{"id":974,"date":"2024-01-29T16:47:57","date_gmt":"2024-01-29T16:47:57","guid":{"rendered":"https:\/\/nis2resources.eu\/?page_id=974"},"modified":"2024-08-10T12:59:39","modified_gmt":"2024-08-10T12:59:39","slug":"preambolo","status":"publish","type":"page","link":"https:\/\/nis2resources.eu\/it\/directive-2022-2557-cer\/preamble\/","title":{"rendered":"Preambolo"},"content":{"rendered":"
\n

IL PARLAMENTO EUROPEO E IL CONSIGLIO DELL'UNIONE EUROPEA,<\/h2>\n\n\n\n
visto il trattato sul funzionamento dell'Unione europea, in particolare l'articolo 114,
Vista la proposta della Commissione europea,
Dopo la trasmissione del progetto di atto legislativo ai parlamenti nazionali,
visto il parere del Comitato economico e sociale europeo,
visto il parere del Comitato delle regioni,
Agendo secondo la procedura legislativa ordinaria,<\/div>\n<\/div>\n\n\n\n

Considerando che:<\/p>\n\n\n\n

(1) Le entit\u00e0 critiche, in quanto fornitori di servizi essenziali, svolgono un ruolo indispensabile nel mantenimento delle funzioni sociali vitali o delle attivit\u00e0 economiche nel mercato interno in un'economia dell'Unione sempre pi\u00f9 interdipendente. \u00c8 pertanto essenziale stabilire un quadro dell'Unione volto sia a rafforzare la resilienza delle entit\u00e0 critiche nel mercato interno stabilendo norme minime armonizzate, sia ad assisterle mediante misure di sostegno e vigilanza coerenti e dedicate.<\/p>\n\n\n\n

(2) La direttiva 2008\/114\/CE del Consiglio (4) prevede una procedura per la designazione delle infrastrutture critiche europee nei settori dell'energia e dei trasporti la cui interruzione o distruzione avrebbe un impatto transfrontaliero significativo su almeno due Stati membri. Tale direttiva si concentra esclusivamente sulla protezione di tali infrastrutture. Tuttavia, la valutazione della direttiva 2008\/114\/CE condotta nel 2019 ha rilevato che, a causa della natura sempre pi\u00f9 interconnessa e transfrontaliera delle operazioni che utilizzano infrastrutture critiche, le misure di protezione relative ai singoli beni sono da sole insufficienti a prevenire tutte le interruzioni. Pertanto, \u00e8 necessario spostare l'approccio verso la garanzia che i rischi siano meglio considerati, che il ruolo e i doveri delle entit\u00e0 critiche in quanto fornitori di servizi essenziali al funzionamento del mercato interno siano meglio definiti e coerenti, e che vengano adottate norme dell'Unione per migliorare la resilienza delle entit\u00e0 critiche. Le entit\u00e0 critiche dovrebbero essere in grado di rafforzare la loro capacit\u00e0 di prevenire, proteggere, rispondere, resistere, mitigare, assorbire, adattarsi e riprendersi da incidenti che hanno il potenziale di interrompere la fornitura di servizi essenziali.<\/p>\n\n\n\n

(3) Sebbene una serie di misure a livello dell'Unione, come il Programma europeo per la protezione delle infrastrutture critiche, e a livello nazionale mirino a sostenere la protezione delle infrastrutture critiche nell'Unione, si dovrebbe fare di pi\u00f9 per dotare meglio le entit\u00e0 che gestiscono tali infrastrutture per far fronte ai rischi per le loro attivit\u00e0 che potrebbero comportare l'interruzione della fornitura di servizi essenziali. Si dovrebbe inoltre fare di pi\u00f9 per dotare meglio tali entit\u00e0 dato il panorama dinamico delle minacce, che comprende minacce ibride e terroristiche in evoluzione e crescenti interdipendenze tra infrastrutture e settori. Inoltre, vi \u00e8 un aumento della vulnerabilit\u00e0 fisica rischioIl rischio<\/span> Si intende il potenziale di perdita o di perturbazione causato da un incidente e deve essere espresso come una combinazione dell'entit\u00e0 di tale perdita o perturbazione e della probabilit\u00e0 che l'incidente si verifichi -. Definizione ai sensi dell'articolo 6 della direttiva (UE) 2022\/2555 (direttiva NIS2)<\/a><\/span><\/span><\/span> a causa di catastrofi naturali e cambiamenti climatici, che intensificano la frequenza e la portata degli eventi meteorologici estremi e portano a cambiamenti a lungo termine nelle condizioni climatiche medie che possono ridurre la capacit\u00e0, l'efficienza e la durata di determinati tipi di infrastrutture se non vengono adottate misure di adattamento climatico. Inoltre, il mercato interno \u00e8 caratterizzato da una frammentazione nell'identificazione delle entit\u00e0 critiche poich\u00e9 i settori e le categorie di entit\u00e0 pertinenti non sono riconosciuti in modo coerente come critici in tutti gli Stati membri. La presente direttiva dovrebbe pertanto garantire un solido livello di armonizzazione per quanto riguarda i settori e le categorie di entit\u00e0 rientranti nel suo ambito di applicazione.<\/p>\n\n\n\n

(4) Mentre alcuni settori dell'economia, come i settori dell'energia e dei trasporti, sono gi\u00e0 regolamentati da atti giuridici dell'Unione specifici del settore, tali atti giuridici contengono disposizioni che riguardano solo determinati aspetti della resilienza degli enti che operano in tali settori. Per affrontare in modo completo la resilienza di tali enti che sono fondamentali per il corretto funzionamento del mercato interno, la presente direttiva crea un quadro generale che affronta la resilienza delle entit\u00e0 critiche rispetto a tutti i pericoli, naturali o artificiali, accidentali o intenzionali.<\/p>\n\n\n\n

(5) Le crescenti interdipendenze tra infrastrutture e settori derivano da una rete di prestazione di servizi sempre pi\u00f9 transfrontaliera e interdipendente che utilizza infrastrutture chiave nell'Unione nei settori dell'energia, dei trasporti, bancario, dell'acqua potabile, delle acque reflue, della produzione, trasformazione e distribuzione di alimenti, sanitario, spaziale, delle infrastrutture dei mercati finanziari e digitale e di alcuni aspetti del settore della pubblica amministrazione. Il settore spaziale rientra nell'ambito di applicazione della presente direttiva per quanto riguarda la fornitura di determinati servizi che dipendono da infrastrutture basate a terra di propriet\u00e0, gestite e operate da Stati membri o da soggetti privati; di conseguenza, le infrastrutture di propriet\u00e0, gestite o operate dall'Unione o per conto dell'Unione nell'ambito del suo programma spaziale non rientrano nell'ambito di applicazione della presente direttiva.<\/p>\n\n\n\n

Per quanto riguarda il settore energetico e in particolare i metodi di produzione e trasmissione dell'elettricit\u00e0 (in materia di fornitura di elettricit\u00e0), si intende che, ove ritenuto opportuno, la produzione di elettricit\u00e0 possa includere parti di trasmissione dell'elettricit\u00e0 delle centrali nucleari, ma escluda gli elementi specificamente nucleari disciplinati dai trattati e dal diritto dell'Unione, inclusi gli atti giuridici pertinenti dell'Unione in materia di energia nucleare. Il processo di identificazione delle entit\u00e0 critiche nel settore alimentare dovrebbe riflettere adeguatamente la natura del mercato interno in tale settore e le estese norme dell'Unione relative ai principi generali e ai requisiti della legislazione alimentare e della sicurezza alimentare. Pertanto, al fine di garantire un approccio proporzionato e di riflettere adeguatamente il ruolo e l'importanza di tali entit\u00e0 a livello nazionale, le entit\u00e0 critiche dovrebbero essere identificate solo tra le imprese alimentari, a scopo di lucro o meno, pubbliche o private, che si occupano esclusivamente di logistica e distribuzione all'ingrosso e di produzione e trasformazione industriale su larga scala con una quota di mercato significativa osservata a livello nazionale. Tali interdipendenze implicano che qualsiasi interruzione dei servizi essenziali, anche se inizialmente limitata a una entit\u00e0Entit\u00e0<\/span> Persona fisica o giuridica creata e riconosciuta come tale dalla legislazione nazionale del suo luogo di stabilimento, che pu\u00f2, agendo in nome proprio, esercitare diritti ed essere soggetta a obblighi -. Definizione ai sensi dell'articolo 6 della direttiva (UE) 2022\/2555 (direttiva NIS2)<\/a><\/span><\/span><\/span> o un settore, possono avere effetti a cascata pi\u00f9 ampi, con potenziali ripercussioni di vasta portata e a lungo termine sulla prestazione dei servizi in tutto il mercato interno. Le crisi maggiori, come la pandemia di COVID-19, hanno dimostrato vulnerabilit\u00e0Vulnerabilit\u00e0<\/span> Si intende una debolezza, una suscettibilit\u00e0 o un difetto dei prodotti o dei servizi ICT che pu\u00f2 essere sfruttato da una minaccia informatica -. Definizione ai sensi dell'articolo 6 della direttiva (UE) 2022\/2555 (direttiva NIS2)<\/a><\/span><\/span><\/span> delle nostre societ\u00e0 sempre pi\u00f9 interdipendenti di fronte a rischi a basso impatto e alta probabilit\u00e0.<\/p>\n\n\n\n

(6) Gli enti che forniscono servizi essenziali sono sempre pi\u00f9 soggetti a requisiti diversi imposti dal diritto nazionale. Il fatto che alcuni Stati membri impongano requisiti di sicurezza meno rigorosi a tali enti non crea solo diversi livelli di resilienza, ma rischia anche di incidere negativamente sul mantenimento delle funzioni sociali vitali o delle attivit\u00e0 economiche in tutta l'Unione e di creare ostacoli al corretto funzionamento del mercato interno. Gli investitori e le imprese possono fare affidamento su entit\u00e0 critiche resilienti, e l'affidabilit\u00e0 e la fiducia sono i pilastri fondamentali di un mercato interno ben funzionante. Tipi simili di enti sono considerati critici in alcuni Stati membri ma non in altri, e quelli identificati come critici sono soggetti a requisiti diversi in diversi Stati membri. Ci\u00f2 si traduce in un onere amministrativo aggiuntivo e non necessario per le imprese che operano a livello transfrontaliero, in particolare per le imprese attive negli Stati membri con requisiti pi\u00f9 rigorosi. Un quadro unionale avrebbe pertanto anche l'effetto di livellare le condizioni di parit\u00e0 per gli enti critici in tutta l'Unione.<\/p>\n\n\n\n

(7) \u00c8 necessario stabilire norme minime armonizzate per garantire che i servizi essenziali nel mercato interno siano forniti, per rafforzare la resilienza delle entit\u00e0 critiche e per migliorare la cooperazione transfrontaliera tra le autorit\u00e0 competenti. \u00c8 importante che tali norme siano a prova di futuro in termini di concezione e attuazione, pur consentendo la necessaria flessibilit\u00e0. \u00c8 inoltre fondamentale migliorare la capacit\u00e0 delle entit\u00e0 critiche di fornire servizi essenziali di fronte a una serie eterogenea di rischi.<\/p>\n\n\n\n

(8) Per raggiungere un elevato livello di resilienza, gli Stati membri dovrebbero individuare le entit\u00e0 critiche che saranno soggette a requisiti e supervisione specifici e che riceveranno un sostegno e una guida particolari di fronte a tutti i rischi pertinenti.<\/p>\n\n\n\n

(9) Data l'importanza di sicurezza informaticaSicurezza informatica<\/span> per \"cibersicurezza\" si intende la cibersicurezza quale definita all'articolo 2, punto 1, del regolamento (UE) 2019\/881; - Definizione ai sensi dell'articolo 6 della direttiva (UE) 2022\/2555 (direttiva NIS2)<\/a>\r\rper \"sicurezza informatica\" si intendono le attivit\u00e0 necessarie per proteggere i sistemi di rete e di informazione, gli utenti di tali sistemi e le altre persone interessate dalle minacce informatiche; - definizione ai sensi dell'articolo 2, punto (1), del regolamento (UE) 2019\/881;<\/span><\/span><\/span> per la resilienza delle entit\u00e0 critiche e a fini di coerenza, dovrebbe essere garantito, ove possibile, un approccio coerente tra la presente direttiva e la direttiva (UE) 2022\/2555 del Parlamento europeo e del Consiglio (5). In considerazione della maggiore frequenza e delle caratteristiche particolari dei rischi informatici, la direttiva (UE) 2022\/2555 impone requisiti completi a un gran numero di entit\u00e0 per garantirne la cibersicurezza. Poich\u00e9 la cibersicurezza \u00e8 affrontata in modo sufficiente nella direttiva (UE) 2022\/2555, le questioni trattate da tale direttiva dovrebbero essere escluse dall'ambito di applicazione della presente direttiva, fatto salvo il regime particolare per le entit\u00e0 nel settore dell'infrastruttura digitale.<\/p>\n\n\n\n

(10) Ove le disposizioni di atti giuridici dell'Unione settoriali richiedano agli operatori di servizi critici di adottare misure per rafforzare la loro resilienza e tali requisiti siano riconosciuti dagli Stati membri come perlomeno equivalenti agli obblighi corrispondenti stabiliti nella presente direttiva, le disposizioni pertinenti della presente direttiva non dovrebbero applicarsi, al fine di evitare duplicazioni e oneri non necessari. In tal caso, dovrebbero applicarsi le disposizioni pertinenti di tali atti giuridici dell'Unione. Ove le disposizioni pertinenti della presente direttiva non si applichino, non dovrebbero applicarsi nemmeno le disposizioni in materia di vigilanza e di esecuzione stabilite nella presente direttiva.<\/p>\n\n\n\n

(11) La presente direttiva non incide sulla competenza degli Stati membri e delle loro autorit\u00e0 ai fini dell'autonomia amministrativa n\u00e9 sulla loro responsabilit\u00e0 per la salvaguardia della sicurezza nazionale e della difesa, n\u00e9 sul loro potere di salvaguardare altre funzioni statali essenziali, in particolare per quanto riguarda la sicurezza pubblica, l'integrit\u00e0 territoriale e il mantenimento dell'ordine pubblico. L'esclusione degli enti della pubblica amministrazione dall'ambito di applicazione della presente direttiva dovrebbe applicarsi agli enti le cui attivit\u00e0 sono svolte prevalentemente nei settori della sicurezza nazionale, della sicurezza pubblica, della difesa o dell'applicazione della legge, comprese le indagini, il rilevamento e il perseguimento di reati. Tuttavia, gli enti della pubblica amministrazione le cui attivit\u00e0 sono solo marginalmente connesse a tali settori dovrebbero ricadere nell'ambito di applicazione della presente direttiva. Ai fini della presente direttiva, gli enti dotati di competenze regolamentari non sono considerati svolgere attivit\u00e0 nel settore dell'applicazione della legge e pertanto non sono esclusi per tale motivo dall'ambito di applicazione della presente direttiva. Gli enti della pubblica amministrazione istituiti congiuntamente con un paese terzo ai sensi di un accordo internazionale sono esclusi dall'ambito di applicazione della presente direttiva. La presente direttiva non si applica alle missioni diplomatiche e consolari degli Stati membri nei paesi terzi.<\/p>\n\n\n\n

Determinati soggetti fondamentali svolgono attivit\u00e0 nei settori della sicurezza nazionale, della sicurezza pubblica, della difesa o dell'applicazione della legge, comprese le indagini, l'accertamento e la perseguibilit\u00e0 dei reati, oppure forniscono servizi esclusivamente a soggetti della pubblica amministrazione che svolgono attivit\u00e0 prevalentemente in tali settori. Alla luce della responsabilit\u00e0 degli Stati membri di salvaguardare la sicurezza nazionale e la difesa, gli Stati membri dovrebbero poter decidere che gli obblighi a carico dei soggetti fondamentali stabiliti dalla presente direttiva non si applicano, in tutto o in parte, a tali soggetti fondamentali se i servizi che forniscono o le attivit\u00e0 che svolgono sono prevalentemente correlati ai settori della sicurezza nazionale, della sicurezza pubblica, della difesa o dell'applicazione della legge, comprese le indagini, l'accertamento e la perseguibilit\u00e0 dei reati. I soggetti fondamentali i cui servizi o attivit\u00e0 sono solo marginalmente correlati a tali settori dovrebbero rientrare nell'ambito di applicazione della presente direttiva. Nessuno Stato membro dovrebbe essere obbligato a fornire informazioni la cui divulgazione sarebbe contraria agli interessi essenziali della sua sicurezza nazionale. Le norme dell'Unione o nazionali per la protezione delle informazioni classificate e gli accordi di non divulgazione sono pertinenti.<\/p>\n\n\n\n

(12) Al fine di non compromettere la sicurezza nazionale o la sicurezza e gli interessi commerciali di entit\u00e0 critiche, le informazioni sensibili dovrebbero essere consultate, scambiate e gestite con prudenza e con particolare attenzione ai canali di trasmissione e alle capacit\u00e0 di archiviazione utilizzate.<\/p>\n\n\n\n

(13) Al fine di garantire un approccio globale alla resilienza delle entit\u00e0 critiche, ogni Stato membro dovrebbe disporre di una strategia per il rafforzamento della resilienza delle entit\u00e0 critiche (la \u2018strategia\u2019). La strategia dovrebbe delineare gli obiettivi strategici e le misure politiche da attuare. Nell'ottica di coerenza ed efficienza, la strategia dovrebbe essere concepita per integrare senza soluzione di continuit\u00e0 le politiche esistenti, basandosi, ove possibile, su strategie, piani o documenti analoghi pertinenti a livello nazionale e settoriale gi\u00e0 esistenti. Al fine di realizzare un approccio globale, gli Stati membri dovrebbero garantire che le loro strategie prevedano un quadro politico per un miglior coordinamento tra le autorit\u00e0 competenti ai sensi della presente direttiva e le autorit\u00e0 competenti ai sensi della direttiva (UE) 2022\/2555 nel contesto della condivisione di informazioni sui rischi informatici, le minacce informatiche e gli incidenti informatici, nonch\u00e9 sui rischi, le minacce e gli incidenti non informatici, e nel contesto dell'esercizio dei compiti di vigilanza. Nell'elaborare le loro strategie, gli Stati membri dovrebbero tenere debitamente conto della natura ibrida delle minacce per le entit\u00e0 critiche.<\/p>\n\n\n\n

(14) Gli Stati membri dovrebbero comunicare alla Commissione le loro strategie e gli aggiornamenti sostanziali delle stesse, in particolare per consentire alla Commissione di valutare la corretta applicazione della presente direttiva per quanto riguarda gli approcci politici alla resilienza delle entit\u00e0 critiche a livello nazionale. Laddove necessario, le strategie potrebbero essere comunicate come informazioni classificate. La Commissione dovrebbe elaborare un rapporto sintetico delle strategie comunicate dagli Stati membri da utilizzare come base per scambi volti a identificare le migliori pratiche e le questioni di comune interesse nel quadro di un gruppo per la resilienza delle entit\u00e0 critiche. Data la natura sensibile delle informazioni aggregate contenute nel rapporto sintetico, classificate o meno, la Commissione dovrebbe gestire il rapporto sintetico con il livello appropriato di consapevolezza nel rispetto della sicurezza delle entit\u00e0 critiche, degli Stati membri e dell'Unione. Il rapporto sintetico e le strategie dovrebbero essere protetti da azioni illecite o malevole e dovrebbero essere accessibili solo a persone autorizzate al fine di conseguire gli obiettivi della presente direttiva. La comunicazione delle strategie e degli aggiornamenti sostanziali delle stesse dovrebbe inoltre aiutare la Commissione a comprendere gli sviluppi negli approcci alla resilienza delle entit\u00e0 critiche e ad alimentare il monitoraggio dell'impatto e del valore aggiunto della presente direttiva, che la Commissione dovrebbe riesaminare periodicamente.<\/p>\n\n\n\n

(15) Le azioni degli Stati membri volte a identificare e contribuire a garantire la resilienza delle entit\u00e0 critiche dovrebbero seguire un approccio basato sul rischio che si concentri sulle entit\u00e0 pi\u00f9 pertinenti per lo svolgimento di funzioni sociali vitali o attivit\u00e0 economiche. Al fine di garantire un tale approccio mirato, ciascuno Stato membro dovrebbe effettuare, nell'ambito di un quadro armonizzato, una valutazione dei rischi naturali e antropici pertinenti, inclusi quelli di natura transsettoriale o transfrontaliera, che potrebbero incidere sulla fornitura di servizi essenziali, compresi incidenti, catastrofi naturali, emergenze di sanit\u00e0 pubblica quali pandemie e minacce ibride o altre minacce antagoniste, inclusi reati terroristici, infiltrazioni criminali e sabotaggio (\u2018valutazione del rischio a livello di Stato membro\u2019). Nel condurre le valutazioni del rischio a livello di Stato membro, gli Stati membri dovrebbero tenere conto di altre valutazioni generali o settoriali del rischio effettuate ai sensi di altri atti giuridici dell'Unione e dovrebbero considerare in che misura i settori dipendano gli uni dagli altri, anche dai settori di altri Stati membri e di paesi terzi. L'esito delle valutazioni del rischio a livello di Stato membro dovrebbe essere utilizzato ai fini dell'identificazione delle entit\u00e0 critiche e dell'assistenza a tali entit\u00e0 nel soddisfare i loro requisiti di resilienza. La presente direttiva si applica solo agli Stati membri e alle entit\u00e0 critiche che operano nell'Unione. Ciononostante, l'esperienza e le conoscenze generate dalle autorit\u00e0 competenti, in particolare attraverso le valutazioni del rischio, e dalla Commissione, in particolare attraverso varie forme di supporto e cooperazione, potrebbero essere utilizzate, ove opportuno e in conformit\u00e0 con gli strumenti giuridici applicabili, a beneficio di paesi terzi, in particolare quelli nel vicinato diretto dell'Unione, alimentando la cooperazione esistente in materia di resilienza.<\/p>\n\n\n\n

(16) Per garantire che tutte le entit\u00e0 pertinenti siano soggette ai requisiti di resilienza della presente direttiva e per ridurre le divergenze a tale riguardo, \u00e8 importante stabilire norme armonizzate che consentano un\u2019identificazione coerente delle entit\u00e0 critiche in tutta l\u2019Unione, consentendo al contempo agli Stati membri di riflettere adeguatamente il ruolo e l\u2019importanza di tali entit\u00e0 a livello nazionale. Nell\u2019applicare i criteri stabiliti nella presente direttiva, ciascuno Stato membro dovrebbe identificare le entit\u00e0 che forniscono uno o pi\u00f9 servizi essenziali e che operano sul proprio territorio e dispongono di infrastrutture critiche situate sul proprio territorio. Un\u2019entit\u00e0 dovrebbe essere considerata operante sul territorio di uno Stato membro in cui svolge le attivit\u00e0 necessarie per uno o pi\u00f9 servizi essenziali e in cui \u00e8 situata l\u2019infrastruttura critica di tale entit\u00e0 utilizzata per fornire tale o tali servizi. Qualora nessuno entit\u00e0 soddisfi tali criteri in uno Stato membro, quest\u2019ultimo non dovrebbe avere l\u2019obbligo di identificare un\u2019entit\u00e0 critica nel settore o sottosettore corrispondente. Nell\u2019interesse dell\u2019efficacia, dell\u2019efficienza, della coerenza e della certezza del diritto, dovrebbero essere stabilite norme appropriate in merito alla notifica alle entit\u00e0 della loro identificazione come entit\u00e0 critiche.<\/p>\n\n\n\n

(17) Gli Stati membri dovrebbero presentare alla Commissione, in modo da soddisfare gli obiettivi della presente direttiva, un elenco dei servizi essenziali, il numero di entit\u00e0 critiche individuate per ciascuno dei settori e sottosettori di cui all'allegato e per il\/i servizio\/i essenziale\/i fornito\/i da ciascuna entit\u00e0 e, se applicabili, le soglie. Le soglie dovrebbero poter essere presentate come tali o in forma aggregata, il che significa che le informazioni possono essere medie per area geografica, per anno, per settore, per sottosettore o con altri mezzi, e possono includere informazioni sulla gamma degli indicatori forniti.<\/p>\n\n\n\n

(18) Dovrebbero essere stabiliti criteri per determinare la significativit\u00e0 di un effetto dirompente prodotto da un incidenteIncidente<\/span> Si intende un evento che compromette la disponibilit\u00e0, l'autenticit\u00e0, l'integrit\u00e0 o la riservatezza dei dati memorizzati, trasmessi o elaborati o dei servizi offerti o accessibili tramite i sistemi di rete e di informazione -. Definizione ai sensi dell'articolo 6 della direttiva (UE) 2022\/2555 (direttiva NIS2)<\/a><\/span><\/span><\/span>. Tali criteri dovrebbero basarsi sui criteri stabiliti dalla direttiva (UE) 2016\/1148 del Parlamento europeo e del Consiglio (6) al fine di capitalizzare gli sforzi compiuti dagli Stati membri per identificare gli operatori di servizi essenziali come definiti in tale direttiva e sull'esperienza acquisita a tale riguardo. Crisi importanti, come la pandemia di COVID-19, hanno dimostrato l'importanza di garantire la sicurezza della catena di approvvigionamento e hanno dimostrato come la sua interruzione possa avere un impatto economico e sociale negativo in un elevato numero di settori e transfrontaliero. Pertanto, gli Stati membri dovrebbero anche prendere in considerazione gli effetti sulla catena di approvvigionamento, nella misura del possibile, quando determinano in che misura altri settori e sottosettori dipendono dal servizio essenziale fornito da un'entit\u00e0 critica.<\/p>\n\n\n\n

(19) In conformit\u00e0 con la normativa vigente dell'Unione e nazionale, compreso il regolamento (UE) 2019\/452 del Parlamento europeo e del Consiglio (7), che stabilisce un quadro per il controllo degli investimenti esteri diretti nell'Unione, si deve riconoscere la potenziale minaccia posta dalla propriet\u00e0 estera di infrastrutture critiche nell'Unione, poich\u00e9 i servizi, l'economia e la libera circolazione e la sicurezza dei cittadini dell'Unione dipendono dal corretto funzionamento delle infrastrutture critiche.<\/p>\n\n\n\n

(20) La direttiva (UE) 2022\/2555 impone agli enti appartenenti al settore dell'infrastruttura digitale, che potrebbero essere individuati come entit\u00e0 critiche ai sensi della presente direttiva, di adottare misure tecniche, operative e organizzative appropriate e proporzionate per gestire i rischi posti alla sicurezza delle reti e dei sistemi informativiSicurezza delle reti e dei sistemi informativi<\/span> Si intende la capacit\u00e0 dei sistemi di rete e di informazione di resistere, a un determinato livello di fiducia, a qualsiasi evento che possa compromettere la disponibilit\u00e0, l'autenticit\u00e0, l'integrit\u00e0 o la riservatezza dei dati memorizzati, trasmessi o elaborati o dei servizi offerti o accessibili tramite tali sistemi di rete e di informazione. Definizione ai sensi dell'articolo 6 della direttiva (UE) 2022\/2555 (direttiva NIS2)<\/a><\/span><\/span><\/span> e di notificare incidenti significativi e minacce informatiche. Poich\u00e9 le minacce alla sicurezza dei sistemi di reti e informativi possono avere origini diverse, la Direttiva (UE) 2022\/2555 adotta un approccio basato sul principio di \"tutte le minacce\" (all-hazards approach) che include la resilienza dei sistemi di reti e informativi, nonch\u00e9 le componenti fisiche e l'ambiente di tali sistemi.<\/p>\n\n\n\n

Dato che i requisiti stabiliti dalla direttiva (UE) 2022\/2555 a tale riguardo sono almeno equivalenti agli obblighi corrispondenti stabiliti nella presente direttiva, gli obblighi stabiliti all'articolo 11 e ai capi III, IV e VI della presente direttiva non dovrebbero applicarsi agli enti appartenenti al settore dell'infrastruttura digitale al fine di evitare duplicazioni e oneri amministrativi non necessari. Tuttavia, considerando l'importanza dei servizi forniti dagli enti appartenenti al settore dell'infrastruttura digitale agli enti critici appartenenti a tutti gli altri settori, gli Stati membri dovrebbero identificare, sulla base dei criteri e utilizzando la procedura stabiliti nella presente direttiva, gli enti appartenenti al settore dell'infrastruttura digitale come enti critici. Di conseguenza, dovrebbero applicarsi le strategie, le valutazioni del rischio degli Stati membri e le misure di sostegno stabilite nel capo II della presente direttiva. Gli Stati membri dovrebbero essere in grado di adottare o mantenere disposizioni di diritto nazionale per raggiungere un livello pi\u00f9 elevato di resilienza per tali enti critici, a condizione che tali disposizioni siano coerenti con il diritto dell'Unione applicabile.<\/p>\n\n\n\n

(21) La normativa dell\u2019Unione in materia di servizi finanziari stabilisce requisiti completi per le entit\u00e0 finanziarie al fine di gestire tutti i rischi da esse affrontati, inclusi i rischi operativi, e garantire la continuit\u00e0 operativa. Tale normativa comprende i Regolamenti (UE) n. 648\/2012 (8), (UE) n. 575\/2013 (9) e (UE) n. 600\/2014 (10) del Parlamento europeo e del Consiglio e le Direttive 2013\/36\/UE (11) e 2014\/65\/UE (12) del Parlamento europeo e del Consiglio. Tale quadro giuridico \u00e8 integrato dal Regolamento (UE) 2022\/2554 del Parlamento europeo e del Consiglio (13), che stabilisce i requisiti applicabili alle entit\u00e0 finanziarie per la gestione dei rischi di tecnologie dell\u2019informazione e della comunicazione (TIC), anche per quanto riguarda la protezione dell\u2019infrastruttura TIC fisica. Poich\u00e9 la resilienza di tali entit\u00e0 \u00e8 pertanto pienamente disciplinata, l\u2019articolo 11 e i capi III, IV e VI della presente direttiva non dovrebbero applicarsi a tali entit\u00e0 al fine di evitare duplicazioni e oneri amministrativi non necessari.<\/p>\n\n\n\n

Tuttavia, considerando l'importanza dei servizi forniti da entit\u00e0 del settore finanziario a entit\u00e0 essenziali appartenenti a tutti gli altri settori, gli Stati membri dovrebbero identificare, sulla base dei criteri e utilizzando la procedura previsti dalla presente direttiva, le entit\u00e0 del settore finanziario come entit\u00e0 essenziali. Di conseguenza, dovrebbero applicarsi le strategie, le valutazioni del rischio dello Stato membro e le misure di sostegno di cui al capo II della presente direttiva. Gli Stati membri dovrebbero poter adottare o mantenere disposizioni di diritto nazionale per raggiungere un livello superiore di resilienza per tali entit\u00e0 essenziali, a condizione che tali disposizioni siano compatibili con il diritto dell'Unione applicabile.<\/p>\n\n\n\n

(22) Gli Stati membri dovrebbero designare o istituire autorit\u00e0 competenti a vigilare sull'applicazione e, se del caso, a far rispettare le norme della presente direttiva, e dovrebbero garantire che tali autorit\u00e0 dispongano di poteri e risorse adeguati. Tenendo conto delle differenze nelle strutture di governance nazionali, al fine di salvaguardare gli accordi settoriali esistenti o gli organismi di vigilanza e regolamentazione dell'Unione e di evitare duplicazioni, gli Stati membri dovrebbero poter designare o istituire pi\u00f9 di un'autorit\u00e0 competente. Qualora gli Stati membri designino o istituiscano pi\u00f9 di un'autorit\u00e0 competente, dovrebbero definire chiaramente i rispettivi compiti delle autorit\u00e0 interessate e garantire la loro cooperazione fluida ed efficace. Tutte le autorit\u00e0 competenti dovrebbero inoltre cooperare in termini pi\u00f9 generali con altre autorit\u00e0 pertinenti, sia a livello dell'Unione che nazionale.<\/p>\n\n\n\n

(23) Al fine di agevolare la cooperazione e la comunicazione transfrontaliere e di consentire l'attuazione efficace della presente direttiva, ogni Stato membro dovrebbe designare un unico punto di contatto responsabile del coordinamento delle questioni relative alla resilienza delle entit\u00e0 critiche e alla cooperazione transfrontaliera a livello dell'Unione (\u2018punto di contatto unico\u2019), ove opportuno nell'ambito di un'autorit\u00e0 competente, fatte salve le prescrizioni degli atti giuridici dell'Unione specifici per settore. Ogni punto di contatto unico dovrebbe stabilire collegamenti e coordinare la comunicazione, ove opportuno, con le autorit\u00e0 competenti del proprio Stato membro, con i punti di contatto unici degli altri Stati membri e con il gruppo per la resilienza delle entit\u00e0 critiche.<\/p>\n\n\n\n

(24) Le autorit\u00e0 competenti ai sensi della presente direttiva e le autorit\u00e0 competenti ai sensi della direttiva (UE) 2022\/2555 dovrebbero cooperare e scambiare informazioni in relazione ai rischi informatici, alle minacce informatiche e agli incidenti informatici e ai rischi, minacce e incidenti non informatici che interessano le entit\u00e0 critiche, nonch\u00e9 in relazione alle misure pertinenti adottate dalle autorit\u00e0 competenti ai sensi della presente direttiva e dalle autorit\u00e0 competenti ai sensi della direttiva (UE) 2022\/2555. \u00c8 importante che gli Stati membri garantiscano che i requisiti previsti dalla presente direttiva e dalla direttiva (UE) 2022\/2555 siano attuati in modo complementare e che le entit\u00e0 critiche non siano soggette a un onere amministrativo oltre a quello necessario per raggiungere gli obiettivi della presente direttiva e di detta direttiva.<\/p>\n\n\n\n

(25) Gli Stati membri dovrebbero sostenere le entit\u00e0 critiche, comprese quelle che rientrano nella definizione di piccole e medie imprese, nel rafforzare la loro resilienza, in conformit\u00e0 con gli obblighi degli Stati membri disposti dalla presente direttiva, fatte salve le responsabilit\u00e0 legali delle entit\u00e0 critiche stesse di garantire tale conformit\u00e0 e, cos\u00ec facendo, prevenire un onere amministrativo eccessivo. Gli Stati membri potrebbero, in particolare, elaborare materiale di orientamento e metodologie, sostenere l'organizzazione di esercitazioni per testare la resilienza delle entit\u00e0 critiche e fornire consulenza e formazione al personale delle entit\u00e0 critiche. Laddove necessario e giustificato da obiettivi di interesse pubblico, gli Stati membri potrebbero fornire risorse finanziarie e dovrebbero facilitare la condivisione volontaria di informazioni e lo scambio di buone pratiche tra le entit\u00e0 critiche, fatte salve le norme sulla concorrenza stabilite dal Trattato sul funzionamento dell'Unione europea (TFUE).<\/p>\n\n\n\n

(26) Allo scopo di rafforzare la resilienza degli enti essenziali individuati dagli Stati membri e di ridurre l'onere amministrativo a carico di tali enti essenziali, le autorit\u00e0 competenti dovrebbero consultarsi reciprocamente, ove opportuno, al fine di garantire l'applicazione coerente della presente direttiva. Tali consultazioni dovrebbero essere avviate su richiesta di qualsiasi autorit\u00e0 competente interessata e dovrebbero concentrarsi sulla garanzia di un approccio convergente per quanto riguarda gli enti essenziali interconnessi che utilizzano infrastrutture critiche fisicamente collegate tra due o pi\u00f9 Stati membri, che appartengono allo stesso gruppo o struttura societaria, o che sono stati individuati in uno Stato membro e forniscono servizi essenziali ad altri Stati membri o al loro interno.<\/p>\n\n\n\n

(27) Laddove le disposizioni del diritto dell'Unione o nazionale richiedano alle entit\u00e0 critiche di valutare i rischi pertinenti ai fini della presente direttiva e di adottare misure per garantirne la resilienza, tali requisiti dovrebbero essere adeguatamente considerati ai fini della vigilanza sulla conformit\u00e0 delle entit\u00e0 critiche alla presente direttiva.<\/p>\n\n\n\n

(28) Le entit\u00e0 critiche dovrebbero avere una comprensione completa dei rischi pertinenti a cui sono esposte e un obbligo di analizzare tali rischi. A tal fine, dovrebbero effettuare valutazioni del rischio ogni volta che sia necessario, in considerazione delle loro particolari circostanze e dell'evoluzione di tali rischi e, in ogni caso, ogni quattro anni, al fine di valutare tutti i rischi pertinenti che potrebbero interrompere la fornitura dei loro servizi essenziali (\u2018valutazione del rischio dell'entit\u00e0 critica\u2019). Qualora le entit\u00e0 critiche abbiano effettuato altre valutazioni del rischio o abbiano redatto documenti ai sensi di obblighi stabiliti in altri atti giuridici pertinenti per la loro valutazione del rischio dell'entit\u00e0 critica, dovrebbero poter utilizzare tali valutazioni e documenti per soddisfare i requisiti stabiliti nella presente direttiva relativi alle valutazioni del rischio dell'entit\u00e0 critica. Un'autorit\u00e0 competente dovrebbe poter dichiarare che una valutazione del rischio esistente effettuata da un'entit\u00e0 critica che affronta i rischi pertinenti e il pertinente grado di dipendenza \u00e8 conforme, in tutto o in parte, agli obblighi stabiliti nella presente direttiva.<\/p>\n\n\n\n

(29) Gli enti critici dovrebbero adottare misure tecniche, di sicurezza e organizzative adeguate e proporzionate ai rischi cui sono esposti, al fine di prevenire, proteggersi, reagire, resistere, mitigare, assorbire, adattarsi e riprendersi da un incidente. Sebbene gli enti critici debbano adottare tali misure in conformit\u00e0 alla presente direttiva, i dettagli e la portata di tali misure dovrebbero riflettere i diversi rischi che ciascun ente critico ha individuato nell\u2019ambito della propria valutazione dei rischi, nonch\u00e9 le specificit\u00e0 di tale ente in modo adeguato e proporzionato. Per promuovere un approccio coerente a livello dell\u2019Unione, la Commissione dovrebbe, previa consultazione del gruppo sulla resilienza degli enti critici, adottare orientamenti non vincolanti per specificare ulteriormente tali misure tecniche, di sicurezza e organizzative. Gli Stati membri dovrebbero garantire che ogni entit\u00e0 critica designi un funzionario di collegamento o un equivalente quale punto di contatto con le autorit\u00e0 competenti.<\/p>\n\n\n\n

(30) Ai fini dell'efficacia e della responsabilit\u00e0, le entit\u00e0 critiche dovrebbero descrivere le misure che adottano, con un livello di dettaglio sufficiente a raggiungere gli obiettivi di efficacia e responsabilit\u00e0, tenendo conto dei rischi identificati, in un piano di resilienza o in un documento o documenti equivalenti a un piano di resilienza, e applicare tale piano nella pratica. Laddove un'entit\u00e0 critica abbia gi\u00e0 adottato misure tecniche, di sicurezza e organizzative e redatto documenti ai sensi di altri atti giuridici pertinenti per le misure di potenziamento della resilienza di cui alla presente direttiva, dovrebbe essere in grado, al fine di evitare duplicazioni, di utilizzare tali misure e documenti per soddisfare i requisiti relativi alle misure di resilienza ai sensi della presente direttiva. Al fine di evitare duplicazioni, un'autorit\u00e0 competente dovrebbe essere in grado di dichiarare le misure di resilienza esistenti adottate da un'entit\u00e0 critica che affrontano il suo obbligo di adottare misure tecniche, di sicurezza e organizzative ai sensi della presente direttiva conformi, in tutto o in parte, ai requisiti della presente direttiva.<\/p>\n\n\n\n

(31) I regolamenti (CE) n. 725\/2004 (14) e (CE) n. 300\/2008 (15) del Parlamento europeo e del Consiglio e la direttiva 2005\/65\/CE del Parlamento europeo e del Consiglio (16) stabiliscono requisiti applicabili agli enti nei settori del trasporto aereo e marittimo per prevenire incidenti causati da atti illeciti e per resistere e mitigare le conseguenze di tali incidenti. Sebbene le misure richieste dalla presente direttiva siano pi\u00f9 ampie in termini di rischi affrontati e tipi di misure da adottare, gli enti critici in tali settori dovrebbero riflettere nel loro piano di resilienza o documenti equivalenti le misure adottate in forza di tali altri atti giuridici dell'Unione. Gli enti critici devono inoltre tenere conto della direttiva 2008\/96\/CE del Parlamento europeo e del Consiglio (17), che introduce una valutazione delle strade a livello di rete per mappare il rischio di incidenti e un'ispezione mirata della sicurezza stradale per identificare condizioni pericolose, difetti e problemi che aumentano il rischio di incidenti e lesioni, sulla base di visite in loco di strade esistenti o sezioni di strade. Garantire la protezione e la resilienza degli enti critici \u00e8 di estrema importanza per il settore ferroviario e, nell'attuazione delle misure di resilienza ai sensi della presente direttiva, gli enti critici sono incoraggiati a fare riferimento a documenti di orientamento non vincolanti e di buone pratiche elaborati nell'ambito di flussi di lavoro settoriali, come la Piattaforma europea per la sicurezza dei passeggeri ferroviari istituita dalla decisione 2018\/C 232\/03 della Commissione (18).<\/p>\n\n\n\n

(32) Il rischio che i dipendenti di entit\u00e0 critiche o i loro appaltatori abusino, ad esempio, dei loro diritti di accesso all'interno dell'organizzazione dell'entit\u00e0 critica per arrecare danno e causare danni \u00e8 motivo di crescente preoccupazione. Gli Stati membri dovrebbero pertanto specificare le condizioni alle quali le entit\u00e0 critiche sono autorizzate, in casi debitamente motivati e tenendo conto delle valutazioni del rischio degli Stati membri, a presentare richieste di controlli pregressi sulle persone appartenenti a specifiche categorie del loro personale. Dovrebbe essere garantito che le autorit\u00e0 competenti esaminino tali richieste entro un termine ragionevole e le elaborino in conformit\u00e0 con la legislazione e le procedure nazionali e con la normativa dell'Unione pertinente e applicabile, anche in materia di protezione dei dati personali. Al fine di comprovare l'identit\u00e0 di una persona oggetto di un controllo pregresso, \u00e8 opportuno che gli Stati membri richiedano una prova di identit\u00e0, come un passaporto, una carta d'identit\u00e0 nazionale o una forma di identificazione digitale, in conformit\u00e0 con la legislazione applicabile.<\/p>\n\n\n\n

I controlli dei precedenti personali dovrebbero comprendere una verifica dei precedenti penali dell'interessato. Gli Stati membri dovrebbero avvalersi del sistema europeo di informazione sui casellari giudiziari in conformit\u00e0 con le procedure stabilite nella decisione quadro 2009\/315\/GAI del Consiglio (19) e, ove pertinente e applicabile, nel regolamento (UE) 2019\/816 del Parlamento europeo e del Consiglio (20) al fine di ottenere informazioni dai casellari giudiziari detenuti da altri Stati membri. Gli Stati membri potrebbero inoltre, ove pertinente e applicabile, avvalersi del Sistema d\u2019informazione Schengen di seconda generazione (SIS II) istituito dal regolamento (UE) 2018\/1862 del Parlamento europeo e del Consiglio (21), di informazioni di intelligence e di qualsiasi altra informazione oggettiva disponibile che possa essere necessaria per determinare l\u2019idoneit\u00e0 della persona interessata a ricoprire la posizione in relazione alla quale l\u2019entit\u00e0 critica ha richiesto un controllo dei precedenti.<\/p>\n\n\n\n

(33) Dovrebbe essere istituito un meccanismo di notifica di determinati incidenti per consentire alle autorit\u00e0 competenti di rispondere agli incidenti in modo rapido e adeguato e di avere una visione d'insieme completa dell'impatto, della natura, della causa e delle possibili conseguenze degli incidenti con cui hanno a che fare le entit\u00e0 critiche. Le entit\u00e0 critiche dovrebbero notificare, senza indebito ritardo, alle autorit\u00e0 competenti gli incidenti che interrompono significativamente o hanno il potenziale di interrompere significativamente la prestazione dei servizi essenziali. Salvo impossibilit\u00e0 operativa, le entit\u00e0 critiche dovrebbero presentare una notifica iniziale entro e non oltre 24 ore da quando sono venute a conoscenza di un incidente. La notifica iniziale dovrebbe includere solo le informazioni strettamente necessarie per informare l'autorit\u00e0 competente dell'incidente e per consentire all'entit\u00e0 critica di richiedere assistenza, se necessario. Tale notifica dovrebbe indicare, ove possibile, la causa presunta dell'incidente. Gli Stati membri dovrebbero garantire che l'obbligo di presentare tale notifica iniziale non distolga le risorse dell'entit\u00e0 critica dalle attivit\u00e0 correlate a gestione degli incidentiGestione degli incidenti<\/span> Si intende qualsiasi azione e procedura volta a prevenire, rilevare, analizzare e contenere o a rispondere e recuperare da un incidente -. Definizione ai sensi dell'articolo 6 della direttiva (UE) 2022\/2555 (direttiva NIS2)<\/a><\/span><\/span><\/span>, che dovrebbe essere presa in priorit\u00e0. La notifica iniziale dovrebbe essere seguita, ove pertinente, da una relazione dettagliata entro e non oltre un mese dall'incidente. La relazione dettagliata dovrebbe integrare la notifica iniziale e fornire una panoramica pi\u00f9 completa dell'incidente.<\/p>\n\n\n\n

(34) La standardizzazione dovrebbe rimanere principalmente un processo guidato dal mercato. Tuttavia, potrebbero ancora esserci situazioni in cui sia opportuno richiedere la conformit\u00e0 a norme specifiche. Gli Stati membri dovrebbero, ove utile, incoraggiare l'uso di norme e specifiche tecniche europee e internazionali pertinenti alle misure di sicurezza e resilienza applicabili alle entit\u00e0 critiche.<\/p>\n\n\n\n

(35) Mentre le entit\u00e0 critiche operano generalmente nell'ambito di una rete sempre pi\u00f9 interconnessa di prestazione di servizi e infrastrutture e forniscono spesso servizi essenziali in pi\u00f9 di uno Stato membro, alcune di tali entit\u00e0 critiche rivestono particolare importanza per l'Unione e il suo mercato interno poich\u00e9 forniscono servizi essenziali a o in sei o pi\u00f9 Stati membri e potrebbero pertanto beneficiare di un sostegno specifico a livello dell'Unione. Dovrebbero quindi essere stabilite norme in materia di missioni di consulenza relative a tali entit\u00e0 critiche di particolare importanza europea. Tali norme sono fatte salve le norme in materia di vigilanza e attuazione di cui alla presente direttiva.<\/p>\n\n\n\n

(36) Su richiesta motivata della Commissione o di uno o pi\u00f9 Stati membri in cui viene fornito il servizio essenziale, qualora siano necessarie ulteriori informazioni per poter fornire consulenza a un'entit\u00e0 critica nel rispetto degli obblighi derivanti dalla presente direttiva o per valutare il rispetto di tali obblighi da parte di un'entit\u00e0 di particolare rilevanza europea, lo Stato membro che ha identificato un'entit\u00e0 di particolare rilevanza europea come entit\u00e0 critica dovrebbe fornire alla Commissione determinate informazioni di cui alla presente direttiva. Di concerto con lo Stato membro che ha identificato l'entit\u00e0 di particolare rilevanza europea come entit\u00e0 critica, la Commissione dovrebbe poter organizzare una missione di consulenza per valutare le misure adottate da tale entit\u00e0. Per garantire che tali missioni di consulenza siano condotte correttamente, dovrebbero essere stabilite norme complementari, in particolare sull'organizzazione e lo svolgimento delle missioni di consulenza, sulle azioni di follow-up da intraprendere e sugli obblighi per le entit\u00e0 critiche di particolare rilevanza europea interessate. La missione di consulenza dovrebbe svolgersi, fatte salve le esigenze dello Stato membro in cui si svolge la missione di consulenza e dell'entit\u00e0 critica interessata di conformarsi alle norme stabilite nella presente direttiva, conformemente alle norme di dettaglio del diritto di tale Stato membro, ad esempio per quanto riguarda le condizioni precise da soddisfare per ottenere l'accesso ai locali o ai documenti pertinenti e i ricorsi giurisdizionali. Sulle competenze specifiche richieste per tali missioni di consulenza si potrebbe, ove opportuno, richiedere assistenza tramite il Centro di coordinamento della risposta alle emergenze istituito dalla decisione n. 1313\/2013\/UE del Parlamento europeo e del Consiglio (22).<\/p>\n\n\n\n

(37) Per supportare la Commissione e facilitare la cooperazione tra gli Stati membri e lo scambio di informazioni, comprese le migliori pratiche, su questioni relative alla presente direttiva, dovrebbe essere istituito un gruppo di esperti della Commissione, denominato \"Gruppo per la resilienza delle entit\u00e0 critiche\". Gli Stati membri dovrebbero impegnarsi a garantire che i rappresentanti designati dalle loro autorit\u00e0 competenti nel Gruppo per la resilienza delle entit\u00e0 critiche cooperino in modo efficace ed efficiente, anche designando, ove opportuno, rappresentanti in possesso di un nulla osta di sicurezza. Il Gruppo per la resilienza delle entit\u00e0 critiche dovrebbe iniziare a svolgere i propri compiti il prima possibile, al fine di fornire mezzi aggiuntivi per un'adeguata cooperazione durante il periodo di recepimento della presente direttiva. Il Gruppo per la resilienza delle entit\u00e0 critiche dovrebbe interagire con altri gruppi di lavoro di esperti pertinenti specifici per settore.<\/p>\n\n\n\n

(38) Il gruppo per la resilienza delle entit\u00e0 critiche dovrebbe cooperare con il gruppo di cooperazione istituito ai sensi della direttiva (UE) 2022\/2555, al fine di sostenere un quadro completo per la resilienza cibernetica e non cibernetica delle entit\u00e0 critiche. Il gruppo per la resilienza delle entit\u00e0 critiche e il gruppo di cooperazione istituito ai sensi della direttiva (UE) 2022\/2555 dovrebbero instaurare un dialogo regolare per promuovere la cooperazione tra le autorit\u00e0 competenti ai sensi della presente direttiva e le autorit\u00e0 competenti ai sensi della direttiva (UE) 2022\/2555 e per facilitare lo scambio di informazioni, in particolare su temi di rilevanza per entrambi i gruppi.<\/p>\n\n\n\n

(39) Per raggiungere gli obiettivi della presente direttiva e fermo restando l'obbligo giuridico degli Stati membri e delle entit\u00e0 critiche di garantire il rispetto dei rispettivi obblighi ad essi imposti dalla presente, la Commissione, qualora lo ritenga opportuno, dovrebbe sostenere le autorit\u00e0 competenti e le entit\u00e0 critiche al fine di agevolare il rispetto dei rispettivi obblighi. Nel fornire sostegno agli Stati membri e alle entit\u00e0 critiche nell'attuazione degli obblighi derivanti dalla presente direttiva, la Commissione dovrebbe basarsi su strutture e strumenti esistenti, quali quelli previsti dal meccanismo unionale di protezione civile, istituito dalla decisione n. 1313\/2013\/UE, e dalla rete europea di riferimento per la protezione delle infrastrutture critiche. Inoltre, dovrebbe informare gli Stati membri riguardo alle risorse disponibili a livello dell'Unione, quali quelle nel quadro del Fondo per la sicurezza interna, istituito dal regolamento (UE) 2021\/1149 del Parlamento europeo e del Consiglio (23), di Orizzonte Europa, istituito dal regolamento (UE) 2021\/695 del Parlamento europeo e del Consiglio (24), o di altri strumenti pertinenti per la resilienza delle entit\u00e0 critiche.<\/p>\n\n\n\n

(40) Gli Stati membri dovrebbero garantire che le loro autorit\u00e0 competenti dispongano di determinati poteri specifici per la corretta applicazione e l'attuazione della presente direttiva nei confronti delle entit\u00e0 critiche, laddove tali entit\u00e0 ricadano sotto la loro giurisdizione come specificato nella presente direttiva. Tali poteri dovrebbero includere, in particolare, il potere di condurre ispezioni e audit, il potere di vigilare, il potere di richiedere alle entit\u00e0 critiche di fornire informazioni e prove relative alle misure da esse adottate per adempiere ai propri obblighi e, ove necessario, il potere di emettere ingiunzioni per rimediare alle violazioni accertate. Nell'emettere tali ingiunzioni, gli Stati membri non dovrebbero imporre misure che vadano oltre quanto necessario e proporzionato per garantire la conformit\u00e0 dell'entit\u00e0 critica in questione, tenendo conto, in particolare, della gravit\u00e0 della violazione e della capacit\u00e0 economica dell'entit\u00e0 critica in questione. Pi\u00f9 in generale, tali poteri dovrebbero essere corredati da garanzie appropriate ed efficaci da specificare nel diritto nazionale in conformit\u00e0 con la Carta dei diritti fondamentali dell'Unione europea. Nel valutare la conformit\u00e0 di un'entit\u00e0 critica con i propri obblighi stabiliti nella presente direttiva, le autorit\u00e0 competenti ai sensi della presente direttiva dovrebbero essere in grado di chiedere alle autorit\u00e0 competenti ai sensi della direttiva (UE) 2022\/2555 di esercitare i propri poteri di vigilanza e attuazione nei confronti di un'entit\u00e0 soggetta a tale direttiva che sia stata identificata come entit\u00e0 critica ai sensi della presente direttiva. Le autorit\u00e0 competenti ai sensi della presente direttiva e le autorit\u00e0 competenti ai sensi della direttiva (UE) 2022\/2555 dovrebbero cooperare e scambiarsi informazioni a tal fine.<\/p>\n\n\n\n

(41) Al fine di applicare la presente direttiva in modo efficace e coerente, il potere di adottare atti conformemente all'articolo 290 TFUE dovrebbe essere delegato alla Commissione per integrare la presente direttiva elaborando un elenco di servizi essenziali. Tale elenco dovrebbe essere utilizzato dalle autorit\u00e0 competenti ai fini della conduzione delle valutazioni del rischio degli Stati membri e dell'individuazione delle entit\u00e0 critiche ai sensi della presente direttiva. Alla luce dell'approccio di armonizzazione minima della presente direttiva, tale elenco \u00e8 non esaustivo e gli Stati membri potrebbero integrarlo con ulteriori servizi essenziali a livello nazionale al fine di tenere conto delle specificit\u00e0 nazionali nella fornitura di servizi essenziali. \u00c8 di particolare importanza che la Commissione svolga consultazioni appropriate durante i suoi lavori preparatori, anche a livello di esperti, e che tali consultazioni siano condotte in conformit\u00e0 dei principi stabiliti nell'accordo interistituzionale del 13 aprile 2016 sulla migliore legislazione (25). In particolare, per garantire la parit\u00e0 di partecipazione alla preparazione degli atti delegati, il Parlamento europeo e il Consiglio ricevono tutti i documenti contemporaneamente agli esperti degli Stati membri, e i loro esperti hanno sistematicamente accesso alle riunioni dei gruppi di esperti della Commissione che si occupano della preparazione degli atti delegati.<\/p>\n\n\n\n

(42) Al fine di garantire condizioni uniformi per l'attuazione della presente direttiva, occorre conferire alla Commissione poteri di esecuzione. Tali poteri dovrebbero essere esercitati conformemente al regolamento (UE) n. 182\/2011 del Parlamento europeo e del Consiglio (26).<\/p>\n\n\n\n

(43) Poich\u00e9 gli obiettivi della presente direttiva, ovvero garantire che i servizi essenziali per il mantenimento delle funzioni vitali della societ\u00e0 o delle attivit\u00e0 economiche siano forniti senza ostacoli nel mercato interno e migliorare la resilienza delle entit\u00e0 critiche che forniscono tali servizi, non possono essere conseguiti in misura sufficiente dagli Stati membri, ma possono invece, in ragione degli effetti dell'azione, essere conseguiti meglio a livello dell'Unione, l'Unione pu\u00f2 adottare misure, conformemente al principio di sussidiariet\u00e0 sancito dall'articolo 5 del trattato sull'Unione europea. In conformit\u00e0 del principio di proporzionalit\u00e0 sancito dallo stesso articolo 5, la presente direttiva non va oltre quanto necessario per conseguire tali obiettivi.<\/p>\n\n\n\n

(44) Il Garante europeo della protezione dei dati \u00e8 stato consultato conformemente all'articolo 42, paragrafo 1, del regolamento (UE) 2018\/1725 del Parlamento europeo e del Consiglio (27) ed ha espresso un parere l'11 agosto 2021.<\/p>\n\n\n\n

(45) La direttiva 2008\/114\/CE dovrebbe quindi essere abrogata,<\/p>\n\n\n\n

HANNO ADOTTATO LA SEGUENTE DIRETTIVA:<\/p>\n\n\n\n

<\/p>","protected":false},"excerpt":{"rendered":"

Whereas: (1) Critical entities, as providers of essential services, play an indispensable role in the maintenance of vital societal functions or economic activities in the internal market in an increasingly interdependent Union economy. It is therefore essential to set out a Union framework with the aim of both enhancing the resilience of critical entities in […]<\/p>\n","protected":false},"author":1,"featured_media":0,"parent":963,"menu_order":0,"comment_status":"closed","ping_status":"closed","template":"","meta":{"_gspb_post_css":".gspb_container-id-gsbp-b565ac4{flex-direction:column;box-sizing:border-box}#gspb_container-id-gsbp-b565ac4.gspb_container>p:last-of-type{margin-bottom:0}.gspb_container{position:relative}#gspb_container-id-gsbp-b565ac4.gspb_container{display:flex;flex-direction:column;align-items:center;margin-bottom:40px}@media (max-width:991.98px){#gspb_container-id-gsbp-b565ac4.gspb_container{margin-bottom:40px}}#gspb_heading-id-gsbp-d1b4c76{font-size:30px}@media (max-width:991.98px){#gspb_heading-id-gsbp-d1b4c76{font-size:30px}}@media (max-width:575.98px){#gspb_heading-id-gsbp-d1b4c76{font-size:25px}}#gspb_heading-id-gsbp-d1b4c76,#gspb_heading-id-gsbp-d1b4c76 .gsap-g-line,.gspb_text-id-gsbp-2c13756,.gspb_text-id-gsbp-2c13756 .gsap-g-line{text-align:center!important}#gspb_heading-id-gsbp-d1b4c76{margin-top:0;margin-bottom:10px}.gspb_text-id-gsbp-2c13756{max-width:800px}","footnotes":""},"class_list":["post-974","page","type-page","status-publish","hentry"],"blocksy_meta":{"has_hero_section":"enabled","styles_descriptor":{"styles":{"desktop":"[data-prefix=\"single_page\"] .entry-header .page-title {--theme-font-size:30px;} [data-prefix=\"single_page\"] .entry-header .entry-meta {--theme-font-weight:600;--theme-text-transform:uppercase;--theme-font-size:12px;--theme-line-height:1.3;}","tablet":"","mobile":""},"google_fonts":[],"version":6},"vertical_spacing_source":"custom","content_area_spacing":"none","page_structure_type":"type-2","hero_elements":[{"id":"custom_title","enabled":true,"heading_tag":"h1","title":"Casa","__id":"zUAv84-iCqwWhwHz_7eMU"},{"id":"custom_description","enabled":false,"description_visibility":{"desktop":true,"tablet":true,"mobile":false},"__id":"q0z81OBwVS1eiBNwQJZ31"},{"id":"custom_meta","enabled":false,"meta_elements":[{"id":"author","enabled":true,"label":"By","has_author_avatar":"yes","avatar_size":25},{"id":"post_date","enabled":true,"label":"On","date_format_source":"default","date_format":"M j, Y"},{"id":"updated_date","enabled":false,"label":"On","date_format_source":"default","date_format":"M j, Y"},{"id":"categories","enabled":false,"label":"In","style":"simple"},{"id":"comments","enabled":true}],"page_meta_elements":{"joined":true,"articles_count":true,"comments":true},"__id":"908KnW1IQtQMH2CkUzVag"},{"id":"breadcrumbs","enabled":true,"__id":"gyh2MB_UdPumL0ReCyfHv"},{"id":"content-block","enabled":false,"__id":"RhhTfxRztIm-fh5C63-qH"}]},"_links":{"self":[{"href":"https:\/\/nis2resources.eu\/it\/wp-json\/wp\/v2\/pages\/974","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/nis2resources.eu\/it\/wp-json\/wp\/v2\/pages"}],"about":[{"href":"https:\/\/nis2resources.eu\/it\/wp-json\/wp\/v2\/types\/page"}],"author":[{"embeddable":true,"href":"https:\/\/nis2resources.eu\/it\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/nis2resources.eu\/it\/wp-json\/wp\/v2\/comments?post=974"}],"version-history":[{"count":0,"href":"https:\/\/nis2resources.eu\/it\/wp-json\/wp\/v2\/pages\/974\/revisions"}],"up":[{"embeddable":true,"href":"https:\/\/nis2resources.eu\/it\/wp-json\/wp\/v2\/pages\/963"}],"wp:attachment":[{"href":"https:\/\/nis2resources.eu\/it\/wp-json\/wp\/v2\/media?parent=974"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}