COMMISSIONE DELLE COMUNITÀ EUROPEE

Bruxelles, 11.2.2003

COM(2003) 63 definitivo

Proposta di

(presentata dalla Commissione)

La sicurezza è diventata una preoccupazione politica di prim’ordine. I governi riconoscono che la società deve assumersi responsabilità più ampie e intensificano le iniziative volte a migliorare la sicurezza sul loro territorio (squadre di pronto intervento informatico, azioni di ricerca e campagne di sensibilizzazione) oltre ad attrezzare e formare le forze dell’ordine a combattere efficacemente la criminalità informatica e su Internet.

Tuttavia, gli Stati membri si trovano in fasi diverse del loro operato e tendono a concentrarsi su aspetti diversi. Ad eccezione di reti amministrative quali TESTA, non esiste una cooperazione transfrontaliera sistematica tra gli Stati membri, sebbene le questioni di sicurezza non possano essere affrontate isolatamente dai singoli paesi. Non esiste un meccanismo che garantisca risposte efficaci alle minacce alla sicurezza e le normative nazionali vengono applicate con maggiore o minor rigore a seconda degli Stati membri. La certificazione dei prodotti è di competenza nazionale in un momento in cui è l’industria mondiale a stabilire norme fondamentali, mentre gli operatori e i rivenditori sono confrontati a reazioni diverse da parte dei governi.

Tutto ciò nuoce all’interoperabilità, impedendo un uso adeguato dei prodotti e servizi di sicurezza.

La Comunità europea potrebbe trarre vantaggio da un maggior coordinamento tra gli Stati membri per realizzare un livello di sicurezza sufficientemente elevato in tutto il suo territorio. È questo l’obiettivo della comunicazione della Commissione "Sicurezza delle reti e sicurezza dell’informazione", del giugno 2001¹, che ha proposto una serie di azioni fra cui campagne di sensibilizzazione, miglioramento dei meccanismi di scambio di informazioni e sostegno alla normalizzazione e alla certificazione secondo una logica di mercato.

La comunicazione ha anche proposto l’istituzione di un sistema europeo di segnalazione e informazione. La risoluzione del Consiglio, del 28 gennaio 2002, relativa a un approccio comune e ad azioni specifiche nel settore della sicurezza delle reti e dell’informazione ha ulteriormente elaborato questo concetto. È ormai chiaro che le attuali disposizioni istituzionali non consentono un approccio adeguato a livello europeo alla sicurezza delle reti e dell’informazione.

La risoluzione si compiace dell’intenzione della Commissione di presentare proposte per istituire un’unità operativa per la sicurezza cibernetica che, partendo dalle realizzazioni nazionali, migliori sia la sicurezza delle reti e dell’informazione che la capacità individuale e collettiva degli Stati membri di intervenire in caso di gravi problemi di sicurezza delle reti e dell’informazione.

In risposta ai suggerimenti della Commissione, il Parlamento europeo ha adottato un parere in cui ha chiesto espressamente una risposta europea al problema sempre più grave della sicurezza.

Nel giugno 2002 l’OCSE ha adottato le "Guidelines for the Security of Information Systems and Network: Towards a Culture of Security" (Linee guida per la sicurezza dei sistemi e delle reti di informazione: verso una cultura della sicurezza), dove si sottolinea l’importanza, per la sicurezza delle informazioni di applicare determinati principi comuni e di sostenere le azioni in corso a livello europeo.

3.1. Contesto

Il Parlamento europeo, il Consiglio e la Commissione sostengono la necessità di un coordinamento più stretto a livello europeo sulla sicurezza dell’informazione: creare un’entità dotata di personalità giuridica potrebbe essere il modo più efficiente di raggiungere tale obiettivo. Il regolamento proposto istituisce dunque un’Agenzia europea di regolamentazione, conformemente a quanto indicato nella comunicazione della Commissione "Inquadramento delle agenzie europee di regolazione", (documento COM(2002) 718 def.). L’agenzia sarà denominata Agenzia europea per la sicurezza delle reti e dell’informazione, in appresso "l’Agenzia".

La specifica disciplina settoriale, in particolare la direttiva quadro sulle comunicazioni elettroniche, attribuisce un ruolo importante agli organismi nazionali.

L’Agenzia sarà pertanto chiamata ad assistere non solo la Commissione ma anche le autorità nazionali di regolamentazione.

La proposta recepisce una serie di esigenze emerse durante la consultazione con gli Stati membri, svolta dalla Commissione, espresse anche nei contributi del settore privato; in sintesi, si chiedono all’Agenzia requisiti come flessibilità, credibilità, competenza, efficienza e coerenza. In particolare, sono stati sottolineati i seguenti elementi:

a) poiché la sicurezza delle reti e dell’informazione è un settore in rapida evoluzione, la migliore organizzazione istituzionale può mutare nel tempo; l’Agenzia deve quindi funzionare per un periodo limitato, in seguito al quale occorrerà effettuare un processo di revisione;

b) l’Agenzia deve godere della fiducia di organismi e istituzioni pubbliche negli Stati membri, nonché del settore privato;

c) l’Agenzia deve rappresentare un centro di esperienza, riunendo soggetti competenti provenienti da tutti gli Stati membri;

d) l’Agenzia deve poter agire con rapidità ed efficacia; deve quindi disporre di sufficienti risorse umane e finanziarie per consentire un funzionamento efficiente e flessibile, pur mantenendosi di dimensioni ragionevoli;

e) la Commissione deve poter orientare i lavori dell’Agenzia.

Tali elementi servono da linee guida per la proposta di regolamento: i compiti dell’Agenzia sono chiaramente delineati ma si lascia anche spazio alla flessibilità; si esige una valutazione dell’operato dell’Agenzia dopo i primi tre anni di attività; si afferma con chiarezza l’importanza essenziale che riveste, per il buon funzionamento dell’Agenzia, la stretta cooperazione con le istituzioni comunitarie.

I lavori dell’Agenzia si avvarranno del sostegno scientifico dei lavori del Centro comune di ricerca e di altri programmi comunitari di ricerca.

Su questo sfondo, la presente proposta concerne due tematiche di interesse comunitario strettamente correlate, vale a dire il buon funzionamento del mercato interno e l’interoperabilità delle reti elettroniche transeuropee. In primo luogo l’introduzione di requisiti di sicurezza tecnicamente complessi nelle reti e nei sistemi di informazione a livello di Stati membri e di Comunità potrebbe ostacolare la piena attuazione dei principi del mercato interno. In secondo luogo il buon funzionamento del mercato interno dipende anche dall’interoperabilità delle funzioni di sicurezza delle reti e dei sistemi di informazione.

Le seguenti sezioni si riferiscono alle sezioni da 1 a 5 della proposta.

Obiettivo generale dell’Agenzia è creare una comprensione comune in Europa delle questioni relative alla sicurezza dell’informazione, necessaria per garantire la disponibilità e la sicurezza delle reti e dei sistemi di informazione nell’Unione. A tal fine la nozione di "sicurezza delle reti e dell’informazione" dev’essere intesa nella sua accezione più larga e comprendere tutte le attività che possono nuocere alla sicurezza delle reti e dei sistemi di informazione.

L’Agenzia deve essere in grado di agevolare l’applicazione delle misure comunitarie relative alla sicurezza delle reti e dell’informazione. L’assistenza fornita dall’Agenzia contribuisce a garantire l’interoperabilità delle funzioni di sicurezza delle reti e dei sistemi di informazione, concorrendo così al buon funzionamento del mercato interno. Essa accresce la capacità di reazione della Comunità e degli Stati membri ai problemi di sicurezza delle reti e dei sistemi di informazione, nonché allo sviluppo della società dell’informazione in generale.

L’Agenzia avrà funzioni consultive e di coordinamento relative alla raccolta e all’analisi dei dati sulla sicurezza dell’informazione. Oggi organizzazioni sia pubbliche che private, con obiettivi diversi, raccolgono dati su incidenti di TI e altri dati pertinenti per la sicurezza dell’informazione, ma non esiste un’entità centrale in grado di raccogliere e analizzare dati in modo esaustivo a livello europeo e fornire pareri e consulenze a sostegno dell’attività di programmazione della Commissione sulla sicurezza delle reti e dell’informazione. L’Agenzia fungerà da centro di esperienza fornendo consulenza agli Stati membri e alla Commissione su questioni tecniche legate alla sicurezza.

L’Agenzia contribuirà inoltre ad un’intensa collaborazione fra diversi soggetti nel campo della sicurezza dell’informazione, per esempio coadiuvando attività concrete a sostegno di un commercio elettronico sicuro. Tale collaborazione rappresenterà un prerequisito essenziale del funzionamento sicuro di reti e sistemi di informazione in Europa. Sono necessari la partecipazione e l’impegno di tutti i soggetti interessati.

L’Agenzia contribuirà ad un approccio coordinato alla società dell’informazione, assistendo gli Stati membri, per esempio, nella valutazione dei rischi e nelle azioni di sensibilizzazione. Per garantire l’interoperabilità di reti e sistemi di informazione, l’Agenzia esprimerà pareri e fornirà sostegno a processi e procedimenti armonizzati negli Stati membri, nell’ambito dell’applicazione di requisiti tecnici che influiscono sulla sicurezza. Oltre ai requisiti legali, anche i requisiti tecnici possono, in larga misura, influire sull’interoperabilità e creare ostacoli al buon funzionamento del mercato interno.

L’Agenzia contribuirà a rilevare il fabbisogno di normalizzazione e a promuovere norme di sicurezza e regimi di certificazione, sostenendone l’uso più ampio possibile da parte della Commissione e degli Stati membri a sostegno della legislazione europea.

Poiché i temi di sicurezza delle reti e dell’informazione hanno risonanza mondiale, occorre anche una cooperazione internazionale in questo settore. L’Agenzia coadiuverà i contatti della Comunità con soggetti interessati nei paesi terzi.

Nel settore dei sistemi di informazione e delle reti sorgono continuamente nuove vulnerabilità e nuove minacce. La Commissione deve poter assegnare ulteriori compiti all’Agenzia per tenere il passo con gli attuali sviluppi della tecnologia e della società, conformemente alle disposizioni della disciplina di inquadramento delle agenzie di regolazione europee.

3.4.1. Gestione

La struttura organizzativa deve agevolare la partecipazione dei diversi soggetti interessati dell’Agenzia, l’indipendenza da pressioni esterne, la trasparenza e l’assunzione di responsabilità nei confronti delle istituzioni democratiche. Di conseguenza, si prevede di istituire un consiglio di amministrazione composto da membri nominati dal Consiglio e dalla Commissione. Ad esempio, fra i rappresentanti della Commissione vi sarà un membro della direzione "Sicurezza".

Nel consiglio di amministrazione vi saranno anche rappresentanti dell’industria e dei consumatori, designati dalla Commissione e nominati dal Consiglio, senza diritto di voto.

L’Agenzia sarà diretta da un direttore esecutivo, dotato di grande indipendenza e potere discrezionale, che sarà responsabile dell’organizzazione del suo funzionamento interno, dell’elaborazione e attuazione del bilancio e del programma di lavoro nonché della gestione del personale. Ai fini della legittimità necessaria, il direttore esecutivo sarà nominato dal consiglio di amministrazione su proposta della Commissione.

Quale organismo comunitario, l’Agenzia deve garantire l’uso ottimale dell’esperienza e delle risorse nell’espletamento della sua missione, nel rispetto del requisito generale di indipendenza. Si propone dunque di dotare l’Agenzia di un comitato consultivo ristretto composto da esperti incaricati di agevolare la cooperazione e lo scambio di informazioni fra l’Agenzia e le istituzioni e gli enti competenti negli Stati membri, come ad esempio un esperto della protezione dei dati o un rappresentante della comunità di ricerca. Il comitato consultivo ha un ruolo consultivo ed è responsabile, unitamente al direttore esecutivo, dell’elaborazione del programma di lavoro annuale dell’Agenzia.

3.5.1. Programma di lavoro

L’Agenzia dovrà adattare la propria attività alla rapida evoluzione dei progressi tecnologici, riorientando i propri lavori. Il consiglio di amministrazione adotta quindi un programma di lavoro annuale, approvato dalla Commissione su proposta del direttore esecutivo. I risultati delle attività relative a ciascun programma annuale sono esposti nella relazione generale, elaborata dal direttore esecutivo e adottata dal consiglio di amministrazione.

3.5.2. Pareri

Per evitare il rischio che l’Agenzia si trovi ad affrontare un sovraccarico di richieste di pareri e assistenza, occorre specificare chi può formulare tali richieste e come trattarle.

3.5.3. Gruppi di lavoro

Nonostante l’alto grado di qualificazione del suo personale, potranno insorgere questioni che richiedono conoscenze specializzate. L’Agenzia avrà quindi la facoltà di istituire gruppi di lavoro temporanei composti di esperti in vari settori.

Conformemente alla politica di trasparenza, rappresentanti della Commissione potranno assistere alle riunioni dei gruppi di lavoro.

3.5.4. Indipendenza

Le consulenze e i pareri dell’Agenzia risulteranno tanto più accettabili ai singoli cittadini, alle pubbliche amministrazioni e alle società commerciali quanto più essa saprà costruire e mantenere la sua autonomia. Pertanto, i membri del consiglio di amministrazione e del comitato consultivo, il direttore esecutivo e gli esperti esterni dei gruppi di lavoro dovranno dichiarare di non essere portatori di interessi in contrasto con la loro indipendenza.

3.5.5. Trasparenza e riservatezza

L’Agenzia adotterà regole proprie riguardanti la trasparenza e l’accesso ai documenti, in conformità delle decisioni del Parlamento europeo e del Consiglio, a norma dell’articolo 255 del trattato CE, nonché delle disposizioni della Commissione in materia di sicurezza².

Sebbene un grado elevato di trasparenza sia necessario anche per garantire l’accettazione dei lavori dell’Agenzia e un ampio accesso ai documenti da essa prodotti, alcune informazioni che essa raccoglierà dovranno essere mantenute riservate.

Per il periodo 2004-2008 l’Agenzia deve disporre di una dotazione finanziaria sufficiente per assumere il personale come sopra descritto e dotarlo dei mezzi tecnologici adeguati per svolgere i compiti assegnatigli e funzionare in modo efficiente. Il bilancio è specificato nella scheda finanziaria dell'atto normativo.

Il bilancio dell’Agenzia è finanziato da un contributo della Comunità ed eventualmente dei paesi terzi che partecipano ai suoi lavori. Il direttore esecutivo elabora un progetto preliminare di bilancio per l’esercizio finanziario successivo. Il consiglio di amministrazione trasmette uno stato di previsione delle entrate e delle spese alla Commissione, per inoltro a norma delle procedure normali di bilancio.

Il direttore esecutivo è responsabile dell’esecuzione del bilancio. Il Parlamento europeo, su raccomandazione del Consiglio, dà discarico al direttore esecutivo dell’Agenzia dell’esecuzione del bilancio. La verifica contabile compete al revisore finanziario della Commissione. La Corte dei conti esamina i conti e pubblica una relazione annuale.

3.7.1. Personalità giuridica e privilegi

L’Agenzia dispone della più ampia personalità giuridica in tutti gli Stati membri e gode degli stessi privilegi e immunità stabiliti dal protocollo sui privilegi e sulle immunità delle Comunità europee.

3.7.2. Responsabilità

Il regime di responsabilità contrattuale ed extracontrattuale dell’Agenzia corrisponde al regime applicabile alla Comunità in virtù dell’articolo 288 del trattato.

3.7.3. Personale

Trattandosi di un centro di esperienza, è estremamente importante che l’Agenzia disponga di sufficiente personale altamente qualificato. I professionisti con i profili corrispondenti scarseggiano e sono molto richiesti in Europa. L'Agenzia dovrebbe assumerli attingendo sia al settore pubblico che a quello privato. Il personale dell’Agenzia è soggetto alle norme e ai regolamenti che si applicano ai funzionari e altri agenti delle Comunità europee. Fatta salva l’esigenza di disporre di un personale stabile e qualificato in numero sufficiente, esso sarà assunto con contratti di lavoro temporanei aventi una durata massima di cinque anni.

L’Agenzia tratterà anche dati personali in rapporto con i suoi compiti e applicherà in merito le norme che disciplinano tale trattamento da parte di un’istituzione comunitaria.

3.7.5. Partecipazione di paesi terzi

Alle attività dell’Agenzia possono partecipare i paesi terzi che hanno concluso con la Comunità europea accordi in virtù dei quali hanno adottato e applicano la legislazione comunitaria nella materia disciplinata dal presente regolamento.

Poiché la sicurezza delle reti e dell’informazione è materia di alto livello tecnologico e dunque in rapida evoluzione, le migliori disposizioni istituzionali possono variare nel tempo. Entro tre anni dalla data stabilita nell’articolo 26 (o prima di tale data se il consiglio di amministrazione lo ritiene necessario) deve iniziare un processo di valutazione volto ad accertare l’utilità di proseguire l’attività dopo il periodo iniziale di cinque anni, proponendo se necessario eventuali modifiche relative a responsabilità, obiettivi e mandati.

Tale riesame considera in particolare in che misura l’assenza di partecipazione delle forze dell’ordine possa influire negativamente sull’efficienza e sull’efficacia dell’operato dell’Agenzia. Ove la valutazione dimostri l’esistenza di tali effetti negativi, la Commissione esamina l’opportunità di presentare una proposta complementare al presente regolamento.

La sede dell’Agenzia deve rispondere ai seguenti requisiti:

— essere di facile accesso in termini di comunicazioni, soprattutto impianti di comunicazione elettroniche e disporre di collegamenti efficienti e veloci in termini di trasporti;

— consentire all’Agenzia di collaborare strettamente ed efficientemente con i servizi istituzionali che si occupano di questioni di sicurezza delle reti e dell’informazione;

— presentare un buon rapporto costo-efficacia e consentire all’Agenzia di iniziare l’attività immediatamente;

— disporre dell’infrastruttura necessaria per il personale dell’Agenzia.

Si propone che l’Agenzia inizi l’attività il 1º gennaio 2004 e rimanga operativa per un periodo di cinque anni. Il proseguimento dell’attività dell’Agenzia dipenderà dall’esito della valutazione svolta dalla Commissione in collaborazione con il comitato consultivo.

Proposta di

IL PARLAMENTO EUROPEO E IL CONSIGLIO DELL’UNIONE EUROPEA,

visto il trattato che istituisce la Comunità europea, in particolare gli articoli 95 e 156,

vista la proposta della Commissione³,

visto il parere del Comitato economico e sociale europeo⁴,

visto il parere del Comitato delle regioni⁵,

deliberando secondo la procedura di cui all’articolo 251 del trattato⁶,

considerando quanto segue:

(1) Le reti di comunicazione e i sistemi di informazione sono ormai fattori determinanti dello sviluppo economico e sociale. Computer e rete stanno diventando strumenti altrettanto comuni dell’acqua corrente o dell’elettricità. Assicurare la sicurezza delle reti di comunicazione e dei sistemi di informazione, in particolare la disponibilità di reti e sistemi, diventa di conseguenza sempre più importante per la società.

(3) Il numero crescente di violazioni della sicurezza ha già provocato notevoli danni economici, turbato la fiducia degli utenti e danneggiato il commercio elettronico. Gli individui, le amministrazioni pubbliche e le imprese hanno reagito dotandosi di tecnologie e di procedure di gestione della sicurezza. Gli Stati membri hanno preso a loro volta numerose misure di sostegno per accrescere la sicurezza delle reti e dell’informazione nella società, come ad esempio campagne di informazione e progetti di ricerca.

(4) Le reazioni degli Stati membri sono state finora troppo eterogenee e non sufficientemente coordinate, per fornire una risposta efficace ai problemi di sicurezza.

La complessità tecnica delle reti e dei sistemi di informazione, la varietà di prodotti e di servizi interconnessi e la moltitudine di soggetti pubblici e privati, ognuno dotato di responsabilità, hanno finora impedito di trattare in maniera coerente a livello comunitario la questione della sicurezza. Non va dimenticato inoltre il problema della mancanza di prodotti e di servizi di sicurezza interoperabili, che costituisce un rischio per l’interoperabilità delle reti. Questi fattori hanno reso necessario affrontare problemi di analisi e di comprensione tecnica piuttosto complessi, ai fini di un'efficiente applicazione delle misure comunitarie.

(5) L’assenza di una risposta europea comune ai problemi di sicurezza dell’informazione nell’applicazione delle misure comunitarie rischia di turbare il buon funzionamento del mercato interno.

(6) La direttiva 2002/21/CE del Parlamento europeo e del Consiglio, del 7 marzo 2002, che istituisce un quadro normativo comune per le reti ed i servizi di comunicazione elettronica⁷ (la "direttiva quadro") definisce le funzioni delle autorità nazionali di regolamentazione, che sono tenute ad incoraggiare l’istituzione e lo sviluppo di reti transeuropee e l’interoperabilità dei servizi paneuropei, a cooperare tra loro e con la Commissione in maniera trasparente per garantire lo sviluppo di prassi normative coerenti, a contribuire a garantire un livello elevato di protezione dei dati personali e della vita privata e il mantenimento dell’integrità e della sicurezza delle reti di comunicazione pubbliche.

(7) La direttiva 2002/20/CE del Parlamento europeo e del Consiglio, del 7 marzo 2002, relativa alle autorizzazioni per le reti e i servizi di comunicazione elettronica⁸ consente agli Stati membri di allegare all’autorizzazione generale condizioni relative alla sicurezza delle reti pubbliche contro l’accesso non autorizzato, conformemente alla direttiva 97/66/CE del Parlamento europeo e del Consiglio, del 15 dicembre 1997, sul trattamento dei dati personali e sulla tutela della vita privata nel settore delle telecomunicazioni.

(8) La direttiva 2002/22/CE del Parlamento europeo e del Consiglio, del 7 marzo 2002, relativa al servizio universale e ai diritti degli utenti in materia di reti e di servizi di comunicazione elettronica⁹ impone agli Stati membri di adottare le misure necessarie per garantire l’integrità e la disponibilità della rete telefonica pubblica e alle imprese fornitrici di servizi telefonici accessibili al pubblico in postazione fissa di adottare tutte le misure ragionevolmente possibili per garantire l’accesso ininterrotto ai servizi di emergenza.

(9) La direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche¹⁰ impone al fornitore di un servizio di comunicazione elettronica accessibile al pubblico di prendere appropriate misure tecniche e organizzative per salvaguardare la sicurezza dei suoi servizi e prevede inoltre la riservatezza delle comunicazioni e dei relativi dati sul traffico. La direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati¹¹ fa obbligo agli Stati membri di disporre che il responsabile del trattamento attui misure tecniche e organizzative appropriate al fine di garantire la protezione dei dati personali dalla distruzione accidentale o illecita, dalla perdita accidentale o dall’alterazione, dalla diffusione o dall’accesso non autorizzati, segnatamente quando il trattamento comporta trasmissioni di dati all’interno di una rete, o da qualsiasi altra forma illecita di trattamento di dati personali.

(10) La direttiva quadro e la direttiva 1999/93/CE del Parlamento europeo e del Consiglio, del 13 dicembre 1999, relativa ad un quadro comunitario per le firme elettroniche¹² contiene disposizioni relative alla pubblicazione di determinate norme nella Gazzetta ufficiale delle Comunità europee. Gli Stati membri si servono anche di norme fissate da organismi internazionali, nonché di norme elaborate dall’industria mondiale del settore e la Commissione e gli Stati membri devono poter stabilire quali norme sono conformi alla legislazione comunitaria.

(11) Per le misure del mercato interno gli Stati membri devono prevedere differenti soluzioni tecniche e organizzative. Si tratta di compiti tecnicamente complessi per i quali non esistono soluzioni univoche e ovvie e l'applicazione eterogenea dei requisiti potrebbe portare a soluzioni inefficienti e creare ostacoli al mercato interno, oltre che mettere in pericolo l'interoperabilità delle funzioni per la sicurezza delle informazioni. Da questo sorge la necessità di istituire un centro di conoscenze a livello europeo che funga da guida e fornisca assistenza e pareri sull'attuazione tecnica e organizzativa dei requisiti in materia e al quale possano rivolgersi la Commissione, le autorità nazionali di regolamentazione, gli organismi competenti degli Stati membri e il settore privato. Tra gli organismi competenti nel settore della sicurezza delle reti e dell'informazione figurano necessariamente gli organi giudiziari e le forze dell'ordine degli Stati membri. (12) L'istituzione di un'agenzia europea, l'Agenzia europea per la sicurezza delle reti e dell'informazione (in appresso "l'Agenzia"), che funga da punto di riferimento e crei un clima di fiducia grazie alla sua indipendenza, alla qualità dei pareri formulati e delle informazioni diffuse, alla trasparenza delle sue procedure e metodi di funzionamento e alla diligenza nello svolgere i compiti ad essa assegnati, rappresenta una risposta efficace a tali necessità. L'Agenzia deve svolgere i propri compiti in piena collaborazione con gli Stati membri e mantenere contatti con il settore e gli altri gruppi interessati. formulati e delle informazioni diffuse, alla trasparenza delle sue procedure e metodi di funzionamento e alla diligenza nello svolgere i compiti ad essa assegnati, rappresenta una risposta efficace a tali necessità. L'Agenzia deve svolgere i propri compiti in piena collaborazione con gli Stati membri e con il settore e gli altri gruppi interessati.

(13) Il crescente impatto a livello comunitario e mondiale degli attacchi alla sicurezza richiede una reazione tempestiva ed efficace. Attualmente, però, in Europa non esiste alcun ente autorizzato che raccolga sistematicamente dati sulla sicurezza delle reti e dell’informazione utilizzabili per l’analisi delle violazioni in questo campo.

(16) Strategie efficienti in materia di sicurezza presuppongono buoni metodi di valutazione dei rischi, sia nel settore pubblico che in quello privato. Attualmente, invece, ci si serve di metodi e procedure a diversi livelli senza una prassi comune che assicuri un’applicazione efficiente. La promozione e lo sviluppo delle migliori pratiche per la valutazione dei rischi migliorerà l’interoperabilità e aumenterà il livello di sicurezza delle reti e dei sistemi di informazione in Europa.

(17) È opportuno che nell’assolvimento dei propri compiti l’Agenzia si avvalga delle attività di ricerca, sviluppo e valutazione tecnologica già in atto, in particolare quelle condotte dal Centro comune di ricerca e nell’ambito di altre azioni di ricerca della Comunità.

(19) Per garantire l’espletamento dei compiti dell’Agenzia, gli Stati membri e la Commissione devono essere rappresentati nel consiglio di amministrazione, che è dotato dei poteri di predisporre il bilancio, verificarne l’esecuzione, adottare le regole finanziarie necessarie, istituire procedure di lavoro trasparenti per le decisioni dell’Agenzia, approvarne il programma di lavoro, esaminare le richieste di assistenza tecnica degli Stati membri e nominare il direttore esecutivo. Vista la natura altamente tecnica e scientifica della missione e dei compiti dell’Agenzia, è opportuno che il consiglio di amministrazione sia composto da membri molto qualificati sui temi che rientrano nella missione dell’Agenzia, nominati dal Consiglio e dalla Commissione.

(20) È necessario creare un comitato consultivo che assista il direttore esecutivo per favorire la cooperazione e un adeguato scambio di informazioni tra gli Stati membri e l’Agenzia. La funzione consultiva del comitato consultivo comprende anche la preparazione della proposta del programma di lavoro annuale dell’Agenzia. Nello stabilire la composizione del comitato consultivo occorre provvedere alla presenza dei necessari esperti, anche in materia di protezione dei dati.

(22) L’Agenzia deve applicare la legislazione comunitaria pertinente in materia di accesso del pubblico ai documenti¹³ e di protezione delle persone fisiche con riguardo al trattamento dei dati personali¹⁴.

(23) Dal momento che l’Agenzia tratta dati relativi ad atti illeciti contro sistemi di informazione, procedure di gestione dei problemi e funzioni di valutazione dei rischi, è necessario un certo coordinamento politico di insieme, a livello nazionale e comunitario, che sarà garantito nel quadro del comitato consultivo previsto all’articolo 7, pur senza compromettere gli obblighi di riservatezza di cui all’articolo 13.

(24) Per garantire all’Agenzia piena autonomia e indipendenza, è necessario dotarla di un bilancio autonomo le cui entrate sono essenzialmente costituite da contributi della Comunità. La procedura comunitaria di bilancio resta tuttavia applicabile a qualsiasi sovvenzione a carico del bilancio generale delle Comunità europee. La revisione contabile è svolta dalla Corte dei conti.

(25) L’Agenzia è inizialmente istituita per un periodo limitato e il suo operato è valutato per determinare se estendere la durata del suo mandato,

HANNO ADOTTATO IL PRESENTE REGOLAMENTO:

Articolo 2

(a) raccoglie e analizza dati, comprese le informazioni sui rischi attuali ed emergenti, in particolare, quelli che metterebbero in pericolo il buon funzionamento di reti essenziali di comunicazione e le informazioni accessibili e da esse trasmesse;

(b) fornisce assistenza e pareri nel quadro dei suoi obiettivi, alla Commissione e ad altri organismi competenti;

(c) migliora la cooperazione tra i diversi soggetti che operano nel campo della sicurezza delle reti e dell’informazione, creando inoltre una rete per gli organismi nazionali e comunitari;

(d) contribuisce a mettere rapidamente a disposizione degli utenti informazioni obiettive e complete su tutti i temi legati alla sicurezza delle reti e dell’informazione, promuovendo inoltre scambi di migliori pratiche relative ai metodi di sensibilizzazione degli utenti, in particolare per i sistemi di allarme contro le aggressioni ai sistemi informatici, e ricercando una sinergia tra le iniziative del settore pubblico e privato;

(e) assiste su loro richiesta la Commissione e le autorità nazionali di regolamentazione nell’analisi dell’attuazione, da parte di operatori e fornitori di servizi, dei requisiti della legislazione comunitaria in materia di sicurezza delle reti e dell’informazione, comprese le disposizioni in materia di protezione dei dati;

(f) partecipa alla valutazione delle norme sulla sicurezza delle reti e dell’informazione;

(g) promuove attività di valutazione dei rischi e incoraggia soluzioni interoperabili per la gestione dei rischi all’interno delle organizzazioni;

(h) promuove la strategia comunitaria in materia di cooperazione con i paesi terzi, in particolare agevolando i contatti con i forum internazionali;

(i) svolge qualunque altro compito assegnatole dalla Commissione nel quadro dei suoi obiettivi.

Articolo 3

Ai fini del presente regolamento si applicano le seguenti definizioni:

— "rete": i sistemi di trasmissione e, se del caso, le apparecchiature di commutazione o di instradamento e altre risorse che consentono di trasportare segnali con mezzi a filo, radio, ottici o altri mezzi elettromagnetici, comprese le reti satellitari, le reti terrestri fisse (a commutazione di circuito e a commutazione di pacchetto compresa Internet) e mobili, le reti utilizzate per la diffusione circolare dei programmi radiofonici e televisivi, e le reti televisive via cavo, indipendentemente dal tipo di informazione trasportato;

— "sistema d’informazione": i computer e le reti di comunicazioni elettroniche, nonché i dati elettronici da loro conservati, trattati, recuperati o trasmessi per il loro funzionamento, uso, protezione e manutenzione;

— "sicurezza delle reti e dell’informazione": la capacità di una rete o di un sistema d’informazione di resistere, ad un determinato livello di riservatezza, ad eventi imprevisti o atti illeciti o dolosi che compromettano la disponibilità, l’autenticità, l’integrità e la riservatezza dei dati conservati o trasmessi e dei servizi forniti o accessibili tramite tale rete o sistema;

— "disponibilità": l’accessibilità dei dati e operabilità dei servizi;

— "autenticazione": la conferma dell’identità dichiarata di un'entità o un utente;

— "integrità dei dati": la conferma che i dati trasmessi, ricevuti o conservati sono completi e inalterati;

— "riservatezza dei dati": la protezione dei dati trasmessi o conservati per evitarne l’intercettazione e la lettura da parte di persone non autorizzate;

— "rischio": la funzione della probabilità che una debolezza del sistema metta in pericolo la disponibilità, l’autenticità, l’integrità e la riservatezza dei dati conservati o trasmessi e la gravità dell’effetto nocivo, conseguente all’uso intenzionale o non intenzionale di tale debolezza;

— "valutazione del rischio": un processo su base scientifica e tecnologica in quattro fasi: individuazione di una minaccia, caratterizzazione della minaccia, valutazione dell’esposizione a tale minaccia e caratterizzazione del rischio;

— "gestione del rischio": il processo, distinto dalla valutazione del rischio, che consiste nell’esaminare alternative di intervento in consultazione con le parti interessate, tenendo conto della valutazione del rischio e di altri fattori pertinenti e, se necessario, operando adeguate scelte di prevenzione e di controllo.

Articolo 4

L’Agenzia comprende:

(a) un consiglio di amministrazione;

(b) un direttore esecutivo e il personale alle sue dipendenze;

(c) un comitato consultivo e,

(d) ove necessario, gruppi di lavoro.

Articolo 5

1. Il consiglio di amministrazione si compone di sei rappresentanti nominati dal Consiglio, sei nominati dalla Commissione, nonché due rappresentanti del settore e un rappresentante dei consumatori, privi del diritto di voto, designati dalla Commissione e nominati dal Consiglio.

2. I rappresentanti possono essere sostituiti da supplenti nominati contestualmente. Il loro mandato è di due anni e mezzo, prorogabile una sola volta.

3. Il direttore esecutivo partecipa senza diritto di voto alle riunioni del consiglio di amministrazione, e provvede alle attività di segretariato.

4. Il consiglio di amministrazione elegge tra i propri membri un presidente con mandato di due anni e mezzo, rinnovabile.

5. Il consiglio di amministrazione adotta il proprio regolamento interno, previa approvazione della Commissione. Salvo altrimenti disposto, il consiglio di amministrazione delibera a maggioranza dei propri membri.

6. Il consiglio di amministrazione si riunisce su convocazione del presidente o su richiesta di almeno un terzo dei suoi membri.

7. Il consiglio di amministrazione adotta il regolamento interno dell’Agenzia sulla base di una proposta della Commissione. Tale regolamento è pubblico.

8. Il consiglio di amministrazione definisce gli orientamenti generali del funzionamento dell’Agenzia e garantisce che l’Agenzia svolga le proprie funzioni, secondo modalità che le consentano di fungere da punto di riferimento grazie alla sua indipendenza, alla qualità dei pareri formulati e alle informazioni diffuse, alla trasparenza delle sue procedure e metodi di funzionamento e alla diligenza nello svolgere i compiti ad essa assegnati.

9. Prima del 31 gennaio di ogni anno il consiglio di amministrazione, previa approvazione della Commissione, adotta il programma di lavoro dell’Agenzia per l’anno in corso. Il consiglio di amministrazione provvede a che tale programma sia coerente con le priorità legislative e strategiche della Comunità nel campo della sicurezza delle reti e dell’informazione.

10. Prima del 31 marzo di ogni anno il consiglio di amministrazione adotta la relazione generale sulle attività dell’Agenzia per l’anno precedente.

11. Le regole finanziarie applicabili all’Agenzia sono adottate dal consiglio di amministrazione, previa consultazione della Commissione. Esse possono discostarsi dal regolamento finanziario quadro adottato dalla Commissione, a norma dell’articolo 185 del regolamento (CE, Euratom) n. 1605/2002¹⁵ (in appresso: "il regolamento finanziario di base"), soltanto se lo impongano esigenze specifiche di funzionamento dell’Agenzia e previo accordo della Commissione.

Articolo 6

1. L’Agenzia è diretta dal suo direttore esecutivo che è completamente indipendente nell’espletamento delle sue funzioni.

2. Il direttore esecutivo è nominato dal consiglio di amministrazione, che attinge a un elenco di candidati proposto dalla Commissione a seguito di un concorso pubblico, bandito mediante pubblicazione di un invito a manifestare interesse nella Gazzetta ufficiale delle Comunità europee e su altri organi d’informazione. Prima della nomina il candidato selezionato è invitato a comparire senza indugio davanti al Parlamento europeo per fare una dichiarazione e rispondere ai quesiti dei membri del suo organismo. Il direttore esecutivo può essere sollevato dal proprio incarico dal consiglio di amministrazione, previa approvazione della Commissione.

3. Il mandato del direttore esecutivo è di due anni e mezzo e può essere rinnovato una volta.

4. Il direttore esecutivo è incaricato di quanto segue:

(a) provvedere al disbrigo degli affari correnti dell’Agenzia;

(b) elaborare la proposta relativa ai programmi di lavoro dell’Agenzia d’intesa con il comitato consultivo;

(c) attuare i programmi di lavoro e le decisioni del consiglio di amministrazione;

(d) garantire che l’Agenzia svolga i propri compiti secondo le esigenze di coloro che fruiscono dei suoi servizi, con particolare riguardo all’adeguatezza dei servizi forniti;

(e) preparare lo stato di previsione delle entrate e delle spese e attuare il bilancio dell’Agenzia;

(f) gestire tutte le questioni relative al personale;

(g) sviluppare e mantenere i contatti con il Parlamento europeo e garantire un dialogo regolare con le sue commissioni competenti.

5. Ogni anno il direttore esecutivo sottopone all’approvazione del consiglio di amministrazione i seguenti progetti:

(a) un progetto di relazione generale riguardante tutte le attività svolte dall’Agenzia nel corso dell’anno precedente;

(b) un progetto di programma di lavoro.

6. Il direttore esecutivo, previa adozione in sede di consiglio di amministrazione, inoltra il programma di lavoro al Parlamento europeo, al Consiglio, alla Commissione e agli Stati membri e ne dispone la pubblicazione.

7. Il direttore esecutivo, previa adozione in sede di consiglio di amministrazione, inoltra la relazione generale dell’Agenzia al Parlamento europeo, al Consiglio, alla Commissione, alla Corte dei conti, al Comitato economico e sociale e al Comitato delle regioni e ne dispone la pubblicazione.

Articolo 7

1. Il comitato consultivo è composto da nove esperti proposti dal consiglio di amministrazione e nominati dal direttore esecutivo. I rappresentanti possono essere sostituiti da supplenti nominati contestualmente. I rappresentanti della Commissione hanno facoltà di assistere alle riunioni del comitato consultivo e di partecipare ai suoi lavori.

2. I membri del comitato consultivo non possono appartenere al consiglio di amministrazione.

3. Il comitato consultivo è presieduto dal direttore esecutivo. Esso si riunisce regolarmente su convocazione del presidente o su richiesta di almeno un terzo dei suoi membri. Le sue procedure operative sono specificate nel regolamento interno dell’Agenzia e sono rese pubbliche.

4. I pareri del comitato consultivo possono essere sottoposti a votazione.

5. L’Agenzia fornisce il supporto tecnico e logistico necessario al comitato consultivo e provvede alle attività di segretariato delle sue riunioni.

6. Il comitato consultivo:

a) consiglia il direttore esecutivo nello svolgimento dei suoi compiti secondo il presente regolamento, in particolare nell’elaborazione di una proposta relativa al programma di lavoro dell’Agenzia.

b) consiglia il direttore esecutivo su come garantire piena collaborazione tra l’Agenzia e le istituzioni e gli organismi competenti degli Stati membri e, in particolare, come assicurare la coerenza tra il lavoro dell’Agenzia e le attività svolte dagli Stati membri.

7. Il direttore esecutivo può invitare rappresentanti del Parlamento europeo e di altri organi competenti a partecipare alle riunioni del comitato consultivo.

Articolo 8

Il lavoro dell’Agenzia è imperniato sull’attuazione del programma di lavoro adottato in conformità dell’articolo 5, paragrafo 9. L’esistenza del programma di lavoro non pregiudica la possibilità che l’Agenzia svolga anche attività impreviste nell’ambito dei suoi obiettivi e nei limiti finanziari stabiliti.

Articolo 9

1. Le richieste di pareri e assistenza nell’ambito degli obiettivi dell’Agenzia sono inoltrate al direttore esecutivo e corredate di una documentazione informativa che illustri la questione da esaminare. Entro dieci giorni lavorativi il direttore esecutivo trasmette la richiesta alla Commissione.

2. Le richieste di cui al paragrafo 1 possono provenire:

(a) dalla Commissione;

(b) da un’autorità nazionale di regolamentazione, definita come tale ai sensi dell’articolo 2 della direttiva quadro, o da un altro organismo nazionale competente, riconosciuto a tal fine dal consiglio di amministrazione.

3. Qualora l’Agenzia incontri difficoltà a soddisfare una richiesta o la richiesta non sia conforme al paragrafo 1, o quando siano presentate diverse richieste sugli stessi temi, il direttore esecutivo consulta il consiglio di amministrazione prima di prendere una decisione. Qualora respinga una richiesta, l’Agenzia deve motivare il proprio rifiuto.

Il direttore esecutivo può inoltre chiedere il parere del comitato consultivo sull’ordine di priorità delle richieste di pareri.

Articolo 10

1. Ove necessario e nel quadro dei suoi obiettivi, l’Agenzia può istituire gruppi di lavoro costituiti da esperti, proposti dal comitato consultivo e nominati dal direttore esecutivo, in particolare in merito a questioni tecniche e scientifiche.

2. Il comitato consultivo istituisce gruppi di lavoro, su proposta del direttore esecutivo e previa consultazione del consiglio di amministrazione.

3. I rappresentanti dei servizi della Commissione hanno facoltà di assistere alle riunioni dei gruppi di lavoro.

4. Le procedure per la nomina degli esperti e per il funzionamento dei gruppi di lavoro sono contenute nel regolamento interno dell’Agenzia.

Articolo 11

1. I membri del consiglio di amministrazione, i membri del comitato consultivo e il direttore esecutivo si impegnano ad agire in modo indipendente nell’interesse pubblico. A tal fine essi rendono una dichiarazione di impegno e una dichiarazione di interessi con la quale indicano l’assenza di interessi diretti o indiretti che possano essere considerati in contrasto con la loro indipendenza. Tali dichiarazioni sono rese per iscritto.

2. Gli esperti esterni che partecipano ai gruppi di lavoro dichiarano ad ogni riunione qualsiasi interesse che possa essere considerato in contrasto con la loro indipendenza, in relazione ai punti all’ordine del giorno.

Articolo 12

1. L’Agenzia si impegna a svolgere le proprie attività con un livello elevato di trasparenza e nel rispetto degli articoli 13 e 14.

2. L’Agenzia si impegna a mettere a disposizione del pubblico e delle parti interessate informazioni obiettive, affidabili e facilmente accessibili, in particolare ove opportuno in merito ai risultati del suo lavoro. Inoltre, essa rende pubbliche le dichiarazioni di interessi rese dai membri del consiglio di amministrazione, dal direttore esecutivo e dal comitato consultivo, nonché le dichiarazioni di interessi rese in relazione ai punti all’ordine del giorno delle riunioni dei gruppi di lavoro.

3. Il consiglio di amministrazione, su proposta del direttore esecutivo, può decidere di autorizzare altre parti interessate a presenziare come osservatori allo svolgimento di alcune delle attività dell’Agenzia.

4. L’Agenzia inserisce nel proprio regolamento interno le disposizioni pratiche per l’attuazione delle regole di trasparenza di cui ai paragrafi 1 e 2.

Articolo 13

1. L’Agenzia non rivela a terzi le informazioni riservate da essa trattate o ricevute per le quali è stato motivatamente richiesto un trattamento riservato, ad eccezione delle informazioni che devono essere rese pubbliche a norma delle legislazioni nazionali, per proteggere la sicurezza pubblica e per prevenire, investigare, accertare e perseguire i reati penali.

2. I membri del consiglio di amministrazione e del comitato consultivo, il direttore esecutivo, gli esperti esterni che partecipano ai gruppi di lavoro e il personale dell’Agenzia, anche dopo la cessazione delle proprie funzioni, restano soggetti agli obblighi di riservatezza di cui all’articolo 287 del trattato CE.

3. L’Agenzia inserisce nel proprio regolamento interno le occorrenti disposizioni per l’attuazione delle norme di riservatezza di cui ai paragrafi 1 e 2.

4. Ai fini dell’applicazione del paragrafo 1, per "terzi" non si intende la Commissione.

Articolo 14

1. Ai documenti detenuti dall’Agenzia si applica il regolamento (CE) n. 1049/2001 del Parlamento europeo e del Consiglio, del 30 maggio 2001, relativo all’accesso del pubblico ai documenti del Parlamento europeo, del Consiglio e della Commissione¹⁶.

2. Entro sei mesi dall’entrata in funzione dell’Agenzia il consiglio di amministrazione adotta disposizioni per l’attuazione del regolamento (CE) n. 1049/2001.

3. Le decisioni prese dall’Agenzia a norma dell’articolo 8 del regolamento (CE) n. 1049/2001 possono essere impugnate mediante denuncia presentata al mediatore europeo o mediante ricorso alla Corte di giustizia delle Comunità europee, a norma degli articoli 195 e 230 del trattato CE.

Articolo 15

1. Le entrate dell’Agenzia sono costituite da un contributo comunitario e dal contributo dei paesi terzi che partecipano alle attività dell’Agenzia, come stabilito dall’articolo 22.

2. Le spese dell’Agenzia comprendono le spese amministrative, tecniche, infrastrutturali, di esercizio e relative al personale, nonché quelle conseguenti a contratti stipulati con terzi.

3. Entro e non oltre il 1º marzo di ogni anno il direttore esecutivo redige uno stato di previsione delle entrate e delle spese dell’Agenzia per l’esercizio finanziario successivo e lo trasmette al consiglio di amministrazione, corredato di un elenco delle voci.

4. Le entrate e le spese devono essere in pareggio.

5. Entro e non oltre il 31 marzo il consiglio di amministrazione, sulla base di un progetto redatto dal direttore esecutivo, presenta lo stato di previsione delle entrate e delle spese dell’Agenzia per l’anno seguente. Lo stato di previsione, che comprende un progetto di tabella dell’organico e un programma di lavoro provvisorio, viene trasmesso dal consiglio di amministrazione alla Commissione e ai paesi con i quali la Comunità europea ha concluso accordi a norma dell’articolo 22.

6. Sulla base dello stato di previsione la Commissione inserisce le relative previsioni nel progetto preliminare di bilancio generale delle Comunità europee, che sottopone al Parlamento europeo e al Consiglio (in appresso "l’autorità di bilancio") a norma dell’articolo 272 del trattato CE.

7. L’autorità di bilancio determina gli stanziamenti a disposizione per il finanziamento dell’Agenzia.

8. L’autorità di bilancio adotta la tabella dell’organico dell’Agenzia.

9. Dopo l’adozione del bilancio generale delle Comunità europee da parte dell’autorità di bilancio, il consiglio di amministrazione adotta il bilancio definitivo e il programma di lavoro dell’Agenzia, adeguandoli nella misura del necessario al contributo comunitario e li trasmette senza indugio alla Commissione e all’autorità di bilancio.

Articolo 16

1. Nella lotta contro la frode, la corruzione ed altre attività illegali si applicano senza limitazioni le disposizioni del regolamento (CE) n. 1073/1999 del Parlamento europeo e del Consiglio, del 25 maggio 1999, relativo alle indagini svolte dall'Ufficio europeo per la lotta antifrode (OLAF)¹⁷.

2. L'Agenzia aderisce all'accordo interistituzionale del 25 maggio 1999, relativo alle indagini interne dell'Ufficio europeo per la lotta antifrode (OLAF)¹⁸, e adotta immediatamente le disposizioni corrispondenti valide per l'insieme dei collaboratori dell'Agenzia.

Articolo 17

1. Il direttore esecutivo provvede all’esecuzione del bilancio dell’Agenzia.

2. Il revisore interno della Commissione esercita nei confronti dell’Agenzia le stesse competenze di cui dispone nei confronti dei servizi della Commissione.

3. Entro e non oltre il 31 marzo successivo all’esercizio chiuso, il contabile dell’Agenzia comunica i conti provvisori, insieme alla relazione sulla gestione finanziaria e di bilancio dell’esercizio, al contabile della Commissione, il quale procede al consolidamento dei conti provvisori delle istituzioni e degli organismi decentrati ai sensi dell’articolo 128 del regolamento finanziario di base.

4. Entro e non oltre il 31 marzo successivo all’esercizio chiuso, il contabile della Commissione trasmette i conti provvisori dell’Agenzia alla Corte dei conti, insieme alla relazione sulla gestione finanziaria e di bilancio dell’esercizio. La relazione sulla gestione finanziaria e di bilancio dell’esercizio è trasmessa anche al Parlamento europeo e al Consiglio.

5. Al ricevimento delle osservazioni formulate dalla Corte dei conti in merito ai conti provvisori dell’Agenzia, ai sensi delle disposizioni dell’articolo 129 del regolamento finanziario di base, il direttore esecutivo stabilisce i conti definitivi dell’Agenzia, sotto la propria responsabilità, e li trasmette per parere al consiglio di amministrazione.

6. Il consiglio di amministrazione formula un parere sui conti definitivi dell’Agenzia.

7. Al più tardi il 1º luglio successivo all’esercizio chiuso, il direttore esecutivo trasmette i conti definitivi, accompagnati dal parere del consiglio di amministrazione, al Parlamento europeo, al Consiglio, alla Corte dei conti e alla Commissione.

8. I conti definitivi sono pubblicati.

9. Al più tardi il 30 settembre il direttore esecutivo invia alla Corte dei conti una risposta alle osservazioni di quest’ultima. La risposta è trasmessa anche al consiglio di amministrazione.

10. Il Parlamento europeo, su raccomandazione del Consiglio che delibera a maggioranza qualificata, dà discarico al direttore esecutivo, entro il 30 aprile dell’anno n + 2, dell’esecuzione del bilancio dell’esercizio dell’anno n.

1. L’Agenzia è un organismo della Comunità europea, dotato di personalità giuridica.

2. In ciascuno degli Stati membri essa gode della più ampia capacità giuridica riconosciuta alle persone giuridiche dalle rispettive legislazioni. In particolare, essa può acquisire o alienare beni mobili e immobili e agire in giudizio.

3. L’Agenzia è rappresentata dal suo direttore esecutivo.

4. All’Agenzia e al suo personale si applica il protocollo sui privilegi e sulle immunità delle Comunità europee.

1. La responsabilità contrattuale dell’Agenzia è disciplinata dalla legge applicabile al contratto in questione. La Corte di giustizia delle Comunità europee è competente a giudicare in virtù di una clausola compromissoria contenuta nei contratti stipulati dall’Agenzia.

2. In materia di responsabilità extracontrattuale, l’Agenzia risarcisce, conformemente ai principi generali comuni ai diritti degli Stati membri, i danni cagionati dall’Agenzia o dai suoi agenti nell’esercizio delle loro funzioni. La Corte di giustizia è competente a conoscere delle controversie relative alla compensazione dei danni.

3. La responsabilità personale degli agenti nei confronti dell’Agenzia è regolata dalle disposizioni pertinenti che si applicano al personale dell’Agenzia.

Articolo 20

1. Il personale dell’Agenzia è soggetto alle norme e ai regolamenti che si applicano ai funzionari e agli altri agenti delle Comunità europee.

2. Fatte salve le disposizioni dell’articolo 5, nei confronti del proprio personale l’Agenzia esercita i poteri conferiti all’autorità che ha il potere di nomina dallo Statuto dei funzionari delle Comunità europee e all’autorità abilitata a stipulare i contratti dal regime applicabile agli altri agenti.

Articolo 21

Nel trattare i dati relativi agli individui l’Agenzia è soggetta alle disposizioni del regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio, del 18 dicembre 2000, concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati¹⁹.

Articolo 22

1. Alle attività dell’Agenzia possono partecipare i paesi che hanno concluso con la Comunità accordi in virtù dei quali hanno adottato e applicano la legislazione comunitaria nella materia disciplinata dal presente regolamento.

2. In forza delle pertinenti disposizioni di tali accordi vengono concordate soluzioni organizzative, relative in particolare alla natura, alla portata e alle modalità di partecipazione di tali paesi alle attività dell’Agenzia, comprese disposizioni riguardanti la partecipazione alle reti gestite dall’Agenzia, i contributi finanziari e il personale.

Articolo 23

1. Entro tre anni dalla data stabilita nell’articolo 26, o prima di tale data se considerato necessario dal consiglio di amministrazione, la Commissione, in collaborazione con il comitato consultivo, procede ad una valutazione sulla base del mandato concordato con il consiglio di amministrazione. La valutazione:

(a) prende in esame i metodi di lavoro dell’Agenzia e l’impatto dell’Agenzia;

(b) effettua un riesame approfondito degli obiettivi e dei meccanismi stabiliti;

(c) propone se necessario le modifiche opportune, alla luce dell’evoluzione della situazione istituzionale e giuridica dell’Unione europea e nel settore specifico delle questioni di sicurezza di più ampia portata, e in particolare delle questioni di sicurezza pubblica e della partecipazione delle forze dell'ordine.

2. La valutazione è resa pubblica.

3. La Commissione effettua la valutazione, in particolare con la finalità di decidere se mantenere in attività l’Agenzia oltre la data di cui all’articolo 26.

L’operato dell’Agenzia è sottoposto al controllo del mediatore europeo, a norma delle disposizioni dell’articolo 195 del trattato.

Articolo 25

La sede dell’Agenzia è decisa dalle autorità competenti su proposta della Commissione, al più tardi sei mesi dopo l’adozione del presente regolamento.

Articolo 26

L’Agenzia è operativa dal 1º gennaio 2004 al 31 dicembre 2008.

Articolo 27

Il presente regolamento entra in vigore il […] giorno successivo alla pubblicazione nella Gazzetta ufficiale delle Comunità europee.

Il presente regolamento è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri.

Fatto a Bruxelles, […]

La valutazione ex ante dimostra che le varie alternative, ossia creazione di una rete interna alla Commissione, rete di corrispondenti degli Stati membri non ha soddisfatto i criteri oggettivi di qualità (trasparenza, rapporto costi/efficacia e visibilità), né il valore aggiunto della creazione di una struttura di regolamentazione del tipo di un'agenzia.

La prima alternativa non è fattibile in quanto la Commissione non dispone nell'ambito dei suoi servizi della necessaria competenza in materia di reti e sicurezza dell'informazione. La seconda alternativa, una rete di corrispondenti nazionali, presenta notevoli svantaggi in quanto:

- la Commissione perde le sue funzioni di supervisione dei lavori e una rete avrebbe bisogno di maggiori risorse finanziarie e umane poiché le funzioni non sarebbero centralizzate bensì moltiplicate in tutti gli Stati membri;

- la consapevolezza della dimensione transnazionale è limitata in quanto le autorità nazionali tenderebbero a concentrarsi sugli aspetti nazionali;

- la visibilità dei lavori è limitata e non offre un unico punto di contatto per le discussioni internazionali che sono assolutamente necessarie in questo campo.

Di conseguenza l'attuale proposta ricalca lo schema indicato nella comunicazione della Commissione "Inquadramento delle agenzie europee di regolazione" adottata recentemente (COM(2002) 718 def. dell’11 dicembre 2002). L'obiettivo principale è incentrare le attività (come si può dedurre dall'elenco dei compiti) su questioni di regolamentazione e fornire al contempo sostegno agli Stati membri e alla Commissione su questioni tecniche e tecnologiche complesse attinenti alla sicurezza della rete e dell'informazione.

Tale messa a fuoco e la maggiore visibilità di una risposta comunitaria coordinata alle crescenti minacce per la sicurezza sono particolarmente necessarie dopo gli eventi dell'11 settembre 2001, quando l'aspetto della sicurezza della rete e dell'informazione è diventato una grande priorità politica.

Data la grande importanza delle reti e dei sistemi di informazione, è vitale garantirne il buon funzionamento. I sistemi di informazione sono essenziali per tutta l’economia: non solo per la maggior parte dei settori industriali, ma anche per il settore pubblico e per i cittadini. Il cattivo funzionamento di tali sistemi concerne tutti, individui, amministrazioni pubbliche e imprese.

La sicurezza è diventata quindi un tema di notevole importanza per i responsabili politici. I governi, confrontati a crescenti responsabilità in questo senso nei confronti della società, si stanno adoperando sempre più per aumentare la sicurezza sul loro territorio. Tuttavia, gli Stati membri si trovano in fasi diverse di tale lavoro e l’attenzione che essi dedicano al tema è variabile. Non esiste inoltre una cooperazione transfrontaliera sistematica tra Stati membri in materia di sicurezza delle reti e delle informazioni, nonostante non si tratti certo di un problema limitato ad un solo paese. Non esiste un meccanismo che garantisca reazioni efficaci alle minacce nei confronti della sicurezza. L'applicazione del quadro giuridico è eterogenea. La mancanza di interoperabilità impedisce l’uso adeguato dei prodotti per la sicurezza.

Malgrado non sia necessaria un’armonizzazione completa delle politiche, un maggiore coordinamento tra Stati membri e un livello di sicurezza adeguatamente elevato sarebbero utili per tutta l’Unione europea. Il mercato interno si avvantaggerebbe di un approccio europeo coordinato in materia di reti e sicurezza dell'informazione e beneficerebbe del know-how degli Stati membri, oltre a promuovere l’innovazione e la competitività globale delle imprese europee.

L’Agenzia di cui si propone l’istituzione ha la funzione di migliorare la sicurezza delle reti e dell’informazione in Europa e la capacità degli Stati membri di reagire individualmente e collettivamente ad eventuali problemi seri in materia.

La comunicazione della Commissione sulla sicurezza delle reti e sicurezza dell’informazione: proposta di un approccio strategico europeo (COM(2001) 298 def.) prevede una serie di misure per rafforzare la sicurezza dell’informazione in Europa. La risoluzione del Consiglio, del 28 gennaio 2002, relativa ad un approccio comune e ad azioni specifiche nel settore della sicurezza delle reti e dell’informazione ha ulteriormente sviluppato il concetto. Risulta tuttavia ormai chiaro che le attuali strutture istituzionali non consentono di affrontare adeguatamente a livello europeo il problema della sicurezza delle reti e dell’informazione.

Di conseguenza, la risoluzione accoglie con favore la proposta della Commissione di istituire una "task force sulla sicurezza informatica" per trattare i problemi di sicurezza delle reti e dell’informazione. La task force sulla sicurezza informatica ha assunto la forma definitiva di un’agenzia di regolamentazione a durata limitata.

Sono state considerate varie alternative ad un’agenzia che non sono però risultate adatte ai compiti previsti per tale entità. La valutazione ex ante contiene un’analisi più dettagliata dei motivi che giustificano la creazione di una nuova agenzia.

L'obiettivo generale dell'Agenzia è creare una comprensione comune in Europa delle questioni relative alla sicurezza dell'informazione, necessaria per garantire la disponibilità e la sicurezza delle reti e dei sistemi di informazione nell'Unione.

L'Agenzia deve essere in grado di:

- fornire assistenza nell'applicazione delle misure comunitarie relative alla sicurezza delle reti e dei sistemi di informazione;

- l'assistenza fornita contribuisce a garantire l'interoperabilità delle funzioni di sicurezza delle reti e dei sistemi di informazione e quindi al funzionamento del mercato interno.

- accrescere la capacità di reazione della Comunità e degli Stati membri ai problemi di sicurezza delle reti e dei sistemi di informazione.

L'Agenzia avrà un ruolo determinante per la sicurezza delle reti e dei sistemi di informazione in Europa e lo sviluppo in generale della società dell'informazione.

L'Agenzia:

- avrà funzioni consultive e di coordinamento relative alla raccolta e all’analisi dei dati sulla sicurezza dell’informazione. Oggi organizzazioni sia pubbliche che private, con obiettivi diversi, raccolgono dati su incidenti di TI e altri dati pertinenti per la sicurezza dell’informazione, ma non esiste un’entità centrale in grado di raccogliere e analizzare dati in modo esaustivo a livello europeo e fornire pareri e consulenze a sostegno dell’attività di programmazione della Commissione sulla sicurezza delle reti e dell’informazione;

- fungerà da centro di esperienza fornendo agli Stati membri e alla Commissione pareri e consulenza su temi tecnici legati alla sicurezza;

- contribuirà ad un’intensa collaborazione fra diversi soggetti nel campo della sicurezza dell’informazione, per esempio coadiuvando attività concrete a sostegno di un commercio elettronico sicuro. Tale collaborazione rappresenterà un prerequisito essenziale del funzionamento sicuro di reti e sistemi di informazione in Europa. Sono necessari la partecipazione e l’impegno di tutti i soggetti interessati;

- contribuirà ad un approccio coordinato alla società dell’informazione, assistendo gli Stati membri, per esempio, nella valutazione dei rischi e nelle azioni di sensibilizzazione;

- garantirà l’interoperabilità di reti e sistemi di informazione quando gli Stati membri applicano requisiti tecnici che influiscono sulla sicurezza;

- individuerà il fabbisogno di normalizzazione e valuterà le norme di sicurezza e i regimi di certificazione, promuovendone l’uso più ampio possibile a sostegno della legislazione europea;

- sosterrà la cooperazione internazionale in questo settore, sempre più necessaria in quanto le questioni di sicurezza della rete e dell'informazione sono mondiali.

La proposta concerne la creazione di un'agenzia di regolamentazione per la durata iniziale di cinque anni, come entità esterna alla Commissione, "l'Agenzia".

L’Agenzia sarà dotata di personalità giuridica.

L’Agenzia è costituita da un consiglio di amministrazione, un direttore esecutivo e un comitato consultivo. La responsabilità generale per l’elaborazione delle politiche, la gestione e la nomina del direttore esecutivo spetta al consiglio di amministrazione.

Il comitato consultivo, composto da esperti, ha funzioni consultive per garantire una piena cooperazione con gli Stati membri e gli organismi del settore negli Stati membri.

"omissis"