Nuove tecnologie. L’UE istituisce una agenzia per la sicurezza delle reti e dell’informazione

REGOLAMENTO (CE) N. 460/2004 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 10 marzo 2004 che istituisce l’Agenzia europea per la sicurezza delle reti e dell’informazione (Testo rilevante ai fini del SEE)

Regolamento (CE) N. 460/2004 che istituisce l’Agenzia europea per la sicurezza delle reti e dell’informazione

IL PARLAMENTO EUROPEO E IL CONSIGLIO DELL’UNIONE EUROPEA,

visto il trattato che istituisce la Comunità europea, in particolare l’articolo 95 ,

vista la proposta della Commissione,

visto il parere del Comitato economico e sociale europeo , previa consultazione del Comitato delle regioni, deliberando secondo la procedura di cui all’articolo 251 del trattato ,

considerando quanto segue:

Le reti di comunicazione e i sistemi di informazione sono ormai fattori determinanti dello sviluppo economico e sociale. Computer e reti stanno diventando strumenti altrettanto comuni dell’acqua corrente o dell’energia elettrica. La sicurezza delle reti di comunicazione e dei sistemi di informazione, in particolare la loro disponibilità, diventa di conseguenza sempre più importante per la società anche a causa della possibilità che si presentino problemi nei sistemi chiave d’informazione a motivo della complessità del sistema, di incidenti, errori e attacchi che possono avere conseguenze sulle infrastrutture fisiche che forniscono servizi essenziali per il benessere dei cittadini dell’UE.

(2) Il numero crescente di violazioni della sicurezza ha già provocato notevoli danni economici, turbato la fiducia degli utenti e danneggiato lo sviluppo del commercio elettronico. Gli individui, le amministrazioni pubbliche e le imprese hanno reagito dotandosi di tecnologie e procedure di gestione relative alla sicurezza. Gli Stati membri hanno preso a loro volta numerose misure di sostegno per accrescere la sicurezza delle reti e dell’informazione nella società, come ad esempio campagne di informazione e progetti di ricerca.

(3) La complessità tecnica delle reti e dei sistemi di informazione, la varietà dei prodotti e servizi interconnessi e la moltitudine di soggetti pubblici e privati, ognuno dotato di responsabilità, rischiano di turbare il buon funzionamento del mercato interno.

(4) La direttiva 2002/21/CE del Parlamento europeo e del Consiglio, del 7 marzo 2002 [5], che istituisce un quadro normativo comune per le reti e i servizi di comunicazione elettronica (“direttiva quadro “) definisce le funzioni delle autorità nazionali di regolamentazione, che sono tenute tra l’altro a cooperare tra loro e con la Commissione in maniera trasparente per garantire lo sviluppo di prassi normative coerenti, a contribuire a garantire un livello elevato di protezione dei dati personali e della vita privata e a garantire il mantenimento dell’integrità e della sicurezza delle reti di comunicazione pubbliche.

(5) La normativa comunitaria attuale comprende altresì la direttiva 2002/20/CE [6], la direttiva 2002/22/CE [7], la direttiva 2002/19/CE [8], la direttiva 2002/58/CE [9], la direttiva 1999/93/CE [10], la direttiva 2000/31/CE [11], nonché la risoluzione del Consiglio del 18 febbraio 2003 [12] relativa all’attuazione del piano d’azione e-Europe 2005.

(6) La direttiva 2002/20/CE consente agli Stati membri di allegare all’autorizzazione generale condizioni relative alla sicurezza delle reti pubbliche contro l’accesso non autorizzato, conformemente alla direttiva 97/66/CE [13].

(7) La direttiva 2002/22/CE impone agli Stati membri di adottare le misure necessarie per garantire l’integrità e la disponibilità della rete telefonica pubblica in postazione fissa e alle imprese fornitrici di servizi telefonici accessibili al pubblico in postazione fissa di adottare tutte le misure ragionevolmente possibili per garantire l’accesso ininterrotto ai servizi di emergenza.

(8) La direttiva 2002/58/CE impone al fornitore di un servizio di comunicazione elettronica accessibile al pubblico di prendere appropriate misure tecniche e organizzative per salvaguardare la sicurezza dei suoi servizi e impone inoltre la riservatezza delle comunicazioni e dei relativi dati sul traffico. La direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995 [14], relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati fa obbligo agli Stati membri di disporre che il responsabile del trattamento attui misure tecniche e organizzative appropriate per proteggere i dati personali dalla distruzione accidentale o illecita, dalla perdita accidentale o dall’alterazione, dalla diffusione o dall’accesso non autorizzati, segnatamente quando il trattamento comporta la trasmissione di dati all’interno di una rete, o da qualsiasi altra forma illecita di trattamento di dati personali.

(9) La direttiva 2002/21/CE e la direttiva 1999/93/CE contengono disposizioni relative alla pubblicazione di determinate norme nella Gazzetta ufficiale dell’Unione europea. Gli Stati membri si servono anche di norme fissate da organismi internazionali, nonché di regole di fatto elaborate dall’industria mondiale del settore. È necessario che la Commissione e gli Stati membri siano in grado di individuare quali norme sono conformi alla legislazione comunitaria.

(10) Tali misure del mercato interno richiedono agli Stati membri e alla Commissione differenti soluzioni tecniche e organizzative. Si tratta di compiti tecnicamente complessi per i quali non esistono soluzioni univoche e ovvie. L’applicazione eterogenea di tali requisiti può portare a soluzioni inefficaci e creare ostacoli al mercato interno. Da questo sorge la necessità di istituire un centro di conoscenze a livello europeo che fornisca orientamenti, consulenza e, se richiesto, assistenza nell’ambito dei propri obiettivi, al quale possano rivolgersi il Parlamento europeo, la Commissione o gli organismi competenti nominati dagli Stati membri. Le autorità nazionali di regolamentazione designate ai sensi della direttiva 2002/21/CE possono essere designate da uno Stato membro in quanto organismi competenti.

(11) L’istituzione di un’agenzia europea, l’Agenzia europea per la sicurezza delle reti e dell’informazione (in prosieguo: “l’Agenzia “), che funga da punto di riferimento e crei un clima di fiducia grazie alla sua indipendenza, alla qualità della consulenza fornita e delle informazioni diffuse, alla trasparenza delle sue procedure e metodi di funzionamento e alla diligenza nello svolgere i compiti ad essa assegnati, rappresenterebbe una risposta a tali necessità. L’Agenzia dovrebbe basarsi sugli sforzi prodotti a livello nazionale e comunitario e svolgere pertanto i propri compiti in piena collaborazione con gli Stati membri mantenendo contatti con il settore e gli altri soggetti interessati. Poiché le reti elettroniche sono in larga misura private, l’Agenzia dovrebbe avvalersi delle informazioni del settore privato e cooperare con esso.

(12) L’assolvimento dei compiti dell’Agenzia non dovrebbe interferire con le competenze né costituire pregiudizio, ostacolo o sovrapposizione alle pertinenti competenze e mansioni assegnate:

– alle autorità di regolamentazione nazionali di cui alle direttive riguardanti le reti e i servizi di comunicazione elettronica nonché ai regolatori europei per le reti e i servizi di comunicazione elettronica istituiti dalla decisione 2002/627/CE della Commissione [15], e al comitato per le comunicazioni di cui alla direttiva 2002/21/CE,

– agli enti di normalizzazione europei, agli enti di normalizzazione nazionali e al comitato permanente di cui alla direttiva 98/34/CE del Parlamento europeo e del Consiglio, del 22 giugno 1998 [16], che prevede una procedura d’informazione nel settore delle norme e delle regolamentazioni tecniche e delle regole relative ai servizi della società dell’informazione,

– alle autorità di vigilanza degli Stati membri nel settore della protezione delle persone per quanto riguarda il trattamento dei dati personali e la libera circolazione di tali dati.

(13) Per comprendere meglio le sfide nel settore della sicurezza delle reti e dell’informazione, è necessario che l’Agenzia analizzi i rischi attuali ed emergenti e che a tale scopo essa abbia la possibilità di raccogliere le informazioni appropriate, in particolare tramite questionari, senza imporre nuovi obblighi al settore privato o agli Stati membri di produrre dati. I rischi emergenti dovrebbero essere intesi come questioni che possono già configurare un possibile rischio futuro per la sicurezza delle reti e dell’informazione.

(14) Affinché gli individui, le imprese e le amministrazioni pubbliche abbiano fiducia nelle reti e nei sistemi di informazione è necessario che siano adeguatamente informati, istruiti e formati nel settore della sicurezza delle reti e dell’informazione (TI). Le autorità pubbliche hanno un ruolo da svolgere nell’azione di sensibilizzazione, informando il pubblico, le piccole e medie imprese, le grandi società, le amministrazioni pubbliche, le scuole e le università. Tali misure dovrebbero essere ulteriormente potenziate. Uno scambio più intenso di informazioni tra gli Stati membri favorirà queste azioni di sensibilizzazione. L’Agenzia dovrebbe esprimere pareri sulle migliori prassi ai fini della sensibilizzazione, della formazione e dell’apprendimento.

(15) L’Agenzia dovrebbe avere il compito di contribuire ad assicurare un elevato livello di sicurezza delle reti e dell’informazione nella Comunità e a sviluppare una cultura in materia di sicurezza delle reti e dell’informazione a vantaggio dei cittadini, dei consumatori, delle imprese e delle organizzazioni del settore pubblico nell’Unione europea, contribuendo in tal modo al buon funzionamento del mercato interno.

(16) Strategie efficaci in materia di sicurezza dovrebbero essere basate su buoni metodi di valutazione dei rischi, sia nel settore pubblico che in quello privato. Sono utilizzati metodi e procedure a diversi livelli, senza una prassi comune per un’applicazione efficace. La promozione e lo sviluppo delle migliori prassi per la valutazione dei rischi e per soluzioni interoperabili per la loro gestione all’interno delle organizzazioni del settore pubblico e privato aumenteranno il livello di sicurezza delle reti e dei sistemi di informazione in Europa.

(17) È opportuno che nell’assolvimento dei propri compiti l’Agenzia si avvalga delle attività di ricerca, sviluppo e valutazione tecnologica già in atto, in particolare quelle condotte dalle varie iniziative di ricerca della Comunità.

(18) Ove indicato e utile per il conseguimento delle proprie finalità, obiettivi e compiti, l’Agenzia potrebbe condividere esperienze e informazioni generali con gli organismi e le agenzie istituiti ai sensi del diritto dell’Unione europea che si occupano della sicurezza delle reti e dell’informazione.

(19) I problemi di sicurezza delle reti e dell’informazione sono questioni globali. Occorre una maggiore cooperazione a livello mondiale per migliorare le norme di sicurezza, migliorare l’informazione e promuovere un approccio globale comune alle questioni legate alla sicurezza delle reti e dell’informazione, contribuendo in tal modo allo sviluppo di una cultura in materia di sicurezza delle reti e dell’informazione. Una cooperazione efficace con i paesi terzi e con la comunità mondiale è ormai un dovere anche a livello europeo. A tal fine l’Agenzia dovrebbe contribuire agli sforzi comunitari in materia di cooperazione con i paesi terzi e, se del caso, con organizzazioni internazionali.

(20) Nello svolgimento delle sue attività, l’Agenzia dovrebbe prestare attenzione alle piccole e medie imprese.

(21) Per assicurare efficacemente l’espletamento dei compiti dell’Agenzia, gli Stati membri e la Commissione dovrebbero essere rappresentati in un consiglio di amministrazione dotato dei necessari poteri di stabilire il bilancio, verificarne l’esecuzione, adottare le regole finanziarie necessarie, istituire procedure di lavoro trasparenti per l’adozione delle decisioni dell’Agenzia, approvarne il programma di lavoro, adottare il proprio regolamento interno e quello dell’Agenzia, nominare e revocare il direttore esecutivo. Il consiglio di amministrazione dovrebbe garantire che l’Agenzia svolga le proprie funzioni secondo modalità che le consentano di agire ai sensi del presente regolamento.

(22) Sarebbe opportuno istituire un gruppo permanente di parti interessate, che mantenga un dialogo regolare con il settore privato, le organizzazioni di difesa dei consumatori e altri soggetti interessati. Il gruppo permanente di parti interessate, istituito e presieduto dal direttore esecutivo, dovrebbe concentrarsi sulle questioni rilevanti per tutti i soggetti interessati e sottoporle all’attenzione del direttore esecutivo. Quest’ultimo può, ove opportuno e in funzione dell’ordine del giorno delle riunioni, invitare rappresentanti del Parlamento europeo e di altri organi competenti a partecipare alle riunioni del gruppo.

(23) Il buon funzionamento dell’Agenzia esige che il direttore esecutivo sia nominato in base ai meriti e alla comprovata esperienza amministrativa e manageriale nonché alla competenza e all’esperienza acquisita in materia di sicurezza delle reti e dell’informazione e svolga le proprie funzioni relativamente all’organizzazione e al funzionamento interno dell’Agenzia in completa indipendenza e flessibilità. A tale scopo, il direttore esecutivo dovrebbe elaborare il programma di lavoro dell’Agenzia, previa consultazione della Commissione e del gruppo permanente di parti interessate, e adottare tutte le misure necessarie per assicurare la buona esecuzione del programma di lavoro dell’Agenzia, predisporre ogni anno un progetto di relazione generale da presentare al consiglio di amministrazione, fornire un progetto di stato di previsione delle entrate e delle spese dell’Agenzia e dare esecuzione al bilancio.

(24) Il direttore esecutivo dovrebbe avere la possibilità di istituire gruppi di lavoro ad hoc per trattare, in particolare, argomenti scientifici e tecnici. Nel creare i gruppi di lavoro ad hoc, il direttore esecutivo dovrebbe ottenere contributi dal settore privato e avvalersi della sua perizia al riguardo. I gruppi di lavoro ad hoc dovrebbero consentire all’Agenzia di accedere alle informazioni più aggiornate disponibili per poter rispondere alle sfide nel settore della sicurezza poste dallo sviluppo della società dell’informazione. L’Agenzia dovrebbe garantire che i suoi gruppi di lavoro ad hoc siano competenti e rappresentativi e che comprendano, come opportuno secondo la specificità della materia, rappresentanti delle pubbliche amministrazioni degli Stati membri, del settore privato comprese le industrie, degli utenti e degli esperti universitari in materia di sicurezza delle reti e dell’informazione. L’Agenzia può, se necessario, inserire nei gruppi di lavoro ad hoc esperti indipendenti di comprovata competenza nel settore interessato. Gli esperti che partecipano ai gruppi di lavoro ad hoc organizzati dall’Agenzia non dovrebbero appartenere al personale dell’Agenzia. Le loro spese dovrebbero essere sostenute dall’Agenzia a norma del suo regolamento interno e conformemente al regolamento finanziario esistente.

(25) L’Agenzia dovrebbe applicare la legislazione comunitaria pertinente in materia di accesso del pubblico ai documenti quale definita dal regolamento (CE) n. 1049/2001 [17] e di tutela delle persone fisiche in relazione al trattamento dei dati personali quale definita dal regolamento (CE) n. 45/2001 [18].

(26) Nell’ambito della sua sfera d’azione e dei suoi obiettivi e nell’assolvimento dei suoi compiti, l’Agenzia si dovrebbe conformare in particolare alle disposizioni applicabili alle istituzioni comunitarie e alla legislazione nazionale in materia di documenti sensibili.

(27) Per garantire all’Agenzia piena autonomia e indipendenza, si ritiene necessario dotarla di un bilancio autonomo le cui entrate siano essenzialmente costituite da contributi della Comunità. La procedura comunitaria di bilancio resta tuttavia applicabile a qualsiasi sovvenzione a carico del bilancio generale delle Unione europea.

Inoltre la revisione contabile dovrebbe essere svolta dalla Corte dei conti.

(28) Laddove necessario e sulla base di accordi da concludere, l’Agenzia può avere accesso ai servizi di interpretazione forniti dal Servizio comune “Interpretazione conferenze ” (SCIC) della Commissione oppure ai servizi di interpretazione di altre istituzioni comunitarie.

(29) L’Agenzia dovrebbe essere inizialmente istituita per un periodo limitato e il suo operato dovrebbe essere valutato per determinare se estendere la durata del suo mandato,

HANNO ADOTTATO IL PRESENTE REGOLAMENTO:

SEZIONE 1

AMBITO D’APPLICAZIONE, OBIETTIVI E COMPITI

Articolo 1

Ambito di applicazione

1. Al fine di assicurare un alto ed efficace livello di sicurezza delle reti e dell’informazione nell’ambito della Comunità e di sviluppare una cultura in materia di sicurezza delle reti e dell’informazione a vantaggio dei cittadini, dei consumatori, delle imprese e delle organizzazioni del settore pubblico dell’Unione europea, contribuendo in tal modo al buon funzionamento del mercato interno, è istituita un’Agenzia europea per la sicurezza delle reti e dell’informazione, in prosieguo denominata “l’Agenzia”.

2. L’Agenzia assiste la Commissione e gli Stati membri, e di conseguenza collabora con la comunità degli operatori economici, al fine di aiutarli a soddisfare i requisiti di sicurezza delle reti e dell’informazione, assicurando in tal modo il buon funzionamento del mercato interno, compresi quelli previsti dalla normativa comunitaria attuale e futura, quale la direttiva 2002/21/CE.

3. Gli obiettivi e i compiti dell’Agenzia lasciano impregiudicate le competenze degli Stati membri per quanto riguarda la sicurezza delle reti e dell’informazione che esulano dall’ambito di applicazione del trattato CE, come quelle contemplate dai titoli V e VI del trattato sull’Unione europea [19], e comunque le attività nel settore della pubblica sicurezza, della difesa, della sicurezza dello Stato (compreso il benessere economico dello Stato laddove le questioni riguardano problemi attinenti alla sicurezza dello Stato) e le attività dello Stato nell’ambito del diritto penale.

Articolo 2

Obiettivi

1. L’Agenzia accresce la capacità della Comunità e degli Stati membri e, di conseguenza, della comunità degli operatori economici di prevenire e affrontare i problemi di sicurezza delle reti e dell’informazione e di reagirvi.

2. L’Agenzia fornisce assistenza e consulenza alla Commissione e agli Stati membri su questioni connesse con la sicurezza delle reti e dell’informazione che rientrano nelle sue competenze come previsto dal presente regolamento.

3. Sulla base degli sforzi compiuti a livello nazionale e comunitario l’Agenzia sviluppa un alto livello di competenze.

Essa si serve di tali competenze per stimolare un’ampia cooperazione tra attori dei settori pubblico e privato.

4. L’Agenzia assiste la Commissione, su richiesta, nei lavori tecnici preparatori intesi ad aggiornare e sviluppare la normativa comunitaria nel settore della sicurezza delle reti e dell’informazione.

Articolo 3

Compiti

Per assicurare che siano rispettati l’ambito di applicazione e gli obiettivi di cui agli articoli 1 e 2, l’Agenzia svolge i seguenti compiti:

a) raccogliere le informazioni appropriate per analizzare rischi attuali ed emergenti e, in particolare a livello europeo, quelli che potrebbero avere un impatto sul buon funzionamento e sulla disponibilità di reti elettroniche di comunicazione e l’autenticità, integrità e riservatezza delle informazioni accessibili e da esse trasmesse, nonché fornire i risultati delle analisi agli Stati membri e alla Commissione;

b) fornire consulenza e, su richiesta e nell’ambito dei suoi obiettivi, assistenza al Parlamento europeo, alla Commissione, agli organismi comunitari o ad organismi nazionali competenti designati dagli Stati membri;

c) migliorare la cooperazione tra i diversi soggetti che operano nel settore della sicurezza delle reti e dell’informazione, tra l’altro organizzando periodicamente consultazioni con l’industria, le università nonché con altri settori interessati e creando reti di contatto per gli organismi comunitari, gli enti pubblici designati dagli Stati membri, gli enti privati e le organizzazioni di consumatori;

d) agevolare la cooperazione tra la Commissione e gli Stati membri nell’elaborazione di metodologie comuni al fine di prevenire, affrontare e risolvere problemi attinenti alla sicurezza delle reti e dell’informazione;

e) contribuire a sensibilizzare il pubblico e a mettere tempestivamente a disposizione di tutti gli utenti informazioni obiettive e complete sui temi legati alla sicurezza delle reti e dell’informazione, promuovendo tra l’altro scambi di migliori prassi attuali, anche per quanto riguarda i metodi di allertamento degli utenti, e ricercando una sinergia tra le iniziative del settore pubblico e privato;

f) assistere la Commissione e gli Stati membri nel loro dialogo con l’industria al fine di affrontare i problemi di sicurezza nei prodotti hardware e software;

g) seguire l’evoluzione delle norme sulla sicurezza delle reti e dell’informazione per prodotti e servizi;

h) consigliare la Commissione sulla ricerca nel settore della sicurezza delle reti e dell’informazione così come sull’uso efficace delle tecnologie di prevenzione dei rischi;

i) promuovere attività di valutazione dei rischi, soluzioni interoperabili per la loro gestione e studi sulle soluzioni per una gestione della prevenzione all’interno delle organizzazioni del settore pubblico e privato;

j) contribuire agli sforzi comunitari in materia di cooperazione con i paesi terzi e, se del caso, con organizzazioni internazionali al fine di promuovere un approccio globale comune alle questioni legate alla sicurezza delle reti e dell’informazione, contribuendo in tal modo allo sviluppo di una cultura in materia di sicurezza delle reti e dell’informazione;

k) formulare in modo indipendente conclusioni, orientamenti e consulenza su argomenti che rientrano nel suo ambito di applicazione e tra i suoi obiettivi.

Articolo 4

Definizioni

Ai fini del presente regolamento si applicano le seguenti definizioni:

a) “rete “: i sistemi di trasmissione e, se del caso, le apparecchiature di commutazione o di instradamento e altre risorse che consentono di trasportare segnali con mezzi a filo, radio, ottici o altri mezzi elettromagnetici, comprese le reti satellitari, le reti terrestri fisse (a commutazione di circuito e a commutazione di pacchetto compresa Internet) e mobili, i sistemi di cavi elettrici, nella misura in cui sono utilizzati per la trasmissione di segnali, le reti utilizzate per la diffusione circolare dei programmi radiofonici e televisivi, e le reti televisive via cavo, indipendentemente dal tipo di informazione trasportato;

b) “sistema d’informazione “: i computer e le reti di comunicazione elettronica, nonché i dati elettronici da loro conservati, trattati, recuperati o trasmessi per il loro funzionamento, uso, protezione e manutenzione;

c) “sicurezza delle reti e dell’informazione “: la capacità di una rete o di un sistema d’informazione di resistere, ad un determinato livello di riservatezza, ad eventi imprevisti o atti illeciti o dolosi che compromettano la disponibilità, l’autenticità, l’integrità e la riservatezza dei dati conservati o trasmessi e dei relativi servizi forniti o accessibili tramite tale rete o sistema;

d) “disponibilità “: l’accessibilità dei dati e l’operatività dei servizi;

e) “autenticazione “: la conferma dell’identità dichiarata di un’entità o un utente;

f) “integrità dei dati “: la conferma che i dati trasmessi, ricevuti o conservati sono completi e inalterati;

g) “riservatezza dei dati “: la protezione delle comunicazioni o dei dati conservati per evitarne l’intercettazione e la lettura da parte di persone non autorizzate;

h) “rischio “: una funzione della probabilità che una debolezza del sistema metta in pericolo l’autenticazione o la disponibilità, l’autenticità, l’integrità o la riservatezza dei dati trattati o trasmessi e la gravità dell’effetto nocivo, conseguente all’uso intenzionale o non intenzionale di tale debolezza;

i) “valutazione del rischio “: un processo su base scientifica e tecnologica in quattro fasi: individuazione delle minacce, caratterizzazione delle minacce, valutazione dell’esposizione e caratterizzazione del rischio;

j) “gestione del rischio “: il processo, distinto dalla valutazione del rischio, che consiste nell’esaminare alternative di intervento in consultazione con le parti interessate, prendere in considerazione la valutazione del rischio e altri fattori pertinenti e, se necessario, operare adeguate scelte di prevenzione e di controllo;

k) “cultura della sicurezza delle reti e dell’informazione “: intesa nel senso di cui agli orientamenti dell’OCSE [20] per la sicurezza dei sistemi e delle reti di informazione del 25 luglio 2002 e alla risoluzione del Consiglio del 18 febbraio 2003 [21] su un approccio europeo per una cultura della sicurezza delle reti e dell’informazione.

SEZIONE 2

ORGANIZZAZIONE

Articolo 5

Organi dell’Agenzia

L’Agenzia comprende:

a) un consiglio di amministrazione;

b) un direttore esecutivo; e

c) un gruppo permanente di parti interessate.

Articolo 6

Consiglio di amministrazione

1. Il consiglio di amministrazione si compone di un rappresentante per ciascuno Stato membro, tre rappresentanti nominati dalla Commissione, nonché tre rappresentanti privi del diritto di voto, designati dalla Commissione e nominati dal Consiglio, ciascuno dei quali in rappresentanza di uno dei seguenti gruppi:

a) industria della tecnologia dell’informazione e della comunicazione;

b) gruppi di consumatori;

c) esperti universitari in materia di sicurezza delle reti e dell’informazione.

2. I membri del consiglio di amministrazione sono nominati in base al grado di esperienza e perizia appropriate nel settore della sicurezza delle reti e dell’informazione. I rappresentanti possono farsi rappresentare da sostituti, nominati contestualmente.

3. Il consiglio di amministrazione elegge tra i propri membri un presidente e un vicepresidente con mandato di due anni e mezzo, rinnovabile. Il vicepresidente sostituisce ex officio il presidente nel caso in cui quest’ultimo non sia in grado di svolgere i propri compiti.

4. Il consiglio di amministrazione adotta il proprio regolamento interno sulla base di una proposta della Commissione.

Salvo altrimenti disposto, il consiglio di amministrazione delibera a maggioranza dei suoi membri aventi diritto di voto.

La maggioranza di due terzi di tutti i membri aventi diritto di voto è necessaria per l’adozione del regolamento interno del consiglio di amministrazione, del regolamento interno dell’Agenzia, del bilancio, del programma di lavoro annuale e per la nomina e revoca del direttore esecutivo.

5. Le riunioni del consiglio di amministrazione sono convocate dal presidente. Il consiglio di amministrazione si riunisce in seduta ordinaria due volte l’anno. Si riunisce inoltre in seduta straordinaria su convocazione del presidente o su richiesta di almeno un terzo dei suoi membri aventi diritto di voto. Il direttore esecutivo partecipa senza diritto di voto alle riunioni del consiglio di amministrazione, e provvede alle attività di segretariato.

6. Il consiglio di amministrazione adotta il regolamento interno dell’Agenzia sulla base di una proposta della Commissione. Tale regolamento è reso pubblico.

7. Il consiglio di amministrazione definisce gli orientamenti generali del funzionamento dell’Agenzia. Esso assicura che l’Agenzia operi secondo i principi di cui agli articoli da 12 a 14 e 23. Assicura inoltre la coerenza del lavoro dell’Agenzia con le attività svolte dagli Stati membri nonché a livello comunitario.

8. Anteriormente al 30 novembre di ogni anno il consiglio di amministrazione, dopo aver avuto il parere della Commissione, adotta il programma di lavoro dell’Agenzia per l’anno successivo. Esso provvede a che tale programma sia coerente con il campo di attività, gli obiettivi e i compiti dell’Agenzia nonché con le priorità legislative e strategiche della Comunità nel campo della sicurezza delle reti e dell’informazione.

9. Anteriormente al 31 marzo di ogni anno il consiglio di amministrazione adotta la relazione generale sulle attività dell’Agenzia per l’anno precedente.

10. Il regolamento finanziario applicabile all’Agenzia è adottato dal consiglio di amministrazione previa consultazione della Commissione. Può discostarsi dal regolamento (CE, Euratom) n. 2343/2002 della Commissione, del 19 novembre 2002, che reca regolamento finanziario quadro degli organismi di cui all’articolo 185 del regolamento (CE, Euratom) n. 1605/2002 del Consiglio [22] che stabilisce il regolamento finanziario applicabile al bilancio generale delle Comunità europee soltanto se lo impongano esigenze specifiche di funzionamento dell’Agenzia e previo accordo della Commissione.

Articolo 7

Direttore esecutivo

1. L’Agenzia è diretta dal suo direttore esecutivo che è indipendente nell’espletamento delle sue funzioni.

2. Il direttore esecutivo è nominato dal consiglio di amministrazione che attinge a un elenco di candidati proposto dalla Commissione a seguito di un concorso pubblico, bandito mediante pubblicazione di un invito a manifestare interesse nella Gazzetta ufficiale dell’Unione europea e su altri organi d’informazione. Il direttore esecutivo viene nominato in base ai meriti e alla comprovata perizia amministrativa e manageriale nonché alla competenza e all’esperienza acquisita in materia di sicurezza delle reti e dell’informazione. Prima della nomina il candidato selezionato dal consiglio di amministrazione è invitato a comparire senza indugio davanti al Parlamento europeo per fare una dichiarazione e rispondere ai quesiti sollevati dai membri di tale istituzione. Il Parlamento europeo e il Consiglio possono inoltre chiedere in qualunque momento al direttore esecutivo di riferire su un aspetto qualsivoglia delle attività dell’Agenzia. Il direttore esecutivo può essere sollevato dall’incarico dal consiglio di amministrazione.

3. Il mandato del direttore esecutivo dura fino a cinque anni.

4. Il direttore esecutivo è incaricato di quanto segue:

a) provvedere al disbrigo degli affari correnti dell’Agenzia;

b) elaborare la proposta relativa ai programmi di lavoro dell’Agenzia previa consultazione della Commissione e del gruppo permanente di parti interessate;

c) attuare i programmi di lavoro e le decisioni del consiglio di amministrazione;

d) assicurare che l’Agenzia svolga i propri compiti secondo le esigenze di coloro che fruiscono dei suoi servizi, con particolare riguardo all’adeguatezza dei servizi forniti;

e) preparare il progetto di stato di previsione delle entrate e delle spese e dare esecuzione al bilancio dell’Agenzia;

f) gestire tutte le questioni relative al personale;

g) sviluppare e mantenere i contatti con il Parlamento europeo e assicurare un dialogo regolare con le sue commissioni competenti;

h) sviluppare e mantenere i contatti con le imprese e le organizzazioni dei consumatori per assicurare un dialogo regolare con le parti interessate;

i) presiedere il gruppo permanente di parti interessate.

5. Ogni anno il direttore esecutivo sottopone all’approvazione del consiglio di amministrazione:

a) un progetto di relazione generale riguardante tutte le attività svolte dall’Agenzia nel corso dell’anno precedente;

b) un progetto di programma di lavoro.

6. Il direttore esecutivo, previa adozione in sede di consiglio di amministrazione, trasmette il programma di lavoro al Parlamento europeo, al Consiglio, alla Commissione e agli Stati membri e ne dispone la pubblicazione.

7. Il direttore esecutivo, previa adozione in sede di consiglio di amministrazione, trasmette la relazione generale dell’Agenzia al Parlamento europeo, al Consiglio, alla Commissione, alla Corte dei conti, al Comitato economico e sociale europeo e al Comitato delle regioni e ne dispone la pubblicazione.

8. Se necessario e nell’ambito della sfera di attività, degli obiettivi e dei compiti dell’Agenzia, il direttore esecutivo può istituire in consultazione con il gruppo permanente di parti interessate gruppi di lavoro ad hoc composti da esperti. Il consiglio di amministrazione ne è debitamente informato. Le procedure relative in particolare alla composizione, alla nomina degli esperti da parte del direttore esecutivo e al lavoro dei gruppi di lavoro ad hoc vengono specificate nel regolamento interno dell’Agenzia.

Una volta costituiti, i gruppi di lavoro ad hoc si occupano in particolare di questioni scientifiche e tecniche.

I membri del consiglio di amministrazione non possono far parte dei gruppi di lavoro ad hoc. I rappresentanti della Commissione sono autorizzati ad assistere alle riunioni dei suddetti gruppi.

Articolo 8

Gruppo permanente di parti interessate

1. Il direttore esecutivo istituisce un gruppo permanente di parti interessate composto da esperti che rappresentano dei soggetti interessati, quali l’industria delle tecnologie dell’informazione e della comunicazione, le organizzazioni dei consumatori e gli esperti universitari in materia di sicurezza delle reti e dell’informazione.

2. Le modalità inerenti in particolare al numero, alla composizione, alla nomina dei membri da parte del direttore esecutivo e al funzionamento del gruppo sono specificate nel regolamento interno dell’agenzia e rese pubbliche.

3. Il gruppo è presieduto dal direttore esecutivo. Il mandato dei membri è di due anni e mezzo. I membri del gruppo non possono essere membri del consiglio d’amministrazione.

4. I rappresentanti della Commissione hanno facoltà di assistere alle riunioni e di partecipare ai lavori del gruppo.

5. Il gruppo può consigliare il direttore esecutivo nell’espletamento delle sue funzioni ai sensi del presente regolamento, nell’elaborare la proposta relativa ai programmi di lavoro dell’Agenzia e nell’assicurare la comunicazione con le parti interessate su tutte le questioni inerenti al programma di lavoro.

SEZIONE 3

FUNZIONAMENTO

Articolo 9

Programma di lavoro

Il lavoro dell’Agenzia è imperniato sull’attuazione del programma di lavoro adottato in conformità dell’articolo 6, paragrafo 8. L’esistenza del programma di lavoro non pregiudica la possibilità che l’Agenzia svolga anche attività impreviste che rientrano nell’ambito della sua sfera d’azione e nei suoi obiettivi e nei limiti finanziari stabiliti.

Articolo 10

Richieste all’Agenzia

1. Le richieste di pareri e assistenza nell’ambito della sfera d’azione, degli obiettivi e dei compiti dell’Agenzia sono inoltrate al direttore esecutivo e corredate di una documentazione informativa che illustri la questione da esaminare. Il direttore esecutivo informa la Commissione delle richieste ricevute.

Qualora respinga una richiesta, l’Agenzia deve motivare il proprio rifiuto.

2. Le richieste di cui al paragrafo 1 possono provenire:

a) dal Parlamento europeo;

b) dalla Commissione europea;

c) da un qualsiasi organismo competente designato da uno Stato membro come autorità nazionale di regolamentazione definita all’articolo 2 della direttiva 2002/21/CE.

3. Le modalità pratiche di applicazione dei paragrafi 1 e 2, con particolare riguardo alla presentazione, alla definizione delle priorità e al seguito da dare alle richieste rivolte all’Agenzia, come pure all’informazione del consiglio di amministrazione in merito ad esse, sono definite dal consiglio di amministrazione nel regolamento interno dell’Agenzia.

Articolo 11

Dichiarazione di interessi

1. Il direttore esecutivo, come pure i funzionari comandati dagli Stati membri a titolo temporaneo, rendono una dichiarazione di impegni e una dichiarazione di interessi con la quale indicano l’assenza di interessi diretti o indiretti che possano essere considerati in contrasto con la loro indipendenza. Tali dichiarazioni sono rese per iscritto.

2. Gli esperti esterni che partecipano ai gruppi di lavoro ad hoc dichiarano a ogni riunione qualsiasi interesse che possa essere considerato in contrasto con la loro indipendenza, in relazione ai punti all’ordine del giorno.

Articolo 12

Trasparenza

1. L’Agenzia si impegna a svolgere le proprie attività con un livello elevato di trasparenza e nel rispetto degli articoli 13 e 14.

2. L’Agenzia si impegna a mettere a disposizione del pubblico e delle parti interessate informazioni obiettive, affidabili e facilmente accessibili in particolare, se opportuno, in merito ai risultati dei suoi lavori. Inoltre, essa rende pubbliche le dichiarazioni di interessi rese dal direttore esecutivo e dai funzionari comandati dagli Stati membri a titolo temporaneo, nonché le dichiarazioni di interessi rese dagli esperti in relazione ai punti all’ordine del giorno delle riunioni dei gruppi di lavoro ad hoc.

3. Il consiglio di amministrazione, su proposta del direttore esecutivo, può autorizzare altre parti interessate a presenziare come osservatori allo svolgimento di alcune attività dell’Agenzia.

4. L’Agenzia inserisce nel proprio regolamento interno le disposizioni pratiche per l’attuazione delle regole di trasparenza di cui ai paragrafi 1 e 2.

Articolo 13

Riservatezza

1. Fatto salvo l’articolo 14, l’Agenzia non rivela a terzi le informazioni da essa trattate o ricevute per le quali è stato richiesto un trattamento riservato.

2. I membri del consiglio di amministrazione, il direttore esecutivo, i membri del gruppo permanente di parti interessate, gli esperti esterni che partecipano ai gruppi di lavoro ad hoc e il personale dell’Agenzia, compresi i funzionari comandati dagli Stati membri a titolo temporaneo, anche dopo la cessazione delle proprie funzioni, restano soggetti agli obblighi di riservatezza di cui all’articolo 287 del trattato.

3. L’Agenzia inserisce nel proprio regolamento interno le disposizioni pratiche per l’attuazione delle regole di riservatezza di cui ai paragrafi 1 e 2.

Articolo 14

Accesso ai documenti

1. Ai documenti detenuti dall’Agenzia si applica il regolamento (CE) n. 1049/2001.

2. Entro sei mesi dall’entrata in funzione dell’Agenzia, il consiglio di amministrazione adotta disposizioni per l’attuazione del regolamento (CE) n. 1049/2001.

3. Le decisioni adottate dall’Agenzia a norma dell’articolo 8 del regolamento (CE) n. 1049/2001 possono essere impugnate mediante denuncia presentata al mediatore europeo o mediante ricorso dinanzi alla Corte di giustizia delle Comunità europee, a norma rispettivamente degli articoli 195 e 230 del trattato.

SEZIONE 4

DISPOSIZIONI FINANZIARIE

Articolo 15

Adozione del bilancio

1. Le entrate dell’Agenzia sono costituite da un contributo comunitario e dal contributo dei paesi terzi che partecipano alle sue attività, come stabilito dall’articolo 24.

2. Le spese dell’Agenzia comprendono le spese amministrative, tecniche, infrastrutturali, di esercizio e relative al personale, nonché quelle conseguenti a contratti stipulati con terzi.

3. Entro il 1 o marzo di ogni anno il direttore esecutivo redige un progetto di stato di previsione delle entrate e delle spese dell’Agenzia per l’esercizio finanziario successivo e lo trasmette al consiglio di amministrazione, corredato di un progetto di tabella dell’organico.

4. Le entrate e le spese devono essere in pareggio.

5. Ogni anno il consiglio di amministrazione, sulla base di un progetto di stato di previsione delle entrate e delle spese redatto dal direttore esecutivo, adotta lo stato di previsione delle entrate e delle spese dell’Agenzia per l’esercizio finanziario successivo.

6. Il consiglio di amministrazione trasmette entro il 31 marzo lo stato di previsione, accompagnato da un progetto di tabella dell’organico e un programma di lavoro provvisorio, alla Commissione e agli Stati con cui la Comunità ha concluso accordi a norma dell’articolo 24.

7. La Commissione trasmette lo stato di previsione al Parlamento europeo e al Consiglio (in prosieguo denominati entrambi “l’autorità di bilancio “)insieme al progetto preliminare di bilancio generale dell’Unione europea.

8. Sulla base dello stato di previsione, la Commissione iscrive le stime per quanto concerne la tabella dell’organico e l’importo della sovvenzione a carico del bilancio generale nel progetto preliminare di bilancio generale dell’Unione europea che essa sottopone all’autorità di bilancio conformemente all’articolo 272 del trattato.

9. L’autorità di bilancio autorizza gli stanziamenti a titolo della sovvenzione destinata all’Agenzia.

L’autorità di bilancio adotta la tabella dell’organico dell’Agenzia.

10. Il consiglio di amministrazione adotta il bilancio dell’Agenzia, che diventa definitivo dopo l’adozione definitiva del bilancio generale dell’Unione europea. Se necessario, il bilancio dell’Agenzia è adeguato in conseguenza. Il consiglio di amministrazione lo trasmette senza indugio alla Commissione e all’autorità di bilancio.

11. Il consiglio di amministrazione notifica quanto prima possibile all’autorità di bilancio la sua intenzione di realizzare qualunque progetto suscettibile di avere incidenze finanziarie significative sul finanziamento del suo bilancio, in particolare i progetti di natura immobiliare, come la locazione o l’acquisizione di immobili. Ne informa la Commissione.

Quando un ramo dell’autorità di bilancio ha notificato la sua intenzione di esprimere un parere, trasmette quest’ultimo al Consiglio d’amministrazione entro un termine di sei settimane a decorrere dalla notifica del progetto.

Articolo 16

Lotta antifrode

1. Nella lotta contro la frode, la corruzione ed altre attività illegali si applicano senza limitazioni le disposizioni del regolamento (CE) n. 1073/1999 del Parlamento europeo e del Consiglio, del 25 maggio 1999 [23], relativo alle indagini svolte dall’Ufficio europeo per la lotta antifrode (OLAF) [24].

2. L’Agenzia aderisce all’accordo interistituzionale del 25 maggio 1999 tra il Parlamento europeo, il Consiglio dell’Unione europea e la Commissione delle Comunità europee [25] relativo alle indagini interne svolte dall’Ufficio europeo per la lotta antifrode (OLAF) e adotta immediatamente le disposizioni corrispondenti valide per l’insieme dei collaboratori dell’Agenzia.

Articolo 17

Esecuzione del bilancio

1. Il direttore esecutivo provvede all’esecuzione del bilancio dell’Agenzia.

2. Il revisore contabile interno della Commissione esercita nei confronti dell’Agenzia le stesse competenze di cui dispone nei confronti dei servizi della Commissione.

3. Entro il 1 o marzo successivo alla chiusura dell’esercizio, il contabile dell’Agenzia comunica i conti provvisori, insieme alla relazione sulla gestione finanziaria e di bilancio dell’esercizio, al contabile della Commissione il quale procede al consolidamento dei conti provvisori delle istituzioni e degli organismi decentrati conformemente all’articolo 128 del regolamento (CE, Euratom) n. 1605/2002 del Consiglio, del 25 giugno 2002 [26], che stabilisce il regolamento finanziario applicabile al bilancio generale delle Comunità europee (in prosieguo: “regolamento finanziario generale “).

4. Entro il 31 marzo successivo alla chiusura dell’esercizio, il contabile della Commissione trasmette i conti provvisori dell’Agenzia, insieme alla relazione sulla gestione finanziaria e di bilancio dell’esercizio, alla Corte dei conti. La relazione sulla gestione finanziaria e di bilancio dell’esercizio è trasmessa anche all’autorità di bilancio.

5. Al ricevimento delle osservazioni formulate dalla Corte dei conti in merito ai conti provvisori dell’Agenzia, ai sensi dell’articolo 129 del regolamento finanziario generale, il direttore esecutivo stabilisce i conti definitivi dell’Agenzia, sotto la propria responsabilità, e li trasmette per parere al consiglio di amministrazione.

6. Il consiglio di amministrazione formula un parere sui conti definitivi dell’Agenzia.

7. Entro il 1 o luglio successivo alla chiusura dell’esercizio, il direttore esecutivo trasmette i conti definitivi, accompagnati dal parere del consiglio di amministrazione, al Parlamento europeo, al Consiglio, alla Commissione e alla Corte dei conti.

8. I conti definitivi sono pubblicati.

9. Entro il 30 settembre, il direttore esecutivo invia alla Corte dei conti una risposta alle osservazioni di quest’ultima. La risposta è trasmessa anche al consiglio di amministrazione.

10. Il direttore esecutivo presenta al Parlamento europeo, su richiesta di quest’ultimo e conformemente all’articolo 146, paragrafo 3, del regolamento finanziario generale, tutte le informazioni necessarie al corretto svolgimento della procedura di scarico per l’esercizio in oggetto.

11. Il Parlamento europeo, su raccomandazione del Consiglio che delibera a maggioranza qualificata, dà discarico al direttore esecutivo, entro il 30 aprile dell’anno N + 2, dell’esecuzione del bilancio per l’esercizio N.

SEZIONE 5

DISPOSIZIONI GENERALI

Articolo 18

Status giuridico

1. L’Agenzia è un organismo della Comunità, dotato di personalità giuridica.

2. In ciascuno degli Stati membri l’Agenzia ha la più ampia capacità giuridica riconosciuta alle persone giuridiche dalle rispettive legislazioni. In particolare, essa può acquisire e alienare beni mobili e immobili e stare in giudizio.

3. L’Agenzia è rappresentata dal suo direttore esecutivo.

Articolo 19

Personale

1. Il personale dell’Agenzia, compreso il direttore esecutivo, è soggetto alle norme e ai regolamenti che si applicano ai funzionari e agli altri agenti delle Comunità europee.

2. Fatto salvo l’articolo 6, nei confronti del proprio personale l’Agenzia esercita i poteri conferiti all’autorità che ha il potere di nomina dallo Statuto dei funzionari delle Comunità europee e all’autorità abilitata a stipulare i contratti dal regime applicabile agli altri agenti.

L’Agenzia può inoltre impiegare funzionari comandati dagli Stati membri a titolo temporaneo, per un massimo di cinque anni.

Articolo 20

All’Agenzia e al suo personale si applica il protocollo sui privilegi e sulle immunità delle Comunità europee.

Articolo 21

Responsabilità

1. La responsabilità contrattuale dell’Agenzia è disciplinata dal diritto applicabile al contratto in questione.

La Corte di giustizia delle Comunità europee è competente a giudicare in virtù di eventuali clausole compromissorie contenute nei contratti stipulati dall’Agenzia.

2. In materia di responsabilità extracontrattuale, l’Agenzia risarcisce, conformemente ai principi generali comuni al diritto degli Stati membri, i danni cagionati da essa stessa o dai suoi agenti nell’esercizio delle loro funzioni.

La Corte di giustizia è competente a conoscere delle eventuali controversie relative al risarcimento dei danni.

3. La responsabilità personale degli agenti nei confronti dell’Agenzia è disciplinata dalle disposizioni pertinenti che si applicano al personale dell’Agenzia.

Articolo 22

Lingue

1. All’Agenzia si applicano le disposizioni previste nel regolamento n. 1 del 15 aprile 1958 [27] che stabilisce il regime linguistico della Comunità economica europea. Gli Stati membri e gli altri organismi da essi designati possono rivolgersi all’Agenzia e ottenere la risposta nella lingua della Comunità di loro scelta.

2. I servizi di traduzione necessari per il funzionamento dell’Agenzia sono forniti dal Centro di traduzione degli organismi dell’Unione europea [28].

Articolo 23

Tutela dei dati personali

Nel trattare i dati relativi agli individui, l’Agenzia è soggetta alle disposizioni del regolamento (CE) n. 45/2001.

Articolo 24

Partecipazione di paesi terzi

1. Alle attività dell’Agenzia possono partecipare i paesi che hanno concluso con la Comunità europea accordi in virtù dei quali hanno adottato e applicano la normativa comunitaria nella materia disciplinata dal presente regolamento.

2. In forza delle pertinenti disposizioni di tali accordi sono concordate soluzioni organizzative relative in particolare alla natura, alla portata e alle modalità di partecipazione di tali paesi alle attività dell’Agenzia, comprese disposizioni riguardanti la partecipazione alle iniziative intraprese dall’Agenzia, i contributi finanziari e il personale.

SEZIONE 6

DISPOSIZIONI FINALI

Articolo 25

Clausola di revisione

1. Entro il 17 marzo 2007 la Commissione, tenendo conto dei pareri di tutti i soggetti interessati, procede a una valutazione sulla base del mandato concordato con il consiglio di amministrazione. La Commissione effettua la valutazione in particolare al fine di decidere se mantenere in attività l’Agenzia oltre il periodo di cui all’articolo 27.

2. La valutazione riguarda tanto i risultati dell’Agenzia nel realizzare i suoi obiettivi e svolgere le sue funzioni quanto le sue prassi operative e prevede, se del caso, le opportune proposte.

3. Il consiglio di amministrazione riceve una relazione sulla valutazione e rivolge alla Commissione raccomandazioni sulle eventuali modifiche da apportare al presente regolamento. Le risultanze della valutazione e le raccomandazioni sono trasmesse dalla Commissione al Parlamento europeo e al Consiglio e sono rese pubbliche.

Articolo 26

Controllo amministrativo

L’operato dell’Agenzia è sottoposto al controllo del mediatore, a norma delle disposizioni dell’articolo 195 del trattato.

Articolo 27

Durata

L’Agenzia è istituita il 14 marzo 2004 per un periodo di cinque anni.

Articolo 28

Entrata in vigore

Il presente regolamento entra in vigore il giorno successivo alla pubblicazione nella Gazzetta ufficiale dell’Unione europea .

Il presente regolamento è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri.

Fatto a Strasburgo, addì 10 marzo 2004.

Per il Parlamento europeo

Il Presidente

P. COX

Per il Consiglio

Il Presidente

D. ROCHE