Regulation (EC) No 460/2004 of the European Parliament and of the Council of 10 March 2004 establishing the European Network and Information Security Agency (Text with EEA relevance)

• Coming into Force: 14 March 2004
• End of Effective Date: 18 June 2013
• Celex Number: 32004R0460
• ELI: http://data.europa.eu/eli/reg/2004/460/oj
• Published date: 13 March 2004
• Date: 10 March 2004
• Official Gazette Publication: Official Journal of the European Union, L 77, 13 March 2004

|

Regolamento (CE) n. 460/2004 del Parlamento europeo e del Consiglio, del 10 marzo 2004, che istituisce l'Agenzia europea per la sicurezza delle reti e dell'informazione (Testo rilevante ai fini del SEE)

Gazzetta ufficiale n. L 077 del 13/03/2004 pag. 0001 - 0011

Regolamento (CE) n. 460/2004 del Parlamento europeo e del Consiglio

del 10 marzo 2004

che istituisce l'Agenzia europea per la sicurezza delle reti e dell'informazione

(Testo rilevante ai fini del SEE)

IL PARLAMENTO EUROPEO E IL CONSIGLIO DELL'UNIONE EUROPEA,

visto il trattato che istituisce la Comunità europea, in particolare l'articolo 95,

vista la proposta della Commissione,

visto il parere del Comitato economico e sociale europeo(1),

previa consultazione del Comitato delle regioni,

deliberando secondo la procedura di cui all'articolo 251 del trattato(2),

considerando quanto segue:

(1) Le reti di comunicazione e i sistemi di informazione sono ormai fattori determinanti dello sviluppo economico e sociale. Computer e reti stanno diventando strumenti altrettanto comuni dell'acqua corrente o dell'energia elettrica. La sicurezza delle reti di comunicazione e dei sistemi di informazione, in particolare la loro disponibilità, diventa di conseguenza sempre più importante per la società anche a causa della possibilità che si presentino problemi nei sistemi chiave d'informazione a motivo della complessità del sistema, di incidenti, errori e attacchi che possono avere conseguenze sulle infrastrutture fisiche che forniscono servizi essenziali per il benessere dei cittadini dell'UE.

(2) Il numero crescente di violazioni della sicurezza ha già provocato notevoli danni economici, turbato la fiducia degli utenti e danneggiato lo sviluppo del commercio elettronico. Gli individui, le amministrazioni pubbliche e le imprese hanno reagito dotandosi di tecnologie e procedure di gestione relative alla sicurezza. Gli Stati membri hanno preso a loro volta numerose misure di sostegno per accrescere la sicurezza delle reti e dell'informazione nella società, come ad esempio campagne di informazione e progetti di ricerca.

(3) La complessità tecnica delle reti e dei sistemi di informazione, la varietà dei prodotti e servizi interconnessi e la moltitudine di soggetti pubblici e privati, ognuno dotato di responsabilità, rischiano di turbare il buon funzionamento del mercato interno.

(4) La direttiva 2002/21/CE del Parlamento europeo e del Consiglio, del 7 marzo 2002, che istituisce un quadro normativo comune per le reti e i servizi di comunicazione elettronica(3) ("direttiva quadro") definisce le funzioni delle autorità nazionali di regolamentazione, che sono tenute tra l'altro a cooperare tra loro e con la Commissione in maniera trasparente per garantire lo sviluppo di prassi normative coerenti, a contribuire a garantire un livello elevato di protezione dei dati personali e della vita privata e a garantire il mantenimento dell'integrità e della sicurezza delle reti di comunicazione pubbliche.

(5) La normativa comunitaria attuale comprende altresì la direttiva 2002/20/CE(4), la direttiva 2002/22/CE(5), la direttiva 2002/19/CE(6), la direttiva 2002/58/CE(7), la direttiva 1999/93/CE(8), la direttiva 2000/31/CE(9), nonché la risoluzione del Consiglio del 18 febbraio 2003 relativa all'attuazione del piano d'azione eEurope 2005(10).

(6) La direttiva 2002/20/CE consente agli Stati membri di allegare all'autorizzazione generale condizioni relative alla sicurezza delle reti pubbliche contro l'accesso non autorizzato, conformemente alla direttiva 97/66/CE(11).

(7) La direttiva 2002/22/CE impone agli Stati membri di adottare le misure necessarie per garantire l'integrità e la disponibilità della rete telefonica pubblica in postazione fissa e alle imprese fornitrici di servizi telefonici accessibili al pubblico in postazione fissa di adottare tutte le misure ragionevolmente possibili per garantire l'accesso ininterrotto ai servizi di emergenza.

(8) La direttiva 2002/58/CE impone al fornitore di un servizio di comunicazione elettronica accessibile al pubblico di prendere appropriate misure tecniche e organizzative per salvaguardare la sicurezza dei suoi servizi e impone inoltre la riservatezza delle comunicazioni e dei relativi dati sul traffico. La direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati(12) fa obbligo agli Stati membri di disporre che il responsabile del trattamento attui misure tecniche e organizzative appropriate per proteggere i dati personali dalla distruzione accidentale o illecita, dalla perdita accidentale o dall'alterazione, dalla diffusione o dall'accesso non autorizzati, segnatamente quando il trattamento comporta la trasmissione di dati all'interno di una rete, o da qualsiasi altra forma illecita di trattamento di dati personali.

(9) La direttiva 2002/21/CE e la direttiva 1999/93/CE contengono disposizioni relative alla pubblicazione di determinate norme nella Gazzetta ufficiale dell'Unione europea. Gli Stati membri si servono anche di norme fissate da organismi internazionali, nonché di regole di fatto elaborate dall'industria mondiale del settore. È necessario che la Commissione e gli Stati membri siano in grado di individuare quali norme sono conformi alla legislazione comunitaria.

(10) Tali misure del mercato interno richiedono agli Stati membri e alla Commissione differenti soluzioni tecniche e organizzative. Si tratta di compiti tecnicamente complessi per i quali non esistono soluzioni univoche e ovvie. L'applicazione eterogenea di tali requisiti può portare a soluzioni inefficaci e creare ostacoli al mercato interno. Da questo sorge la necessità di istituire un centro di conoscenze a livello europeo che fornisca orientamenti, consulenza e, se richiesto, assistenza nell'ambito dei propri obiettivi, al quale possano rivolgersi il Parlamento europeo, la Commissione o gli organismi competenti nominati dagli Stati membri. Le autorità nazionali di regolamentazione designate ai sensi della direttiva 2002/21/CE possono essere designate da uno Stato membro in quanto organismi competenti.

(11) L'istituzione di un'agenzia europea, l'Agenzia europea per la sicurezza delle reti e dell'informazione (in prosieguo: "l'Agenzia"), che funga da punto di riferimento e crei un clima di fiducia grazie alla sua indipendenza, alla qualità della consulenza fornita e delle informazioni diffuse, alla trasparenza delle sue procedure e metodi di funzionamento e alla diligenza nello svolgere i compiti ad essa assegnati, rappresenterebbe una risposta a tali necessità. L'Agenzia dovrebbe basarsi sugli sforzi prodotti a livello nazionale e comunitario e svolgere pertanto i propri compiti in piena collaborazione con gli Stati membri mantenendo contatti con il settore e gli altri soggetti interessati. Poiché le reti elettroniche sono in larga misura private, l'Agenzia dovrebbe avvalersi delle informazioni del settore privato e cooperare con esso.

(12) L'assolvimento dei compiti dell'Agenzia non dovrebbe interferire con le competenze né costituire pregiudizio, ostacolo o sovrapposizione alle pertinenti competenze e mansioni assegnate:

- alle autorità di regolamentazione nazionali di cui alle direttive riguardanti le reti e i servizi di comunicazione elettronica nonché ai regolatori europei per le reti e i servizi di comunicazione elettronica istituiti dalla decisione 2002/627/CE della Commissione(13), e al comitato per le comunicazioni di cui alla direttiva 2002/21/CE,

- agli enti di normalizzazione europei, agli enti di normalizzazione nazionali e al comitato permanente di cui alla direttiva 98/34/CE del Parlamento europeo e del Consiglio, del 22 giugno 1998, che prevede una procedura d'informazione nel settore delle norme e delle regolamentazioni tecniche e delle regole relative ai servizi della società dell'informazione(14),

- alle autorità di vigilanza degli Stati membri nel settore della protezione delle persone per quanto riguarda il trattamento dei dati personali e la libera circolazione di tali dati.

(13) Per comprendere meglio le sfide nel settore della sicurezza delle reti e dell'informazione, è necessario che l'Agenzia analizzi i rischi attuali ed emergenti e che a tale scopo essa abbia la possibilità di raccogliere le informazioni appropriate, in particolare tramite questionari, senza imporre nuovi obblighi al settore privato o agli Stati membri di produrre dati. I rischi emergenti dovrebbero essere intesi come questioni che possono già configurare un possibile rischio futuro per la sicurezza delle reti e dell'informazione.

(14) Affinché gli individui, le imprese e le amministrazioni pubbliche abbiano fiducia nelle reti e nei sistemi di informazione è necessario che siano adeguatamente informati, istruiti e formati nel settore della sicurezza delle reti e dell'informazione (TI). Le autorità pubbliche hanno un ruolo da svolgere nell'azione di sensibilizzazione, informando il pubblico, le piccole e medie imprese, le grandi società, le amministrazioni pubbliche, le scuole e le università. Tali misure dovrebbero essere ulteriormente potenziate. Uno scambio più intenso di informazioni tra gli Stati membri favorirà queste azioni di sensibilizzazione. L'Agenzia dovrebbe esprimere pareri sulle migliori prassi ai fini della sensibilizzazione, della formazione e dell'apprendimento.

(15) L'Agenzia dovrebbe avere il compito di contribuire ad assicurare un elevato livello di sicurezza delle reti e dell'informazione nella Comunità e a sviluppare una cultura in materia di sicurezza delle reti e dell'informazione a vantaggio dei cittadini, dei consumatori, delle imprese e delle organizzazioni del settore pubblico nell'Unione europea, contribuendo in tal modo al buon funzionamento del mercato interno.

(16) Strategie efficaci in...