Camera dei deputati - XVI Legislatura - Dossier di documentazione (Versione per stampa)
Autore: Ufficio Rapporti con l'Unione Europea
Titolo: Riforma dell'Agenzia europea per la sicurezza delle reti e dell'informazione - Proposta di Regolamento (COM(2010)521)
Serie: Documentazione per le Commissioni - Esame di atti e documenti dell'UE    Numero: 66
Data: 16/11/2010
Descrittori:
REATI INFORMATICI   RETI DI COMUNICAZIONE E TRASMISSIONE
TUTELA DELLA RISERVATEZZA     

Riforma dell’Agenzia europea per la sicurezza delle reti e dell’informazione

Proposta di Regolamento (COM(2010)521)

Il 30 settembre 2010 la Commissione europea ha presentato una proposta di regolamento recante integrazioni e modifiche alla disciplina dell’Agenzia europea per la sicurezza delle reti e dell’informazione (ENISA) (COM(2010)521).

La proposta di regolamento verrà esaminata dal Parlamento europeo e dal Consiglio secondo la procedura legislativa ordinaria (codecisione tra Parlamento europeo e Consiglio e maggioranza qualificata in seno al Consiglio). Il termine per l’espressione del parere sulla conformità della proposta al principio di sussidiarietà da parte dei Parlamenti nazionali scadrà il prossimo 1 dicembre.

Si segnala che, per evitare il rischio che si crei un vuoto legislativo qualora il nuovo mandato dell'Agenzia non fosse adottato prima della scadenza del mandato attuale (marzo 2012), la Commissione europea ha presentato, contestualmente alla proposta in esame, un’ulteriore proposta di regolamento che prolunga il mandato attuale dell'Agenzia per altri 18 mesi (fino a settembre 2013) (COM(2010)520).

L’ Agenda digitale europea

L’Agenda digitale europea(COM(2010)245) è una delle sette “iniziative faro” prevista dalla Strategia UE 2020 per la crescita e l’occupazione. L’Agenda si articola in linee d’azione fondamentali necessarie per affrontare in modo sistematico le seguenti sette aree problematiche per le tecnologie dell'informazione e della comunicazione (TIC): la frammentazione dei mercati digitali, la mancanza di interoperabilità, l’aumento della criminalità informatica, la carenza di investimenti nelle reti, la ricerca  e l’innovazione, l’alfabetizzazione informatica.

Per quanto riguarda gli aspetti relativi alla sicurezza delle infrastrutture informatiche, l’Agenda digitale prevede l’adozione di: misure volte a istituire un sistema di risposta immediata contro gli attacchi informatici, attraverso la creazione di  una rete di squadre di pronto intervento informatico (CERT) e il rafforzamento ruolo dell'ENISA; iniziative legislative per combattere i cyber-attacchi contro i sistemi informatici  (materia oggetto di una proposta di direttiva presentata anch’essa dalla Commissione europea il 30 settembre scorso (COM(2010)517)); norme in materia di giurisdizione nel cyberspazio a livello europeo e internazionale.

Attuale assetto dell’Agenzia

L'Agenzia europea per la sicurezza delle reti e dell'informazione (ENISA), con sede a Heraklion, nell’isola di Creta, è stata istituita con il regolamento (CE) n. 460/2004 del 10 marzo 2004, per un periodo iniziale di cinque anni, al fine di "assicurare un alto ed efficace livello di sicurezza delle reti e dell'informazione nell'ambito dell'Unione e di sviluppare una cultura in materia di sicurezza delle reti e dell'informazione a vantaggio dei cittadini, dei consumatori, delle imprese e delle organizzazioni del settore pubblico dell'Unione europea, contribuendo in tal modo al corretto funzionamento del mercato intero”. In particolare, è compito dell’ENISA:

·   fornire pareri tecnici alle autorità nazionali e alle istituzioni dell'UE;

·   promuovere lo scambio di buone pratiche ;

·   facilitare i contatti tra le istituzioni dell'UE, le autorità nazionali e il mondo delle imprenditoria privata.

Il regolamento (CE) n. 1007/2008 ha prolungato il mandato dell'ENISA fino a marzo 2012.

Gi organi dell’Agenzia sono: un consiglio di amministrazione composto dai un rappresentante per ciascuno Stato membro, tre  rappresentanti nominati dalla Commissione, nonché tre rappresentanti, privi del diritto di voto, designati dalla Commissione e nominati dal Consiglio, provenienti dall’industria della tecnologia dell’informazione, da gruppi di consumatori e dal mondo accademico; il direttore esecutivo nominato dal Consiglio di amministrazione; un gruppo permanente di parti interessate, composto da esperti nominati dal direttore esecutivo.

Per quanto riguarda le risorse finanziarie, esse consistono in  un contributo a carico del bilancio dell’Unione europea e da contributi versati dai paesi terzi che partecipano alle attività dell’Agenzia. Il budget dell’ENISA per il 2010 ammonta a  8.113.987,93 euro, di cui  5.127.200  euro per le spese relative al personale,  631.000 euro  per le altre spese amministrative (edifici e dotazioni) euro € 2.354.987,93 euro per le spese operative collegate all’attuazione del Programma di lavoro 2010.

Obiettivi della proposta di regolamento

In linea con le indicazioni dell’Agenda digitale per l’Europa,  la proposta di regolamento intende rafforzare e modernizzare l'ENISA nonché stabilire un nuovo mandato della durata di 5 anni (fino al 2017).

In particolare la proposta intende perseguire  i seguenti obiettivi specifici:

·    attribuire all’Agenzia un ruolo di interfaccia nella lotta contro la criminalità informatica, in linea con le indicazioni del programma di Stoccolma per lo spazio di libertà, sicurezza e giustizia (2010-2014), adottato dal Consiglio europeo del dicembre 2009;

·    ampliare l’ambito di intervento dell’Agenzia, consolidandone il ruolo di sostegno all’attuazione delle politiche dell’Unione;

·    permettere all’Agenzia di affiancarsi al processo normativo dell’Unione europea, fornendo assistenza e pareri a Stati membri e istituzioni UE;

·    rafforzare la governance interna attribuendo un più forte ruolo di supervisione al consiglio di amministrazione, nel quale sono rappresentati sia gli Stati membri che la Commissione europea;

·    aumentare con gradualità le risorse umane e finanziare dell’Agenzia.

motivazione sotto i profili di sussidiarietà e proporzionalità

Nella relazione di accompagnamento alla proposta, la Commissione  rileva come il carattere globale di interconnessione e interdipendenza delle tecnologie dell’informazione e comunicazione (TIC), ormai parti integranti dell'economia e della società dell'Unione europea, renda impossibile garantirne la sicurezza e la resilienza con un approccio esclusivamente nazionale e non coordinato. La riforma dell’ENISA si inquadrerebbe  nelle iniziative volte a consentire all'Unione europea, agli Stati membri e alle parti interessate di raggiungere un alto livello di capacità e preparazione per prevenire, rilevare e reagire in modo più adeguato ai problemi legati alla sicurezza delle reti e dell'informazione. L’adozione di una misura a livello UE che  garantisca il coordinamento tra  gli Stati membri, al fine di affrontare i rischi legati alla sicurezza delle reti informatiche  nel contesto transfrontaliero in cui si presentano, sarebbe pertanto, a giudizio della Commissione, conforme al principio di sussidiarietà e avrebbe il merito ulteriore di aumentare l'efficacia delle politiche nazionali esistenti, con positive ripercussioni anche in riferimento alla tutela dei diritti fondamentali, in particolare il diritto alla protezione dei dati personali e della privacy.

Nel corso della valutazione di impatto della proposta la Commissione ha esaminato 5 differenti opzioni:

·    Opzione 1 – Nessuna politica;

·    Opzione 2 – Status quo (mantenere un mandato simile e lo stesso livello di risorse);

·    Opzione 3 - Ampliare i compiti dell'ENISA e includere le autorità incaricate del rispetto delle norme e della tutela della privacy come parti interessate a pieno titolo;

·    Opzione 4 – Aggiungere ai compiti dell'agenzia la lotta contro gli attacchi informatici e la reazione agli incidenti informatici;

·    Opzione 5 - Aggiungere ai compiti dell'agenzia l'assistenza alle autorità incaricate del rispetto delle norme e giudiziarie nella lotta contro la criminalità informatica.

Dopo un'analisi comparativa costi-benefici, l'opzione 3 è stata ritenuta dalla Commissione la più efficace per raggiungere gli obiettivi fissati nell’ambito  dell'Agenda digitale europea.

Il processo di elaborazione della proposta

Consultazione pubblica delle parti interessate

Ai fini dell’elaborazione della proposta in esame, sono state svolte due consultazioni pubbliche rispettivamente nel 2007 e tra il 2008 e il 2009. I contributi avrebbero in particolare messo in evidenza la necessità di: ampliare le competenze dell’ENISA e aumentarne le risorse. Si segnala che nel suo  contributo alla consultazione svoltasi nel 2007, il Ministero delle comunicazioni italiano, ribadendo l’importanza del ruolo svolto dall’Agenzia, aveva sottolineato l’opportunità di sviluppare l’azione di coordinamento svolta dall’ENISA a livello UE, relativamente ai seguenti aspetti: coordinamento e promozione della cooperazione a livello internazionale tra tutte le parti coinvolte nella catena della sicurezza(fornitori di servizio, venditori di software; fornitori di applicazioni, consumatori, utenti professionisti); selezione e armonizzazione dei dati da raccogliere relativamente alla sicurezza informatica e alle procedure di protezione; raccolta, analisi e divulgazione di best practice; promozione della collaborazione dei diversi organismi preposti alla certificazione e alla standardizzazione, al fine di garantire la massima interoperabilità dei sistemi  e delle applicazioni; coordinamento dei sistemi di allerta per la tempestiva segnalazione delle situazioni di rischio a tutte le infrastrutture interconnesse; coordinamento e standardizzazione delle notifiche del fornitore relative ad interruzioni dei servizi di sicurezza. Il Ministero delle comunicazioni aveva inoltre espresso l’auspicio che il mandato dell’ENISA fosse reso permanente e che fosse rafforzato il ruolo dell’Agenzia anche per quanto riguarda il supporto tecnico nella cooperazione di polizia e giudiziaria in materia penale. Relativamente al quesito se il ruolo dell’ ENISA dovesse essere più operativo o regolamentare, il Ministero aveva formulato una risposta più sfumata,  secondo  la quale l’aspetto operativo, caratterizzato da compiti di raccolta e analisi dei documenti, dovrebbe essere quello inizialmente prevalente e solo in un secondo momento essere affiancato dalla possibilità di elaborazione di proposte.

Indicazioni del Consiglio

Sulla base del piano d’azione  CIIP  (Critical Information Infrastructure Protection),presentato dalla  Commissione con la comunicazione “Rafforzare la preparazione, la sicurezza e la resilienza per proteggere l’Europa dai ciberattacchi e dalle ciberperturbazioni” (COM(2009)149), il 18 dicembre 2009 il Consiglio ha approvato una risoluzione su un approccio europeo cooperativo in materia di sicurezza delle reti e dell'informazione,  nel quale  ha sottolineato, in particolare l’esigenza di

·  proteggere le infrastrutture critiche informatizzate attraverso una più incisiva strategia globale europea per la sicurezza delle reti e dell'informazione;

·  valorizzare il ruolo dell'ENISA  in particolare facendone un centro di conoscenze dell'UE, per le tematiche connesse alla sicurezza delle reti e dell'informazione nell'ambito dell'UE. Pertanto le istituzioni europee dovrebbero chiedere il suo parere nell'elaborazione e attuazione di strategie che hanno un potenziale impatto in questo campo;

·  porre l'ENISA in condizione di assistere gli Stati membri nel miglioramento delle loro capacità in materia di sicurezza delle reti e dell'informazione e della loro capacità di far fronte a incidenti a danno della sicurezza.

Orientamenti del Parlamento europeo

L’importanza del ruolo dell’ENISA perquanto riguarda la prevenzione, il trattamento e la risposta ai problemi di sicurezza della rete e delle informazioni è stata da ultimo sottolineata nella risoluzione del Parlamento europeo del 15 giugno 2010 sulla governance di Internet.Il Parlamento europeo,accogliendo favorevolmente l’intenzione di aggiornare il mandato dell'ENISA, ha sottolineato la necessità di  aumentare ulteriormente l'efficacia dell’ Agenzia:

·  nell'individuare le priorità di ricerca, a livello europeo, nelle aree della resilienza della rete e della sicurezza della rete e dell'informazione, e nell'offrire conoscenze sulle necessità del settore alle istituzioni di ricerca potenziali;

·  nell'attirare l'attenzione dei policy maker verso le nuove tecnologie nelle aree relative alla sicurezza;

·  nello sviluppare fora  per la condivisione delle informazioni e nel fornire sostegno agli Stati membri.  Si ricorda in proposito che il piano d’azione  CIIP presentato dalla Commissione europea ha già previsto l’istituzione di un Forum europeo degli Stati membri ( EFMS)

Base giuridica

La base giuridica della proposta di regolamento è costituita dall’articolo 114 del Trattato sul funzionamento dell’Unione europea, che stabilisce che  il Parlamento europeo e il Consiglio, deliberando secondo la procedura legislativa ordinaria e previa consultazione del Comitato economico e sociale, adottino le misure relative al ravvicinamento delle disposizioni legislative, regolamentari ed amministrative degli Stati membri che hanno per oggetto l'instaurazione ed il funzionamento del mercato interno.

Nella relazione di accompagnamento alla proposta si ricorda che con il trattato di Lisbona è venuta meno la distinzione in pilastri e la prevenzione e la lotta contro il crimine, precedentemente regolate dal metodo intergovernativo,  sono diventate competenze condivise dell'Unione: per questo motivo,  osserva la Commissione,  l'ENISA ha acquisito  la possibilità di svolgere anche il ruolo di piattaforma per gli aspetti della lotta alla criminalità informatica legati alla sicurezza delle reti e dell'informazione e di condividere opinioni e buone pratiche con le autorità responsabili della difesa dagli attacchi informatici, dell'applicazione delle norme e della tutela della vita privata.

Contenuti della proposta di regolamento

Il nucleo centrale della proposta è costituito dagli articoli 2 e 3  che, innovando rispetto al regolamento vigente, riformulano gli obiettivi e i compiti dell'Agenzia con lo scopo di  ampliarne l'ambito di intervento e chiarirne la relazione con le istituzioni UE e gli Stati membri. In particolare, l’articolo 2 della proposta, relativo agli obiettivi, stabilisce che l’Agenzia:

·  assiste la Commissione e gli Stati membri al fine di aiutarli a soddisfare le prescrizioni giuridiche e normative in materia di sicurezza delle reti e dell'informazione previste dalla normativa europea vigente e futura, contribuendo in tal modo al corretto funzionamento del mercato interno;

·  rafforza la capacità e la preparazione dell'Unione e degli Stati membri per prevenire, rilevare e reagire ai problemi e agli incidenti legati alla sicurezza delle reti e dell'informazione;

·  sviluppa e mantiene un elevato livello di competenza, per stimolare la cooperazione tra attori del settore pubblico e del settore privato. Il Partenariato pubblico - privato era perlatroesplicitamente richiamato  come esigenza inderogabile nel piano d’azione CIIP.

Ai sensi dell’articolo 3 della proposta, l’Agenzia sarà tenuta a svolgere i seguenti compiti:

·  assistere la Commissione, su richiesta di questa o di propria iniziativa, nell'elaborazione di politiche in materia di sicurezza delle reti e dell'informazione, fornendole consulenze, pareri e analisi tecniche e socioeconomiche e svolgendo attività preparatorie all'elaborazione e all'aggiornamento della normativa UE nel settore;

·  facilitare la cooperazione tra Stati membri e tra questi e la Commissione nell'impegno a prevenire, rilevare e reagire, a livello transnazionale, agli incidenti legati alla sicurezza delle reti e dell'informazione;

·  assistere gli Stati membri e le istituzioni e gli organi europei nel loro impegno a raccogliere, analizzare e divulgare i dati relativi alla sicurezza delle reti e dell'informazione;

·  valutare periodicamente, in cooperazione con gli Stati membri e le istituzioni europee, lo stato della sicurezza delle reti e dell'informazione in Europa;

·  facilitare la cooperazione tra gli enti pubblici competenti in Europa, in particolare sostenendo la messa a punto e lo scambio di buone pratiche e di standard;

·  assistere l'Unione e gli Stati membri nella promozione del ricorso a buone pratiche e norme di gestione dei rischi e di sicurezza per prodotti, sistemi e servizi elettronici;

·  sostenere la cooperazione tra le parti interessate del settore pubblico e di quello privato a livello di Unione, tra l'altro promuovendo la condivisione di informazioni e la sensibilizzazione e aiutandole nell'impegno a definire e adottare norme in materia di gestione dei rischi e di sicurezza dei prodotti, delle reti e dei servizi elettronici;

·  facilitare il dialogo e lo scambio di buone pratiche tra le parti interessate pubbliche e private in materia di sicurezza delle reti e dell'informazione, inclusi aspetti inerenti la lotta contro la criminalità informatica; assiste la Commissione nell'elaborazione di politiche che tengano conto degli aspetti inerenti la sicurezza delle reti e dell'informazione nella lotta contro la criminalità informatica;

·  assistere, su loro richiesta, gli Stati membri e le istituzioni e gli organismi europei nel loro impegno a mettere a punto capacità di rilevazione, analisi e reazione nel campo della sicurezza delle reti e dell'informazione;

·  sostenere il dialogo e la cooperazione con i paesi terzi e le organizzazioni internazionali, se del caso in collaborazione con la SEAE, per promuovere la cooperazione internazionale e un approccio comune globale alle questioni relative alla sicurezza delle reti e dell'informazione;

·  svolgere i compiti attribuitile da atti legislativi dell'Unione.

Relativamente all’affiancamento dell’Agenzia al processo politico e normativo dell'Unione, innovando rispetto alla normativa vigente, la proposta di regolamento prevede, all’articolo 14, che anche il Consiglio (oltre si già contemplati Parlamento europeo, Commissione europea e organismi competenti designati dagli Stati membri) possa avanzare richieste di consulenza  e assistenza all’Agenzia.

Al fine di potenziare la struttura di governance,  innovando rispetto al regolamento vigente, la proposta attribuisce al consiglio di amministrazione (art. 5)  la facoltà di istituire organismi di lavoro, composti da membri del consiglio medesimo, che lo assistano nello svolgimento delle sue funzioni (compresi la stesura delle sue decisioni e il monitoraggio della relativa attuazione) e la facoltà di adottare un piano pluriennale di politica del personale, previa la consultazione dei servizi della Commissione e dopo averne debitamente informato l'autorità di bilancio. Il consiglio di amministrazione avrà inoltre il compito, precedentemente attribuito al direttore esecutivo, di istituire il Gruppo permanente delle parti interessate(art.11).

Tra gli aspetti relativi alla  razionalizzazione delle procedure, particolare rilevanza riveste  l’art. 12 comma 3, secondo il quale  il parere sul programma di lavoro dell'ENISA, preliminare all’adozione da parte del Consiglio di amministrazione, è fornito dai servizi della Commissione e non più tramite l'adozione di una decisione della Commissione.

Per quanto riguarda le risorse finanziarie, l’articolo 19 della proposta, innovando rispetto alla regolamento vigente,  prevede che  le entrate dell’Agenzia siano costituite,  oltre che da un contributo proveniente dal bilancio dell’Unione e dai contributi dei paesi terzi che partecipano alle sue attività, anche da contributi degli Stati membri. Nel 2013 il budget dell’Agenzia dovrebbe passare  a 9.032 milioni di  euro.

Relativamente al personale la proposta prevede (art. 23) che l’Agenzia possa avvalersi di esperti nazionali distaccati dagli Stati membri.

Implicazioni finanziarie

Nella valutazione di impatto che accompagna la proposta (SEC(2010)1126), la Commissione evidenzia che:

·i nuovi compiti dell’Agenzia dovrebbe richiedere circa 120- 140  unità a tempo pieno, di cui il 25-30% per compiti amministrativi e di supporto. Per quanto riguarda i costi relativi alle attività operative, esse dovrebbero costituire almeno un terzo delle risorse finanziarie dell’Agenzia;

·l’incremento di personale e delle risorse finanziarie appare peraltro un trend registrato anche a livello di analoghe Agenzie nazionali: a questo proposito la Commissione cita l’esempio della Germania, (il cui Ufficio federale per la sicurezza delle informazioni  è passato da un budget di 33, 5 milioni di euro e 300 unità di personale nel 1997 a  64 milioni di euro e 500 dipendenti nel 2007) e della Francia ( la cui Agenzia nazionale avrebbe recentemente previsto per il 2012 un budget di 90 milioni di euro e 250 unità di personale, cifre che rappresentano il doppio delle disponibilità attuali).

 

 

XVI legislatura –Documentazione per le Commissioni – Esame di atti e documenti dell’UE, n. 66, 16 novembre 2010

Il bollettino è stato curato dall’Ufficio Rapporti con l’Unione europea (' 066760.2145 - * cdrue@camera.it)