Direttiva 2008/114 dell' 8 dicembre 2008 sull'individuazione e la designazione delle infrastrutture critiche europee e la valutazione della necessit� di migliorarne la protezione, Directive 2008/114 of 8 December 2008 on the identification and designation of European critical infrastructures and the assessment of the need to improve their protection

Direttiva 2008/114/CE del Consiglio

Council Directive 2008/114/EC

dell’ 8 dicembre 2008

relativa all’individuazione e alla designazione delle infrastrutture critiche europee e alla valutazione della necessità di migliorarne la protezione

on the identification and designation of European critical infrastructures and the assessment of the need to improve their protection

(Testo rilevante ai fini del SEE)

(Text with EEA relevance)

IL CONSIGLIO DELL’UNIONE EUROPEA,

THE COUNCIL OF THE EUROPEAN UNION,

visto il trattato che istituisce la Comunità europea, in particolare l’articolo 308,

Having regard to the Treaty establishing the European Community, and in particular Article 308 thereof,

vista la proposta della Commissione,

Having regard to the proposal from the Commission,

visto il parere del Parlamento europeo [1],

Having regard to the opinion of the European Parliament [1],

visto il parere della Banca centrale europea [2],

Having regard to the opinion of the European Central Bank [2],

considerando quanto segue:

(1) Nel giugno 2004 il Consiglio europeo ha richiesto la preparazione di una strategia globale per la protezione delle infrastrutture critiche. In risposta, il 20 ottobre 2004, la Commissione ha adottato una comunicazione relativa alla protezione delle infrastrutture critiche nella lotta contro il terrorismo, nella quale sono indicate le proposte per incrementare la prevenzione, la preparazione e la risposta a livello europeo in caso di attentati terroristici che coinvolgono le infrastrutture critiche.

(1) In June 2004 the European Council asked for the preparation of an overall strategy to protect critical infrastructures. In response, on 20 October 2004, the Commission adopted a Communication on critical infrastructure protection in the fight against terrorism which put forward suggestions as to what would enhance European prevention of, preparedness for and response to terrorist attacks involving critical infrastructures.

(2) Il 17 novembre 2005 la Commissione ha adottato un libro verde relativo a un programma europeo per la protezione delle infrastrutture critiche, nel quale si indicavano le politiche alternative da seguire concernenti sia l’elaborazione di tale programma sia la rete informativa di allerta delle infrastrutture critiche. Le risposte al libro verde hanno sottolineato il valore aggiunto di un quadro comunitario per la protezione delle infrastrutture critiche. È stata quindi riconosciuta la necessità di rafforzare la capacità di protezione delle infrastrutture critiche in Europa e di contribuire a ridurne la vulnerabilità, ed è stata sottolineata l’importanza dei principi chiave di sussidiarietà, proporzionalità e complementarità, nonché del dialogo con le parti interessate.

(2) On 17 November 2005 the Commission adopted a Green Paper on a European programme for critical infrastructure protection which provided policy options on the establishment of the programme and the Critical Infrastructure Warning Information Network. The responses received to the Green Paper emphasised the added value of a Community framework concerning critical infrastructure protection. The need to increase the critical infrastructure protection capability in Europe and to help reduce vulnerabilities concerning critical infrastructures was acknowledged. The importance of the key principles of subsidiarity, proportionality and complementarity, as well as of stakeholder dialogue was emphasised.

(3) Nel dicembre 2005 il Consiglio "Giustizia e affari interni" ha invitato la Commissione a presentare una proposta sul programma europeo per la protezione delle infrastrutture critiche (European Programme for Critical Infrastructure Protection, "EPCIP"), stabilendo che questo dovrebbe basarsi su un approccio multirischio che dia la priorità alla lotta contro le minacce terroristiche. Nell’ambito di tale approccio, il processo di protezione delle infrastrutture critiche deve tenere conto delle minacce di origine umana e tecnologica e delle catastrofi naturali, ma deve dare la priorità alla minaccia terroristica.

(3) In December 2005 the Justice and Home Affairs Council called upon the Commission to make a proposal for a European programme for critical infrastructure protection ("EPCIP") and decided that it should be based on an all-hazards approach while countering threats from terrorism as a priority. Under this approach, man-made, technological threats and natural disasters should be taken into account in the critical infrastructure protection process, but the threat of terrorism should be given priority.

(4) Nell’aprile 2007 il Consiglio ha adottato conclusioni dell’EPCIP in cui ha ribadito che gli Stati membri sono i responsabili principali della gestione delle modalità di protezione delle infrastrutture critiche all’interno dei loro confini nazionali, accogliendo nel contempo favorevolmente gli sforzi compiuti dalla Commissione intesi a sviluppare una procedura europea per l’individuazione e la designazione delle infrastrutture critiche europee ("ECI") e la valutazione della necessità di migliorarne la protezione.

(4) In April 2007 the Council adopted conclusions on the EPCIP in which it reiterated that it was the ultimate responsibility of the Member States to manage arrangements for the protection of critical infrastructures within their national borders while welcoming the efforts of the Commission to develop a European procedure for the identification and designation of European critical infrastructures ("ECIs") and the assessment of the need to improve their protection.

(5) La presente direttiva costituisce il primo passo di approccio graduale inteso a individuare e designare ECI e a valutare la necessità di migliorarne la protezione. Tale direttiva si riferisce specificatamente ai settori dell’energia e dei trasporti, e dovrebbe essere rivista al fine di valutarne l’impatto e di esaminare la necessità di includere nel suo campo di applicazione altri settori, tra i quali anche quello delle tecnologie dell’informazione e della comunicazione ("ICT").

(5) This Directive constitutes a first step in a step-by-step approach to identify and designate ECIs and assess the need to improve their protection. As such, this Directive concentrates on the energy and transport sectors and should be reviewed with a view to assessing its impact and the need to include other sectors within its scope, inter alia, the information and communication technology ("ICT") sector.

(6) La responsabilità principale e definitiva della protezione delle ECI ricade sugli Stati membri e sui proprietari/operatori di tali infrastrutture.

(6) The primary and ultimate responsibility for protecting ECIs falls on the Member States and the owners/operators of such infrastructures.

(7) Vi sono nella Comunità infrastrutture critiche la cui distruzione o il cui danneggiamento avrebbe un significativo impatto transfrontaliero. Ciò può includere effetti intersettoriali transfrontalieri derivanti da interdipendenze fra infrastrutture interconnesse. È opportuno che tali ECI siano individuate e designate come tali attraverso una comune procedura. La valutazione dei requisiti di sicurezza per tali infrastrutture dovrebbe essere effettuata in base ad un approccio minimo comune. Gli schemi di cooperazione bilaterale fra Stati membri nel settore della protezione delle infrastrutture critiche costituiscono un modo consolidato ed efficace di tutelare le infrastrutture critiche transfrontaliere. L’EPCIP dovrebbe basarsi su tali forme di cooperazione. Le informazioni concernenti la designazione di una determinata infrastruttura come ECI dovrebbero essere classificate a un livello appropriato conformemente alla normativa comunitaria e nazionale in vigore.

(7) There are a certain number of critical infrastructures in the Community, the disruption or destruction of which would have significant cross-border impacts. This may include transboundary cross-sector effects resulting from interdependencies between interconnected infrastructures. Such ECIs should be identified and designated by means of a common procedure. The evaluation of security requirements for such infrastructures should be done under a common minimum approach. Bilateral schemes for cooperation between Member States in the field of critical infrastructure protection constitute a well-established and efficient means of dealing with transboundary critical infrastructures. EPCIP should build on such cooperation. Information pertaining to the designation of a particular infrastructure as an ECI should be classified at an appropriate level in accordance with existing Community and Member State legislation.

(8) Poiché vari settori hanno un’esperienza, una competenza e requisiti particolari in materia di protezione delle infrastrutture critiche, occorre sviluppare e attuare un approccio comunitario che tenga conto delle specificità settoriali e delle misure settoriali esistenti, segnatamente quelle già esistenti a livello comunitario, nazionale e regionale, e, se del caso, degli accordi transfrontalieri di assistenza reciproca già esistenti fra proprietari/operatori di infrastrutture critiche. Data l’enorme implicazione del settore privato nella sorveglianza e nella gestione dei rischi, nei piani di continuità dell’attività e nel recupero post catastrofe, l’approccio comunitario deve incoraggiare la piena partecipazione di tale settore.

(8) Since various sectors have particular experience, expertise and requirements concerning critical infrastructure protection, a Community approach to critical infrastructure protection should be developed and implemented taking into account sector specificities and existing sector based measures including those already existing at Community, national or regional level, and where relevant cross-border mutual aid agreements between owners/operators of critical infrastructures already in place. Given the very significant private sector involvement in overseeing and managing risks, business continuity planning and post-disaster recovery, a Community approach needs to encourage full private sector involvement.

(9) In riferimento al settore energetico e, in particolare, ai metodi di produzione e trasmissione di energia elettrica (per quanto riguarda la fornitura di energia elettrica), è inteso che, se ritenuto opportuno, la produzione di energia elettrica può includere le componenti delle centrali nucleari destinate alla trasmissione di energia elettrica ma non gli elementi specificamente nucleari soggetti alla pertinente normativa in materia nucleare, compresi i trattati e il diritto comunitario.

(9) In terms of the energy sector and in particular the methods of electricity generation and transmission (in respect of supply of electricity), it is understood that where deemed appropriate, electricity generation may include electricity transmission parts of nuclear power plants, but exclude the specifically nuclear elements covered by relevant nuclear legislation including treaties and Community law.

(10) La presente direttiva completa le misure settoriali esistenti a livello comunitario e a livello degli Stati membri. Qualora vi siano già dei meccanismi comunitari, essi devono continuare ad essere utilizzati per garantire l’attuazione globale della presente direttiva. È opportuno evitare doppioni o contraddizioni tra vari atti o disposizioni.

(10) This Directive complements existing sectoral measures at Community level and in the Member States. Where Community mechanisms are already in place, they should continue to be used and will contribute to the overall implementation of this Directive. Duplication of, or contradiction between, different acts or provisions should be avoided.

(11) Tutte le ECI designate come tali dovrebbero disporre di piani di sicurezza per gli operatori ("PSO") o di misure equivalenti, comprendenti l’individuazione delle strutture importanti, una valutazione dei rischi e l’individuazione, la selezione e la prioritarizzazione di contromisure e procedure. Al fine di evitare lavori inutili e doppioni, ogni Stato membro dovrebbe verificare in primo luogo se i proprietari/operatori delle ECI designate come tali dispongono di PSO o di misure simili. In mancanza di tali piani, ogni Stato membro dovrebbe prendere i provvedimenti necessari per assicurare l’adozione di misure appropriate. Spetta a ciascuno Stato membro decidere le modalità più indicate per l’elaborazione dei PSO.

(11) Operator security plans ("OSPs") or equivalent measures comprising an identification of important assets, a risk assessment and the identification, selection and prioritisation of counter measures and procedures should be in place in all designated ECIs. With a view to avoiding unnecessary work and duplication, each Member State should first assess whether the owners/operators of designated ECIs possess relevant OSPs or similar measures. Where such plans do not exist, each Member State should take the necessary steps to make sure that appropriate measures are put in place. It is up to each Member State to decide on the most appropriate form of action with regard to the establishment of OSPs.

(12) Le misure, i principi, le linee guida, comprese le misure comunitarie nonché gli schemi di cooperazione bilaterale e/o multilaterale, che prevedono un piano simile o equivalente a un PSO o che prevedono un funzionario di collegamento in materia di sicurezza o uno equivalente sono considerati conformi ai requisiti della presente direttiva concernenti rispettivamente il PSO o il funzionario di collegamento in materia di sicurezza.

(12) Measures, principles, guidelines, including Community measures as well as bilateral and/or multilateral cooperation schemes that provide for a plan similar or equivalent to an OSP or provide for a Security Liaison Officer or equivalent, should be deemed to satisfy the requirements of this Directive in relation to the OSP or the Security Liaison Officer respectively.

(13) Per tutte le ECI designate come tali dovrebbero essere nominati funzionari di collegamento in materia di sicurezza per facilitare la cooperazione e la comunicazione con le autorità nazionali competenti in materia di protezione delle infrastrutture critiche. Al fine di evitare lavori inutili e doppioni, ogni Stato membro dovrebbe verificare in primo luogo se i proprietari/operatori delle ECI designate come tali dispongono già di un funzionario di collegamento in materia di sicurezza o di uno equivalente. In mancanza di un funzionario di collegamento in materia di sicurezza, ogni Stato membro dovrebbe prendere i provvedimenti necessari per assicurare l’adozione di misure appropriate. Spetta a ciascuno Stato membro decidere le modalità più indicate per la nomina dei funzionari di collegamento in materia di sicurezza.

(13) Security Liaison Officers should be identified for all designated ECIs in order to facilitate cooperation and communication with relevant national critical infrastructure protection authorities. With a view to avoiding unnecessary work and duplication, each Member State should first assess whether the owners/operators of designated ECIs already possess a Security Liaison Officer or equivalent. Where such a Security Liaison Officer does not exist, each Member State should take the necessary steps to make sure that appropriate measures are put in place. It is up to each Member State to decide on the most appropriate form of action with regard to the designation of Security Liaison Officers.

(14) L’efficace individuazione dei rischi, delle minacce e delle vulnerabilità nei settori specifici richiede comunicazione sia fra i proprietari/gli operatori delle ECI e gli Stati membri, sia fra gli Stati membri e la Commissione. Occorre che ogni Stato membro raccolga informazioni sulle ECI situate nel suo territorio e che la Commissione riceva dagli Stati membri informazioni generali sui rischi, sulle minacce e sulle vulnerabilità in settori in cui sono state individuate le ECI e nel caso su eventuali miglioramenti delle infrastrutture critiche europee e dipendenze intersettoriali, che, se necessario, potrebbero costituire la base per l’elaborazione di proposte specifiche da parte della Commissione sul miglioramento della protezione delle ECI.

(14) The efficient identification of risks, threats and vulnerabilities in the particular sectors requires communication both between owners/operators of ECIs and the Member States, and between the Member States and the Commission. Each Member State should collect information concerning ECIs located within its territory. The Commission should receive generic information from the Member States concerning risks, threats and vulnerabilities in sectors where ECIs were identified, including where relevant information on possible improvements in the ECIs and cross-sector dependencies, which could be the basis for the development of specific proposals by the Commission on improving the protection of ECIs, where necessary.

(15) Per facilitare i miglioramenti nella protezione delle ECI si possono elaborare metodologie comuni di individuazione e classificazione dei rischi, delle minacce e delle vulnerabilità relativi agli elementi d’infrastruttura.

(15) In order to facilitate improvements in the protection of ECIs, common methodologies may be developed for the identification and classification of risks, threats and vulnerabilities to infrastructure assets.

(16) Ai proprietari/agli operatori delle ECI dovrebbe essere dato accesso, in primo luogo tramite le autorità competenti dello Stato membro, alle migliori prassi e metodologie per la protezione delle infrastrutture stesse.

(16) Owners/operators of ECIs should be given access primarily through relevant Member State authorities to best practices and methodologies concerning critical infrastructure protection.

(17) Un’efficace protezione delle ECI richiede comunicazione, coordinamento e cooperazione a livello nazionale e comunitario. Il miglior modo di realizzarli è la designazione in ogni Stato membro di punti di contatto per la protezione delle infrastrutture critiche europee ("punti di contatto PICE") incaricati di coordinare le questioni legate alla protezione delle infrastrutture critiche europee sia a livello interno che con gli altri Stati membri e la Commissione.

(17) Effective protection of ECIs requires communication, coordination, and cooperation at national and Community level. This is best achieved through the nomination of European critical infrastructure protection contact points ("ECIP contact points") in each Member State, who should coordinate European critical infrastructure protection issues internally, as well as with other Member States and the Commission.

(18) Per sviluppare le attività di protezione delle infrastrutture critiche europee in ambiti che richiedono un certo grado di riservatezza, è opportuno garantire uno scambio di informazioni coerente e sicuro nell’ambito della presente direttiva. È importante rispettare le norme di riservatezza ai sensi della legislazione nazionale vigente o del regolamento (CE) n. 1049/2001 del Parlamento europeo e del Consiglio, del 30 maggio 2001, relativo all’accesso del pubblico ai documenti del Parlamento europeo, del Consiglio e della Commissione [3], con riguardo a fatti specifici relativi ad elementi infrastrutturali critici che potrebbero essere usati per pianificare ed eseguire azioni con conseguenze inaccettabili per tali strutture. Le informazioni classificate dovrebbero essere protette conformemente alla normativa comunitaria e degli Stati membri in materia. Ciascuno Stato membro e la Commissione dovrebbero rispettare la classificazione di sicurezza pertinente dei documenti conferita dall’originatore del documento.

(18) In order to develop European critical infrastructure protection activities in areas which require a degree of confidentiality, it is appropriate to ensure a coherent and secure information exchange in the framework of this Directive. It is important that the rules of confidentiality according to applicable national law or Regulation (EC) No 1049/2001 of the European Parliament and of the Council of 30 May 2001 regarding public access to European Parliament, Council and Commission documents [3] are observed with regard to specific facts about critical infrastructure assets, which could be used to plan and act with a view to causing unacceptable consequences for critical infrastructure installations. Classified information should be protected in accordance with relevant Community and Member State legislation. Each Member State and the Commission should respect the relevant security classification given by the originator of a document.

(19) È opportuno che lo scambio di informazioni sulle ECI avvenga in un contesto di fiducia e sicurezza. La condivisione delle informazioni richiede un rapporto di fiducia tale che le imprese e le organizzazioni siano a conoscenza del fatto che i loro dati sensibili e riservati saranno sufficientemente protetti.

(19) Information sharing regarding ECIs should take place in an environment of trust and security. The sharing of information requires a relationship of trust such that companies and organisations know that their sensitive and confidential data will be sufficiently protected.

(20) Poiché gli obiettivi della presente direttiva, vale a dire l’introduzione di una procedura di individuazione e designazione delle ECI e di un approccio comune per la valutazione della necessità di migliorarne la protezione, non possono essere realizzati in misura sufficiente dagli Stati membri e possono dunque, a causa delle dimensioni dell’azione, essere realizzati meglio a livello comunitario, la Comunità può intervenire in base al principio di sussidiarietà sancito dall’articolo 5 del trattato. La presente direttiva si limita a quanto è necessario per conseguire tali obiettivi in ottemperanza al principio di proporzionalità enunciato nello stesso articolo.

(20) Since the objectives of this Directive, namely the creation of a procedure for the identification and designation of ECIs, and a common approach to the assessment of the need to improve the protection of such infrastructures, cannot be sufficiently achieved by the Member States and can therefore, by reason of the scale of the action, be better achieved at Community level, the Community may adopt measures in accordance with the principle of subsidiarity as set out in Article 5 of the Treaty. In accordance with the principle of proportionality, as set out in that Article, this Directive does not go beyond what is necessary in order to achieve those objectives.

(21) La presente direttiva rispetta i diritti fondamentali e osserva i principi sanciti in particolare dalla carta dei diritti fondamentali dell’Unione europea,

(21) This Directive respects the fundamental rights and observes the principles recognised in particular by the Charter of Fundamental Rights of the European Union,

HA ADOTTATO LA PRESENTE DIRETTIVA:

HAS ADOPTED THIS DIRECTIVE:

La presente direttiva stabilisce una procedura di individuazione e designazione delle infrastrutture critiche europee ("ECI"), e un approccio comune per la valutazione della necessità di migliorarne la protezione al fine di contribuire alla protezione delle persone.

This Directive establishes a procedure for the identification and designation of European critical infrastructures ("ECIs"), and a common approach to the assessment of the need to improve the protection of such infrastructures in order to contribute to the protection of people.

Ai fini della presente direttiva s’intende per:

For the purpose of this Directive:

a) "infrastruttura critica" un elemento, un sistema o parte di questo ubicato negli Stati membri che è essenziale per il mantenimento delle funzioni vitali della società, della salute, della sicurezza e del benessere economico e sociale dei cittadini ed il cui danneggiamento o la cui distruzione avrebbe un impatto significativo in uno Stato membro a causa dell’impossibilità di mantenere tali funzioni;

(a) "critical infrastructure" means an asset, system or part thereof located in Member States which is essential for the maintenance of vital societal functions, health, safety, security, economic or social well-being of people, and the disruption or destruction of which would have a significant impact in a Member State as a result of the failure to maintain those functions;

b) "infrastruttura critica europea" o "ECI" un’infrastruttura critica ubicata negli Stati membri il cui danneggiamento o la cui distruzione avrebbe un significativo impatto su almeno due Stati membri. La rilevanza dell’impatto è valutata in termini intersettoriali. Sono compresi gli effetti derivanti da dipendenze intersettoriali in relazione ad altri tipi di infrastrutture;

(b) "European critical infrastructure" or "ECI" means critical infrastructure located in Member States the disruption or destruction of which would have a significant impact on at least two Member States. The significance of the impact shall be assessed in terms of cross-cutting criteria. This includes effects resulting from cross-sector dependencies on other types of infrastructure;

c) "analisi dei rischi" la considerazione degli scenari di minaccia pertinenti, al fine di valutare la vulnerabilità e il potenziale impatto del danneggiamento o della distruzione dell’infrastruttura critica;

(c) "risk analysis" means consideration of relevant threat scenarios, in order to assess the vulnerability and the potential impact of disruption or destruction of critical infrastructure;

d) "informazioni sensibili relative alla protezione delle infrastrutture critiche" i fatti relativi a un’infrastruttura critica che, se divulgati, potrebbero essere usati per pianificare ed eseguire azioni tali da comportare il danneggiamento o la distruzione di installazioni di infrastrutture critiche;

(d) "sensitive critical infrastructure protection related information" means facts about a critical infrastructure, which if disclosed could be used to plan and act with a view to causing disruption or destruction of critical infrastructure installations;

e) "protezione" tutte le attività volte ad assicurare funzionalità, continuità e integrità delle infrastrutture critiche per evitare, mitigare e neutralizzare una minaccia, un rischio o una vulnerabilità;

(e) "protection" means all activities aimed at ensuring the functionality, continuity and integrity of critical infrastructures in order to deter, mitigate and neutralise a threat, risk or vulnerability;

f) "proprietari/operatori di ECI" i soggetti responsabili degli investimenti e/o del funzionamento quotidiano relativi ad a un elemento o a un sistema specifico, o parte di questo, designato ECI dalla presente direttiva.

(f) "owners/operators of ECIs" means those entities responsible for investments in, and/or day-to-day operation of, a particular asset, system or part thereof designated as an ECI under this Directive.

Individuazione delle ECI

Identification of ECIs

1. Ciascuno Stato membro individua, secondo la procedura di cui all’allegato III, potenziali ECI che soddisfano i criteri sia settoriali sia intersettoriali e rispondono alle definizioni di cui all’articolo 2, lettere a) e b).

1. Pursuant to the procedure provided in Annex III, each Member State shall identify potential ECIs which both satisfy the cross-cutting and sectoral criteria and meet the definitions set out in Article 2(a) and (b).

La Commissione può assistere gli Stati membri, su loro richiesta, nell’individuare potenziali ECI.

The Commission may assist Member States at their request to identify potential ECIs.

La Commissione può richiamare l’attenzione dei pertinenti Stati membri sull’esistenza di potenziali infrastrutture critiche che possono essere considerate conformi ai requisiti di designazione quali ECI.

The Commission may draw the attention of the relevant Member States to the existence of potential critical infrastructures which may be deemed to satisfy the requirements for designation as an ECI.

Gli Stati membri e la Commissione proseguono con continuità nel processo di individuazione di potenziali ECI.

Each Member State and the Commission shall continue on an ongoing basis the process of identifying potential ECIs.

2. I criteri intersettoriali di cui al paragrafo 1 comprendono:

2. The cross-cutting criteria referred to in paragraph 1 shall comprise the following:

a) il criterio del numero di vittime (valutato in termini di numero potenziale di morti e feriti);

(a) casualties criterion (assessed in terms of the potential number of fatalities or injuries);

b) il criterio delle conseguenze economiche (valutate in termini di entità delle perdite economiche e/o del deterioramento di prodotti o servizi, comprese le potenziali conseguenze ambientali);

(b) economic effects criterion (assessed in terms of the significance of economic loss and/or degradation of products or services; including potential environmental effects);

c) il criterio delle conseguenze per i cittadini (valutate in termini di impatto sulla fiducia dei cittadini, sofferenze fisiche e perturbazione della vita quotidiana, compresa la perdita di servizi essenziali).

(c) public effects criterion (assessed in terms of the impact on public confidence, physical suffering and disruption of daily life; including the loss of essential services).

Le soglie dei criteri intersettoriali sono basate sulla gravità delle conseguenze del danneggiamento o della distruzione di una determinata infrastruttura. Le soglie esatte applicabili ai criteri intersettoriali sono determinate caso per caso dagli Stati membri interessati da una determinata infrastruttura critica. Ciascuno Stato membro informa annualmente la Commissione del numero di infrastrutture per settore per le quali si sono tenute discussioni riguardanti le soglie dei criteri intersettoriali.

The cross-cutting criteria thresholds shall be based on the severity of the impact of the disruption or destruction of a particular infrastructure. The precise thresholds applicable to the cross-cutting criteria shall be determined on a case-by-case basis by the Member States concerned by a particular critical infrastructure. Each Member State shall inform the Commission on an annual basis of the number of infrastructures per sector for which discussions were held concerning the cross-cutting criteria thresholds.

I criteri settoriali tengono conto delle caratteristiche dei singoli settori delle ECI.

The sectoral criteria shall take into account the characteristics of individual ECI sectors.

La Commissione, in collaborazione con gli Stati membri, elabora linee guida per l’applicazione dei criteri intersettoriali e settoriali e fissa soglie approssimative da utilizzare per l’individuazione delle ECI. I criteri sono classificati. L’uso di tali linee guida è facoltativo per gli Stati membri.

The Commission together with the Member States shall develop guidelines for the application of the cross-cutting and sectoral criteria and approximate thresholds to be used to identify ECIs. The criteria shall be classified. The use of such guidelines shall be optional for the Member States.

3. I settori da prendere in considerazione ai fini dell’attuazione della presente direttiva sono i settori dell’energia e dei trasporti. I sottosettori sono indicati nell’allegato I.

3. The sectors to be used for the purposes of implementing this Directive shall be the energy and transport sectors. The subsectors are identified in Annex I.

Se ritenuto opportuno e congiuntamente al riesame della presente direttiva di cui all’articolo 11, possono essere individuati ulteriori settori da prendere in considerazione ai fini dell’attuazione della presente direttiva. In tale contesto occorre dare priorità al settore delle ICT.

If deemed appropriate and in conjunction with the review of this Directive as laid down in Article 11, subsequent sectors to be used for the purpose of implementing this Directive may be identified. Priority shall be given to the ICT sector.

Designazione delle ECI

1. Ciascuno Stato membro comunica agli altri Stati membri che possono essere interessati in modo significativo da una potenziale ECI qual è l’infrastruttura in questione e le ragioni per designarla come potenziale ECI.

1. Each Member State shall inform the other Member States which may be significantly affected by a potential ECI about its identity and the reasons for designating it as a potential ECI.

2. Ciascuno Stato membro nel cui territorio è ubicata una potenziale ECI avvia discussioni bilaterali e/o multilaterali con gli altri Stati membri che possono essere interessati in modo significativo dalla potenziale ECI. La Commissione può partecipare alle discussioni ma non ha accesso alle informazioni particolareggiate che permetterebbero di individuare inequivocabilmente una particolare infrastruttura.

2. Each Member State on whose territory a potential ECI is located shall engage in bilateral and/or multilateral discussions with the other Member States which may be significantly affected by the potential ECI. The Commission may participate in these discussions but shall not have access to detailed information which would allow for the unequivocal identification of a particular infrastructure.

Uno Stato membro che abbia motivo di ritenere di essere interessato in modo significativo dalla potenziale ECI, ma non sia ancora stato individuato come tale dallo Stato membro nel cui territorio è ubicata la potenziale ECI, può informare la Commissione del suo desiderio di avviare discussioni bilaterali e/o multilaterali sulla questione. La Commissione comunica senza indugio tale desiderio allo Stato membro nel cui territorio è ubicata la potenziale ECI e si adopera per facilitare l’accordo tra le parti.

A Member State that has reason to believe that it may be significantly affected by the potential ECI, but has not been identified as such by the Member State on whose territory the potential ECI is located, may inform the Commission about its wish to be engaged in bilateral and/or multilateral discussions on this issue. The Commission shall without delay communicate this wish to the Member State on whose territory the potential ECI is located and endeavour to facilitate agreement between the parties.

3. Lo Stato membro nel cui territorio è ubicata una potenziale ECI designa quest’ultima come tale in base a un accordo tra lo Stato membro stesso e gli Stati membri che possono essere interessati in modo significativo.

3. The Member State on whose territory a potential ECI is located shall designate it as an ECI following an agreement between that Member State and those Member States that may be significantly affected.

È necessario il consenso dello Stato membro nel cui territorio è ubicata l’infrastruttura che deve essere designata come ECI.

The acceptance of the Member State on whose territory the infrastructure to be designated as an ECI is located, shall be required.

4. Lo Stato membro nel cui territorio è ubicata una ECI designata come tale comunica annualmente alla Commissione il numero per settore delle ECI così designate e il numero di Stati membri che dipendono da ciascuna di queste ECI. Solo gli Stati membri che possono essere interessati in modo significativo da una ECI possono conoscerne la sua identità.

4. The Member State on whose territory a designated ECI is located shall inform the Commission on an annual basis of the number of designated ECIs per sector and of the number of Member States dependent on each designated ECI. Only those Member States that may be significantly affected by an ECI shall know its identity.

5. Lo Stato membro nel cui territorio è ubicata l’ECI informa il proprietario/l’operatore dell’infrastruttura della sua designazione come ECI. Le informazioni relative alla designazione di un’infrastruttura come ECI sono classificate ad un livello appropriato.

5. The Member States on whose territory an ECI is located shall inform the owner/operator of the infrastructure concerning its designation as an ECI. Information concerning the designation of an infrastructure as an ECI shall be classified at an appropriate level.

6. Il processo di individuazione e designazione delle infrastrutture critiche europee a norma dell’articolo 3 e del presente articolo è completato entro in 12 gennaio 2011 e periodicamente riesaminato.

6. The process of identifying and designating ECIs pursuant to Article 3 and this Article shall be completed by 12 January 2011 and reviewed on a regular basis.

Piani di sicurezza per gli operatori

Operator security plans

1. La procedura per il piano di sicurezza per gli operatori ("PSO") individua gli elementi della ECI e le soluzioni di sicurezza esistenti o in corso di attuazione per la loro protezione. Il contenuto minimo della procedura per un ECI PSO è definito nell’allegato II.

1. The operator security plan ("OSP") procedure shall identify the critical infrastructure assets of the ECI and which security solutions exist or are being implemented for their protection. The minimum content to be addressed by an ECI OSP procedure is set out in Annex II.

2. Ogni Stato membro valuta se ciascuna ECI designata come tale ubicata nel suo territorio dispone di un PSO oppure ha adottato misure equivalenti per affrontare le questioni di cui all’allegato II. Se uno Stato membro constata che tale PSO, o uno equivalente, esiste ed è periodicamente aggiornato, non sono necessarie azioni ulteriori.

2. Each Member State shall assess whether each designated ECI located on its territory possesses an OSP or has in place equivalent measures addressing the issues identified in Annex II. If a Member State finds that such an OSP or equivalent exists and is updated regularly, no further implementation action shall be necessary.

3. Se uno Stato membro constata che il PSO, o uno equivalente, non è stato approntato, adotta i provvedimenti che ritiene opportuni per accertarsi che tale PSO, o uno equivalente, sia predisposto per affrontare le questioni di cui all’allegato II.

3. If a Member State finds that such an OSP or equivalent has not been prepared, it shall ensure by any measures deemed appropriate, that the OSP or equivalent is prepared addressing the issues identified in Annex II.

Ciascuno Stato membro si accerta che il PSO o piano equivalente sia adottato e periodicamente riesaminato entro un anno dalla designazione dell’infrastruttura critica come ECI. Tale periodo può essere prorogato in circostanze eccezionali previo accordo con l’autorità dello Stato membro e notifica alla Commissione.

Each Member State shall ensure that the OSP or equivalent is in place and is reviewed regularly within one year following designation of the critical infrastructure as an ECI. This period may be extended in exceptional circumstances, by agreement with the Member State authority and with a notification to the Commission.

4. Il presente articolo non pregiudica eventuali disposizioni di vigilanza o controllo già vigenti riguardo a una ECI e l’autorità competente dello Stato membro menzionata nel presente articolo è l’autorità di vigilanza prevista da dette disposizioni.

4. In a case where supervisory or oversight arrangements already exist in relation to an ECI such arrangements are not affected by this Article and the relevant Member State authority referred to in this Article shall be the supervisor under those existing arrangements.

5. Si considera che l’osservanza di misure, comprese le misure comunitarie relative all’obbligo o all’esigenza di disporre in un particolare settore di un piano simile o equivalente al PSO e di effettuare un controllo di tale piano da parte dell’autorità competente, equivalga a soddisfare tutti i requisiti imposti agli Stati membri a norma del presente articolo o adottati in virtù di questo. Le linee guida per l’applicazione di cui all’articolo 3, paragrafo 2, contengono un elenco indicativo di tali misure.

5. Compliance with measures including Community measures which in a particular sector require, or refer to a need to have, a plan similar or equivalent to an OSP and oversight by the relevant authority of such a plan, is deemed to satisfy all the requirements of Member States under, or adopted pursuant to, this Article. The guidelines for application referred to in Article 3(2) shall contain an indicative list of such measures.

Funzionari di collegamento in materia di sicurezza

Security Liaison Officers

1. Il funzionario di collegamento in materia di sicurezza agisce come punto di contatto per le questioni di sicurezza fra il proprietario/l’operatore della ECI e l’autorità competente dello Stato membro.

1. The Security Liaison Officer shall function as the point of contact for security related issues between the owner/operator of the ECI and the relevant Member State authority.

2. Ciascuno Stato membro valuta se ogni ECI designata come tale ubicata nel suo territorio dispone di un funzionario di collegamento in materia di sicurezza o di uno equivalente. Se uno Stato membro constata che tale funzionario di collegamento in materia di sicurezza, o uno equivalente, esiste non sono necessarie ulteriori azioni.

2. Each Member State shall assess whether each designated ECI located on its territory possesses a Security Liaison Officer or equivalent. If a Member State finds that such a Security Liaison Officer is in place or an equivalent exists, no further implementation action shall be necessary.

3. Se uno Stato membro constata che non esiste un funzionario di collegamento in materia di sicurezza, o uno equivalente, per una ECI designata come tale, adotta i provvedimenti che ritiene opportuni per accertarsi che tale funzionario, o uno equivalente, sia nominato.

3. If a Member State finds that a Security Liaison Officer or equivalent does not exist in relation to a designated ECI, it shall ensure by any measures deemed appropriate, that such a Security Liaison Officer or equivalent is designated.

4. Ciascuno Stato membro mette in atto un idoneo meccanismo di comunicazione tra l’autorità nazionale competente e il funzionario di collegamento in materia di sicurezza, o uno equivalente, al fine di scambiare informazioni utili relative ai rischi e alle minacce individuati riguardo alla ECI interessata. Questo meccanismo di comunicazione non pregiudica i requisiti nazionali in materia di accesso alle informazioni sensibili e classificate.

4. Each Member State shall implement an appropriate communication mechanism between the relevant Member State authority and the Security Liaison Officer or equivalent with the objective of exchanging relevant information concerning identified risks and threats in relation to the ECI concerned. This communication mechanism shall be without prejudice to national requirements concerning access to sensitive and classified information.

5. Si considera che l’osservanza delle misure, comprese le misure comunitarie relative all’obbligo o all’esigenza di disporre in un particolare settore di un funzionario di collegamento in materia di sicurezza o di uno equivalente, equivalga a soddisfare tutti i requisiti imposti agli Stati membri dal presente articolo o adottati in virtù di questo. Le linee guida per l’applicazione di cui all’articolo 3, paragrafo 2, contengono un elenco indicativo di tali misure.

5. Compliance with measures including Community measures which in a particular sector require, or refer to a need to have, a Security Liaison Officer or equivalent, is deemed to satisfy all the requirements of Member States in, or adopted pursuant to, this Article. The guidelines for application referred to in Article 3(2) shall contain an indicative list of such measures.

1. Ciascuno Stato membro effettua una valutazione delle minacce in relazione ai sottosettori di infrastrutture critiche europee entro un anno dalla designazione dell’infrastruttura critica ubicata nel suo territorio come ECI nell’ambito di tali sottosettori.

1. Each Member State shall conduct a threat assessment in relation to ECI subsectors within one year following the designation of critical infrastructure on its territory as an ECI within those subsectors.

2. Ciascuno Stato membro comunica sinteticamente ogni due anni alla Commissione i dati generali sui tipi di rischi, minacce e vulnerabilità riscontrati per settore di ECI che conti una ECI designata ai sensi dell’articolo 4 e ubicata nel suo territorio.

2. Each Member State shall report every two years to the Commission generic data on a summary basis on the types of risks, threats and vulnerabilities encountered per ECI sector in which an ECI has been designated pursuant to Article 4 and is located on its territory.

La Commissione può predisporre un modello comune per tali comunicazioni, in cooperazione con gli Stati membri.

A common template for these reports may be developed by the Commission in cooperation with the Member States.

Ciascuna comunicazione è classificata al livello ritenuto necessario dallo Stato membro d’origine.

Each report shall be classified at an appropriate level as deemed necessary by the originating Member State.

3. In base alle comunicazioni di cui al paragrafo 2, la Commissione e gli Stati membri valutano su base settoriale l’eventualità di ulteriori misure di protezione a livello della Comunità per le ECI. Tale processo è effettuato congiuntamente al riesame della presente direttiva di cui all’articolo 11.

3. Based on the reports referred to in paragraph 2, the Commission and the Member States shall assess on a sectoral basis whether further protection measures at Community level should be considered for ECIs. This process shall be undertaken in conjunction with the review of this Directive as laid down in Article 11.

4. La Commissione può elaborare, in cooperazione con gli Stati membri, linee guida metodologiche comuni per la valutazione dei rischi in relazione alle ECI. L’uso di tali linee guida è facoltativo per gli Stati membri.

4. Common methodological guidelines for carrying out risk analyses in respect of ECIs may be developed by the Commission in cooperation with the Member States. The use of such guidelines shall be optional for the Member States.

Sostegno della Commissione alle ECI

Commission support for ECIs

La Commissione sostiene, tramite l’autorità competente dello Stato membro, i proprietari/gli operatori delle ECI designate come tali fornendo loro l’accesso alle migliori prassi e metodologie disponibili, nonché la formazione e lo scambio di informazioni sugli ultimi sviluppi tecnici in materia di protezione delle infrastrutture critiche.

The Commission shall support, through the relevant Member State authority, the owners/operators of designated ECIs by providing access to available best practices and methodologies as well as support training and the exchange of information on new technical developments related to critical infrastructure protection.

Informazioni sensibili relative alla protezione delle ECI

Sensitive European critical infrastructure protection-related information

1. Il personale addetto al trattamento di informazioni classificate in applicazione della presente direttiva per conto di uno Stato membro o della Commissione è soggetto a un’appropriata indagine di sicurezza.

1. Any person handling classified information pursuant to this Directive on behalf of a Member State or the Commission shall have an appropriate level of security vetting.

Gli Stati membri, la Commissione e gli organi di sorveglianza competenti garantiscono che le informazioni sensibili relative alla protezione delle infrastrutture critiche europee comunicate agli Stati membri o alla Commissione non siano usate per scopi diversi dalla protezione delle infrastrutture critiche.

Member States, the Commission and relevant supervisory bodies shall ensure that sensitive European critical infrastructure protection-related information submitted to the Member States or to the Commission is not used for any purpose other than the protection of critical infrastructures.

2. Il presente articolo si applica anche allo scambio di informazioni non scritte durante le riunioni in cui sono discussi temi sensibili.

2. This Article shall also apply to non-written information exchanged during meetings at which sensitive subjects are discussed.

Punti di contatto per la protezione delle infrastrutture critiche europee

European critical infrastructure protection contact points

1. Ciascuno Stato membro nomina un punto di contatto per la protezione delle infrastrutture critiche europee ("punto di contatto PICE").

1. Each Member State shall appoint a European critical infrastructure protection contact point ("ECIP contact point").

2. Il punto di contatto PICE coordina le questioni legate alla protezione delle infrastrutture critiche europee all’interno dello Stato membro, con gli altri Stati membri e con la Commissione. La nomina del punto di contatto PICE non esclude che altre autorità dello Stato membro siano coinvolte nelle questioni di protezione delle infrastrutture critiche europee.

2. ECIP contact points shall coordinate European critical infrastructure protection issues within the Member State, with other Member States and with the Commission. The appointment of an ECIP contact point does not preclude other authorities in a Member State from being involved in European critical infrastructure protection issues.

Un riesame della presente direttiva è avviato il 12 gennaio 2012.

A review of this Directive shall begin on 12 January 2012.

Gli Stati membri adottano le misure necessarie per conformarsi alla presente direttiva entro il 12 gennaio 2011. Essi comunicano immediatamente alla Commissione il testo di tali misure e la relativa corrispondenza con la presente direttiva.

Member States shall take the necessary measures to comply with this Directive by 12 January 2011. They shall forthwith inform the Commission thereof and communicate the text of those measures and their correlation with this Directive.

Quando gli Stati membri adottano tali disposizioni, queste contengono un riferimento alla presente direttiva o sono corredate di un siffatto riferimento all’atto della pubblicazione ufficiale. Le modalità di tale riferimento sono decise dagli Stati membri.

When they are adopted by Member States, these measures shall contain a reference to this Directive or shall be accompanied by such reference on the occasion of their official publication. The methods of making such reference shall be laid down by Member States.

La presente direttiva entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell’Unione europea.

This Directive shall enter into force on the 20th day following its publication in the Official Journal of the European Union.

Gli Stati membri sono destinatari della presente direttiva.

This Directive is addressed to the Member States.

Fatto a Bruxelles, addì 8 dicembre 2008.

Done at Brussels, 8 December 2008.

[1] Parere del 10 luglio 2007 (non ancora pubblicato nella Gazzetta ufficiale).

[1] Opinion of 10 July 2007 (not yet published in the Official Journal).

[2] GU C 116 del 26.5.2007, pag. 1.

[2] OJ C 116, 26.5.2007, p. 1.

[3] GU L 145 del 31.5.2001, pag. 43.

[3] OJ L 145, 31.5.2001, p. 43.

--------------------------------------------------

Elenco dei settori di ECI

Settore | Sottosettore |