e assistere la Commissione nel suo lavoro volto a garantire l'attuazione e l'applicazione coerenti del quadro europeo di certificazione della cibersicurezza, assistere e collaborare strettamente con l'ENISA nella preparazione di sistemi di certificazione della cibersicurezza candidati, in casi debitamente giustificati richiedere all'ENISA di preparare un sistema candidato, adottare pareri indirizzati all'ENISA sui sistemi candidati e adottare pareri indirizzati alla Commissione sulla manutenzione e sul riesame dei sistemi europei di certificazione della cibersicurezza esistenti. L'ECCG dovrebbe facilitare lo scambio di buone pratiche e competenze tra le varie autorità nazionali di certificazione della cibersicurezza responsabili dell'autorizzazione degli organismi di valutazione della conformità e del rilascio dei certificati europei di cibersicurezza.
(104) Per sensibilizzare e facilitare l'accettazione dei futuri sistemi europei di certificazione della cibersicurezza, la Commissione può pubblicare orientamenti generali o settoriali in materia di cibersicurezza, ad esempio sulle buone pratiche di cibersicurezza o sul comportamento responsabile in materia di cibersicurezza, evidenziando l'effetto positivo dell'uso di prodotti, servizi e processi TIC certificati.
(105) Al fine di agevolare ulteriormente gli scambi e riconoscendo che le catene di approvvigionamento delle TIC sono globali, gli accordi di riconoscimento reciproco relativi ai certificati europei di cibersicurezza possono essere conclusi dall'Unione conformemente all'articolo 218 del trattato sul funzionamento dell'Unione europea (TFUE). La Commissione, tenendo conto della consulenza dell'ENISA e del Gruppo europeo di certificazione della cibersicurezza, può raccomandare l'avvio di negoziati in materia. Ogni sistema europeo di certificazione della cibersicurezza dovrebbe prevedere condizioni specifiche per tali accordi di riconoscimento reciproco con i Paesi terzi.
(106) Al fine di garantire condizioni uniformi di attuazione del presente regolamento, è opportuno conferire alla Commissione competenze di esecuzione. Tali competenze dovrebbero essere esercitate conformemente al regolamento (UE) n. 182/2011 del Parlamento europeo e del Consiglio (22).
(107) La procedura d'esame deve essere utilizzata per l'adozione di atti di esecuzione sui regimi europei di certificazione della cibersicurezza per i prodotti, i servizi o i processi TIC, per l'adozione di atti di esecuzione sulle modalità di svolgimento delle indagini da parte dell'ENISA, per l'adozione di atti di esecuzione su un piano per la revisione inter pares delle autorità nazionali di certificazione della cibersicurezza, nonché per l'adozione di atti di esecuzione sulle circostanze, i formati e le procedure delle notifiche degli organismi di valutazione della conformità accreditati da parte delle autorità nazionali di certificazione della cibersicurezza alla Commissione.
(108) Le operazioni dell'ENISA dovrebbero essere oggetto di una valutazione regolare e indipendente. Tale valutazione dovrebbe tenere conto degli obiettivi dell'ENISA, delle sue pratiche di lavoro e della pertinenza dei suoi compiti, in particolare di quelli relativi alla cooperazione operativa a livello di Unione. Tale valutazione dovrebbe anche valutare l'impatto, l'efficacia e l'efficienza del quadro europeo di certificazione della cibersicurezza. In caso di revisione, la Commissione dovrebbe valutare come rafforzare il ruolo dell'ENISA come punto di riferimento per la consulenza e l'esperienza e dovrebbe anche valutare la possibilità di un ruolo dell'ENISA nel sostenere la valutazione di prodotti, servizi e processi TIC di Paesi terzi non conformi alle norme dell'Unione, quando tali prodotti, servizi e processi entrano nell'Unione.
(109) Poiché gli obiettivi del presente regolamento non possono essere conseguiti in misura sufficiente dagli Stati membri, ma possono, a motivo della loro portata e dei loro effetti, essere conseguiti meglio a livello di Unione, quest'ultima può intervenire in base al principio di sussidiarietà sancito dall'articolo 5 del trattato sull'Unione europea (TUE). Il presente regolamento si limita a quanto è necessario per conseguire tali obiettivi in ottemperanza al principio di proporzionalità enunciato nello stesso articolo.
(110) Il regolamento (UE) n. 526/2013 deve essere abrogato,
HANNO ADOTTATO QUESTO REGOLAMENTO: