5c545ea3d0
Fase 1 - Asset Relevance Scoring NIS2 (GV.OC-04): metodologia 0-100 a 6 criteri, AssetScoringService + endpoint scoringGrid/score/relevantSystems + UI assets.html + registro stampabile. Fase 2 - Tassonomia incidenti Determina ACN 164179/2025: IS-1..4 + regime essenziale/importante (Allegati 3/4). Fase 3 - Post-Incident Review (5-Whys) + metriche TTD/TTC/TTR + timestamp di fase. Fase 4 - Mapping NIST CSF 2.0 (43 controlli) reference-only. Fonti certe: registry config/nis2_sources.php + grounding AI (vieta riferimenti inventati) + citazioni help.js + ingest PDF normativi nella KB RAG (scripts/ingest-nis2-sources.php). Migrazioni 020/021/022 (additive idempotenti). Fix VectorService IP Qdrant (drift .5->.3). Analisi concorrenza Evix (docs/EVIX_ANALISI_CONCORRENZA.html, gap-driven). Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
2267 lines
137 KiB
Plaintext
2267 lines
137 KiB
Plaintext
L 333/164
|
||
|
||
IT
|
||
|
||
Gazzetta ufficiale dell’Unione europea
|
||
|
||
27.12.2022
|
||
|
||
DIRETTIVA (UE) 2022/2557 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO
|
||
del 14 dicembre 2022
|
||
del Parlamento europeo e del Consiglio relativa alla resilienza dei soggetti critici e che abroga la
|
||
direttiva 2008/114/CE del Consiglio
|
||
(Testo rilevante ai fini del SEE)
|
||
|
||
IL PARLAMENTO EUROPEO E IL CONSIGLIO DELL’UNIONE EUROPEA,
|
||
|
||
visto il trattato sul funzionamento dell’Unione europea, in particolare l’articolo 114,
|
||
|
||
vista la proposta della Commissione europea,
|
||
|
||
previa trasmissione del progetto di atto legislativo ai parlamenti nazionali,
|
||
|
||
visto il parere del Comitato economico e sociale europeo (1),
|
||
|
||
visto il parere del Comitato delle regioni (2),
|
||
|
||
deliberando secondo la procedura legislativa ordinaria (3),
|
||
|
||
considerando quanto segue:
|
||
|
||
(1)
|
||
|
||
In quanto fornitori di servizi essenziali, i soggetti critici svolgono un ruolo indispensabile per il mantenimento di
|
||
funzioni vitali della società o di attività economiche nel mercato interno in un’economia dell’Unione sempre più
|
||
interdipendente. È pertanto essenziale definire un quadro a livello dell’Unione volto sia a rafforzare la resilienza dei
|
||
soggetti critici nel mercato interno, stabilendo norme minime armonizzate, sia ad assistere tali soggetti mediante
|
||
misure di sostegno e vigilanza coerenti e dedicate.
|
||
|
||
(2)
|
||
|
||
La direttiva 2008/114/CE del Consiglio (4) stabilisce una procedura di designazione delle infrastrutture critiche
|
||
europee nei settori dell’energia e dei trasporti, il cui danneggiamento o la cui distruzione avrebbe un significativo
|
||
impatto transfrontaliero su almeno due Stati membri. Tale direttiva si incentra esclusivamente sulla protezione di
|
||
tali infrastrutture. La valutazione di tale direttiva, svolta nel 2019, ha riscontrato tuttavia che, dato il carattere
|
||
sempre più interconnesso e transfrontaliero delle operazioni effettuate utilizzando infrastrutture critiche, le misure
|
||
di protezione riguardanti solo singole strutture non sono sufficienti per evitare il verificarsi di perturbazioni. È
|
||
quindi necessario modificare l’approccio applicato per garantire che si tenga maggiormente conto dei rischi, che il
|
||
ruolo e i compiti dei soggetti critici quali fornitori di servizi essenziali per il funzionamento del mercato interno
|
||
|
||
(1) GU C 286 del 16.7.2021, pag. 170.
|
||
(2) GU C 440 del 29.10.2021, pag. 99.
|
||
(3) Posizione del Parlamento europeo del 22 novembre 2022 (non ancora pubblicata nella Gazzetta Ufficiale) e decisione del Consiglio
|
||
dell’8 dicembre 2022.
|
||
(4) Direttiva 2008/114/CE del Consiglio, dell’8 dicembre 2008, relativa all’individuazione e alla designazione delle infrastrutture critiche
|
||
europee e alla valutazione della necessità di migliorarne la protezione (GU L 345 del 23.12.2008, pag. 75).
|
||
|
||
27.12.2022
|
||
|
||
IT
|
||
|
||
Gazzetta ufficiale dell’Unione europea
|
||
|
||
L 333/165
|
||
|
||
siano meglio definiti e coerenti, e che siano adottate norme a livello dell’Unione per rafforzare la resilienza di tali
|
||
soggetti. I soggetti critici dovrebbero essere in grado di rafforzare la loro capacità di prevenire, proteggere,
|
||
rispondere, resistere, mitigare, assorbire, adattarsi e ripristinare le proprie capacità operative a seguito di incidenti
|
||
che possono perturbare la fornitura di servizi essenziali.
|
||
|
||
(3)
|
||
|
||
Sebbene una serie di misure esistenti a livello dell’Unione, quali il Programma europeo per la protezione delle
|
||
infrastrutture critiche, e a livello nazionale miri a sostenere la protezione delle infrastrutture critiche nell’Unione, si
|
||
dovrebbe fare di più affinché i soggetti che gestiscono tali infrastrutture siano meglio preparati ad affrontare i rischi
|
||
per la loro operatività, che potrebbero portare alla perturbazione della fornitura di servizi essenziali. Si dovrebbe
|
||
fare di più affinché i soggetti che gestiscono tali infrastrutture siano meglio preparati a un panorama delle sfide
|
||
dinamico, che comprende minacce ibride e terroristiche in evoluzione e crescenti interdipendenze fra infrastruttura
|
||
e settori. Inoltre, vi è un aumento del rischio fisico dovuto alle catastrofi naturali e ai cambiamenti climatici, che
|
||
intensifica la frequenza e la portata degli eventi meteorologici estremi e comporta cambiamenti a lungo termine
|
||
delle condizioni climatiche medie che possono ridurre la capacità, l’efficienza e la durata operativa di alcuni tipi di
|
||
infrastrutture se non sono in atto misure di adattamento ai cambiamenti climatici. Inoltre, il mercato interno è
|
||
caratterizzato da una frammentazione per quanto riguarda l’individuazione dei soggetti critici, in quanto i settori e
|
||
le categorie di soggetti rilevanti non sono riconosciuti come critici in modo coerente in tutti gli Stati membri. La
|
||
presente direttiva dovrebbe pertanto raggiungere un solido livello di armonizzazione in termini di settori e
|
||
categorie di soggetti che rientrano nel suo ambito di applicazione.
|
||
|
||
(4)
|
||
|
||
Determinati settori dell’economia, come l’energia e i trasporti, sono già regolamentati da atti giuridici settoriali
|
||
dell’Unione, ma tali atti giuridici dell’Unione disciplinano unicamente determinati aspetti della resilienza dei soggetti
|
||
che operano nell’ambito di tali settori. Per affrontare in modo globale la resilienza dei soggetti critici ai fini del
|
||
corretto funzionamento del mercato interno, la presente direttiva crea un quadro generale per affrontare la
|
||
resilienza dei soggetti critici rispetto a tutti i rischi, naturali e di origine umana, accidentali e intenzionali.
|
||
|
||
(5)
|
||
|
||
Le crescenti interdipendenze tra infrastruttura e settori sono il risultato di una rete di fornitura di servizi sempre più
|
||
transfrontaliera e interconnessa, che utilizza infrastrutture essenziali in tutta l’Unione nei settori dell’energia, dei
|
||
trasporti, bancario, delle acque potabili, delle acque reflue, della produzione, trasformazione e distribuzione di
|
||
alimenti, della sanità, dello spazio, delle infrastrutture dei mercati finanziari e delle infrastrutture digitali, e di
|
||
determinati aspetti della pubblica amministrazione. Il settore spaziale rientra nell’ambito di applicazione della
|
||
presente direttiva per quanto riguarda la fornitura di determinati servizi che dipendono da infrastrutture di terra
|
||
possedute, gestite e utilizzate dagli Stati membri o da soggetti privati, pertanto le infrastrutture possedute, gestite o
|
||
utilizzate dall’Unione o per suo conto nell’ambito del suo programma spaziale non rientrano nell’ambito di
|
||
applicazione della presente direttiva.
|
||
|
||
In riferimento al settore energetico e, in particolare, ai metodi di produzione e trasmissione di energia elettrica (per
|
||
quanto riguarda la fornitura di energia elettrica), è inteso che, se ritenuto opportuno, la produzione di energia
|
||
elettrica può includere le componenti delle centrali nucleari destinate alla trasmissione di energia elettrica ma non
|
||
gli elementi specificamente nucleari disciplinati da trattati e dal diritto dell’Unione, compresi i pertinenti atti
|
||
giuridici dell’Unione relativi all’energia nucleare. Il processo di identificazione dei soggetti critici nel settore
|
||
alimentare dovrebbe rispecchiare adeguatamente la natura del mercato interno in tale settore e le disposizioni di
|
||
dettaglio dell’Unione relative ai principi e ai requisiti generali della normativa alimentare e della sicurezza
|
||
alimentare. Pertanto, al fine di assicurare che vi sia un approccio proporzionato e rispecchiare adeguatamente il
|
||
ruolo e l’importanza di tali soggetti a livello nazionale, tali soggetti critici dovrebbero essere identificati solo tra le
|
||
imprese alimentari, con o senza scopo di lucro, pubbliche o private, che operano esclusivamente nella logistica e
|
||
nella distribuzione all’ingrosso nonché nella produzione e trasformazione industriale su larga scala e che detengono
|
||
una quota di mercato significativa a livello nazionale. Tali interdipendenze implicano che qualsiasi perturbazione di
|
||
servizi essenziali, anche se inizialmente limitata a un soggetto o a un settore, possa avere effetti a cascata più ampi,
|
||
con potenziali ripercussioni negative di ampia portata e a lungo termine sulla fornitura di servizi in tutto il mercato
|
||
interno. Gravi crisi, come la pandemia di COVID-19, hanno mostrato la vulnerabilità delle nostre società sempre più
|
||
interdipendenti di fronte a rischi di bassa probabilità e impatto elevato.
|
||
|
||
L 333/166
|
||
|
||
IT
|
||
|
||
Gazzetta ufficiale dell’Unione europea
|
||
|
||
27.12.2022
|
||
|
||
(6)
|
||
|
||
I soggetti che intervengono nella fornitura di servizi essenziali devono sempre più spesso rispettare requisiti
|
||
divergenti imposti dal diritto nazionale. Il fatto che alcuni Stati membri prevedano per tali soggetti requisiti di
|
||
sicurezza meno rigorosi non solo determina diversi livelli di resilienza, ma rischia anche di incidere negativamente
|
||
sul mantenimento di funzioni vitali della società o di attività economiche nell’Unione e crea altresì ostacoli al
|
||
corretto funzionamento del mercato interno. Gli investitori e le imprese possono fare affidamento su soggetti critici
|
||
che sono resilienti e confidare in essi, in quanto l’affidabilità e la fiducia sono pietre angolari di un mercato interno
|
||
ben funzionante. Tipi di soggetti simili sono considerati critici da alcuni Stati membri ma non da altri, e quelli
|
||
individuati come critici devono soddisfare requisiti divergenti nei vari Stati membri. Ciò crea oneri amministrativi
|
||
supplementari e non necessari per le imprese che operano a livello transfrontaliero, in particolare per quelle attive
|
||
negli Stati membri con requisiti più rigorosi. Un quadro a livello di Unione determinerebbe quindi anche la
|
||
creazione di condizioni di parità per i soggetti critici in tutta l’Unione.
|
||
|
||
(7)
|
||
|
||
È necessario stabilire norme minime armonizzate per garantire la fornitura di servizi essenziali nel mercato interno,
|
||
aumentare la resilienza dei soggetti critici e migliorare la cooperazione transfrontaliera tra le autorità competenti. È
|
||
importante che tali norme siano adeguate alle esigenze future in termini di concezione e attuazione, consentendo al
|
||
contempo la necessaria flessibilità. È altresì fondamentale migliorare la capacità dei soggetti critici di fornire servizi
|
||
essenziali di fronte a una serie diversificata di rischi.
|
||
|
||
(8)
|
||
|
||
Per conseguire un livello elevato di resilienza, gli Stati membri dovrebbero individuare i soggetti critici che saranno
|
||
tenuti a soddisfare specifici requisiti, che saranno oggetto di vigilanza e che riceveranno anche particolare sostegno
|
||
e orientamento rispetto a tutti i rischi rilevanti.
|
||
|
||
(9)
|
||
|
||
Data l’importanza della cibersicurezza per la resilienza dei soggetti critici e a fini di congruenza, dovrebbe essere
|
||
assicurato, ogniqualvolta possibile, un approccio coerente fra la presente direttiva e la direttiva (UE) 2022/2555 del
|
||
Parlamento europeo e del Consiglio (5). Alla luce della maggiore frequenza e delle particolari caratteristiche dei
|
||
rischi informatici, la direttiva (UE) 2022/2555 impone a un’ampia gamma di soggetti requisiti dettagliati per
|
||
garantire la propria cibersicurezza. Dato che l’aspetto della cibersicurezza è trattato in modo sufficiente da tale
|
||
direttiva (UE) 2022/2555, le materie da essa disciplinate dovrebbero essere escluse dall’ambito di applicazione della
|
||
presente direttiva, fermo restando il particolare regime per i soggetti del settore delle infrastrutture digitali.
|
||
|
||
(10)
|
||
|
||
Qualora le disposizioni di atti giuridici settoriali dell’Unione impongano ai soggetti critici di adottare misure per
|
||
rafforzare la propria resilienza o di notificare gli incidenti, e qualora tali requisiti siano riconosciuti dagli Stati
|
||
membri come almeno equivalenti ai corrispondenti obblighi stabiliti dalla presente direttiva, le pertinenti
|
||
disposizioni della presente direttiva non dovrebbero applicarsi, in modo da evitare duplicazioni e oneri non
|
||
necessari. In tal caso dovrebbero applicarsi le pertinenti disposizioni di tali atti giuridici dell’Unione. Qualora non si
|
||
applichino le pertinenti disposizioni della presente direttiva, non dovrebbero applicarsi nemmeno le disposizioni di
|
||
cui alla presente direttiva in materia di vigilanza ed esecuzione.
|
||
|
||
(11)
|
||
|
||
La presente direttiva non incide sulle competenze degli Stati membri e delle loro autorità in termini di autonomia
|
||
amministrativa né sulla loro responsabilità di salvaguardare la sicurezza nazionale e la difesa o il loro potere di
|
||
salvaguardare altre funzioni essenziali dello Stato, in particolare per quanto riguarda la pubblica sicurezza,
|
||
l’integrità territoriale e il mantenimento dell’ordine pubblico. L’esclusione degli enti della pubblica amministrazione
|
||
dall’ambito di applicazione della presente direttiva dovrebbe applicarsi a enti le cui attività sono svolte
|
||
principalmente nei settori della sicurezza nazionale, della pubblica sicurezza, della difesa o dell’attività di contrasto,
|
||
compresi l’indagine, l’accertamento e il perseguimento di reati. Tuttavia gli enti della pubblica amministrazione le
|
||
cui attività sono connesse solo marginalmente a tali settori dovrebbero continuare a rientrare nell’ambito di
|
||
applicazione della presente direttiva. Ai fini della presente direttiva, i soggetti con competenze normative non sono
|
||
considerati quali operanti nel settore dell’attività di contrasto e non sono pertanto esclusi per tali motivi dall’ambito
|
||
di applicazione della presente direttiva. Gli enti della pubblica amministrazione istituiti congiuntamente con un
|
||
paese terzo in virtù di un accordo internazionale sono esclusi dall’ambito di applicazione della presente direttiva. La
|
||
presente direttiva non si applica alle missioni diplomatiche e consolari degli Stati membri nei paesi terzi.
|
||
|
||
(5) Direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativa a misure per un livello comune
|
||
elevato di cibersicurezza nell’Unione, che modifica il regolamento (UE) n. 910/2014 e la direttiva (UE) 2018/1972 e che abroga la
|
||
direttiva (UE) 2016/1148 (direttiva NIS 2) (cfr. pagina 80 della presente Gazzetta ufficiale).
|
||
|
||
27.12.2022
|
||
|
||
IT
|
||
|
||
Gazzetta ufficiale dell’Unione europea
|
||
|
||
L 333/167
|
||
|
||
Taluni soggetti critici operano nei settori della sicurezza nazionale, della pubblica sicurezza, della difesa o dell’attività
|
||
di contrasto, compresi l’indagine, l’accertamento e il perseguimento di reati, o forniscono servizi esclusivamente agli
|
||
enti della pubblica amministrazione che operano principalmente in tali settori. Tenuto conto della responsabilità
|
||
degli Stati membri di salvaguardare la sicurezza nazionale e la difesa, gli Stati membri dovrebbero poter decidere
|
||
che gli obblighi stabiliti dalla presente direttiva ai soggetti critici non si applichino in tutto o in parte a tali soggetti
|
||
critici se i servizi che forniscono o le attività che svolgono sono legati principalmente ai settori della sicurezza
|
||
nazionale, della pubblica sicurezza, della difesa o dell’attività di contrasto, compresi l’indagine, l’accertamento e il
|
||
perseguimento di reati. I soggetti critici le cui attività sono connesse solo marginalmente a tali settori dovrebbero
|
||
continuare a rientrare nell’ambito di applicazione della presente direttiva. Nessuno Stato membro dovrebbe essere
|
||
tenuto a fornire informazioni la cui divulgazione sia contraria agli interessi essenziali della propria sicurezza
|
||
nazionale. Sono pertinenti le norme dell’Unione o nazionali per la protezione delle informazioni classificate e gli
|
||
accordi di riservatezza.
|
||
|
||
(12)
|
||
|
||
Al fine di non compromettere la sicurezza nazionale o la sicurezza e gli interessi commerciali dei soggetti critici,
|
||
l’accesso alle informazioni sensibili nonché il loro scambio e trattamento dovrebbero essere effettuati in modo
|
||
prudente, con particolare attenzione ai canali di trasmissione e alle capacità di archiviazione utilizzate.
|
||
|
||
(13)
|
||
|
||
Per garantire un approccio globale alla resilienza dei soggetti critici, ciascuno Stato membro dovrebbe disporre di
|
||
una strategia per rafforzare la resilienza dei soggetti critici («strategia»). La strategia dovrebbe stabilire le misure e gli
|
||
obiettivi strategici da attuare. Ai fini di una maggiore coerenza ed efficienza, la strategia dovrebbe essere concepita
|
||
in modo da integrare senza soluzione di continuità le politiche esistenti basandosi, ove possibile, su pertinenti
|
||
strategie a livello nazionale e settoriale, piani o documenti analoghi esistenti. Ai fini della realizzazione di un
|
||
approccio globale, gli Stati membri dovrebbero provvedere affinché le loro strategie prevedano un quadro strategico
|
||
per il rafforzamento del coordinamento tra le autorità competenti a norma della presente direttiva e le autorità
|
||
competenti a norma della direttiva (UE) 2022/2555 nel contesto della condivisione delle informazioni sui rischi di
|
||
cibersicurezza, sulle minacce e sugli incidenti informatici e sui rischi, minacce e incidenti non informatici e nel
|
||
contesto dello svolgimento di compiti di vigilanza. Nell’attuare le proprie strategie, gli Stati membri dovrebbero
|
||
tenere debitamente conto della natura ibrida delle minacce ai soggetti critici.
|
||
|
||
(14)
|
||
|
||
Gli Stati membri dovrebbero comunicare alla Commissione le loro strategie e i relativi aggiornamenti sostanziali, in
|
||
particolare al fine di consentire alla Commissione di valutare la corretta applicazione della presente direttiva per
|
||
quanto riguarda gli approcci strategici in materia di resilienza dei soggetti critici a livello nazionale. Se necessario, le
|
||
strategie potrebbero essere comunicate sotto forma di informazioni classificate. La Commissione dovrebbe elaborare
|
||
una relazione di sintesi delle strategie comunicate dagli Stati membri che funga da base per gli scambi al fine di
|
||
individuare le migliori prassi e le questioni di interesse comune nel quadro del gruppo per la resilienza dei soggetti
|
||
critici. Data la natura sensibile delle informazioni aggregate incluse nella relazione di sintesi, siano esse classificate o
|
||
meno, la Commissione dovrebbe gestire tale relazione di sintesi con un adeguato livello di consapevolezza riguardo
|
||
alla sicurezza dei soggetti critici, degli Stati membri e dell’Unione. La relazione di sintesi e le strategie dovrebbero
|
||
essere salvaguardate contro azioni illecite o dolose e dovrebbero essere accessibili solo alle persone autorizzate al
|
||
fine di conseguire gli obiettivi della presente direttiva. La comunicazione delle strategie e dei loro aggiornamenti
|
||
sostanziali dovrebbe inoltre servire ad aiutare la Commissione a comprendere gli sviluppi negli approcci alla
|
||
resilienza dei soggetti critici e contribuire al monitoraggio dell’impatto e del valore aggiunto della presente direttiva,
|
||
che la Commissione è tenuta a riesaminare periodicamente.
|
||
|
||
(15)
|
||
|
||
Le azioni degli Stati membri per individuare i soggetti critici e contribuire a garantirne la resilienza dovrebbero
|
||
seguire un approccio basato sui rischi incentrato sui soggetti maggiormente rilevanti per lo svolgimento di funzioni
|
||
vitali della società o di attività economiche. Per garantire un tale approccio mirato, ciascuno Stato membro dovrebbe
|
||
effettuare, in un quadro armonizzato, una valutazione dei rischi rilevanti, naturali e di origine umana, compresi
|
||
quelli di natura intersettoriale o transfrontaliera, che potrebbero ripercuotersi negativamente sulla fornitura di
|
||
servizi essenziali, compresi gli incidenti, le catastrofi naturali, le emergenze di sanità pubblica come le pandemie e le
|
||
minacce ibride o altre minacce antagoniste, inclusi i reati di terrorismo, le infiltrazioni criminali e il sabotaggio
|
||
(«valutazione del rischio dello Stato membro»). Nell’effettuare tali valutazioni del rischio dello Stato membro, gli
|
||
Stati membri dovrebbero tenere conto di altre valutazioni del rischio generali o settoriali svolte ai sensi di altri atti
|
||
giuridici dell’Unione, e dovrebbero prendere in considerazione la misura in cui i settori dipendono l’uno dall’altro,
|
||
compresi i settori di altri Stati membri e di paesi terzi. I risultati della valutazione del rischio dello Stato membro
|
||
dovrebbero essere utilizzati ai fini dell’individuazione dei soggetti critici e di aiutare tali soggetti a conformarsi ai
|
||
|
||
L 333/168
|
||
|
||
IT
|
||
|
||
Gazzetta ufficiale dell’Unione europea
|
||
|
||
27.12.2022
|
||
|
||
rispettivi obblighi in materia di resilienza. La presente direttiva si applica solo agli Stati membri e ai soggetti critici
|
||
che operano all’interno dell’Unione. Tuttavia, le competenze e le conoscenze generate dalle autorità competenti, in
|
||
particolare attraverso le valutazioni del rischio, e dalla Commissione, in particolare attraverso varie forme di
|
||
sostegno e cooperazione, potrebbero essere utilizzate, se del caso e conformemente agli strumenti giuridici
|
||
applicabili, a beneficio dei paesi terzi, in particolare quelli situati nell’immediato vicinato dell’Unione, alimentando
|
||
la cooperazione esistente in materia di resilienza.
|
||
|
||
(16)
|
||
|
||
Per garantire che tutti i soggetti rilevanti siano soggetti alle prescrizioni in materia di resilienza della presente
|
||
direttiva e per ridurre le divergenze a tale riguardo, è importante stabilire norme armonizzate che consentano
|
||
un’individuazione coerente dei soggetti critici in tutta l’Unione, consentendo al tempo stesso agli Stati membri di
|
||
riflettere adeguatamente il ruolo e l’importanza di tali soggetti a livello nazionale. Nell’applicare i criteri stabiliti
|
||
nella presente direttiva, ciascun Stato membro dovrebbe individuare i soggetti che forniscono uno o più servizi
|
||
essenziali e che gestiscono e dispongono di infrastrutture critiche situate nel proprio territorio. Si dovrebbe ritenere
|
||
che un soggetto operi nel territorio di uno Stato membro in cui svolge le attività necessarie per il servizio o i servizi
|
||
essenziali in questione e in cui è ubicata l’infrastruttura critica di detto soggetto utilizzata per fornire tale servizio o
|
||
tali servizi. Qualora in uno Stato membro non esista un soggetto che soddisfi tali criteri, tale Stato membro non
|
||
dovrebbe avere l’obbligo di individuare un soggetto critico nel settore o sottosettore corrispondente. Ai fini di
|
||
efficacia, efficienza, coerenza e certezza del diritto, dovrebbero essere stabilite norme adeguate in materia di notifica
|
||
ai soggetti individuati come critici.
|
||
|
||
(17)
|
||
|
||
Gli Stati membri dovrebbero trasmettere alla Commissione, in modo da conseguire gli obiettivi della presente
|
||
direttiva, un elenco dei servizi essenziali, il numero di soggetti critici individuati per ciascuno dei settori e
|
||
sottosettori di cui all’allegato e per il servizio o i servizi essenziali che ogni soggetto fornisce e, se applicate, le soglie.
|
||
Dovrebbe essere possibile presentare le soglie come tali o in forma aggregata, il che significa che le informazioni
|
||
possono essere comunicate nei valori medi per area geografica, per anno, per settore, per sottosettore, o con altri
|
||
mezzi, e possono includere informazioni sulla gamma degli indicatori forniti.
|
||
|
||
(18)
|
||
|
||
Dovrebbero essere stabiliti criteri per determinare la rilevanza degli effetti negativi prodotti da un incidente. Tali
|
||
criteri dovrebbero basarsi su quelli di cui alla direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio (6)
|
||
per sfruttare al meglio gli sforzi compiuti dagli Stati membri per individuare gli operatori dei servizi essenziali di cui
|
||
a tale direttiva e per trarre insegnamento dall’esperienza acquisita in materia. Gravi crisi, come la pandemia di
|
||
COVID-19, hanno dimostrato l’importanza di garantire la sicurezza della catena di approvvigionamento e come la
|
||
sua perturbazione possa avere ripercussioni economiche e sociali negative in un gran numero di settori e a livello
|
||
transfrontaliero. Pertanto, nel determinare la misura in cui altri settori e sottosettori dipendono dai servizi essenziali
|
||
forniti da un soggetto critico, gli Stati membri dovrebbero tenere conto, per quanto possibile, anche degli effetti sulla
|
||
catena di approvvigionamento.
|
||
|
||
(19)
|
||
|
||
Conformemente al diritto dell’Unione e nazionale applicabile, compreso il regolamento (UE) 2019/452 del
|
||
Parlamento europeo e del Consiglio (7) che istituisce un quadro per il controllo degli investimenti esteri diretti
|
||
nell’Unione, occorre prendere atto della potenziale minaccia rappresentata dalla proprietà estera di infrastrutture
|
||
critiche all’interno dell’Unione, poiché dal corretto funzionamento delle infrastrutture critiche dipendono i servizi,
|
||
l’economia, la libera circolazione e la sicurezza dei cittadini dell’Unione.
|
||
|
||
(20)
|
||
|
||
La direttiva (UE) 2022/2555 impone ai soggetti che appartengono al settore delle infrastrutture digitali, che
|
||
potrebbero essere considerati soggetti critici ai sensi della presente direttiva, di adottare misure tecniche, operative e
|
||
organizzative adeguate e proporzionate per gestire i rischi posti alla sicurezza dei sistemi informatici e di rete e per
|
||
notificare incidenti e minacce informatiche significativi. Poiché le minacce alla sicurezza dei sistemi informatici e di
|
||
rete possono avere origini diverse, la direttiva (UE) 2022/2555 applica un approccio «multirischio» che comprende
|
||
la resilienza dei sistemi informatici e di rete nonché dei componenti e ambienti fisici di tali sistemi.
|
||
|
||
(6) Direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di
|
||
sicurezza delle reti e dei sistemi informativi nell’Unione (GU L 194 del 19.7.2016, pag. 1).
|
||
(7) Regolamento (UE) 2019/452 del Parlamento europeo e del Consiglio, del 19 marzo 2019, che istituisce un quadro per il controllo
|
||
degli investimenti esteri diretti nell’Unione (GU L 79I del 21.3.2019, pag. 1).
|
||
|
||
27.12.2022
|
||
|
||
IT
|
||
|
||
Gazzetta ufficiale dell’Unione europea
|
||
|
||
L 333/169
|
||
|
||
Dato che le prescrizioni previste dalla direttiva (UE) 2022/2555 a tale riguardo sono almeno equivalenti ai
|
||
corrispondenti obblighi previsti dalla presente direttiva, gli obblighi previsti dall’articolo 11 e dai capi III, IV e VI
|
||
della presente direttiva non dovrebbero applicarsi ai soggetti che appartengono al settore delle infrastrutture digitali
|
||
al fine di evitare duplicazioni e oneri amministrativi non necessari. Tuttavia, considerata l’importanza dei servizi
|
||
forniti dai soggetti che appartengono al settore delle infrastrutture digitali ai soggetti critici appartenenti a tutti gli
|
||
altri settori, gli Stati membri dovrebbero individuare quali critici, in base ai criteri previsti dalla presente direttiva e
|
||
ricorrendo alla procedura ivi stabilita, i soggetti che appartengono al settore delle infrastrutture digitali. Di
|
||
conseguenza, dovrebbero applicarsi le strategie, le valutazioni del rischio dello Stato membro e le misure di
|
||
sostegno di cui al capo II della presente direttiva. Gli Stati membri dovrebbero poter adottare o mantenere in vigore
|
||
disposizioni di diritto interno atte a conseguire un livello di resilienza più elevato per tali soggetti critici, a
|
||
condizione che dette disposizioni siano coerenti con il diritto dell’Unione applicabile.
|
||
|
||
(21)
|
||
|
||
Il diritto dell’Unione in materia di servizi finanziari stabilisce per i soggetti finanziari requisiti dettagliati di gestione
|
||
di tutti i rischi cui sono esposti, compresi i rischi operativi, e di garanzia di continuità operativa. Tale diritto include
|
||
i regolamenti (UE) n. 648/2012 (8), (UE) n. 575/2013 (9) e (UE) n. 600/2014 (10) del Parlamento europeo e del
|
||
Consiglio e le direttive 2013/36/UE (11) e 2014/65/UE (12) del Parlamento europeo e del Consiglio. Tale quadro
|
||
giuridico è integrato dal regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio (13), che stabilisce gli
|
||
obblighi applicabili ai soggetti finanziari per la gestione dei rischi informatici, anche per quanto riguarda la
|
||
protezione delle infrastrutture delle tecnologie dell’informazione e della comunicazione fisiche. Dato che la
|
||
resilienza di tali soggetti è pertanto esaurientemente disciplinata, l’articolo 11 e i capi III, IV e VI della presente
|
||
direttiva non dovrebbero applicarsi a tali soggetti, al fine di evitare duplicazioni e oneri amministrativi non necessari.
|
||
|
||
Tuttavia, considerata l’importanza dei servizi forniti dai soggetti del settore finanziario ai soggetti critici appartenenti
|
||
a tutti gli altri settori, gli Stati membri dovrebbero individuare quali soggetti critici, in base ai criteri previsti dalla
|
||
presente direttiva e ricorrendo alla procedura ivi stabilita, i soggetti del settore finanziario. Di conseguenza,
|
||
dovrebbero applicarsi le strategie, le valutazioni del rischio dello Stato membro e le misure di sostegno di cui al
|
||
capo II della presente direttiva. Gli Stati membri dovrebbero poter adottare o mantenere in vigore disposizioni di
|
||
diritto interno atte a conseguire un livello di resilienza più elevato per tali soggetti critici, a condizione che tali
|
||
disposizioni siano coerenti con il diritto dell’Unione applicabile.
|
||
|
||
(22)
|
||
|
||
Gli Stati membri dovrebbero designare o istituire le autorità competenti a vigilare sull’applicazione delle norme della
|
||
presente direttiva e, ove necessario, a farle rispettare, e dovrebbero provvedere affinché tali autorità dispongano di
|
||
poteri e risorse adeguate. Alla luce delle differenze esistenti tra le strutture amministrative nazionali, al fine di
|
||
salvaguardare gli accordi settoriali esistenti o gli organismi di vigilanza e di regolamentazione dell’Unione, e al fine
|
||
di evitare duplicazioni, è opportuno che gli Stati membri abbiano la facoltà di designare o istituire più di un’autorità
|
||
nazionale competente. Qualora gli Stati membri designino o istituiscano più di un’autorità competente dovrebbero
|
||
delineare chiaramente i rispettivi compiti delle autorità interessate e garantire fra di esse una cooperazione agevole
|
||
ed efficace. Tutte le autorità competenti dovrebbero inoltre cooperare in modo più generale con le altre autorità
|
||
rilevanti, sia a livello dell’Unione sia a livello nazionale.
|
||
|
||
(8) Regolamento (UE) n. 648/2012 del Parlamento europeo e del Consiglio, del 4 luglio 2012, sugli strumenti derivati OTC, le controparti
|
||
centrali e i repertori di dati sulle negoziazioni (GU L 201 del 27.7.2012, pag. 1).
|
||
(9) Regolamento (UE) n. 575/2013 del Parlamento europeo e del Consiglio, del 26 giugno 2013, relativo ai requisiti prudenziali per gli
|
||
enti creditizi e che modifica il regolamento (UE) n. 648/2012 (GU L 176 del 27.6.2013, pag. 1).
|
||
(10) Regolamento (UE) n. 600/2014 del Parlamento europeo e del Consiglio, del 15 maggio 2014, sui mercati degli strumenti finanziari e
|
||
che modifica il regolamento (UE) n. 648/2012 (GU L 173 del 12.6.2014, pag. 84).
|
||
(11) Direttiva 2013/36/UE del Parlamento europeo e del Consiglio, del 26 giugno 2013, sull’accesso all’attività degli enti creditizi e sulla
|
||
vigilanza prudenziale sugli enti creditizi e sulle imprese di investimento, che modifica la direttiva 2002/87/CE e abroga le direttive
|
||
2006/48/CE e 2006/49/CE (GU L 176 del 27.6.2013, pag. 338).
|
||
(12) Direttiva 2014/65/UE del Parlamento europeo e del Consiglio, del 15 maggio 2014, relativa ai mercati degli strumenti finanziari e che
|
||
modifica la direttiva 2002/92/CE e la direttiva 2011/61/UE (GU L 173 del 12.6.2014, pag. 349).
|
||
(13) Regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativo alla resilienza operativa digitale
|
||
per il settore finanziario e che modifica i regolamenti (CE) n. 1060/2009, (UE) n. 648/2012, (UE) n. 600/2014, (UE) n. 909/2014 e
|
||
(UE) 2016/1011 (cfr. pagina 1 della presente Gazzetta ufficiale).
|
||
|
||
L 333/170
|
||
|
||
IT
|
||
|
||
Gazzetta ufficiale dell’Unione europea
|
||
|
||
27.12.2022
|
||
|
||
(23)
|
||
|
||
Al fine di agevolare la cooperazione e la comunicazione transfrontaliere e per consentire l’efficace attuazione della
|
||
presente direttiva, ogni Stato membro dovrebbe, ferme restando le prescrizioni degli atti giuridici settoriali
|
||
dell’Unione, designare un punto di contatto unico incaricato di coordinare le questioni relative alla resilienza dei
|
||
soggetti critici e la cooperazione transfrontaliera a livello dell’Unione («punto di contatto unico»), ove opportuno
|
||
all’interno di un’autorità competente. Ciascun punto di contatto unico dovrebbe fungere da collegamento e
|
||
coordinare le comunicazioni, ove opportuno, con le autorità competenti del proprio Stato membro, con i punti di
|
||
contatto unici degli altri Stati membri e con il gruppo per la resilienza dei soggetti critici.
|
||
|
||
(24)
|
||
|
||
Le autorità competenti ai sensi della presente direttiva e le autorità competenti ai sensi della direttiva (UE) 2022/
|
||
2555 dovrebbero cooperare e scambiarsi informazioni in relazione ai rischi di cibersicurezza, alle minacce e agli
|
||
incidenti informatici nonché ai rischi, alle minacce e agli incidenti non informatici che hanno ripercussioni sui
|
||
soggetti critici, così come in relazione alle misure pertinenti adottate dalle autorità competenti ai sensi della
|
||
presente direttiva e dalle autorità competenti ai sensi della direttiva (UE) 2022/2555 È importante che gli Stati
|
||
membri provvedano affinché le prescrizioni di cui alla presente direttiva e di cui alla direttiva (UE) 2022/2555 siano
|
||
attuate in modo complementare e che sui soggetti critici non gravi un onere amministrativo superiore a quanto
|
||
necessario per conseguire gli obiettivi della presente direttiva e di tale direttiva.
|
||
|
||
(25)
|
||
|
||
Gli Stati membri dovrebbero sostenere i soggetti critici, compresi quelli che si qualificano come piccole e medie
|
||
imprese, nel rafforzamento della loro resilienza, nel rispetto degli obblighi degli Stati membri stabiliti dalla presente
|
||
direttiva, ferma restando la responsabilità giuridica dei soggetti critici stessi quanto al garantire tale ottemperanza, e
|
||
nel farlo dovrebbero evitare oneri amministrativi eccessivi. Gli Stati membri potrebbero in particolare sviluppare
|
||
materiali e metodologie di orientamento, contribuire all’organizzazione di esercitazioni per testare la resilienza dei
|
||
soggetti critici e fornire consulenza e corsi di formazione per il personale dei soggetti critici. Ove necessario e
|
||
giustificato da obiettivi di interesse pubblico, gli Stati membri potrebbero fornire risorse finanziarie e dovrebbero
|
||
agevolare la condivisione volontaria di informazioni e lo scambio di buone prassi fra soggetti critici, ferma restando
|
||
l’applicazione delle norme in materia di concorrenza stabilite nel trattato sul funzionamento dell’Unione europea
|
||
(TFUE).
|
||
|
||
(26)
|
||
|
||
Al fine di rafforzare la resilienza dei soggetti critici individuati dagli Stati membri e di ridurre gli oneri amministrativi
|
||
per tali soggetti critici, le autorità competenti dovrebbero consultarsi ogniqualvolta sia opportuno al fine di garantire
|
||
un’applicazione coerente della presente direttiva. Tali consultazioni dovrebbero essere avviate su richiesta di qualsiasi
|
||
autorità competente interessata e dovrebbero incentrarsi sulla garanzia di un approccio convergente nei confronti di
|
||
soggetti critici interconnessi che utilizzano infrastrutture critiche fisicamente collegate tra due o più Stati membri,
|
||
che appartengono agli stessi gruppi o strutture societarie o che sono stati individuati in uno Stato membro e
|
||
forniscono servizi essenziali ad altri Stati membri o in altri Stati membri.
|
||
|
||
(27)
|
||
|
||
Qualora le disposizioni del diritto dell’Unione o nazionale richiedano ai soggetti critici di valutare i rischi rilevanti ai
|
||
fini della presente direttiva e di adottare misure per garantire la propria resilienza, tali obblighi dovrebbero essere
|
||
adeguatamente presi in considerazione ai fini della vigilanza sul rispetto della presente direttiva da parte dei soggetti
|
||
critici.
|
||
|
||
(28)
|
||
|
||
I soggetti critici dovrebbero avere una conoscenza esaustiva dei rischi rilevanti a cui sono esposti e il dovere di
|
||
analizzarli. A tal fine, dovrebbero effettuare valutazioni del rischio ogniqualvolta necessario date le loro specifiche
|
||
circostanze e l’evolversi di tali rischi, e in ogni caso ogni quattro anni, al fine di valutare tutti i rischi rilevanti che
|
||
potrebbero perturbare in modo significativo la fornitura dei loro servizi essenziali («valutazione del rischio dei
|
||
soggetti critici»). Qualora i soggetti critici abbiano effettuato altre valutazioni del rischio o redatto documenti
|
||
conformemente agli obblighi previsti da altri atti giuridici pertinenti per la loro valutazione del rischio dei soggetti
|
||
critici, essi dovrebbero poter utilizzare tali valutazioni e documenti per soddisfare i requisiti di cui alla presente
|
||
direttiva che riguardano le valutazioni del rischio dei soggetti critici. Un’autorità competente dovrebbe poter
|
||
dichiarare che una valutazione del rischio esistente effettuata da un soggetto critico che affronta i rischi rilevanti e il
|
||
relativo grado di dipendenza, è conforme, in tutto o in parte, agli obblighi previsti dalla presente direttiva.
|
||
|
||
27.12.2022
|
||
|
||
IT
|
||
|
||
Gazzetta ufficiale dell’Unione europea
|
||
|
||
L 333/171
|
||
|
||
(29)
|
||
|
||
I soggetti critici dovrebbero adottare misure tecniche, di sicurezza e organizzative adeguate e proporzionate ai rischi
|
||
cui sono esposti, allo scopo di prevenire gli incidenti, di proteggersi da essi, di darvi risposta, di resistervi, di mitigarli,
|
||
assorbirli, di adattarvisi e di ripristinare le proprie capacità operative. I soggetti critici dovrebbero adottare tali misure
|
||
in conformità della presente direttiva, ma i dettagli e la portata di tali misure dovrebbero rispecchiare in modo
|
||
adeguato e proporzionato i vari rischi che ciascun soggetto critico ha identificato nell’ambito della sua valutazione
|
||
del rischio del soggetto critico e le specificità del soggetto stesso. Per promuovere un approccio coerente a livello di
|
||
Unione, la Commissione dovrebbe, previa consultazione del gruppo per la resilienza dei soggetti critici, adottare
|
||
linee guida non vincolanti per specificare ulteriormente tali misure tecniche, di sicurezza e organizzative. Gli Stati
|
||
membri dovrebbero provvedere affinché ciascun soggetto critico designi un funzionario di collegamento o
|
||
equivalente come punto di contatto con le autorità competenti.
|
||
|
||
(30)
|
||
|
||
A fini di efficacia e di responsabilizzazione, i soggetti critici dovrebbero descrivere le misure da essi adottate con un
|
||
livello di dettaglio che consegua sufficientemente gli obiettivi di efficacia e di responsabilizzazione stabiliti, tenuto
|
||
conto dei rischi individuati, in un piano di resilienza o in uno o più documenti equivalenti a un piano di resilienza, e
|
||
dovrebbero mettere in pratica tale piano. Qualora un soggetto critico abbia già adottato misure tecniche, di sicurezza
|
||
e organizzative e redatto documenti conformemente ad altri atti giuridici pertinenti per le misure di rafforzamento
|
||
della resilienza ai sensi della presente direttiva, esso dovrebbe poter utilizzare tali misure e documenti per soddisfare
|
||
i requisiti riguardo alle misure di resilienza di cui alla presente direttiva. Al fine di evitare duplicazioni, un’autorità
|
||
competente dovrebbe poter dichiarare conformi ai requisiti della presente direttiva, in tutto o in parte, misure di
|
||
resilienza esistenti adottate da un soggetto critico che rispondono ai suoi obblighi di adottare misure tecniche, di
|
||
sicurezza e organizzative ai sensi della presente direttiva.
|
||
|
||
(31)
|
||
|
||
I regolamenti (CE) n. 725/2004 (14) e (CE) n. 300/2008 (15) del Parlamento europeo e del Consiglio e la direttiva
|
||
2005/65/CE del Parlamento europeo e del Consiglio (16) stabiliscono requisiti applicabili ai soggetti dei settori del
|
||
trasporto aereo e marittimo per prevenire incidenti causati da atti illeciti, resistere alle conseguenze di tali incidenti e
|
||
mitigarle. Se le misure imposte ai sensi della presente direttiva sono più ampie in termini di rischi affrontati e di tipi
|
||
di misure da prendere, i soggetti critici di tali settori dovrebbero rispecchiare, nel loro piano di resilienza o nei
|
||
documenti equivalenti, le misure adottate ai sensi di tali altri atti giuridici dell’Unione. I soggetti critici dovrebbero
|
||
prendere in considerazione anche la direttiva 2008/96/CE del Parlamento europeo e del Consiglio (17) che introduce
|
||
una valutazione delle strade a livello di rete per la mappatura del rischio di incidenti e un’ispezione di sicurezza
|
||
stradale mirata per individuare condizioni pericolose, difetti e problemi che aumentano il rischio di incidenti e
|
||
lesioni, sulla base di sopralluoghi in strade o in tratti di strada esistenti. Assicurare la protezione e la resilienza dei
|
||
soggetti critici riveste la massima importanza per il settore ferroviario e, nell’attuare le misure di resilienza ai sensi
|
||
della presente direttiva, i soggetti critici sono incoraggiati a richiamarsi a linee guida non vincolanti e a documenti
|
||
su buone prassi sviluppati in aree di lavoro settoriali, come la piattaforma per la sicurezza dei passeggeri ferroviari
|
||
nell’UE istituita dalla decisione della Commissione 2018/C 232/03 (18).
|
||
|
||
(32)
|
||
|
||
Il rischio che i dipendenti di soggetti critici o i loro contraenti facciano un uso improprio, ad esempio, dei loro diritti
|
||
di accesso all’interno dell’organizzazione del soggetto critico per nuocere e provocare danni desta sempre maggiori
|
||
preoccupazioni. Gli Stati membri dovrebbero pertanto precisare le condizioni in base alle quali i soggetti critici
|
||
sono autorizzati, in casi debitamente motivati e tenendo conto delle valutazioni del rischio dello Stato membro, a
|
||
presentare richieste di controlli dei precedenti personali per le persone che rientrano in specifiche categorie del loro
|
||
personale. È opportuno garantire che le pertinenti autorità valutino le richieste entro un lasso di tempo ragionevole e
|
||
che le trattino conformemente al diritto e alle procedure nazionali, e al diritto dell’Unione pertinente e applicabile,
|
||
anche in materia di protezione dei dati personali. Al fine di confermare l’identità di una persona oggetto di un
|
||
controllo dei precedenti personali, è opportuno che gli Stati membri richiedano un documento di identità come un
|
||
passaporto, una carta d’identità nazionale o una forma di identificazione digitale, conformemente al diritto
|
||
applicabile.
|
||
|
||
(14) Regolamento (CE) n. 725/2004 del Parlamento europeo e del Consiglio, del 31 marzo 2004, relativo al miglioramento della sicurezza
|
||
delle navi e degli impianti portuali (GU L 129 del 29.4.2004, pag. 6).
|
||
(15) Regolamento (CE) n. 300/2008 del Parlamento europeo e del Consiglio, dell’11 marzo 2008, che istituisce norme comuni per la
|
||
sicurezza dell’aviazione civile e che abroga il regolamento (CE) n. 2320/2002 (GU L 97 del 9.4.2008, pag. 72).
|
||
(16) Direttiva 2005/65/CE del Parlamento europeo e del Consiglio, del 26 ottobre 2005, relativa al miglioramento della sicurezza dei porti
|
||
(GU L 310 del 25.11.2005, pag. 28).
|
||
(17) Direttiva 2008/96/CE del Parlamento europeo e del Consiglio, del 19 novembre 2008, sulla gestione della sicurezza delle
|
||
infrastrutture stradali (GU L 319 del 29.11.2008, pag. 59).
|
||
(18) Decisione della Commissione, del 29 giugno 2018, che istituisce la piattaforma per la sicurezza dei passeggeri ferroviari nell’UE,
|
||
2018/C 232/03 (GU C 232 del 3.7.2018, pag. 10).
|
||
|
||
L 333/172
|
||
|
||
IT
|
||
|
||
Gazzetta ufficiale dell’Unione europea
|
||
|
||
27.12.2022
|
||
|
||
I controlli dei precedenti personali dovrebbero includere i registri dei precedenti penali della persona interessata. Gli
|
||
Stati membri dovrebbero utilizzare il sistema europeo di informazione sui casellari giudiziali conformemente alle
|
||
procedure stabilite nella decisione quadro 2009/315/GAI del Consiglio (19) e, ove pertinente e applicabile, nel
|
||
regolamento (UE) 2019/816 del Parlamento europeo e del Consiglio (20) al fine di ottenere informazioni dai registri
|
||
dei precedenti penali tenuti da altri Stati membri. Se pertinente e applicabile, gli Stati membri potrebbero inoltre
|
||
basarsi sul sistema d’informazione Schengen di seconda generazione (SIS II) istituito dal regolamento
|
||
(UE) 2018/1862 del Parlamento europeo e del Consiglio (21), su informazioni di intelligence e su qualsiasi altra
|
||
informazione oggettiva disponibile che possa essere necessaria per determinare l’idoneità della persona interessata a
|
||
occupare la funzione in relazione alla quale il soggetto critico ha richiesto un controllo dei precedenti personali.
|
||
|
||
(33)
|
||
|
||
È opportuno stabilire un meccanismo per la notifica di determinati incidenti che consenta alle autorità competenti di
|
||
reagire rapidamente e adeguatamente agli incidenti e di avere un quadro globale dell’impatto, della natura, delle cause
|
||
e delle possibili conseguenze di un incidente affrontato dai soggetti critici. I soggetti critici dovrebbero notificare
|
||
senza indebito ritardo alle autorità competenti gli incidenti che perturbano in modo significativo o possono
|
||
perturbare in modo significativo la fornitura di servizi essenziali. A meno che siano operativamente impossibilitati a
|
||
farlo, i soggetti critici dovrebbero effettuare una notifica iniziale entro 24 ore dal momento in cui sono venuti a
|
||
conoscenza di un incidente. La notifica iniziale dovrebbe contenere solo le informazioni strettamente necessarie per
|
||
informare l’autorità competente dell’incidente e consentire al soggetto critico di chiedere assistenza, se necessario.
|
||
Tale notifica dovrebbe indicare, ove possibile, la causa presunta dell’incidente. Gli Stati membri dovrebbero
|
||
garantire che l’obbligo di effettuare tale notifica iniziale non sottragga le risorse del soggetto critico alle attività
|
||
relative alla gestione degli incidenti, che dovrebbero essere considerate prioritarie. La notifica iniziale dovrebbe
|
||
essere seguita, se del caso, da una relazione dettagliata entro un mese dall’incidente. La relazione dettagliata
|
||
dovrebbe integrare la notifica iniziale e fornire un quadro più completo dell’incidente.
|
||
|
||
(34)
|
||
|
||
È opportuno che la normazione resti un processo essenzialmente guidato dal mercato. Potrebbero tuttavia sussistere
|
||
situazioni in cui è opportuno richiedere l’osservanza di determinate norme. È opportuno che gli Stati membri
|
||
incoraggino, se utile, l’utilizzo di norme e specifiche tecniche europee e internazionali riguardanti le misure sulla
|
||
sicurezza e le misure sulla resilienza applicabili ai soggetti critici.
|
||
|
||
(35)
|
||
|
||
Mentre i soggetti critici, in generale, operano in una rete sempre più interconnessa di fornitura di servizi e di
|
||
infrastrutture e spesso erogano servizi essenziali in più di uno Stato membro, alcuni di tali soggetti critici sono di
|
||
particolare rilevanza per l’Unione e per il mercato interno poiché forniscono servizi essenziali a o in sei o più Stati
|
||
membri, e potrebbero perciò beneficiare di un sostegno specifico a livello dell’Unione. Dovrebbero pertanto essere
|
||
definite le norme riguardanti le missioni di consulenza a favore di tali soggetti critici di particolare rilevanza
|
||
europea. Tali norme non pregiudicano le disposizioni sulla vigilanza e sull’esecuzione di cui alla presente direttiva.
|
||
|
||
(36)
|
||
|
||
Su richiesta motivata della Commissione o di uno o più Stati membri a cui o in cui è fornito il servizio essenziale,
|
||
qualora sia necessario disporre di ulteriori informazioni per poter consigliare un soggetto critico quanto
|
||
all’adempimento degli obblighi stabiliti dalla presente direttiva o per poter valutare il rispetto di tali obblighi da
|
||
parte di un soggetto critico di particolare rilevanza europea, lo Stato membro che ha individuato un soggetto critico
|
||
di particolare rilevanza europea come soggetto critico dovrebbe fornire alla Commissione determinate informazioni
|
||
di cui alla presente direttiva. In accordo con lo Stato membro che ha individuato il soggetto critico di particolare
|
||
rilevanza europea come soggetto critico, la Commissione dovrebbe poter organizzare una missione di consulenza
|
||
per valutare le misure predisposte da tale soggetto. Per garantire che tali missioni di consulenza siano effettuate
|
||
correttamente dovrebbero essere stabilite disposizioni complementari, in particolare sull’organizzazione e sullo
|
||
svolgimento delle missioni di consulenza, sul seguito da dare e sugli obblighi dei soggetti critici di particolare
|
||
|
||
(19) Decisione quadro 2009/315/GAI del Consiglio, del 26 febbraio 2009, relativa all’organizzazione e al contenuto degli scambi fra gli
|
||
Stati membri di informazioni estratte dal casellario giudiziario (GU L 93 del 7.4.2009, pag. 23).
|
||
(20) Regolamento (UE) 2019/816 del Parlamento europeo e del Consiglio, del 17 aprile 2019, che istituisce un sistema centralizzato per
|
||
individuare gli Stati membri in possesso di informazioni sulle condanne pronunciate a carico di cittadini di paesi terzi e apolidi
|
||
(ECRIS-TCN) e integrare il sistema europeo di informazione sui casellari giudiziali, e che modifica il regolamento (UE) 2018/1726
|
||
(GU L 135 del 22.5.2019, pag. 1).
|
||
(21) Regolamento (UE) 2018/1862 del Parlamento europeo e del Consiglio, del 28 novembre 2018, sull’istituzione, l’esercizio e l’uso del
|
||
sistema d’informazione Schengen (SIS) nel settore della cooperazione di polizia e della cooperazione giudiziaria in materia penale, che
|
||
modifica e abroga la decisione 2007/533/GAI del Consiglio e che abroga il regolamento (CE) n. 1986/2006 del Parlamento europeo e
|
||
del Consiglio e la decisione 2010/261/UE della Commissione (GU L 312 del 7.12.2018, pag. 56).
|
||
|
||
27.12.2022
|
||
|
||
IT
|
||
|
||
Gazzetta ufficiale dell’Unione europea
|
||
|
||
L 333/173
|
||
|
||
rilevanza europea interessati. Fermo restando il dovere, per lo Stato membro in cui si svolge la missione di
|
||
consulenza e per il soggetto critico interessato, di rispettare le disposizioni stabilite dalla presente direttiva, la
|
||
missione di consulenza dovrebbe essere condotta in ottemperanza delle specifiche norme della legislazione di tale
|
||
Stato membro, ad esempio sulle precise condizioni da soddisfare per ottenere l’accesso ai locali o ai documenti
|
||
rilevanti e sul ricorso giurisdizionale. Le specifiche competenze necessarie per tali missioni di consulenza
|
||
potrebbero, se del caso, essere chieste tramite il centro di coordinamento della risposta alle emergenze istituito dalla
|
||
decisione n. 1313/2013/UE del Parlamento europeo e del Consiglio (22).
|
||
|
||
(37)
|
||
|
||
Per sostenere la Commissione e agevolare la cooperazione tra gli Stati membri e lo scambio di informazioni,
|
||
comprese le migliori prassi, su questioni relative alla presente direttiva, dovrebbe essere istituito un gruppo per la
|
||
resilienza dei soggetti critici come gruppo di esperti della Commissione. Gli Stati membri dovrebbero adoperarsi
|
||
per garantire che i rappresentanti designati delle loro autorità competenti nel gruppo per la resilienza dei soggetti
|
||
critici cooperino in modo efficace ed efficiente, anche designando rappresentanti in possesso, se del caso, di un
|
||
nulla osta di sicurezza. Il gruppo per la resilienza dei soggetti critici dovrebbe cominciare a espletare le sue funzioni
|
||
il più rapidamente possibile, in modo da fornire strumenti supplementari per una cooperazione adeguata durante il
|
||
periodo di recepimento della direttiva, e dovrebbe interagire con altri pertinenti gruppi di lavoro di esperti settoriali.
|
||
|
||
(38)
|
||
|
||
Il gruppo per la resilienza dei soggetti critici dovrebbe cooperare con il gruppo di cooperazione istituito ai sensi della
|
||
direttiva (UE) 2022/2555 al fine di sostenere un quadro globale per la resilienza informatica e non informatica dei
|
||
soggetti critici. Il gruppo per la resilienza dei soggetti critici e il gruppo di cooperazione istituito ai sensi della
|
||
direttiva (UE) 2022/2555 dovrebbero avviare un dialogo regolare volto a promuovere la cooperazione tra le
|
||
autorità competenti ai sensi della presente direttiva e le autorità competenti ai sensi della direttiva (UE) 2022/2555 e
|
||
ad agevolare lo scambio di informazioni, in particolare su temi rilevanti per entrambi i gruppi.
|
||
|
||
(39)
|
||
|
||
Per conseguire gli obiettivi della presente direttiva, e ferma restando la responsabilità giuridica degli Stati membri e
|
||
dei soggetti critici quanto al garantire l’ottemperanza ai rispettivi obblighi ivi stabiliti, la Commissione dovrebbe,
|
||
ove lo ritenga opportuno, sostenere le autorità competenti e i soggetti critici allo scopo di agevolare l’adempimento
|
||
dei loro rispettivi obblighi. Nel fornire sostegno agli Stati membri e ai soggetti critici nell’attuazione degli obblighi
|
||
stabiliti dalla presente direttiva la Commissione dovrebbe basarsi sulle strutture e sugli strumenti esistenti, come
|
||
quelli previsti dal meccanismo di protezione civile dell’Unione, istituito dalla decisione n. 1313/2013/UE, e dalla
|
||
rete europea di riferimento per la protezione delle infrastrutture critiche. Dovrebbe inoltre informare gli Stati
|
||
membri in merito alle risorse disponibili a livello dell’Unione, ad esempio nell’ambito del Fondo Sicurezza interna,
|
||
istituito dal regolamento (UE) 2021/1149 del Parlamento europeo e del Consiglio (23), di Orizzonte Europa, istituito
|
||
dal regolamento (UE) 2021/695 del Parlamento europeo e del Consiglio (24), o di altri strumenti pertinenti per la
|
||
resilienza dei soggetti critici.
|
||
|
||
(40)
|
||
|
||
Gli Stati membri dovrebbero provvedere affinché le loro autorità competenti dispongano di certi poteri specifici per
|
||
la corretta applicazione ed esecuzione della presente direttiva nei confronti dei soggetti critici, qualora tali soggetti
|
||
rientrino nella loro giurisdizione come specificato nella direttiva. Tali poteri dovrebbero includere, in particolare, il
|
||
potere di effettuare ispezioni e controlli, il potere di vigilanza, il potere di richiedere ai soggetti critici di fornire
|
||
informazioni e prove riguardanti le misure adottate per adempiere ai loro obblighi e, ove necessario, il potere di
|
||
emettere provvedimenti per porre rimedio alle violazioni riscontrate. Nell’emettere tali provvedimenti, gli Stati
|
||
membri non dovrebbero imporre misure che vadano oltre quanto necessario e proporzionato per garantire
|
||
l’adempimento degli obblighi da parte dei soggetti critici interessati, tenendo conto in particolare della gravità della
|
||
violazione e della capacità economica del soggetto critico interessato. Più in generale, tali poteri dovrebbero essere
|
||
accompagnati da garanzie adeguate ed efficaci da specificarsi nella normativa nazionale conformemente alla Carta
|
||
|
||
(22) Decisione n. 1313/2013/UE del Parlamento europeo e del Consiglio, del 17 dicembre 2013, su un meccanismo unionale di
|
||
protezione civile (GU L 347 del 20.12.2013, pag. 924).
|
||
(23) Regolamento (UE) 2021/1149 del Parlamento europeo e del Consiglio, del 7 luglio 2021, che istituisce il Fondo Sicurezza interna
|
||
(GU L 251 del 15.7.2021, pag. 94).
|
||
(24) Regolamento (UE) 2021/695 del Parlamento europeo e del Consiglio, del 28 aprile 2021, che istituisce il programma quadro di ricerca
|
||
e innovazione Orizzonte Europa e ne stabilisce le norme di partecipazione e diffusione, e che abroga i regolamenti (UE) n. 1290/2013
|
||
e (UE) n. 1291/2013 (GU L 170 del 12.5.2021, pag. 1).
|
||
|
||
L 333/174
|
||
|
||
IT
|
||
|
||
Gazzetta ufficiale dell’Unione europea
|
||
|
||
27.12.2022
|
||
|
||
dei diritti fondamentali dell’Unione europea. Nel valutare l’ottemperanza di un soggetto critico agli obblighi stabiliti
|
||
dalla presente direttiva, le autorità competenti ai sensi della presente direttiva dovrebbero poter chiedere alle
|
||
autorità competenti a norma della direttiva (UE) 2022/2555 di esercitare i propri poteri di vigilanza e di esecuzione
|
||
nei confronti di un soggetto di cui a tale direttiva individuato come soggetto critico a norma della presente direttiva.
|
||
Le autorità competenti ai sensi della presente direttiva e le autorità competenti ai sensi della direttiva (UE) 2022/
|
||
2555 dovrebbero cooperare e scambiarsi informazioni a tal fine.
|
||
|
||
(41)
|
||
|
||
Al fine di applicare la presente direttiva in modo efficace e coerente, è opportuno delegare alla Commissione il potere
|
||
di adottare atti conformemente all’articolo 290 TFUE per integrare la presente direttiva mediante l’elaborazione di un
|
||
elenco di servizi essenziali. Tale elenco dovrebbe essere utilizzato dalle autorità competenti per effettuare le
|
||
valutazioni del rischio dello Stato membro e individuare i soggetti critici ai sensi della presente direttiva. Alla luce
|
||
dell’approccio di armonizzazione minima della presente direttiva, tale elenco non è esaustivo e gli Stati membri
|
||
potrebbero integrarlo con ulteriori servizi essenziali a livello nazionale al fine di tenere conto delle specificità
|
||
nazionali nella fornitura di servizi essenziali. È di particolare importanza che durante i lavori preparatori la
|
||
Commissione svolga adeguate consultazioni, anche a livello di esperti, nel rispetto dei principi stabiliti nell’accordo
|
||
interistituzionale «Legiferare meglio» del 13 aprile 2016 (25). In particolare, al fine di garantire la parità di
|
||
partecipazione alla preparazione degli atti delegati, il Parlamento europeo e il Consiglio ricevono tutti i documenti
|
||
contemporaneamente agli esperti degli Stati membri, e i loro esperti hanno sistematicamente accesso alle riunioni
|
||
dei gruppi di esperti della Commissione incaricati della preparazione di tali atti delegati.
|
||
|
||
(42)
|
||
|
||
È opportuno attribuire alla Commissione competenze di esecuzione al fine di garantire condizioni uniformi di
|
||
esecuzione della presente direttiva. È altresì opportuno che tali competenze siano esercitate conformemente al
|
||
regolamento (UE) n. 182/2011 del Parlamento europeo e del Consiglio (26).
|
||
|
||
(43)
|
||
|
||
Poiché gli obiettivi della presente direttiva, vale a dire garantire che i servizi essenziali per il mantenimento di
|
||
funzioni vitali della società o di attività economiche siano forniti senza impedimenti nel mercato interno ed
|
||
aumentare la resilienza dei soggetti critici che forniscono tali servizi, non possono essere conseguiti in misura
|
||
sufficiente dagli Stati membri ma, a motivo degli effetti dell’azione, possono essere conseguiti meglio a livello di
|
||
Unione, quest’ultima può intervenire in base al principio di sussidiarietà sancito dall’articolo 5 del trattato
|
||
sull’Unione europea. La presente direttiva si limita a quanto è necessario per conseguire tali obiettivi in
|
||
ottemperanza al principio di proporzionalità enunciato nello stesso articolo.
|
||
|
||
(44)
|
||
|
||
Conformemente all’articolo 42, paragrafo 1, del regolamento (UE) 2018/1725 del Parlamento europeo e del
|
||
Consiglio, (27) il Garante europeo della protezione dei dati è stato consultato e ha formulato il suo parere
|
||
l’11 agosto 2021.
|
||
|
||
(45)
|
||
|
||
La direttiva 2008/114/CE dovrebbe pertanto essere abrogata,
|
||
|
||
(25) GU L 123 del 12.5.2016, pag. 1.
|
||
(26) Regolamento (UE) n. 182/2011 del Parlamento europeo e del Consiglio, del 16 febbraio 2011, che stabilisce le regole e i principi
|
||
generali relativi alle modalità di controllo da parte degli Stati membri dell’esercizio delle competenze di esecuzione attribuite alla
|
||
Commissione (GU L 55 del 28.2.2011, pag. 13).
|
||
(27) Regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla tutela delle persone fisiche in
|
||
relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell’Unione e sulla libera
|
||
circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE (GU L 295 del 21.11.2018,
|
||
pag. 39).
|
||
|
||
27.12.2022
|
||
|
||
IT
|
||
|
||
Gazzetta ufficiale dell’Unione europea
|
||
|
||
L 333/175
|
||
|
||
HANNO ADOTTATO LA PRESENTE DIRETTIVA:
|
||
|
||
CAPO I
|
||
DISPOSIZIONI GENERALI
|
||
|
||
Articolo 1
|
||
Oggetto e ambito di applicazione
|
||
1.
|
||
|
||
La presente direttiva:
|
||
|
||
a) stabilisce obblighi in capo agli Stati membri in merito all’adozione di misure specifiche volte a garantire che i servizi
|
||
essenziali per il mantenimento di funzioni vitali della società o di attività economiche nell’ambito di applicazione
|
||
dell’articolo 114 TFUE siano forniti senza impedimenti nel mercato interno, e in particolare obblighi di individuare i
|
||
soggetti critici e di sostenerli nell’adempimento degli obblighi loro imposti;
|
||
b) stabilisce per i soggetti critici obblighi volti a rafforzare la loro resilienza e la loro capacità di fornire servizi di cui alla
|
||
lettera a) nel mercato interno;
|
||
c) stabilisce norme:
|
||
i)
|
||
|
||
riguardanti la vigilanza sui soggetti critici;
|
||
|
||
ii) riguardanti l’esecuzione;
|
||
iii) per l’individuazione dei soggetti critici di particolare rilevanza a livello europeo e sulle missioni di consulenza per
|
||
valutare le misure predisposte da tali soggetti per adempiere ai propri obblighi ai sensi del capo III;
|
||
d) stabilisce procedure comuni di cooperazione e comunicazione sull’applicazione della presente direttiva;
|
||
e) stabilisce misure intese a raggiungere un livello di resilienza elevato dei soggetti critici al fine di garantire la fornitura di
|
||
servizi essenziali nell’Unione e migliorare il funzionamento del mercato interno.
|
||
2.
|
||
Fatto salvo l’articolo 8 della presente direttiva, la presente direttiva non si applica alle materie disciplinate dalla
|
||
direttiva (UE) 2022/2555 In considerazione della relazione tra la sicurezza fisica e la cibersicurezza dei soggetti critici, gli
|
||
Stati membri assicurano che la presente direttiva e la direttiva (UE) 2022/2555 siano attuate in modo coordinato.
|
||
3.
|
||
Qualora le disposizioni di atti giuridici settoriali dell’Unione richiedano ai soggetti critici di adottare misure per
|
||
rafforzare la propria resilienza e tali requisiti siano riconosciuti dagli Stati membri come almeno equivalenti ai
|
||
corrispondenti obblighi stabiliti dalla presente direttiva, non si applicano le pertinenti disposizioni della presente direttiva,
|
||
comprese le disposizioni in materia di vigilanza ed esecuzione di cui al capo VI.
|
||
4.
|
||
Fatto salvo l’articolo 346 TFUE, le informazioni riservate ai sensi della normativa dell’Unione o nazionale, quale
|
||
quella sulla riservatezza commerciale, sono scambiate con la Commissione e con altre autorità competenti in conformità
|
||
della presente direttiva solo nella misura in cui tale scambio sia necessario ai fini dell’applicazione della presente direttiva.
|
||
Le informazioni scambiate sono limitate alle informazioni pertinenti e commisurate a tale scopo. Lo scambio di
|
||
informazioni tutela la riservatezza di dette informazioni e la sicurezza e gli interessi commerciali dei soggetti critici, nel
|
||
rispetto della sicurezza degli Stati membri.
|
||
5.
|
||
La presente direttiva lascia impregiudicata la responsabilità degli Stati membri di tutelare la sicurezza nazionale e la
|
||
difesa e il loro potere di salvaguardare altre funzioni essenziali dello Stato, tra cui la garanzia dell’integrità territoriale dello
|
||
Stato e il mantenimento dell’ordine pubblico.
|
||
6.
|
||
La presente direttiva non si applica agli enti della pubblica amministrazione operanti nei settori della sicurezza
|
||
nazionale, della pubblica sicurezza, della difesa o dell’attività di contrasto, compresi l’indagine, l’accertamento e il
|
||
perseguimento di reati.
|
||
|
||
L 333/176
|
||
|
||
IT
|
||
|
||
Gazzetta ufficiale dell’Unione europea
|
||
|
||
27.12.2022
|
||
|
||
7.
|
||
Gli Stati membri possono decidere che l’articolo 11 e i capi III, IV e VI, in tutto o in parte, non si applichino a specifici
|
||
soggetti critici operanti nei settori della sicurezza nazionale, della pubblica sicurezza, della difesa o dell’attività di contrasto,
|
||
compresi l’indagine, l’accertamento e il perseguimento di reati, o che forniscono servizi esclusivamente agli enti della
|
||
pubblica amministrazione di cui al paragrafo 6 del presente articolo.
|
||
|
||
8.
|
||
Gli obblighi definiti nella presente direttiva non comportano la comunicazione di informazioni la cui divulgazione
|
||
sarebbe contraria agli interessi essenziali degli Stati membri in materia di sicurezza nazionale, pubblica sicurezza o difesa.
|
||
|
||
9.
|
||
La presente direttiva si applica fermo restando il diritto dell’Unione in materia di protezione dei dati personali, in
|
||
particolare le disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio (28) e della direttiva
|
||
2002/58/CE del Parlamento europeo e del Consiglio (29).
|
||
|
||
Articolo 2
|
||
|
||
Definizioni
|
||
|
||
Ai fini della presente direttiva si applicano le definizioni seguenti:
|
||
1)
|
||
|
||
«soggetto critico»: un soggetto pubblico o privato che è stato individuato da uno Stato membro a ai sensi dell’articolo 6
|
||
come appartenente a una delle categorie di cui alla terza colonna della tabella di cui all’allegato;
|
||
|
||
2)
|
||
|
||
«resilienza»: la capacità di un soggetto critico di prevenire, attenuare, assorbire un incidente, di proteggersi da esso, di
|
||
rispondervi, di resistervi, di adattarvisi e di ripristinare le proprie capacità operative;
|
||
|
||
3)
|
||
|
||
«incidente»: un evento che può perturbare in modo significativo, o che perturba, la fornitura di un servizio essenziale,
|
||
inclusi i casi in cui si ripercuote negativamente sui sistemi nazionali che salvaguardano lo Stato di diritto;
|
||
|
||
4)
|
||
|
||
«infrastruttura critica»: un elemento, un impianto, un’attrezzatura, una rete o un sistema o una parte di un elemento, di
|
||
un impianto, di un’attrezzatura, di una rete o di un sistema, necessari per la fornitura di un servizio essenziale;
|
||
|
||
5)
|
||
|
||
«servizio essenziale»: un servizio fondamentale per il mantenimento di funzioni vitali della società, di attività
|
||
economiche, della salute e della sicurezza pubbliche o dell’ambiente;
|
||
|
||
6)
|
||
|
||
«rischio»: la potenziale perdita o perturbazione causata da un incidente e deve essere espresso come combinazione
|
||
dell’entità di tale perdita o perturbazione e della probabilità che si verifichi l’incidente;
|
||
|
||
7)
|
||
|
||
«valutazione del rischio »: l’intero processo volto a determinare la natura e la portata di un rischio individuando e
|
||
analizzando potenziali minacce, vulnerabilità e pericoli pertinenti che potrebbero causare un incidente e valutando la
|
||
potenziale perdita o perturbazione della fornitura di un servizio essenziale causata da tale incidente;
|
||
|
||
8)
|
||
|
||
«norma»: una norma ai sensi dell’articolo 2, punto 1), del regolamento (UE) n. 1025/2012 del Parlamento europeo e
|
||
del Consiglio (30);
|
||
|
||
(28) Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche
|
||
con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE
|
||
(regolamento generale sulla protezione dei dati) (GU L 119 del 4.5.2016, pag. 1).
|
||
(29) Direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela
|
||
della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche)
|
||
(GU L 201 del 31.7.2002, pag. 37).
|
||
(30) Regolamento (UE) n. 1025/2012 del Parlamento europeo e del Consiglio, del 25 ottobre 2012, sulla normazione europea, che
|
||
modifica le direttive 89/686/CEE e 93/15/CEE del Consiglio nonché le direttive 94/9/CE, 94/25/CE, 95/16/CE, 97/23/CE, 98/34/CE,
|
||
2004/22/CE, 2007/23/CE, 2009/23/CE e 2009/105/CE del Parlamento europeo e del Consiglio e che abroga la decisione 87/95/CEE
|
||
del Consiglio e la decisione n. 1673/2006/CE del Parlamento europeo e del Consiglio (GU L 316 del 14.11.2012, pag. 12).
|
||
|
||
27.12.2022
|
||
|
||
9)
|
||
|
||
IT
|
||
|
||
Gazzetta ufficiale dell’Unione europea
|
||
|
||
L 333/177
|
||
|
||
«specifica tecnica»: una specifica tecnica ai sensi dell’articolo 2, punto 4, del regolamento (UE) n. 1025/2012;
|
||
|
||
10) «ente della pubblica amministrazione»: un soggetto riconosciuto come tale in uno Stato membro conformemente al
|
||
diritto nazionale, esclusi il settore della giustizia, i parlamenti e le banche centrali, che soddisfa i criteri seguenti:
|
||
a) è istituito allo scopo di soddisfare esigenze di interesse generale e non ha carattere industriale o commerciale;
|
||
b) è dotato di personalità giuridica o è autorizzato per legge ad agire per conto di un altro soggetto dotato di
|
||
personalità giuridica;
|
||
c) è finanziato in modo maggioritario da autorità statali o da altri organismi di diritto pubblico a livello centrale; la
|
||
sua gestione è soggetta alla vigilanza di tali autorità o organismi, oppure è dotato di un organo di
|
||
amministrazione, di direzione o di vigilanza in cui più della metà dei membri è designata da autorità statali o da
|
||
altri organismi di diritto pubblico a livello centrale;
|
||
d) ha il potere di adottare, nei confronti di persone fisiche o giuridiche, decisioni amministrative o normative che
|
||
incidono sui loro diritti relativi alla circolazione transfrontaliera delle persone, delle merci, dei servizi o dei capitali.
|
||
|
||
Articolo 3
|
||
Armonizzazione minima
|
||
La presente direttiva non preclude agli Stati membri di adottare o mantenere in vigore disposizioni di diritto nazionale atte a
|
||
conseguire un livello di resilienza più elevato dei soggetti critici, a condizione che tali disposizioni siano coerenti con gli
|
||
obblighi degli Stati membri stabiliti dal diritto dell’Unione.
|
||
|
||
CAPO II
|
||
QUADRI NAZIONALI PER LA RESILIENZA DEI SOGGETTI CRITICI
|
||
|
||
Articolo 4
|
||
Strategia per la resilienza dei soggetti critici
|
||
1.
|
||
A seguito di una consultazione aperta, per quanto praticamente possibile, ai pertinenti portatori di interessi, entro il
|
||
17 gennaio 2026 ogni Stato membro adotta una strategia per rafforzare la resilienza dei soggetti critici («strategia»). Sulla
|
||
base di pertinenti strategie a livello nazionale e settoriale, piani o documenti analoghi esistenti, la strategia definisce gli
|
||
obiettivi e le misure strategici per conseguire e mantenere un livello elevato di resilienza da parte dei soggetti critici e
|
||
contempla almeno i settori di cui all’allegato.
|
||
2.
|
||
|
||
Ciascuna strategia contiene almeno gli elementi seguenti:
|
||
|
||
a) obiettivi strategici e priorità per aumentare la resilienza complessiva dei soggetti critici tenendo conto delle dipendenze
|
||
e interdipendenze transfrontaliere e intersettoriali;
|
||
b) un quadro di governance per la realizzazione di tali obiettivi strategici e priorità, che comprenda una descrizione dei
|
||
ruoli e delle responsabilità delle diverse autorità, dei diversi soggetti critici e delle altre parti coinvolte nell’attuazione
|
||
della strategia;
|
||
c) una descrizione delle misure necessarie per aumentare la resilienza complessiva dei soggetti critici, che comprenda una
|
||
descrizione della valutazione del rischio di cui all’articolo 5;
|
||
d) una descrizione del processo di individuazione dei soggetti critici;
|
||
|
||
L 333/178
|
||
|
||
IT
|
||
|
||
Gazzetta ufficiale dell’Unione europea
|
||
|
||
27.12.2022
|
||
|
||
e) una descrizione del processo volto a sostenere i soggetti critici in conformità del presente capo, comprese le misure per
|
||
rafforzare la cooperazione tra il settore pubblico, da un lato, e il settore privato e i soggetti pubblici e privati, dall’altro;
|
||
f) un elenco delle principali autorità e dei pertinenti portatori di interessi, diversi dai soggetti critici, coinvolti
|
||
nell’attuazione della strategia;
|
||
g) un quadro strategico per il coordinamento tra le autorità competenti ai sensi della presente direttiva («autorità
|
||
competenti») e le autorità competenti ai sensi della direttiva (UE) 2022/2555 ai fini della condivisione delle
|
||
informazioni sui rischi di cibersicurezza, sulle minacce e sugli incidenti informatici nonché sui rischi, sulle minacce e
|
||
sugli incidenti non informatici e ai fini dello svolgimento di compiti di vigilanza;
|
||
h) una descrizione delle misure già in vigore volte ad agevolare l’attuazione degli obblighi di cui al capo III della presente
|
||
direttiva da parte delle piccole e medie imprese ai sensi dell’allegato della raccomandazione 2003/361/CE della
|
||
Commissione (31), che gli Stati membri in questione hanno individuato come soggetti critici.
|
||
A seguito di una consultazione aperta, per quanto praticamente possibile, ai pertinenti portatori di interessi, gli Stati
|
||
membri aggiornano le loro strategie almeno ogni quattro anni.
|
||
3.
|
||
Gli Stati membri comunicano alla Commissione le loro strategie, e i relativi aggiornamenti sostanziali, entro tre mesi
|
||
dalla loro adozione.
|
||
|
||
Articolo 5
|
||
Valutazione del rischio da parte degli Stati membri
|
||
1.
|
||
Alla Commissione è conferito il potere di adottare un atto delegato conformemente all’articolo 23, entro il
|
||
17 novembre 2023, al fine di integrare la presente direttiva stabilendo un elenco non esaustivo dei servizi essenziali nei
|
||
settori e nei sottosettori di cui all’allegato. Le autorità competenti utilizzano tale elenco dei servizi essenziali per effettuare
|
||
una valutazione del rischio («valutazione del rischio dello Stato membro») entro il 17 gennaio 2026 e successivamente
|
||
ogniqualvolta necessario e almeno ogni quattro anni. Le autorità competenti utilizzano le valutazioni del rischio dello
|
||
Stato membro per individuare i soggetti critici ai sensi dell’articolo 6 e per aiutare tali soggetti critici ad adottare misure ai
|
||
sensi dell’articolo 13.
|
||
La valutazione del rischio dello Stato membro tiene conto dei rischi rilevanti, naturali e di origine umana, compresi quelli di
|
||
natura intersettoriale o transfrontaliera, gli incidenti, le catastrofi naturali, le emergenze di sanità pubblica, le minacce ibride
|
||
o altre minacce antagoniste, inclusi i reati di terrorismo di cui alla direttiva (UE) 2017/541 del Parlamento europeo e del
|
||
Consiglio (32).
|
||
2.
|
||
Nel procedere alla valutazione del rischio dello Stato membro, gli Stati membri prendono in considerazione almeno
|
||
gli elementi seguenti:
|
||
a) la valutazione generale del rischio effettuata ai sensi dell’articolo 6, paragrafo 1, della decisione n. 1313/2013/UE;
|
||
b) altre valutazioni del rischio rilevanti, svolte in conformità dei requisiti dei pertinenti atti giuridici settoriali dell’Unione,
|
||
inclusi i regolamenti (UE) 2017/1938 (33) e (UE) 2019/941 (34) del Parlamento europeo e del Consiglio e le direttive
|
||
2007/60/CE (35) e 2012/18/UE (36) del Parlamento europeo e del Consiglio;
|
||
(31) Raccomandazione 2003/361/CE della Commissione, del 6 maggio 2003, relativa alla definizione delle microimprese, piccole e medie
|
||
imprese (GU L 124 del 20.5.2003, pag. 36).
|
||
(32) Direttiva (UE) 2017/541 del Parlamento europeo e del Consiglio, del 15 marzo 2017, sulla lotta contro il terrorismo e che sostituisce
|
||
la decisione quadro 2002/475/GAI del Consiglio e che modifica la decisione 2005/671/GAI del Consiglio (GU L 88 del 31.3.2017,
|
||
pag. 6).
|
||
(33) Regolamento (UE) 2017/1938 del Parlamento europeo e del Consiglio, del 25 ottobre 2017, concernente misure volte a garantire la
|
||
sicurezza dell’approvvigionamento di gas e che abroga il regolamento (UE) n. 994/2010 (GU L 280 del 28.10.2017, pag. 1).
|
||
(34) Regolamento (UE) 2019/941 del Parlamento europeo e del Consiglio, del 5 giugno 2019, sulla preparazione ai rischi nel settore
|
||
dell’energia elettrica e che abroga la direttiva 2005/89/CE (GU L 158 del 14.6.2019, pag. 1).
|
||
(35) Direttiva 2007/60/CE del Parlamento europeo e del Consiglio, del 23 ottobre 2007, relativa alla valutazione e alla gestione dei rischi di
|
||
alluvioni (GU L 288 del 6.11.2007, pag. 27).
|
||
(36) Direttiva 2012/18/UE del Parlamento europeo e del Consiglio, del 4 luglio 2012, sul controllo del pericolo di incidenti rilevanti
|
||
connessi con sostanze pericolose, recante modifica e successiva abrogazione della direttiva 96/82/CE del Consiglio (GU L 197
|
||
del 24.7.2012, pag. 1).
|
||
|
||
27.12.2022
|
||
|
||
IT
|
||
|
||
Gazzetta ufficiale dell’Unione europea
|
||
|
||
L 333/179
|
||
|
||
c) i rischi pertinenti derivanti dalla misura in cui i settori di cui all’allegato dipendono l’uno dall’altro, e anche dalla misura
|
||
in cui essi dipendono da soggetti situati in altri Stati membri e paesi terzi, e l’impatto che una perturbazione significativa
|
||
in un settore può avere su altri settori, compresi gli eventuali rischi significativi per i cittadini e il mercato interno;
|
||
d) ogni informazione su incidenti notificati a norma dell’articolo 15.
|
||
Ai fini del primo comma, lettera c), gli Stati membri cooperano con le autorità competenti degli altri Stati membri e le
|
||
autorità competenti dei paesi terzi, a seconda dei casi.
|
||
3.
|
||
Gli Stati membri mettono a disposizione dei soggetti critici individuati ai sensi dell’articolo 6 gli elementi rilevanti
|
||
della valutazione del rischio dello Stato membro, se del caso mediante i propri punti di contatto unici. Gli Stati membri
|
||
garantiscono che le informazioni fornite ai soggetti critici li assistano nell’effettuare la propria valutazione del rischio ai
|
||
sensi dell’articolo 12 e ad adottare le misure per garantire la propria resilienza ai sensi dell’articolo 13.
|
||
4.
|
||
Entro tre mesi dall’effettuazione della valutazione del rischio dello Stato membro, lo Stato membro trasmette alla
|
||
Commissione le informazioni pertinenti sui tipi di rischi individuati e sui risultati delle valutazioni del rischio di tale Stato
|
||
membro, per settore e sottosettore di cui all’allegato.
|
||
5.
|
||
La Commissione, in cooperazione con gli Stati membri, sviluppa un modello comune volontario per la presentazione
|
||
delle relazioni in ottemperanza con il paragrafo 4.
|
||
|
||
Articolo 6
|
||
|
||
Individuazione dei soggetti critici
|
||
1.
|
||
|
||
Entro il 17 luglio 2026 ogni Stato membro individua i soggetti critici per i settori e i sottosettori di cui all’allegato.
|
||
|
||
2.
|
||
Quando uno Stato membro individua i soggetti critici ai sensi del paragrafo 1, tiene conto dei risultati della propria
|
||
valutazione del rischio dello Stato membro e della propria strategia e applica tutti i criteri seguenti:
|
||
a) il soggetto fornisce uno o più servizi essenziali;
|
||
b) il soggetto opera, e la sua infrastruttura critica è situata, sul territorio di tale Stato membro; e
|
||
c) un incidente avrebbe effetti negativi rilevanti, determinati in conformità dell’articolo 7, paragrafo 1, sulla fornitura da
|
||
parte del soggetto di uno o più servizi essenziali, o sulla fornitura di altri servizi essenziali nei settori di cui all’allegato
|
||
che dipendono da tale o tali servizi essenziali.
|
||
3.
|
||
Ogni Stato membro redige un elenco dei soggetti critici individuati a norma del paragrafo 2 e provvede affinché a tali
|
||
soggetti critici sia notificato che sono stati individuati come tali entro un mese dall’individuazione stessa. Gli Stati membri
|
||
informano tali soggetti critici degli obblighi di cui ai capi III e IV e della data a decorrere dalla quale si applicano loro tali
|
||
obblighi, fatto salvo l’articolo 8. Gli Stati membri informano i soggetti critici dei settori di cui ai punti 3, 4 e 8 della tabella
|
||
di cui all’allegato che non hanno obblighi di cui ai capi III e IV, salvo misure nazionali diverse.
|
||
Il capo III si applica ai soggetti critici interessati 10 mesi dopo la data della notifica di cui al primo comma del presente
|
||
paragrafo.
|
||
4.
|
||
Gli Stati membri provvedono affinché le rispettive autorità competenti ai sensi della presente direttiva notifichino alle
|
||
autorità competenti di cui alla direttiva (UE) 2022/2555 l’identità dei soggetti critici individuati ai sensi del presente articolo
|
||
entro un mese dall’individuazione. Tale notifica specifica, ove applicabile, che i soggetti critici interessati sono soggetti dei
|
||
settori di cui ai punti 3, 4 e 8 della tabella di cui all’allegato della presente direttiva e non hanno obblighi di cui ai capi III
|
||
e IV della stessa.
|
||
|
||
L 333/180
|
||
|
||
IT
|
||
|
||
Gazzetta ufficiale dell’Unione europea
|
||
|
||
27.12.2022
|
||
|
||
5.
|
||
Quando necessario e, in ogni caso, almeno ogni quattro anni, gli Stati membri riesaminano e, se del caso, aggiornano
|
||
l’elenco dei soggetti critici individuati di cui al paragrafo 3. Qualora tali aggiornamenti portino all’individuazione di soggetti
|
||
critici ulteriori, a questi ultimi si applicano i paragrafi 3 e 4. Gli Stati membri provvedono inoltre affinché i soggetti non più
|
||
individuati come critici a seguito di un aggiornamento ricevano notifica di tale fatto in tempo utile e del fatto che non
|
||
debbano più adempiere agli obblighi di cui al capo III a decorrere dalla data di ricevimento di tale notifica.
|
||
|
||
6.
|
||
La Commissione, in cooperazione con gli Stati membri, elabora raccomandazioni e linee guida non vincolanti volti ad
|
||
aiutare gli Stati membri a individuare i soggetti critici.
|
||
|
||
Articolo 7
|
||
|
||
Effetti negativi rilevanti
|
||
|
||
1.
|
||
Nella determinazione della rilevanza degli effetti negativi di cui all’articolo 6, paragrafo 2, lettera c), gli Stati membri
|
||
tengono conto dei criteri seguenti:
|
||
a) il numero di utenti che dipendono dal servizio essenziale fornito dal soggetto interessato;
|
||
b) la misura in cui altri settori e sottosettori di cui all’allegato dipendono dal servizio essenziale in questione;
|
||
c) l’impatto che gli incidenti potrebbero avere, in termini di entità e di durata, sulle attività economiche e sociali,
|
||
sull’ambiente, sulla pubblica sicurezza, sull’incolumità pubblica o sulla salute della popolazione;
|
||
d) la quota di mercato del soggetto nel mercato del servizio essenziale o dei servizi essenziali interessati;
|
||
e) l’area geografica che potrebbe essere interessata da un incidente, compresi eventuali impatti transfrontalieri, tenendo
|
||
conto della vulnerabilità associata al grado di isolamento di alcuni tipi di aree geografiche, come quelle insulari, remote
|
||
o montane;
|
||
f) l’importanza del soggetto nel mantenimento di un livello sufficiente del servizio essenziale, tenendo conto della
|
||
disponibilità di strumenti alternativi per la fornitura di tale servizio essenziale.
|
||
|
||
2.
|
||
A seguito dell’individuazione dei soggetti critici di cui all’articolo 6, paragrafo 1, ciascuno Stato membro comunica
|
||
senza indebito ritardo alla Commissione le informazioni seguenti:
|
||
a) un elenco dei servizi essenziali in tale Stato membro qualora vi siano servizi essenziali aggiuntivi rispetto all’elenco dei
|
||
servizi essenziali di cui all’articolo 5, paragrafo 1;
|
||
b) il numero di soggetti critici individuati per ciascun settore e sottosettore di cui all’allegato e per ciascun servizio
|
||
essenziale;
|
||
c) le soglie applicate per specificare uno o più criteri di cui al paragrafo 1.
|
||
|
||
Le soglie di cui al primo comma, lettera c), possono essere presentate come tali o in forma aggregata.
|
||
|
||
Gli Stati membri comunicano successivamente le informazioni di cui al primo comma quando necessario, e almeno ogni
|
||
quattro anni.
|
||
|
||
3.
|
||
La Commissione, previa consultazione del gruppo per la resilienza dei soggetti critici di cui all’articolo 19, adotta
|
||
linee guida non vincolanti per agevolare l’applicazione dei criteri di cui al paragrafo 1 del presente articolo, tenendo conto
|
||
delle informazioni di cui al paragrafo 2 del presente articolo.
|
||
|
||
27.12.2022
|
||
|
||
IT
|
||
|
||
Gazzetta ufficiale dell’Unione europea
|
||
|
||
L 333/181
|
||
|
||
Articolo 8
|
||
Soggetti critici del settore bancario, delle infrastrutture dei mercati finanziari e delle infrastrutture digitali
|
||
Gli Stati membri provvedono affinché l’articolo 11 e i capi III, IV e VI non si applichino ai soggetti critici che hanno
|
||
individuato nei settori di cui ai punti 3, 4 e 8 della tabella di cui all’allegato. Gli Stati membri possono adottare o
|
||
mantenere in vigore disposizioni di diritto interno atte a conseguire un livello di resilienza più elevato per tali soggetti
|
||
critici, a condizione che dette disposizioni siano coerenti con il diritto dell’Unione applicabile.
|
||
|
||
Articolo 9
|
||
Autorità competenti e punto di contatto unico
|
||
1.
|
||
Ogni Stato membro designa o istituisce una o più autorità competenti responsabili della corretta applicazione e, se
|
||
necessario, dell’esecuzione delle norme della presente direttiva a livello nazionale.
|
||
Per quanto riguarda i soggetti critici nei settori di cui ai punti 3 e 4 della tabella di cui all’allegato della presente direttiva, le
|
||
autorità competenti sono, in linea di principio, le autorità competenti di cui all’articolo 46 del regolamento (UE) 2022/
|
||
2554 Per quanto riguarda i soggetti critici nel settore di cui al punto 8 della tabella di cui all’allegato della presente
|
||
direttiva, le autorità competenti sono, in linea di principio, le autorità competenti di cui alla direttiva (UE) 2022/2555 Gli
|
||
Stati membri possono designare una diversa autorità competente per i settori di cui ai punti 3, 4 e 8 della tabella figurante
|
||
nell’allegato della presente direttiva in conformità dei quadri nazionali esistenti.
|
||
Qualora designino o istituiscano più di un’autorità competente, gli Stati membri definiscono chiaramente i compiti di
|
||
ciascuna delle autorità interessate e provvedono affinché esse cooperino efficacemente per svolgerli a norma della presente
|
||
direttiva, anche per quanto riguarda la designazione e le attività del punto di contatto unico di cui al paragrafo 2.
|
||
2.
|
||
Ciascuno Stato membro designa o istituisce un punto di contatto unico, che svolga una funzione di collegamento allo
|
||
scopo di garantire la cooperazione transfrontaliera con i punti di contatto unici di altri Stati membri e con il gruppo per la
|
||
resilienza dei soggetti critici di cui all’articolo 19 («punto di contatto unico»). Se del caso, uno Stato membro designa il suo
|
||
punto di contatto unico all’interno di una autorità competente. Se del caso, uno Stato membro può provvedere affinché il
|
||
suo punto di contatto unico svolga anche una funzione di collegamento con la Commissione e garantisca la cooperazione
|
||
con i paesi terzi.
|
||
3.
|
||
Entro il 17 luglio 2028, e successivamente ogni due anni, i punti di contatto unici trasmettono alla Commissione e al
|
||
gruppo per la resilienza dei soggetti critici di cui all’articolo 19 una relazione di sintesi in merito alle notifiche ricevute,
|
||
compresi il numero di notifiche e la natura degli incidenti notificati, e alle azioni intraprese a norma dell’articolo 15,
|
||
paragrafo 3.
|
||
La Commissione, in cooperazione con il gruppo per la resilienza dei soggetti critici, sviluppa un modello comune per la
|
||
presentazione delle relazioni. Le autorità competenti possono utilizzare, su base volontaria, tale modello comune per la
|
||
presentazione delle relazioni ai fini della presentazione delle relazioni di sintesi di cui al primo comma.
|
||
4.
|
||
Ciascuno Stato membro provvede affinché la propria autorità competente e il punto di contatto unico dispongano dei
|
||
poteri e delle risorse finanziarie, umane e tecniche adeguate a svolgere in modo efficace ed efficiente i compiti che sono loro
|
||
assegnati.
|
||
5.
|
||
Ciascuno Stato membro provvede affinché la propria autorità competente, ove opportuno e conformemente al diritto
|
||
dell’Unione e al diritto nazionale, si consulti e cooperi con le altre autorità nazionali competenti, comprese quelle
|
||
responsabili della protezione civile, delle attività di contrasto e della protezione dei dati personali, e con i soggetti critici e
|
||
le parti interessate pertinenti.
|
||
6.
|
||
Ciascuno Stato membro provvede affinché la propria autorità competente ai sensi della presente direttiva cooperi e
|
||
scambi informazioni con le autorità competenti di cui alla direttiva (UE) 2022/2555 sui rischi di cibersicurezza, sulle
|
||
minacce e sugli incidenti informatici e sui rischi, sulle minacce e sugli incidenti non informatici che hanno ripercussioni sui
|
||
soggetti critici, anche per quanto riguarda le pertinenti misure adottate dalla rispettiva autorità competente e dalle autorità
|
||
competenti di cui alla direttiva (UE) 2022/2555
|
||
|
||
L 333/182
|
||
|
||
IT
|
||
|
||
Gazzetta ufficiale dell’Unione europea
|
||
|
||
27.12.2022
|
||
|
||
7.
|
||
Entro tre mesi dalla designazione o istituzione dell’autorità competente e del punto di contatto unico, ogni Stato
|
||
membro notifica alla Commissione la loro identità e i loro compiti e responsabilità ai sensi della presente direttiva e i loro
|
||
dati di contatto, e qualsiasi ulteriore modifica dei medesimi. Gli Stati membri informano la Commissione qualora decidano
|
||
di nominare autorità diverse dalle autorità competenti di cui al paragrafo 1, secondo comma, quali autorità competenti in
|
||
relazione ai soggetti critici nei settori di cui ai punti 3, 4 e 8 della tabella di cui all’allegato. Ogni Stato membro rende
|
||
pubblica l’identità della rispettiva autorità competente e del punto di contatto unico.
|
||
8.
|
||
|
||
La Commissione rende disponibile al pubblico un elenco dei punti di contatto unici.
|
||
|
||
Articolo 10
|
||
Sostegno degli Stati membri ai soggetti critici
|
||
1.
|
||
Gli Stati membri sostengono i soggetti critici nel rafforzamento della loro resilienza. Tale sostegno può comportare
|
||
l’elaborazione di materiali e metodologie di orientamento, aiuto nell’organizzazione di esercitazioni per testare la propria
|
||
resilienza nonché la prestazione di consulenza e di corsi di formazione per il personale dei soggetti critici. Fatte salve le
|
||
norme applicabili in materia di aiuti di Stato, gli Stati membri possono fornire risorse finanziarie ai soggetti critici, ove ciò
|
||
sia necessario e giustificato da obiettivi di interesse pubblico.
|
||
2.
|
||
Ogni Stato membro provvede affinché la rispettiva autorità competente cooperi e scambi informazioni e buone prassi
|
||
con i soggetti critici dei settori di cui all’allegato.
|
||
3.
|
||
Gli Stati membri agevolano la condivisione volontaria di informazioni fra i soggetti critici in relazione alle materie
|
||
disciplinate dalla presente direttiva, conformemente al diritto dell’Unione e al diritto nazionale, riguardo, in particolare, alle
|
||
informazioni classificate e sensibili, alla concorrenza e alla protezione dei dati personali.
|
||
|
||
Articolo 11
|
||
Cooperazione tra Stati membri
|
||
1.
|
||
Ogniqualvolta ciò sia opportuno, gli Stati membri si consultano reciprocamente in merito ai soggetti critici al fine di
|
||
un’applicazione coerente della presente direttiva. Tali consultazioni si svolgono, in particolare, per i soggetti critici che:
|
||
a) utilizzano infrastrutture critiche fisicamente collegate tra due o più Stati membri;
|
||
b) fanno parte di strutture societarie collegate o associate a soggetti critici in altri Stati membri;
|
||
c) sono stati individuati come soggetti critici in uno Stato membro e forniscono servizi essenziali ad altri Stati membri o in
|
||
altri Stati membri.
|
||
2.
|
||
Le consultazioni di cui al paragrafo 1 sono intese a rafforzare la resilienza dei soggetti critici e, ove possibile, a ridurre
|
||
gli oneri amministrativi a loro carico.
|
||
|
||
CAPO III
|
||
RESILIENZA DEI SOGGETTI CRITICI
|
||
|
||
Articolo 12
|
||
Valutazione del rischio da parte dei soggetti critici
|
||
1.
|
||
Fatto salvo il termine di cui all’articolo 6, paragrafo 3, secondo comma, gli Stati membri provvedono affinché i
|
||
soggetti critici effettuino una valutazione del rischio, entro nove mesi dal ricevimento della notifica di cui all’articolo 6,
|
||
paragrafo 3, e successivamente quando necessario e almeno ogni quattro anni, valutino, basandosi sulle valutazioni del
|
||
rischio degli Stati membri e su altre fonti di informazioni pertinenti, al fine di valutare tutti i rischi rilevanti che potrebbero
|
||
perturbare la fornitura dei loro servizi essenziali («valutazione del rischio dei soggetti critici»).
|
||
|
||
27.12.2022
|
||
|
||
IT
|
||
|
||
Gazzetta ufficiale dell’Unione europea
|
||
|
||
L 333/183
|
||
|
||
2.
|
||
Le valutazioni del rischio dei soggetti critici tengono conto di tutti i rischi rilevanti naturali e di origine umana che
|
||
potrebbero causare un incidente, compresi quelli di natura intersettoriale o transfrontaliera, gli incidenti, le catastrofi
|
||
naturali, le emergenze di sanità pubblica, le minacce ibride e altre minacce antagoniste, inclusi i reati di terrorismo di cui
|
||
alla direttiva (UE) 2017/541. La valutazione del rischio dei soggetti critici tiene conto della misura in cui altri settori di cui
|
||
all’allegato dipendono dal servizio essenziale fornito dal soggetto critico e della misura in cui tale soggetto critico dipende
|
||
dai servizi essenziali forniti da altri soggetti in taluni altri settori, se del caso, anche negli Stati membri e nei paesi terzi vicini.
|
||
Qualora un soggetto critico abbia effettuato altre valutazioni del rischio o redatto documenti conformemente agli obblighi
|
||
previsti da altri atti giuridici pertinenti per la propria valutazione del rischio dei soggetti critici, può utilizzare tali
|
||
valutazioni e documenti per soddisfare i requisiti stabiliti al presente articolo. Nell’esercizio delle sue funzioni di vigilanza,
|
||
l’autorità competente può decidere di dichiarare conforme, in tutto o in parte, ai requisiti del presente articolo una
|
||
valutazione del rischio esistente di un soggetto critico che affronta i rischi e il grado di dipendenza di cui al primo comma
|
||
del presente paragrafo.
|
||
|
||
Articolo 13
|
||
|
||
Misure di resilienza dei soggetti critici
|
||
1.
|
||
Gli Stati membri provvedono affinché i soggetti critici adottino misure tecniche, di sicurezza e organizzative adeguate
|
||
e proporzionate per garantire la propria resilienza, in base alle informazioni pertinenti fornite dagli Stati membri in merito
|
||
alla valutazione del rischio dello Stato membro e in base ai risultati della valutazione del rischio del soggetto critico, incluse
|
||
misure necessarie per:
|
||
a) evitare il verificarsi di incidenti, prendendo debitamente in considerazione le misure di riduzione del rischio di catastrofi
|
||
e di adattamento ai cambiamenti climatici;
|
||
b) assicurare un’adeguata protezione fisica dei propri siti e delle infrastrutture critiche prendendo debitamente in
|
||
considerazione, ad esempio, recinzioni, barriere, strumenti e routine di controllo del perimetro, impianti di
|
||
rilevamento e controllo degli accessi;
|
||
c) contrastare e resistere alle conseguenze degli incidenti e mitigarle, prendendo debitamente in considerazione procedure
|
||
e protocolli di gestione dei rischi e delle crisi e pratiche di allerta;
|
||
d) ripristinare le proprie capacità operative in caso di incidenti, prendendo debitamente in considerazione misure di
|
||
continuità operativa e l’individuazione di catene di approvvigionamento alternative al fine di ripristinare la fornitura
|
||
del servizio essenziale;
|
||
e) assicurare un’adeguata gestione della sicurezza del personale, prendendo debitamente in considerazione misure quali la
|
||
definizione di categorie di personale che svolgono funzioni critiche, l’introduzione di autorizzazioni di accesso ai siti e
|
||
alle infrastrutture critiche così come alle informazioni sensibili, istituendo procedure per i controlli dei precedenti
|
||
personali in conformità dell’articolo 14 e designando le categorie di persone tenute a sottoporsi a tali controlli dei
|
||
precedenti personali, e definendo adeguati requisiti di formazione e qualifiche;
|
||
f) sensibilizzare il personale interessato in merito alle misure di cui alle lettere da a) ad e), prendendo debitamente in
|
||
considerazione corsi di formazione, materiale informativo ed esercitazioni.
|
||
Ai fini del primo comma, lettera e), gli Stati membri provvedono affinché i soggetti critici tengano conto del personale dei
|
||
fornitori esterni di servizi nel definire le categorie di personale che svolgono funzioni critiche.
|
||
2.
|
||
Gli Stati membri provvedono affinché i soggetti critici predispongano e applichino un piano di resilienza o un
|
||
documento o documenti equivalenti, in cui siano descritte le misure di cui al paragrafo 1. Qualora i soggetti critici abbiano
|
||
redatto documenti o adottato misure conformemente agli obblighi previsti da altri atti giuridici pertinenti per le misure
|
||
stabilite al paragrafo 1, essi possono utilizzare tali documenti e misure per soddisfare i requisiti stabiliti dal presente
|
||
articolo. Nell’esercizio delle sue funzioni di vigilanza, l’autorità competente può dichiarare conformi, in tutto o in parte,
|
||
agli obblighi di cui a presente articolo le misure esistenti di rafforzamento della resilienza di un soggetto critico che
|
||
affrontano in modo adeguato e proporzionato le misure tecniche, di sicurezza e organizzative di cui al paragrafo 1.
|
||
|
||
L 333/184
|
||
|
||
IT
|
||
|
||
Gazzetta ufficiale dell’Unione europea
|
||
|
||
27.12.2022
|
||
|
||
3.
|
||
Gli Stati membri provvedono affinché ciascun soggetto critico designi un funzionario di collegamento o equivalente
|
||
come punto di contatto con le autorità competenti.
|
||
4.
|
||
Su richiesta dello Stato membro che ha individuato il soggetto critico, e con l’accordo del soggetto critico interessato,
|
||
la Commissione organizza missioni di consulenza, conformemente alle disposizioni di cui all’articolo 18, paragrafi 6, 8 e 9,
|
||
per consigliare il soggetto critico riguardo all’adempimento degli obblighi di cui al capo III. La missione di consulenza
|
||
riferisce i suoi risultati alla Commissione, a tale Stato membro e al soggetto critico interessato.
|
||
5.
|
||
La Commissione, previa consultazione del gruppo per la resilienza dei soggetti critici di cui all’articolo 19, adotta
|
||
linee guida non vincolanti per specificare ulteriormente le misure tecniche, di sicurezza e organizzative che possono essere
|
||
adottate a norma del paragrafo 1 del presente articolo.
|
||
6.
|
||
La Commissione adotta atti di esecuzione per definire le necessarie specifiche tecniche e metodologiche relative
|
||
all’applicazione delle misure di cui al paragrafo 1 del presente articolo. Tali atti di esecuzione sono adottati secondo la
|
||
procedura d’esame di cui all’articolo 24, paragrafo 2.
|
||
|
||
Articolo 14
|
||
Controlli dei precedenti personali
|
||
1.
|
||
Gli Stati membri precisano le condizioni in base alle quali il soggetto critico è autorizzato, in casi debitamente
|
||
motivati e tenendo conto della valutazione del rischio dello Stato membro, a presentare richieste di controlli dei precedenti
|
||
personali per le persone che:
|
||
a) rivestono ruoli sensibili all’interno del soggetto critico o a vantaggio di quest’ultimo, segnatamente in relazione alla
|
||
resilienza del soggetto critico;
|
||
b) sono autorizzate ad accedere — direttamente o a distanza — ai suoi siti e ai suoi sistemi informatici o di controllo,
|
||
anche in relazione alla sicurezza del soggetto critico;
|
||
c) sono presi in considerazione per l’assunzione in ruoli che rientrano nei criteri di cui alle lettere a) o b).
|
||
2.
|
||
Le richieste di cui al paragrafo 1 del presente articolo sono valutate entro un lasso di tempo ragionevole e trattate
|
||
conformemente al diritto e alle procedure nazionali, e al diritto dell’Unione pertinente e applicabile, compresi il
|
||
regolamento (UE) 2016/679 e la direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio (37). I controlli dei
|
||
precedenti personali sono proporzionati e strettamente limitati a quanto necessario e sono effettuati al solo scopo di
|
||
valutare un potenziale rischio per la sicurezza del soggetto critico interessato.
|
||
3.
|
||
|
||
Il controllo dei precedenti personali di cui al paragrafo 1, come minimo:
|
||
|
||
a) conferma l’identità della persona che è soggetta al controllo dei precedenti personali;
|
||
b) verifica i precedenti penali di tale persona per quanto riguarda reati rilevanti ai fini di uno specifico ruolo.
|
||
Nell’effettuare i controlli dei precedenti personali, gli Stati membri, si avvalgono del sistema europeo di informazione sui
|
||
casellari giudiziali conformemente alle procedure stabilite nella decisione quadro 2009/315/GAI e, ove pertinente e
|
||
applicabile, nel regolamento (UE) 2019/816 per ottenere le informazioni sui precedenti penali in possesso di altri Stati
|
||
membri. Le autorità centrali di cui all’articolo 3, paragrafo 1, della decisione quadro 2009/315/GAI e all’articolo 3, punto
|
||
5), del regolamento (UE) 2019/816 forniscono risposte alle richieste di informazioni in questione entro 10 giorni
|
||
lavorativi dalla data di ricevimento della richiesta, conformemente all’articolo 8, paragrafo 1, della decisione quadro
|
||
2009/315/GAI.
|
||
(37) Direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con
|
||
riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e
|
||
perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione
|
||
quadro 2008/977/GAI del Consiglio (GU L 119 del 4.5.2016, pag. 89).
|
||
|
||
27.12.2022
|
||
|
||
IT
|
||
|
||
Gazzetta ufficiale dell’Unione europea
|
||
|
||
L 333/185
|
||
|
||
Articolo 15
|
||
|
||
Notifica degli incidenti
|
||
|
||
1.
|
||
Gli Stati membri provvedono affinché i soggetti critici notifichino senza indebito ritardo all’autorità competente gli
|
||
incidenti che perturbano o possono perturbare in modo significativo in modo significativo la fornitura di servizi essenziali.
|
||
Gli Stati membri provvedono affinché, a meno che non siano operativamente impossibilitati a farlo, i soggetti critici
|
||
effettuino una notifica iniziale entro 24 ore dal momento in cui vengono a conoscenza di un incidente, seguita, ove
|
||
opportuno, da una relazione finale dettagliata al più tardi dopo un mese. Per determinare la rilevanza della perturbazione
|
||
si tiene conto in particolare dei parametri seguenti:
|
||
a) numero e percentuale di utenti interessati dalla perturbazione;
|
||
b) durata della perturbazione;
|
||
c) area geografica interessata dalla perturbazione, tenendo conto dell’eventuale isolamento geografico di tale area.
|
||
|
||
Qualora un incidente abbia o possa avere un impatto significativo sulla continuità della fornitura dei servizi essenziali a o in
|
||
sei o più Stati membri, le autorità competenti degli Stati membri interessati dall’incidente notificano tale incidente alla
|
||
Commissione.
|
||
|
||
2.
|
||
Le notifiche di cui al paragrafo 1, primo comma, includono tutte le informazioni disponibili necessarie per consentire
|
||
all’autorità competente di comprendere la natura, la causa e le possibili conseguenze dell’incidente, comprese tutte le
|
||
informazioni disponibili necessarie alla determinazione di un suo eventuale impatto transfrontaliero. Tali notifiche non
|
||
espongono i soggetti critici a una maggiore responsabilità.
|
||
|
||
3.
|
||
Sulla base delle informazioni fornite da un soggetto critico in una notifica di cui al paragrafo 1, l’autorità competente,
|
||
tramite il punto di contatto unico, informa il punto di contatto unico degli altri Stati membri interessati nel caso in cui
|
||
l’incidente abbia, o possa avere, un impatto significativo sui soggetti critici e sulla continuità dei servizi essenziali a o in
|
||
uno o più altri Stati membri.
|
||
|
||
I punti di contatto unici che trasmettono e ricevono informazioni a norma del primo comma, trattano, conformemente al
|
||
diritto dell’Unione o al diritto nazionale, tali informazioni rispettandone la riservatezza e tutelando la sicurezza e gli
|
||
interessi commerciali del soggetto critico interessato.
|
||
|
||
4.
|
||
Il più rapidamente possibile a seguito di una notifica di cui al paragrafo 1, l’autorità competente interessata fornisce al
|
||
soggetto critico interessato informazioni rilevanti sul seguito dato, comprese informazioni che possano supportare
|
||
un’efficace risposta di tale soggetto critico all’incidente in questione. Gli Stati membri informano il pubblico qualora
|
||
ritengano che sia nell’interesse pubblico farlo.
|
||
|
||
Articolo 16
|
||
|
||
Norme
|
||
|
||
Per promuovere l’attuazione convergente della presente direttiva, gli Stati membri, laddove opportuno e senza imposizioni
|
||
o discriminazioni a favore dell’uso di un particolare tipo di tecnologia, incoraggiano l’uso di norme e specifiche tecniche
|
||
europee e internazionali riguardanti le misure sulla sicurezza e le misure sulla resilienza applicabili ai soggetti critici.
|
||
|
||
L 333/186
|
||
|
||
IT
|
||
|
||
Gazzetta ufficiale dell’Unione europea
|
||
|
||
27.12.2022
|
||
|
||
CAPO IV
|
||
SOGGETTI CRITICI DI PARTICOLARE RILEVANZA EUROPEA
|
||
|
||
Articolo 17
|
||
Individuazione dei soggetti critici di particolare rilevanza europea
|
||
1.
|
||
|
||
Un soggetto è considerato soggetto critico di particolare rilevanza europea se:
|
||
|
||
a) è stato individuato come soggetto critico ai sensi dell’articolo 6, paragrafo 1;
|
||
b) fornisce servizi essenziali identici o analoghi a o in sei o più Stati membri; e
|
||
c) è stato notificato ai sensi del paragrafo 3.
|
||
2.
|
||
Gli Stati membri provvedono affinché un soggetto critico, a seguito della notifica di cui all’articolo 6, paragrafo 3,
|
||
comunichi alla rispettiva autorità competente se fornisce servizi essenziali a o in sei o più Stati membri. In tal caso, gli Stati
|
||
membri provvedono affinché il soggetto critico comunichi alla rispettiva autorità competente quali servizi essenziali
|
||
fornisce a o in tali Stati membri e a quali o in quali Stati membri fornisce tali servizi essenziali. Lo Stato membro notifica
|
||
alla Commissione, senza indebito ritardo, l’identità di tali soggetti critici e le informazioni che essi forniscono ai sensi del
|
||
presente paragrafo.
|
||
La Commissione si consulta con l’autorità competente dello Stato membro che ha individuato un soggetto critico di cui al
|
||
primo comma, l’autorità competente di altri Stati membri interessati e il soggetto critico in questione. Nel corso di tali
|
||
consultazioni ciascuno Stato membro comunica alla Commissione se ritiene che i servizi forniti a tale Stato membro dal
|
||
soggetto critico siano servizi essenziali.
|
||
3.
|
||
Se stabilisce, sulla base delle consultazioni di cui al paragrafo 2 del presente articolo, che il soggetto critico interessato
|
||
fornisce servizi essenziali a o in sei o più Stati membri, la Commissione comunica a tale soggetto critico, tramite la relativa
|
||
autorità competente, la sua individuazione come soggetto critico di particolare rilevanza europea e informa tale soggetto
|
||
critico degli obblighi ai quali è assoggettato ai sensi del presente capo e della data a decorrere dalla quale si applicano tali
|
||
obblighi. Una volta che la Commissione ha informato l’autorità competente della sua decisione di considerare un soggetto
|
||
critico come un soggetto critico di particolare rilevanza europea, l’autorità competente trasmette tale notifica senza
|
||
indebito ritardo a tale soggetto critico.
|
||
4.
|
||
Il presente capo si applica al soggetto critico di particolare rilevanza europea interessato a decorrere dalla data di
|
||
ricevimento della notifica di cui al paragrafo 3 del presente articolo.
|
||
|
||
Articolo 18
|
||
Missioni di consulenza
|
||
1.
|
||
Su richiesta dello Stato membro che ha individuato un soggetto critico di particolare rilevanza europea come
|
||
soggetto critico ai sensi dell’articolo 6, paragrafo 1, la Commissione organizza una missione di consulenza per valutare le
|
||
misure predisposte da tale soggetto critico per adempiere ai propri obblighi di cui al capo III.
|
||
2.
|
||
Di propria iniziativa o su richiesta di uno o più Stati membri a cui o in cui è fornito il servizio essenziale, e a
|
||
condizione che lo Stato membro che ha individuato un soggetto critico di particolare rilevanza europea come soggetto
|
||
critico ai sensi dell’articolo 6, paragrafo 1, sia d’accordo, la Commissione organizza una missione di consulenza di cui al
|
||
paragrafo 1 del presente articolo.
|
||
3.
|
||
Su richiesta motivata della Commissione o di uno o più Stati membri a cui o in cui è fornito il servizio essenziale, lo
|
||
Stato membro che ha individuato un soggetto critico di particolare rilevanza europea come soggetto critico ai sensi
|
||
dell’articolo 6, paragrafo 1 fornisce alla Commissione:
|
||
a) le parti pertinenti della valutazione del rischio del soggetto critico;
|
||
b) un elenco delle pertinenti misure adottate ai sensi dell’articolo 13;
|
||
|
||
27.12.2022
|
||
|
||
IT
|
||
|
||
Gazzetta ufficiale dell’Unione europea
|
||
|
||
L 333/187
|
||
|
||
c) le azioni di vigilanza o di esecuzione, comprese le valutazioni di conformità o i provvedimenti emessi, che la relativa
|
||
autorità competente ha intrapreso nei confronti di tale soggetto critico ai sensi degli articoli 21 e 22.
|
||
|
||
4.
|
||
Entro tre mesi dalla sua conclusione, la missione di consulenza riferisce i suoi risultati alla Commissione, allo Stato
|
||
membro che ha individuato un soggetto critico di particolare rilevanza europea come soggetto critico ai sensi
|
||
dell’articolo 6, paragrafo 1, allo Stato membro a cui o in cui è fornito il servizio essenziale e al soggetto critico interessato.
|
||
|
||
Gli Stati membri a cui o in cui è fornito il servizio essenziale analizzano la relazione di cui al primo comma e, qualora
|
||
necessario, danno indicazioni alla Commissione sull’adempimento o meno degli obblighi di cui al capo III da parte del
|
||
soggetto critico di particolare rilevanza europea interessato e, se del caso, su quali misure potrebbero essere adottate per
|
||
migliorare la resilienza di tale soggetto critico.
|
||
|
||
Sulla base dell’indicazione di cui al secondo comma del presente paragrafo, la Commissione comunica allo Stato membro
|
||
che ha individuato un soggetto critico di particolare rilevanza europea come soggetto critico ai sensi dell’articolo 6,
|
||
paragrafo 1, agli Stati membri a cui o in cui è fornito il servizio essenziale e a tale soggetto critico il suo parere
|
||
sull’adempimento o meno degli obblighi di cui al capo III da parte di tale soggetto critico e, se del caso, quali misure
|
||
potrebbero essere adottate per migliorare la sua resilienza.
|
||
|
||
Lo Stato membro che ha individuato un soggetto critico di particolare rilevanza europea come soggetto critico ai sensi
|
||
dell’articolo 6, paragrafo 1 provvede affinché la sua autorità competente e il soggetto critico interessato tengano conto del
|
||
parere di cui al terzo comma del presente paragrafo e fornisce alla Commissione e agli Stati membri a cui o in cui è fornito
|
||
il servizio essenziale informazioni sulle misure adottate a seguito di tale parere.
|
||
|
||
5.
|
||
Ogni missione di consulenza è composta da esperti dello Stato membro in cui è situato il soggetto critico di
|
||
particolare rilevanza europea, da esperti degli Stati membri a cui o in cui è fornito il servizio essenziale, e da rappresentanti
|
||
della Commissione. Tali Stati membri possono proporre i loro candidati. La Commissione, previa consultazione dello Stato
|
||
membro che ha individuato un soggetto critico di particolare rilevanza europea come soggetto critico ai sensi
|
||
dell’articolo 6, paragrafo 1, seleziona e nomina i membri di ciascuna missione di consulenza in base alla loro capacità
|
||
professionale e garantendo, ove possibile, una rappresentanza equilibrata sotto il profilo geografico di tutti gli Stati
|
||
membri interessati. Ogniqualvolta necessario, i membri della missione di consulenza devono essere in possesso di un
|
||
valido e appropriato nulla osta di sicurezza. La Commissione sostiene i costi relativi alla partecipazione alle missioni di
|
||
consulenza.
|
||
|
||
La Commissione organizza il programma di ciascuna missione di consulenza consultandosi con i membri della missione di
|
||
consulenza in questione e d’accordo con lo Stato membro che ha individuato un soggetto critico di particolare rilevanza
|
||
europea come soggetto critico ai sensi dell’articolo 6, paragrafo 1.
|
||
|
||
6.
|
||
La Commissione adotta un atto di esecuzione che stabilisce le norme relative alle modalità procedurali per la
|
||
presentazione di richieste per l’organizzazione di missioni di consulenza, per il trattamento di tali richieste, per lo
|
||
svolgimento delle missioni di consulenza e per le attinenti relazioni e per il trattamento della comunicazione del parere
|
||
della Commissione di cui al paragrafo 4, terzo comma del presente articolo e delle misure adottate, tenendo in debito
|
||
conto la riservatezza e la sensibilità aziendale delle informazioni interessate. Tale atto di esecuzione è adottato secondo la
|
||
procedura d’esame di cui all’articolo 24, paragrafo 2.
|
||
|
||
7.
|
||
Gli Stati membri provvedono affinché i soggetti critici di particolare rilevanza europea forniscano alle missioni di
|
||
consulenza accesso alle informazioni e ai sistemi e impianti relativi alla fornitura dei loro servizi essenziali che sono
|
||
necessari per lo svolgimento della missione di consulenza interessata.
|
||
|
||
8.
|
||
Le missioni di consulenza sono svolte conformemente al diritto nazionale applicabile dello Stato membro in cui
|
||
hanno luogo, nel rispetto della responsabilità di tale Stato membro in materia di sicurezza nazionale e della tutela dei
|
||
propri interessi di sicurezza.
|
||
|
||
L 333/188
|
||
|
||
IT
|
||
|
||
Gazzetta ufficiale dell’Unione europea
|
||
|
||
27.12.2022
|
||
|
||
9.
|
||
Nell’organizzare le missioni di consulenza la Commissione tiene conto delle relazioni sulle ispezioni da essa effettuate
|
||
ai sensi dei regolamenti (CE) n. 725/2004 e (CE) n. 300/2008 e delle relazioni sui controlli da essa svolti ai sensi della
|
||
direttiva 2005/65/CE in merito al soggetto critico interessato.
|
||
10.
|
||
La Commissione informa il gruppo per la resilienza dei soggetti critici di cui all’articolo 19 ogniqualvolta è
|
||
organizzata una missione di consulenza. Lo Stato membro in cui si è svolta la missione di consulenza e la Commissione
|
||
informano inoltre il gruppo per la resilienza dei soggetti critici in merito ai principali risultati della missione di consulenza
|
||
e alle lezioni apprese al fine di promuovere l’apprendimento reciproco.
|
||
|
||
CAPO V
|
||
COOPERAZIONE E COMUNICAZIONE
|
||
|
||
Articolo 19
|
||
Gruppo per la resilienza dei soggetti critici
|
||
1.
|
||
È istituito il gruppo per la resilienza dei soggetti critici. Il gruppo per la resilienza dei soggetti critici sostiene la
|
||
Commissione e agevola la cooperazione tra gli Stati membri e lo scambio di informazioni su questioni attinenti alla
|
||
presente direttiva.
|
||
2.
|
||
Il gruppo per la resilienza dei soggetti critici è composto da rappresentanti degli Stati membri e della Commissione in
|
||
possesso, se del caso, di un nulla osta di sicurezza. Qualora ciò sia rilevante per lo svolgimento dei suoi compiti, esso può
|
||
invitare i portatori di interessi a partecipare ai suoi lavori. Su richiesta del Parlamento europeo, la Commissione può
|
||
invitare esperti del Parlamento europeo a partecipare alle riunioni del gruppo per la resilienza dei soggetti critici.
|
||
Il rappresentante della Commissione presiede il gruppo per la resilienza dei soggetti critici.
|
||
3.
|
||
|
||
Il gruppo per la resilienza dei soggetti critici ha i compiti seguenti:
|
||
|
||
a) assistere la Commissione nel fornire aiuto agli Stati membri per il rafforzamento della loro capacità di contribuire a
|
||
garantire la resilienza dei soggetti critici ai sensi della presente direttiva;
|
||
b) analizzare le strategie al fine di individuare le migliori prassi in relazione alle stesse;
|
||
c) facilitare lo scambio di migliori prassi per quanto riguarda l’individuazione dei soggetti critici da parte degli Stati
|
||
membri ai sensi dell’articolo 6, paragrafo 1, anche in relazione alle dipendenze transfrontaliere e intersettoriali e per
|
||
quanto riguarda i rischi e gli incidenti;
|
||
d) se del caso, contribuire, per questioni relative alla presente direttiva, ai documenti sulla resilienza a livello dell’Unione;
|
||
e) contribuire alla preparazione delle linee guida di cui all’articolo 7, paragrafo 3, e all’articolo 13, paragrafo 5, e, su
|
||
richiesta, di ogni atto delegato o di esecuzione adottato ai sensi della presente direttiva;
|
||
f) analizzare le relazioni di sintesi di cui all’articolo 9, paragrafo 3, al fine di promuovere la condivisione delle migliori
|
||
prassi sulle azioni intraprese ai sensi dell’articolo 15, paragrafo 3;
|
||
g) condividere migliori prassi in relazione alla notifica di incidenti di cui all’articolo 15;
|
||
h) discutere le relazioni di sintesi sulle missioni di consulenza e le lezioni apprese ai sensi dell’articolo 18, paragrafo 10;
|
||
i) scambiare informazioni e migliori prassi in materia di innovazione, ricerca e sviluppo in relazione alla resilienza dei
|
||
soggetti critici ai sensi della presente direttiva;
|
||
j) se del caso, scambiare informazioni su questioni relative alla resilienza dei soggetti critici con le istituzioni, gli
|
||
organismi, gli uffici e le agenzie pertinenti dell’Unione.
|
||
4.
|
||
Entro il 17 gennaio 2025 e in seguito ogni due anni, il gruppo per la resilienza dei soggetti critici stabilisce un
|
||
programma di lavoro sulle azioni da intraprendere per realizzare i propri obiettivi e compiti. Tale programma di lavoro è
|
||
coerente con le prescrizioni e gli obiettivi della presente direttiva.
|
||
|
||
27.12.2022
|
||
|
||
IT
|
||
|
||
Gazzetta ufficiale dell’Unione europea
|
||
|
||
L 333/189
|
||
|
||
5.
|
||
Il gruppo per la resilienza dei soggetti critici si riunisce periodicamente, e in ogni caso almeno una volta all’anno, con
|
||
il gruppo di cooperazione istituito a norma della direttiva (UE) 2022/2555 al fine di promuovere e agevolare la
|
||
cooperazione strategica e lo scambio di informazioni.
|
||
6.
|
||
La Commissione può adottare atti di esecuzione che stabiliscono le modalità procedurali necessarie per il
|
||
funzionamento del gruppo per la resilienza dei soggetti critici, conformemente all’articolo 1, paragrafo 4. Tali atti di
|
||
esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 24, paragrafo 2.
|
||
7.
|
||
Entro il 17 gennaio 2027, e successivamente quando necessario e almeno ogni quattro anni, la Commissione
|
||
trasmette al gruppo per la resilienza dei soggetti critici una relazione di sintesi sulle informazioni fornite dagli Stati membri
|
||
ai sensi dell’articolo 4, paragrafo 3, e dell’articolo 5, paragrafo 4.
|
||
|
||
Articolo 20
|
||
Sostegno della Commissione alle autorità competenti e ai soggetti critici
|
||
1.
|
||
La Commissione sostiene, se del caso, gli Stati membri e i soggetti critici nell’adempimento dei loro obblighi ai sensi
|
||
della presente direttiva. Essa prepara una rassegna, a livello dell’Unione, dei rischi transfrontalieri e intersettoriali per la
|
||
fornitura dei servizi essenziali, organizza le missioni di consulenza di cui all’articolo 13, paragrafo 4, e all’articolo 18 e
|
||
agevola lo scambio di informazioni fra gli Stati membri ed esperti in tutta l’Unione.
|
||
2.
|
||
La Commissione integra le attività degli Stati membri di cui all’articolo 10 sviluppando migliori prassi, materiali e
|
||
metodologie di orientamento, così come attività di formazione ed esercitazioni transfrontaliere per testare la resilienza dei
|
||
soggetti critici.
|
||
3.
|
||
La Commissione informa gli Stati membri in merito alle risorse finanziarie a disposizione degli Stati membri a livello
|
||
di Unione per rafforzare la resilienza dei soggetti critici.
|
||
|
||
CAPO VI
|
||
VIGILANZA ED ESECUZIONE
|
||
|
||
Articolo 21
|
||
Vigilanza ed esecuzione
|
||
1.
|
||
Per valutare l’adempimento degli obblighi stabiliti dalla presente direttiva da parte dei soggetti individuati come
|
||
soggetti critici ai sensi dell’articolo 6, paragrafo 1 dagli Stati membri, gli Stati membri provvedono affinché le autorità
|
||
competenti siano dotate dei poteri e dei mezzi per:
|
||
a) effettuare ispezioni in loco dell’infrastruttura critica e dei siti utilizzati dal soggetto critico per fornire i suoi servizi
|
||
essenziali, e vigilare da remoto sulle misure adottate dai soggetti critici conformemente all’articolo 13;
|
||
b) svolgere o disporre controlli nei confronti dei soggetti critici.
|
||
2.
|
||
Gli Stati membri provvedono affinché le autorità competenti abbiano i poteri e i mezzi per richiedere, qualora
|
||
necessario per lo svolgimento dei loro compiti ai sensi della presente direttiva, che i soggetti di cui alla direttiva (UE) 2022/
|
||
2555 che sono stati individuati come soggetti critici ai sensi della presente direttiva forniscano, entro un ragionevole
|
||
periodo di tempo stabilito da dette autorità:
|
||
a) le informazioni necessarie per valutare se le misure adottate da tali soggetti per garantire la loro resilienza soddisfino i
|
||
requisiti stabiliti all’articolo 13;
|
||
b) la prova dell’effettiva attuazione di tali misure, inclusi i risultati di un controllo svolto da un revisore indipendente e
|
||
qualificato, selezionato da tale soggetto, ed effettuato a spese di questo.
|
||
Quando richiede tali informazioni l’autorità competente indica lo scopo della richiesta specificando il tipo di informazioni
|
||
da fornire.
|
||
|
||
L 333/190
|
||
|
||
IT
|
||
|
||
Gazzetta ufficiale dell’Unione europea
|
||
|
||
27.12.2022
|
||
|
||
3.
|
||
Fatta salva la possibilità di irrogare sanzioni ai sensi dell’articolo 22, le autorità competenti possono esigere, a seguito
|
||
delle azioni di vigilanza di cui al paragrafo 1 del presente articolo o della valutazione delle informazioni di cui al paragrafo 2
|
||
del presente articolo, che i soggetti critici interessati adottino entro un ragionevole periodo di tempo da esse stabilito le
|
||
misure necessarie e proporzionate per porre rimedio a qualsiasi violazione individuata della presente direttiva e forniscano
|
||
loro informazioni sulle misure adottate. Tali provvedimenti tengono conto, in particolare, della gravità della violazione.
|
||
4.
|
||
Gli Stati membri provvedono affinché i poteri di cui ai paragrafi 1, 2 e 3 possano essere esercitati solo fatte salve le
|
||
opportune garanzie. Deve essere garantito, in particolare, che tali poteri siano esercitati in modo obiettivo, trasparente e
|
||
proporzionato e che siano debitamente tutelati i diritti e gli interessi legittimi, quali la protezione dei segreti commerciali e
|
||
aziendali, dei soggetti critici interessati, inclusi il diritto al contraddittorio, i diritti della difesa e il diritto a un ricorso
|
||
effettivo dinanzi a un giudice indipendente.
|
||
5.
|
||
Gli Stati membri provvedono affinché, quando un’autorità competente ai sensi della presente direttiva valuta il
|
||
rispetto degli obblighi da parte di un soggetto critico ai sensi del presente articolo, tale autorità competente informi le
|
||
autorità competenti degli Stati membri interessati ai sensi della direttiva (UE) 2022/2555 A tale fine, gli Stati membri
|
||
provvedono affinché le autorità competenti ai sensi della presente direttiva possano chiedere alle autorità competenti ai
|
||
sensi della direttiva (UE) 2022/2555 di esercitare i propri poteri di vigilanza ed esecuzione nei confronti di un soggetto ai
|
||
sensi di tale direttiva individuato come soggetto critico ai sensi della presente direttiva. A tal fine, gli Stati membri
|
||
provvedono affinché le autorità competenti ai sensi della presente direttiva cooperino e scambino informazioni con tali
|
||
autorità competenti ai sensi della direttiva (UE) 2022/2555
|
||
|
||
Articolo 22
|
||
Sanzioni
|
||
Gli Stati membri stabiliscono le norme relative alle sanzioni applicabili in caso di violazione delle misure nazionali adottate
|
||
ai sensi della presente direttiva e prendono tutte le misure necessarie per assicurarne l’attuazione. Le sanzioni previste sono
|
||
effettive, proporzionate e dissuasive. Gli Stati membri notificano tali disposizioni alla Commissione al più tardi entro il
|
||
17 ottobre 2024, e provvedono poi a darle immediata notifica delle eventuali modifiche successive.
|
||
|
||
CAPO VII
|
||
ATTI DELEGATI E ATTI DI ESECUZIONE
|
||
|
||
Articolo 23
|
||
Esercizio della delega
|
||
1.
|
||
|
||
Il potere di adottare atti delegati è conferito alla Commissione alle condizioni stabilite nel presente articolo.
|
||
|
||
2.
|
||
Il potere di adottare atti delegati di cui all’articolo 5, paragrafo 1, è conferito alla Commissione per un periodo di
|
||
cinque anni a decorrere dal 16 gennaio 2023.
|
||
3.
|
||
La delega di potere di cui all’articolo 5, paragrafo 1, può essere revocata in qualsiasi momento dal Parlamento europeo
|
||
o dal Consiglio. La decisione di revoca pone fine alla delega di potere ivi specificata. Gli effetti della decisione decorrono dal
|
||
giorno successivo alla pubblicazione della decisione nella Gazzetta Ufficiale dell’Unione europea o da una data successiva ivi
|
||
specificata. Essa non pregiudica la validità degli atti delegati già in vigore.
|
||
4.
|
||
Prima dell’adozione dell’atto delegato la Commissione consulta gli esperti designati da ciascuno Stato membro nel
|
||
rispetto dei principi stabiliti nell’accordo interistituzionale «Legiferare meglio» del 13 aprile 2016.
|
||
5.
|
||
Non appena adotta un atto delegato, la Commissione ne dà contestualmente notifica al Parlamento europeo e al
|
||
Consiglio.
|
||
|
||
27.12.2022
|
||
|
||
IT
|
||
|
||
Gazzetta ufficiale dell’Unione europea
|
||
|
||
L 333/191
|
||
|
||
6.
|
||
L’atto delegato adottato ai sensi dell’articolo 5, paragrafo 1, entra in vigore solo se né il Parlamento europeo né il
|
||
Consiglio hanno sollevato obiezioni entro il termine di due mesi dalla data in cui esso è stato loro notificato o se, prima
|
||
della scadenza di tale termine, sia il Parlamento europeo che il Consiglio hanno informato la Commissione che non
|
||
intendono sollevare obiezioni. Tale termine è prorogato di due mesi su iniziativa del Parlamento europeo o del Consiglio.
|
||
|
||
Articolo 24
|
||
Procedura di comitato
|
||
1.
|
||
|
||
La Commissione è assistita da un comitato. Esso è un comitato ai sensi del regolamento (UE) n. 182/2011.
|
||
|
||
2.
|
||
|
||
Nei casi in cui è fatto riferimento al presente paragrafo, si applica l’articolo 5 del regolamento (UE) n. 182/2011.
|
||
|
||
CAPO VIII
|
||
DISPOSIZIONI FINALI
|
||
|
||
Articolo 25
|
||
Relazioni e riesame
|
||
Entro il 17 luglio 2027, la Commissione presenta al Parlamento europeo e al Consiglio una relazione in cui valuta in quale
|
||
misura ciascuno Stato membro abbia adottato le misure necessarie per conformarsi alla presente direttiva.
|
||
La Commissione riesamina periodicamente il funzionamento della presente direttiva e presenta una relazione in proposito
|
||
al Parlamento europeo e al Consiglio. Tale relazione valuta in particolare il valore aggiunto della presente direttiva, il suo
|
||
impatto nel garantire la resilienza dei soggetti critici, e se l’allegato della presente direttiva debba essere modificato. La
|
||
Commissione presenta la prima di tali relazioni entro il 17 giugno 2029. Al fine della relazione ai sensi del presente
|
||
articolo, la Commissione tiene conto dei pertinenti documenti del gruppo per la resilienza dei soggetti critici.
|
||
|
||
Articolo 26
|
||
Recepimento
|
||
1.
|
||
Entro il 17 ottobre 2024, gli Stati membri adottano e pubblicano le misure necessarie per conformarsi alla presente
|
||
direttiva. Essi ne informano immediatamente la Commissione.
|
||
Gli Stati membri applicano tali misure a decorrere dal 18 ottobre 2024.
|
||
2.
|
||
Le misure di cui al paragrafo 1 adottate dagli Stati membri contengono un riferimento alla presente direttiva o sono
|
||
corredate di tale riferimento all’atto della pubblicazione ufficiale. Le modalità del riferimento sono stabilite dagli Stati
|
||
membri.
|
||
|
||
Articolo 27
|
||
Abrogazione della direttiva 2008/114/CE
|
||
La direttiva 2008/114/CE è abrogata a decorrere dal 18 ottobre 2024.
|
||
I riferimenti alla direttiva abrogata si intendono fatti alla presente direttiva.
|
||
|
||
L 333/192
|
||
|
||
IT
|
||
|
||
Gazzetta ufficiale dell’Unione europea
|
||
|
||
27.12.2022
|
||
|
||
Articolo 28
|
||
Entrata in vigore
|
||
La presente direttiva entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell’Unione
|
||
europea.
|
||
Articolo 29
|
||
Destinatari
|
||
Gli Stati membri sono destinatari della presente direttiva.
|
||
|
||
Fatto a Strasburgo, il 14 dicembre 2022
|
||
|
||
Per il Parlamento europeo
|
||
La presidente
|
||
R. METSOLA
|
||
|
||
Per il Consiglio
|
||
Il presidente
|
||
M. BEK
|
||
|
||
27.12.2022
|
||
|
||
IT
|
||
|
||
Gazzetta ufficiale dell’Unione europea
|
||
|
||
L 333/193
|
||
|
||
ALLEGATO
|
||
|
||
SETTORI, SOTTOSETTORI E CATEGORIE DI SOGGETTI
|
||
Settori
|
||
|
||
1.
|
||
|
||
Energia
|
||
|
||
Sottosettori
|
||
|
||
a)
|
||
|
||
Energia elettrica
|
||
|
||
Categorie di soggetti
|
||
|
||
— Imprese elettriche quali definite all’articolo 2,
|
||
punto 57), della direttiva (UE) 2019/944 del Par
|
||
lamento europeo e del Consiglio (1) che svolgono
|
||
l’attività di «fornitura» quali definite all’articolo 2,
|
||
punto 12), di tale direttiva
|
||
— Gestori del sistema di distribuzione quali definiti
|
||
all’articolo 2, punto 29), della direttiva (UE)
|
||
2019/944
|
||
— Gestori del sistema di trasmissione quali definiti
|
||
all’articolo 2, punto 35), della direttiva (UE)
|
||
2019/944
|
||
— Produttori quali definiti all’articolo 2, punto 38),
|
||
della direttiva (UE) 2019/944
|
||
— Gestori del mercato elettrico designati quali defi
|
||
niti all’articolo 2, punto 8), del regolamento (UE)
|
||
2019/943 del Parlamento europeo e del Consi
|
||
glio (2)
|
||
— Partecipanti al mercato quali definiti all’arti
|
||
colo 2, punto 25), del regolamento (UE)
|
||
2019/943 che forniscono servizi di aggrega
|
||
zione, gestione della domanda o stoccaggio di
|
||
energia quali definiti all’articolo 2, punti 18),
|
||
20) e 59), della direttiva (UE) 2019/944
|
||
|
||
b)
|
||
|
||
Teleriscaldamento e teleraf
|
||
frescamento
|
||
|
||
— Gestori di teleriscaldamento o teleraffresca
|
||
mento quali definiti all’articolo 2, punto 19),
|
||
della direttiva (UE) 2018/2001 del Parlamento
|
||
europeo e del Consiglio (3)
|
||
|
||
c)
|
||
|
||
Petrolio
|
||
|
||
— Gestori di oleodotti
|
||
— Gestori di impianti di produzione, raffinazione,
|
||
trattamento, deposito e trasporto di petrolio
|
||
— Organismi centrali di stoccaggio quali definiti
|
||
all’articolo 2, lettera f), della direttiva
|
||
2009/119/CE del Consiglio (4)
|
||
|
||
L 333/194
|
||
|
||
IT
|
||
|
||
Gazzetta ufficiale dell’Unione europea
|
||
|
||
Settori
|
||
|
||
Sottosettori
|
||
|
||
d)
|
||
|
||
Gas
|
||
|
||
27.12.2022
|
||
|
||
Categorie di soggetti
|
||
|
||
— Imprese fornitrici quali definite all’articolo 2,
|
||
punto 8), della direttiva 2009/73/CE del Parla
|
||
mento europeo e del Consiglio (5)
|
||
— Gestori del sistema di distribuzione quali definiti
|
||
all’articolo 2, punto 6), della direttiva
|
||
2009/73/CE
|
||
— Gestori del sistema di trasporto quali definiti
|
||
all’articolo 2, punto 4), della direttiva
|
||
2009/73/CE
|
||
— Gestori dell’impianto di stoccaggio quali definiti
|
||
all’articolo 2, punto 10), della direttiva
|
||
2009/73/CE
|
||
— Gestori del sistema GNL quali definiti all’arti
|
||
colo 2, punto 12), della direttiva 2009/73/CE
|
||
— Imprese di gas naturale quali definite all’arti
|
||
colo 2, punto 1), della direttiva 2009/73/CE
|
||
— Gestori di impianti di raffinazione e trattamento
|
||
di gas naturale
|
||
|
||
2.
|
||
|
||
Trasporti
|
||
|
||
e)
|
||
|
||
Idrogeno
|
||
|
||
— Gestori di impianti di produzione, stoccaggio e
|
||
trasporto di idrogeno
|
||
|
||
a)
|
||
|
||
Trasporto aereo
|
||
|
||
— Vettori aerei quali definiti all’articolo 3, punto 4),
|
||
del regolamento (CE) n. 300/2008 utilizzati a fini
|
||
commerciali
|
||
— Gestori aeroportuali quali definiti all’articolo 2,
|
||
punto 2), della direttiva 2009/12/CE del Parla
|
||
mento europeo e del Consiglio (6), aeroporti
|
||
quali definiti all’articolo 2, punto 1), di tale diret
|
||
tiva, compresi gli aeroporti centrali di cui all’al
|
||
legato II, sezione 2, del regolamento (UE)
|
||
n. 1315/2013 del Parlamento europeo e del Con
|
||
siglio (7), e soggetti che gestiscono impianti
|
||
annessi situati in aeroporti
|
||
— Operatori attivi nel controllo della gestione del
|
||
traffico che forniscono servizi di controllo del
|
||
traffico aereo quali definiti all’articolo 2, punto
|
||
1), del regolamento (CE) n. 549/2004 del Parla
|
||
mento europeo e del Consiglio (8)
|
||
|
||
27.12.2022
|
||
|
||
IT
|
||
|
||
Gazzetta ufficiale dell’Unione europea
|
||
|
||
Settori
|
||
|
||
b)
|
||
|
||
L 333/195
|
||
|
||
Sottosettori
|
||
|
||
Categorie di soggetti
|
||
|
||
Trasporto ferroviario
|
||
|
||
— Gestori dell’infrastruttura quali definiti all’arti
|
||
colo 3, punto 2), della direttiva 2012/34/UE del
|
||
Parlamento europeo e del Consiglio (9)
|
||
— Imprese ferroviarie quali definite all’articolo 3,
|
||
punto 1), della direttiva 2012/34/UE e operatori
|
||
degli impianti di servizio quali definiti all’arti
|
||
colo 3, punto 12), di tale direttiva
|
||
|
||
c)
|
||
|
||
Trasporto per vie d’acqua
|
||
|
||
— Compagnie di navigazione per il trasporto per
|
||
vie d’acqua interne, marittimo e costiero di pas
|
||
seggeri e merci quali definite all’allegato I del
|
||
regolamento (CE) n. 725/2004, escluse le singole
|
||
navi gestite da tali compagnie
|
||
— Organi di gestione dei porti quali definiti all’arti
|
||
colo 3, punto 1), della direttiva 2005/65/CE,
|
||
compresi i relativi impianti portuali quali definiti
|
||
all’articolo 2, punto 11), del regolamento (CE)
|
||
n. 725/2004, e soggetti che gestiscono opere e
|
||
attrezzature all’interno di porti
|
||
— Gestori di servizi di assistenza al traffico marit
|
||
timo (VTS) quali definiti all’articolo 3, lettera o),
|
||
della direttiva 2002/59/CE del Parlamento euro
|
||
peo e del Consiglio (10)
|
||
|
||
d)
|
||
|
||
Trasporto su strada
|
||
|
||
— Autorità stradali quali definite all’articolo 2,
|
||
punto 12), del regolamento delegato
|
||
(UE) 2015/962 della Commissione (11) responsa
|
||
bili del controllo della gestione del traffico,
|
||
esclusi i soggetti pubblici per i quali la gestione
|
||
del traffico o la gestione di sistemi di trasporto
|
||
intelligenti costituiscono una parte non essen
|
||
ziale della loro attività generale
|
||
— Gestori di sistemi di trasporto intelligenti quali
|
||
definiti all’articolo 4, punto 1), della direttiva
|
||
2010/40/UE del Parlamento europeo e del Con
|
||
siglio (12)
|
||
|
||
e)
|
||
|
||
Trasporto pubblico
|
||
|
||
— Operatori di servizio pubblico quali definiti
|
||
all’articolo 2, lettera d), del regolamento (CE)
|
||
n. 1370/2007 del Parlamento europeo e del Con
|
||
siglio (13)
|
||
|
||
3.
|
||
|
||
Settore bancario
|
||
|
||
— Enti creditizi quali definiti all’articolo 4, punto 1),
|
||
del regolamento (UE) n. 575/2013
|
||
|
||
4.
|
||
|
||
Infrastrutture dei mercati fi
|
||
nanziari
|
||
|
||
— Gestori di sedi di negoziazione quali definiti
|
||
all’articolo 4, punto 24), della direttiva
|
||
2014/65/UE
|
||
— Controparti centrali (CCP) quali definite all’arti
|
||
colo 2, punto 1), del regolamento (UE)
|
||
n. 648/2012
|
||
|
||
IT
|
||
|
||
L 333/196
|
||
|
||
Settori
|
||
|
||
5.
|
||
|
||
Salute
|
||
|
||
Gazzetta ufficiale dell’Unione europea
|
||
|
||
Sottosettori
|
||
|
||
27.12.2022
|
||
|
||
Categorie di soggetti
|
||
|
||
— Prestatori di assistenza sanitaria quali definiti
|
||
all’articolo 3, lettera g), della direttiva
|
||
2011/24/UE del Parlamento europeo e del Con
|
||
siglio (14)
|
||
— Laboratori di riferimento dell’UE di cui all’arti
|
||
colo 15 del regolamento (UE) 2022/2371 del
|
||
Parlamento europeo e del Consiglio (15)
|
||
— Soggetti che svolgono attività di ricerca e svi
|
||
luppo relative ai medicinali quali definiti all’arti
|
||
colo 1, punto 2), della direttiva 2001/83/CE del
|
||
Parlamento europeo e del Consiglio (16)
|
||
— Soggetti che fabbricano prodotti farmaceutici di
|
||
base e preparati farmaceutici di cui alla sezione C,
|
||
divisione 21, della NACE Rev. 2
|
||
— Soggetti che fabbricano dispositivi medici consi
|
||
derati critici durante un’emergenza di sanità pub
|
||
blica («elenco dei dispositivi critici per l’emer
|
||
genza di sanità pubblica») ai sensi
|
||
dell’articolo 22 del regolamento (UE) 2022/123
|
||
del Parlamento europeo e del Consiglio (17)
|
||
— Soggetti titolari di un’autorizzazione di distribu
|
||
zione di cui all’articolo 79 della direttiva
|
||
2001/83/CE
|
||
|
||
6.
|
||
|
||
Acqua potabile
|
||
|
||
— Fornitori e distributori di acque destinate al con
|
||
sumo umano, quali definiti all’articolo 2, punto
|
||
1), lettera a), della direttiva (UE) 2020/2184 del
|
||
Parlamento europeo e del Consiglio (18), esclusi i
|
||
distributori per i quali la distribuzione di acque
|
||
destinate al consumo umano è una parte non
|
||
essenziale dell’attività generale di distribuzione
|
||
di altri prodotti e beni
|
||
|
||
7.
|
||
|
||
Acque reflue
|
||
|
||
— Imprese che raccolgono, smaltiscono o trattano
|
||
acque reflue urbane, acque reflue domestiche o
|
||
acque reflue industriali quali definite all’arti
|
||
colo 2, punti 1), 2) e 3), della direttiva
|
||
91/271/CEE del Consiglio (19) escluse le imprese
|
||
per cui la raccolta, lo smaltimento o il tratta
|
||
mento di acque reflue urbane, acque reflue
|
||
domestiche e acque reflue industriali è una
|
||
parte non essenziale della loro attività generale
|
||
|
||
IT
|
||
|
||
27.12.2022
|
||
|
||
Settori
|
||
|
||
8.
|
||
|
||
Infrastrutture digitali
|
||
|
||
Gazzetta ufficiale dell’Unione europea
|
||
|
||
Sottosettori
|
||
|
||
L 333/197
|
||
|
||
Categorie di soggetti
|
||
|
||
— Fornitori di punti di interscambio Internet quali
|
||
definiti all’articolo 6, punto 18), della direttiva
|
||
(UE) 2022/2555
|
||
— Fornitori di servizi DNS quali definiti all’arti
|
||
colo 6, punto 20), della direttiva (UE) 2022/
|
||
2555, esclusi gli operatori dei server dei nomi
|
||
radice
|
||
— Registri dei nomi di dominio di primo livello
|
||
quali definiti all’articolo 6, punto 21), della diret
|
||
tiva (UE) 2022/2555
|
||
— Fornitori di servizi di cloud computing quali
|
||
definiti all’articolo 6, punto 30), della direttiva
|
||
(UE) 2022/2555
|
||
— Fornitori di servizi di data center quali definiti
|
||
all’articolo 6, punto 31), della direttiva (UE)
|
||
2022/2555
|
||
— Fornitori di reti di distribuzione dei contenuti
|
||
(content delivery network) quali definiti all’arti
|
||
colo 6, punto 32), della direttiva (UE) 2022/2555
|
||
— Prestatori di servizi fiduciari quali definiti all’ar
|
||
ticolo 3, punto 19), del regolamento (UE)
|
||
910/2014 del Parlamento europeo e del Consi
|
||
glio (20)
|
||
— Fornitori di reti pubbliche di comunicazione
|
||
elettronica quali definite all’articolo 2, punto 8),
|
||
della direttiva (UE) 2018/1972 del Parlamento
|
||
europeo e del Consiglio (21)
|
||
— Fornitori di servizi di comunicazione elettronica
|
||
ai sensi dell’articolo 2, punto 4), della direttiva
|
||
(UE) 2018/1972 nella misura in cui tali servizi
|
||
siano accessibili al pubblico
|
||
|
||
9.
|
||
|
||
Enti della pubblica ammini
|
||
strazione
|
||
|
||
— Enti della pubblica amministrazione delle ammi
|
||
nistrazioni centrali come definiti da Stati membri
|
||
conformemente al diritto nazionale
|
||
|
||
10.
|
||
|
||
Spazio
|
||
|
||
— Operatori di infrastrutture terrestri possedute,
|
||
gestite e operate dagli Stati membri o da privati,
|
||
che sostengono la fornitura di servizi spaziali,
|
||
esclusi i fornitori di reti pubbliche di comunica
|
||
zione elettronica quali definite all’articolo 2,
|
||
punto 8), della direttiva (UE) 2018/1972
|
||
|
||
L 333/198
|
||
|
||
IT
|
||
|
||
Settori
|
||
|
||
11.
|
||
|
||
Produzione, trasformazio
|
||
ne e distribuzione di ali
|
||
menti
|
||
|
||
Gazzetta ufficiale dell’Unione europea
|
||
|
||
Sottosettori
|
||
|
||
27.12.2022
|
||
|
||
Categorie di soggetti
|
||
|
||
— Imprese alimentari quali definite all’articolo 3,
|
||
punto 2), del regolamento (CE) n. 178/2002 del
|
||
Parlamento europeo e del Consiglio (22) impe
|
||
gnate esclusivamente nella logistica e nella distri
|
||
buzione all’ingrosso nonché nella produzione e
|
||
trasformazione industriale su larga scala
|
||
|
||
(1) Direttiva (UE) 2019/944 del Parlamento europeo e del Consiglio, del 5 giugno 2019, relativa a norme comuni per il mercato interno
|
||
dell’energia elettrica e che modifica la direttiva 2012/27/UE (GU L 158 del 14.6.2019, pag. 125).
|
||
(2) Regolamento (UE) 2019/943 del Parlamento europeo e del Consiglio, del 5 giugno 2019, sul mercato interno dell’energia elettrica
|
||
(GU L 158 del 14.6.2019, pag. 54).
|
||
(3) Direttiva (UE) 2018/2001 del Parlamento europeo e del Consiglio, dell’11 dicembre 2018, sulla promozione dell’uso dell’energia da
|
||
fonti rinnovabili (GU L 328 del 21.12.2018, pag. 82).
|
||
(4) Direttiva 2009/119/CE del Consiglio, del 14 settembre 2009, che stabilisce l’obbligo per gli Stati membri di mantenere un livello
|
||
minimo di scorte di petrolio greggio e/o di prodotti petroliferi (GU L 265 del 9.10.2009, pag. 9).
|
||
(5) Direttiva 2009/73/CE del Parlamento europeo e del Consiglio, del 13 luglio 2009, relativa a norme comuni per il mercato interno del
|
||
gas naturale e che abroga la direttiva 2003/55/CE (GU L 211 del 14.8.2009, pag. 94).
|
||
(6) Direttiva 2009/12/CE del Parlamento europeo e del Consiglio, dell’11 marzo 2009, concernente i diritti aeroportuali (GU L 70 del
|
||
14.3.2009, pag. 11).
|
||
(7) Regolamento (UE) n. 1315/2013 del Parlamento europeo e del Consiglio, dell’11 dicembre 2013, sugli orientamenti dell’Unione per lo
|
||
sviluppo della rete transeuropea dei trasporti e che abroga la decisione n. 661/2010/UE (GU L 348 del 20.12.2013, pag. 1).
|
||
(8) Regolamento (CE) n. 549/2004 del Parlamento europeo e del Consiglio, del 10 marzo 2004, che stabilisce i principi generali per
|
||
l’istituzione del cielo unico europeo («regolamento quadro») (GU L 96 del 31.3.2004, pag. 1).
|
||
(9) Direttiva 2012/34/UE del Parlamento europeo e del Consiglio, del 21 novembre 2012, che istituisce uno spazio ferroviario europeo
|
||
unico (GU L 343 del 14.12.2012, pag. 32).
|
||
(10) Direttiva 2002/59/CE del Parlamento europeo e del Consiglio, del 27 giugno 2002, relativa all’istituzione di un sistema comunitario di
|
||
monitoraggio del traffico navale e d’informazione e che abroga la direttiva 93/75/CEE del Consiglio (GU L 208 del 5.8.2002, pag. 10).
|
||
(11) Regolamento delegato (UE) 2015/962 della Commissione, del 18 dicembre 2014, che integra la direttiva 2010/40/UE del Parlamento
|
||
europeo e del Consiglio relativamente alla predisposizione in tutto il territorio dell’Unione europea di servizi di informazione sul
|
||
traffico in tempo reale (GU L 157 del 23.6.2015, pag. 21).
|
||
(12) Direttiva 2010/40/UE del Parlamento europeo e del Consiglio, del 7 luglio 2010, sul quadro generale per la diffusione dei sistemi di
|
||
trasporto intelligenti nel settore del trasporto stradale e nelle interfacce con altri modi di trasporto (GU L 207 del 6.8.2010, pag. 1).
|
||
(13) Regolamento (CE) n. 1370/2007 del Parlamento europeo e del Consiglio, del 23 ottobre 2007, relativo ai servizi pubblici di trasporto
|
||
di passeggeri su strada e per ferrovia e che abroga i regolamenti del Consiglio (CEE) n. 1191/69 e (CEE) n. 1107/70 (GU L 315 del
|
||
3.12.2007, pag. 1).
|
||
(14) Direttiva 2011/24/UE del Parlamento europeo e del Consiglio, del 9 marzo 2011, concernente l’applicazione dei diritti dei pazienti
|
||
relativi all’assistenza sanitaria transfrontaliera (GU L 88 del 4.4.2011, pag. 45).
|
||
(15) Regolamento (UE) 2022/2371 del Parlamento europeo e del Consiglio, del 23 novembre 2022, relativo alle gravi minacce per la salute
|
||
a carattere transfrontaliero e che abroga la decisione n. 1082/2013/UE (GU L 314 del 6.12.2022, pag. 26).
|
||
(16) Direttiva 2001/83/CE del Parlamento europeo e del Consiglio, del 6 novembre 2001, recante un codice comunitario relativo ai
|
||
medicinali per uso umano (GU L 311 del 28.11.2001, pag. 67).
|
||
(17) Regolamento (UE) 2022/123 del Parlamento europeo e del Consiglio, del 25 gennaio 2022, relativo a un ruolo rafforzato dell’Agenzia
|
||
europea per i medicinali nella preparazione alle crisi e nella loro gestione in relazione ai medicinali e ai dispositivi medici (GU L 20 del
|
||
31.1.2022, pag. 1).
|
||
(18) Direttiva (UE) 2020/2184 del Parlamento europeo e del Consiglio, del 16 dicembre 2020, concernente la qualità delle acque destinate
|
||
al consumo umano (GU L 435 del 23.12.2020, pag. 1).
|
||
(19) Direttiva 91/271/CEE del Consiglio, del 21 maggio 1991, concernente il trattamento delle acque reflue urbane (GU L 135 del
|
||
30.5.1991, pag. 40).
|
||
(20) Regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio, del 23 luglio 2014, in materia di identificazione elettronica e
|
||
servizi fiduciari per le transazioni elettroniche nel mercato interno e che abroga la direttiva 1999/93/CE (GU L 257 del 28.8.2014,
|
||
pag. 73).
|
||
(21) Direttiva (UE) 2018/1972 del Parlamento europeo e del Consiglio, dell’11 dicembre 2018, che istituisce il codice europeo delle
|
||
comunicazioni elettroniche (GU L 321 del 17.12.2018, pag. 36).
|
||
(22) Regolamento (CE) n. 178/2002 del Parlamento europeo e del Consiglio, del 28 gennaio 2002, che stabilisce i principi e i requisiti
|
||
generali della legislazione alimentare, istituisce l’Autorità europea per la sicurezza alimentare e fissa procedure nel campo della
|
||
sicurezza alimentare (GU L 31 dell’1.2.2002, pag. 1).
|
||
|