Cyber Resilience Act 2023/2841 MT

1. Mingħajr dewmien żejjed u fi kwalunkwe każ sat-8 ta’ Settembru 2025, kull entità tal-Unjoni għandha, taħt is-sorveljanza tal-ogħla livell ta’ maniġment tagħha, tieħu miżuri tekniċi, operazzjonali u organizzattivi xierqa u proporzjonati biex jiġu ġestiti r-riskji taċ-ċibersigurtà identifikati fl-ambitu tal-Qafas, u biex tipprevjeni u/jew timminimizza l-impatt tal-inċidenti. B’kont meħud tal-ogħla livell ta’ żvilupp tekniku u, meta applikabbli, tal-istandards Ewropej u internazzjonali rilevanti, dawk il-miżuri għandhom jiżguraw livell ta’ sigurtà tan-networks u tas-sistemi tal-informazzjoni fl-ambjent tal-ICT kollu kemm hu proporzjonat mar-riskji taċ-ċibersigurtà kkawżati. Meta tiġi vvalutata l-proporzjonalità ta’ dawk il-miżuri, għandu jittieħed kont debitu tal-grad tal-espożizzjoni tal-entità tal-Unjoni għar-riskji taċ-ċibersigurtà, id-daqs tagħha, il-probabbiltà tal-okkorrenza ta’ inċidenti u tas-severità tagħhom, inkluż l-impatt soċjetali, ekonomiku u interistituzzjonali tagħhom.

2. L-entitajiet tal-Unjoni għandhom jindirizzaw mill-inqas l-oqsma li ġejjin fl-implimentazzjoni tal-miżuri tal-ġestjoni tar-riskji taċ-ċibersigurtà:

(a)	il-politika taċ-ċibersigurtà, inklużi l-miżuri meħtieġa biex jintlaħqu l-objettivi u l-prijoritajiet imsemmija fl-Artikolu 6 u fil-paragrafu 3 ta’ dan l-Artikolu;

(b)	il-politiki dwar l-analiżi tar-riskji taċ-ċibersigurtà u s-sigurtà tas-sistema tal-informazzjoni;

(c)	l-objettivi ta’ politika rigward l-użu tas-servizzi tal-cloud computing;

(d)	l-awditu taċ-ċibersigurtà, meta xieraq, li jista’ jinkludi valutazzjoni tar-riskju taċ-ċibersigurtà, tal-vulnerabbiltà u tat-theddid ċibernetiku, u ttestjar tal-penetrazzjoni mwettaq minn fornitur privat fdat fuq bażi regolari;

(e)	l-implimentazzjoni tar-rakkomandazzjonijiet li jirriżultaw mill-awditi taċ-ċibersigurtà msemmija fil-punt (d) permezz ta’ aġġornamenti taċ-ċibersigurtà u tal-politika;

(f)	l-organizzazzjoni taċ-ċibersigurtà, inkluż l-istabbiliment tar-rwoli u r-responsabbiltajiet;

(g)	l-immaniġġar ta’ assi, inkluż l-inventarju tal-assi tal-ICT u l-kartografija tan-network tal-ICT;

(h)	is-sigurtà tar-riżorsi umani u l-kontroll tal-aċċess;

(i)	is-sigurtà operazzjonali tan-network;

(j)	is-sigurtà tal-komunikazzjoni;

(k)	l-akkwiżizzjoni, l-iżvilupp u l-manutenzjoni tas-sistema, inklużi l-politiki dwar it-trattament u d-divulgazzjoni tal-vulnerabbiltajiet;

(l)	meta jkun possibbli, il-politiki dwar it-trasparenza tal-kodiċi sors;

(m)	is-sigurtà tal-katina tal-provvista, inkluż l-aspetti relatati mas-sigurtà li jikkonċernaw ir-relazzjonijiet bejn kull entità tal-Unjoni u l-fornituri diretti jew il-fornituri ta’ servizzi diretti tagħha.

(n)	it-trattament tal-inċidenti u l-kooperazzjoni mas-CERT-UE, bħall-manutenzjoni tal-monitoraġġ tas-sigurtà u reġistrazzjonijiet;

(o)	il-ġestjoni tal-kontinwità tal-operat, bħall-ġestjoni ta’ riżerva u l-irkupru minn diżastri, u l-ġestjoni tal-kriżijiet; u

(p)	il-promozzjoni u l-iżvilupp ta’ programmi ta’ edukazzjoni, ħiliet, sensibilizzazzjoni, eżerċizzju u taħriġ fil-qasam taċ-ċibersigurtà.

Għall-finijiet tal-ewwel subparagrafu, il-punt (m), l-entitajiet tal-Unjoni għandhom iqisu l-vulnerabbiltajiet speċifiċi għal kull fornitur dirett u kull fornitur ta’ servizzi dirett u l-kwalità ġenerali tal-prodotti u l-prattiki taċ-ċibersigurtà tal-fornituri u l-fornituri tas-servizzi tagħhom, inkluż il-proċeduri ta’ żvilupp siguri tagħhom.

3. L-entitajiet tal-Unjoni għandhom jieħdu mill-inqas il-miżuri speċifiċi tal-ġestjoni tar-riskji taċ-ċibersigurtà li ġejjin:

(a)	l-arranġamenti tekniċi li jippermettu u jsostnu t-telexogħol;

(b)	passi konkreti li jimxu lejn prinċipji ta’ fiduċja żero;

(c)	l-użu tal-awtentikazzjoni b’diversi fatturi bħala norma fin-network u s-sistema tal-informazzjoni;

(d)	l-użu tal-kriptografija u l-kriptaġġ, b’mod partikolari l-kriptaġġ minn tarf sa tarf, kif ukoll l-iffirmar diġitali sigur;

(e)	meta xieraq, l-użu ta’ komunikazzjonijiet bil-vuċi, bil-vidjo u bil-kitba siguri, u sistemi ta’ komunikazzjonijiet ta’ emerġenza siguri fi ħdan l-entità tal-Unjoni;

(f)	miżuri proattivi għad-detezzjoni u t-tneħħija ta’ malware u spyware;

(g)	l-istabbiliment ta’ sigurtà tal-katina tal-provvista tas-software permezz ta’ kriterji għall-iżvilupp u l-evalwazzjoni ta’ software sigur;

(h)	l-istabbiliment u l-adozzjoni ta’ programmi ta’ taħriġ dwar iċ-ċibersigurtà proporzjonati għall-kompiti preskritti u l-kapaċitajiet mistennija għall-ogħla livell ta’ maniġment u l-membri tal-persunal tal-entità tal-Unjoni inkarigati biex jiżguraw l-implimentazzjoni effettiva ta’ dan ir-Regolament;

(i)	it-taħriġ regolari dwar iċ-ċibersigurtà tal-membri tal-persunal;

(j)	fejn rilevanti, il-parteċipazzjoni fl-analiżijiet tar-riskji tal-interkonnettività bejn l-entitajiet tal-Unjoni;

(k)

it-titjib tar-regoli dwar l-akkwist pubbliku għall-faċilitazzjoni ta’ livell komuni għoli ta’ ċibersigurtà permezz ta’:

(i)	it-tneħħija tal-ostakli kuntrattwali li jillimitaw il-kondiviżjoni tal-informazzjoni mill-fornituri tas-servizzi tal-ICT dwar inċidenti, vulnerabbiltajiet u theddid ċibernetiku mas-CERT-UE;

(ii)	l-obbligu kuntrattwali li jiġu rrapportati inċidenti, vulnerabbiltajiet u theddid ċibernetiku kif ukoll li jkun hemm fis-seħħ mekkaniżmi ta’ rispons u monitoraġġ xierqa għall-inċidenti.

Artikolu 12

Konformità

1. L-IICB, skont l-Artikolu 10(2) u l-Artikolu 11, għandu jimmonitorja b’mod effettiv l-implimentazzjoni ta’ dan ir-Regolament u tal-linji gwida, tar-rakkomandazzjonijiet u tas-sejħiet għal azzjoni adottati mill-entitajiet tal-Unjoni. L-IICB jista’ jitlob l-informazzjoni jew id-dokumentazzjoni meħtieġa għal dak l-għan mill-entitajiet tal-Unjoni. Għall-fini tal-adozzjoni ta’ miżuri ta’ konformità skont dan l-Artikolu, meta l-entità tal-Unjoni kkonċernata tkun rappreżentata direttament fuq l-IICB, dik l-entità tal-Unjoni ma għandux ikollha drittijiet tal-vot.

2. Meta l-IICB isib li entità tal-Unjoni ma implimentatx b’mod effettiv dan ir-Regolament jew il-linji gwida, ir-rakkomandazzjonijiet jew is-sejħiet għal azzjoni maħruġa skont ir-Regolament, huwa jista’, mingħajr preġudizzju għall-proċeduri interni tal-entità tal-Unjoni kkonċernata, u wara li jagħti opportunità lill-entità tal-Unjoni kkonċernata biex tippreżenta l-osservazzjonijiet tagħha:

(a)	jikkomunika opinjoni motivata lill-entità tal-Unjoni kkonċernata dwar lakuni osservati fl-implimentazzjoni ta’ dan ir-Regolament;

(b)	jipprovdi, wara li jikkonsulta lis-CERT-UE, linji gwida lill-entità tal-Unjoni kkonċernata biex jiżgura li l-qafas, il-miżuri ta’ ġestjoni tar-riskji taċ-ċibersigurtà, il-pjanijiet taċ-ċibersigurtà u r-rapportar tagħha jikkonformaw ma’ dan ir-Regolament f’perjodu ta’ żmien speċifikat;

(c)	joħroġ twissija biex jiġu indirizzati n-nuqqasijiet identifikati f’perjodu ta’ żmien speċifikat, inklużi rakkomandazzjonijiet biex jiġu emendati miżuri adottati mill-entità tal-Unjoni kkonċernata skont dan ir-Regolament;

(d)	joħroġ notifika motivata lill-entità tal-Unjoni kkonċernata, f’każ li n-nuqqasijiet identifikati fi twissija maħruġa skont il-punt (c) ma jkunux ġew indirizzati biżżejjed fil-perjodu ta’ żmien speċifikat;

(e)

joħroġ:

(i)	rakkomandazzjoni biex isir awditu; jew

(ii)	talba li jsir awditu minn servizz tal-awditjar terz;

(f)	jekk applikabbli, jinforma lill-Qorti tal-Awdituri, fl-ambitu tal-mandat tagħha, dwar l-allegata nonkonformità;

(g)	joħroġ rakkomandazzjoni biex l-Istati Membri u l-entitajiet tal-Unjoni kollha jimplimentaw sospensjoni temporanja tal-flussi tad-data lill-entità tal-Unjoni kkonċernata.

Għall-finijiet tal-ewwel subparagrafu, il-punt (c), id-destinatarji ta’ twissija għandhom jiġu limitati b’mod xieraq, meta meħtieġ fid-dawl ta’ riskju taċ-ċibersigurtà.

It-twissijiet u r-rakkomandazzjonijiet maħruġa skont l-ewwel subparagrafu għandhom ikunu diretti lejn l-ogħla livell ta’ maniġment tal-entità tal-Unjoni kkonċernata.

3. Meta l-IICB ikun adotta miżuri skont il-paragrafu 2, l-ewwel subparagrafu, il-punti (a) sa (g), l-entità tal-Unjoni kkonċernata għandha tipprovdi dettalji tal-miżuri u l-azzjonijiet meħuda biex jiġu indirizzati n-nuqqasijiet allegati identifikati mill-IICB. L-entità tal-Unjoni għandha tissottometti dawk id-dettalji fi żmien raġonevoli li għandu jiġi miftiehem mal-IICB.

4. Meta l-IICB iqis li hemm ksur kontinwu ta’ dan ir-Regolament minn entità tal-Unjoni li jirriżulta direttament minn azzjonijiet jew ommissjonijiet ta’ uffiċjal jew aġent ieħor tal-Unjoni, inkluż fl-ogħla livell tal-maniġment, l-IICB għandu jitlob li l-entità tal-Unjoni kkonċernata tieħu azzjoni xierqa, inkluż li jikkunsidra li jitlobha tieħu azzjoni ta’ natura dixxiplinarja, f’konformità mar-regoli u l-proċeduri stabbiliti fir-Regolamenti tal-Persunal u f’xi regoli u proċeduri applikabbli oħra. Għal dak il-għan, l-IICB għandu jittrasferixxi l-informazzjoni meħtieġa lill-entità tal-Unjoni kkonċernata.

5. Meta l-entitajiet tal-Unjoni jinnotifikaw li ma jkunux jistgħu jissodisfaw l-iskadenzi stabbiliti fl-Artikolu 6(1) u fl-Artikolu 8(1), l-IICB jista’, f’każijiet debitament sostanzjati, filwaqt li jqis id-daqs tal-entità tal-Unjoni, jawtorizza l-estensjoni ta’ dawk l-iskadenzi.

KAPITOLU IV

CERT-UE

Artikolu 13

Missjoni u kompiti tas-CERT-UE

1. Il-missjoni tas-CERT-UE għandha tkun li jikkontribwixxi għas-sigurtà tal-ambjent tal-ICT mhux klassifikat tal-entitajiet tal-Unjoni, billi jgħinhom fil-prevenzjoni, fid-detezzjoni, fil-ġestjoni, fil-mitigazzjoni u fir-rispons għall-inċidenti u l-irkupru minnhom, u billi jaġixxi bħaċ-ċentru tagħhom ta’ koordinazzjoni tal-iskambju tal-informazzjoni u tar-rispons għall-inċidenti taċ-ċibersigurtà.

2. Is-CERT-UE għandu jiġbor, jamministra, janalizza u jikkondividi informazzjoni mal-entitajiet tal-Unjoni dwar theddidiet, vulnerabbiltajiet u inċidenti f’infrastruttura tal-ICT mhux klassifikata. Għandu jikkoordina r-risponsi għal inċidenti fil-livell interistituzzjonali u fil-livell tal-entitajiet tal-Unjoni, inkluż billi jipprovdi jew jikkoordina l-għoti ta’ assistenza operazzjonali speċjalizzata.

3. Is-CERT-UE għandu jwettaq il-kompiti li ġejjin biex jassisti lill-entitajiet tal-Unjoni:

(a)	jappoġġjahom fl-implimentazzjoni ta’ dan ir-Regolament u jikkontribwixxi għall-koordinazzjoni tal-implimentazzjoni ta’ dan ir-Regolament permezz tal-miżuri elenkati fl-Artikolu 14(1) jew permezz ta’ rapporti ad hoc mitluba mill-IICB;

(b)	joffri servizzi standard tas-CSIRT lill-entitajiet tal-Unjoni permezz ta’ pakkett ta’ servizzi taċ-ċibersigurtà deskritti fil-katalgu tas-servizzi tiegħu (servizzi tal-linja bażi);

(c)	iżomm network ta’ pari u sħab sabiex jappoġġjaw is-servizzi kif deskritti fl-Artikoli 17 u 18;

(d)	iġib għall-attenzjoni tal-IICB kwalunkwe problema relatata mal-implimentazzjoni ta’ dan ir-Regolament u mal-implimentazzjoni tal-linji gwida, tar-rakkomandazzjonijiet u tas-sejħiet għal azzjoni;

(e)	abbażi tal-informazzjoni msemmija fil-paragrafu 2, jikkontribwixxi għall-għarfien tas-sitwazzjoni ċibernetika tal-Unjoni f’kooperazzjoni mill-qrib mal-ENISA;

(f)	jikkoordina l-ġestjoni ta’ inċidenti kbar;

(g)	jaġixxi f’isem l-entitajiet tal-Unjoni bħala l-ekwivalenti tal-koordinatur iddeżinjat għall-finijiet ta’ divulgazzjoni kkoordinata tal-vulnerabbiltajiet skont l-Artikolu 12(1) tad-Direttiva (UE) 2022/2555;

(h)	jipprovdi, fuq talba ta’ entità tal-Unjoni, skennjar proattiv mhux intrużiv tan-network u s-sistemi tal-informazzjoni aċċessibbli għall-pubbliku ta’ dik l-entità tal-Unjoni.

L-informazzjoni msemmija fl-ewwel subparagrafu, il-punt (e), għandha tiġi kondiviża mal-IICB, man-network ta’ CSIRTs u maċ-Ċentru tal-Intelligence u tas-Sitwazzjonijiet tal-Unjoni Ewropea (INTCEN tal-UE), meta applikabbli u xieraq, u soġġett għal kundizzjonijiet xierqa ta’ kunfidenzjalità.

4. Is-CERT-UE jista’, f’konformità mal-Artikolu 17 jew 18, kif xieraq, jikkoopera mal-komunitajiet taċ-ċibersigurtà rilevanti fl-Unjoni u fl-Istati Membri tagħha, inkluż fl-oqsma li ġejjin:

(a)	it-tħejjija, il-koordinazzjoni tal-inċidenti, l-iskambju ta’ informazzjoni u r-rispons għall-kriżijiet fil-livell tekniku dwar każijiet marbuta mal-entitajiet tal-Unjoni;

(b)	il-kooperazzjoni operazzjonali rigward in-network ta’ CSIRTs, inkluż fir-rigward tal-assistenza reċiproka;

(c)	intelligence dwar it-theddid ċibernetiku, inkluż l-għarfien tas-sitwazzjoni;

(d)	dwar kwalunkwe suġġett li jeħtieġ l-għarfien espert tekniku dwar iċ-ċibersigurtà tas-CERT-UE.

5. Fl-ambitu tal-kompetenza tiegħu, is-CERT-UE għandu jinvolvi ruħu f’kooperazzjoni strutturata mal-ENISA dwar il-bini tal-kapaċitajiet, il-kooperazzjoni operazzjonali u l-analiżijiet strateġiċi fit-tul tat-theddid ċibernetiku f’konformità mar-Regolament (UE) 2019/881. Is-CERT-UE jista’ jikkoopera u jiskambja informazzjoni maċ-Ċentru Ewropew taċ-Ċiberkriminalità tal-Europol.

6. Is-CERT-UE jista’ jipprovdi s-servizzi li ġejjin mhux deskritti fil-katalgu tas-servizzi tiegħu (servizzi bi ħlas):

(a)

servizzi li jappoġġjaw iċ-ċibersigurtà tal-ambjent tal-ICT tal-entitajiet tal-Unjoni, għajr dawk imsemmija fil-paragrafu 3, fuq il-bażi ta’ ftehimiet dwar il-livell ta’ servizz u soġġett għar-riżorsi disponibbli, b’mod partikolari monitoraġġ tan-networks fuq firxa wiesgħa, inkluż monitoraġġ tal-ewwel linja 24/7 għal theddid ċibernetiku ta’ severità għolja;

(b)	servizzi li jappoġġjaw operazzjonijiet jew proġetti taċ-ċibersigurtà tal-entitajiet tal-Unjoni, għajr dawk li jipproteġu l-ambjent tal-ICT tagħhom, fuq il-bażi ta’ ftehimiet bil-miktub u bl-approvazzjoni minn qabel tal-IICB;

(c)	fuq talba, skennjar proattiv tan-network u tas-sistemi tal-informazzjoni tal-entità tal-Unjoni kkonċernata biex jiġu identifikati vulnerabbiltajiet b’impatt sinifikanti potenzjali;

(d)

servizzi li jappoġġjaw is-sigurtà tal-ambjent tal-ICT tagħhom lil organizzazzjonijiet għajr l-entitajiet tal-Unjoni li jikkooperaw mill-qrib mal-entitajiet tal-Unjoni, pereżempju bl-assenjar ta’ kompiti jew responsabbiltajiet skont il-liġi tal-Unjoni, fuq il-bażi ta’ ftehimiet bil-miktub u bl-approvazzjoni minn qabel tal-IICB.

Fir-rigward tal-ewwel subparagrafu, il-punt (d), is-CERT-UE jista’, fuq bażi eċċezzjonali, jidħol f’arranġamenti fil-livell tas-servizzi ma’ entitajiet oħra għajr l-entitajiet tal-Unjoni bl-approvazzjoni minn qabel tal-IICB.

7. Is-CERT-UE għandu jorganizza eżerċizzji taċ-ċibersigurtà, u jista’ jipparteċipa fihom, jew jirrakkomanda l-parteċipazzjoni f’eżerċizzji eżistenti, meta applikabbli f’kooperazzjoni mill-qrib mal-ENISA, biex jittestja l-livell ta’ ċibersigurtà tal-entitajiet tal-Unjoni.

8. Is-CERT-UE jista’ jipprovdi assistenza lill-entitajiet tal-Unjoni rigward inċidenti fin-networks u s-sistemi tal-informazzjoni li jamministraw l-EUCI meta jkun espliċitament mitlub jagħmel dan mill-entitajiet tal-Unjoni kkonċernati f’konformità mal-proċeduri rispettivi tagħhom. L-għoti ta’ assistenza mis-CERT-UE skont dan il-paragrafu għandu jkun mingħajr preġudizzju għar-regoli applikabbli li jikkonċernaw il-protezzjoni ta’ informazzjoni klassifikata.

9. Is-CERT-UE għandu jinforma lill-entitajiet tal-Unjoni dwar il-proċeduri u l-proċessi tiegħu ta’ trattament tal-inċidenti.

10. Is-CERT-UE għandu jikkontribwixxi, b’livell għoli ta’ kunfidenzjalità u affidabbiltà, permezz tal-mekkaniżmi ta’ kooperazzjoni u l-linji ta’ rapportar xierqa, informazzjoni rilevanti u anonimizzata dwar inċidenti kbar u l-mod li bih ġew ittrattati. Dik l-informazzjoni għandha tiġi inkluża fir-rapport imsemmi fl-Artikolu 10(14).

11. Is-CERT-UE, f’kooperazzjoni mal-KEPD, għandu jappoġġja lill-entitajiet tal-Unjoni kkonċernati meta jindirizzaw inċidenti li jirriżultaw fi ksur tad-data personali, mingħajr preġudizzju għall-kompetenzi u l-kompiti tal-KEPD bħala awtorità superviżorja skont ir-Regolament (UE) 2018/1725.

12. Jekk jintalab espressament mid-dipartimenti tal-politika tal-entitajiet tal-Unjoni, is-CERT-UE jista’ jagħti parir jew input tekniku dwar kwistjonijiet ta’ politika rilevanti.

Artikolu 17

Kooperazzjoni tas-CERT-UE mal-kontropartijiet tal-Istati Membri

1. Is-CERT-UE għandu, mingħajr dewmien żejjed, jikkoopera u jiskambja informazzjoni mal-kontropartijiet tal-Istati Membri, b’mod partikolari s-CSIRTs iddeżinjati jew stabbiliti skont l-Artikolu 10 tad-Direttiva (UE) 2022/2555, jew, meta applikabbli, l-awtoritajiet kompetenti u l-punti uniċi ta’ kuntatt iddeżinjati jew stabbiliti skont l-Artikolu 8 ta’ dik id-Direttiva, fir-rigward ta’ inċidenti, theddid ċibernetiku, vulnerabbiltajiet, kważi inċidenti, kontromiżuri possibbli kif ukoll l-aħjar prattiki u dwar il-kwistjonijiet kollha rilevanti għat-titjib tal-protezzjoni tal-ambjenti tal-ICT tal-entitajiet tal-Unjoni, inkluż permezz tan-network ta’ CSIRTs stabbilit skont l-Artikolu 15 tad-Direttiva (UE) 2022/2555. Is-CERT-UE għandu jappoġġja lill-Kummissjoni fl-EU-CyCLONe stabbilit skont l-Artikolu 16 tad-Direttiva (UE) 2022/2555 dwar il-ġestjoni koordinata ta’ inċidenti u kriżijiet taċ-ċibersigurtà fuq skala kbira.

2. Meta s-CERT-UE jsir jaf b’inċident sinifikanti li jseħħ fit-territorju ta’ Stat Membru, huwa għandu, mingħajr dewmien, jinnotifika lil kwalunkwe kontroparti f’dak l-Istat Membru, f’konformità mal-paragrafu 1.

3. Dment li d-data personali tkun protetta f’konformità mal-liġi applikabbli tal-Unjoni dwar il-protezzjoni tad-data, is-CERT-UE għandu, mingħajr dewmien żejjed, jiskambja informazzjoni rilevanti speċifika għall-inċident mal-kontropartijiet tal-Istati membri biex jiffaċilita d-detezzjoni ta’ theddid jew inċidenti ċibernetiċi simili, jew biex jikkontribwixxi għall-analiżi ta’ inċident, mingħajr l-awtorizzazzjoni tal-entità tal-Unjoni affettwata. Is-CERT-UE għandu jiskambja informazzjoni speċifika għall-inċidenti li tiżvela l-identità tal-mira tal-inċident biss fil-każ ta’ wieħed minn dan li ġej:

(a)	l-entità tal-Unjoni affettwata tkun tat il-kunsens tagħha;

(b)	l-entità tal-Unjoni affettwata ma tagħtix il-kunsens tagħha kif previst fil-punt (a) iżda d-divulgazzjoni tal-identità tal-entità tal-Unjoni affettwata żżid il-probabbiltà li l-inċidenti xi mkien ieħor jiġu evitati jew mitigati;

(c)	l-entità tal-Unjoni affettwata tkun diġà għamlet pubbliku l-fatt li kienet affettwata.

Id-deċiżjonijiet biex tiġi skambjata informazzjoni speċifika għall-inċidenti li tiżvela l-identità tal-mira tal-inċident skont l-ewwel subparagrafu, il-punt (b), għandhom jiġu approvati mill-Kap tas-CERT-UE. Qabel ma joħroġ tali deċiżjoni, is-CERT-UE għandu jikkuntattja lill-entità tal-Unjoni affettwata bil-miktub, filwaqt li jispjega b’mod ċar kif id-divulgazzjoni tal-identità tagħha tgħin biex jiġu evitati jew mitigati inċidenti xi mkien ieħor. Il-Kap tas-CERT-UE għandu jipprovdi l-ispjegazzjoni u jitlob b’mod espliċitu lill-entità tal-Unjoni biex tiddikjara jekk tagħtix il-kunsens tagħha f’perjodu ta’ żmien stabbilit. Il-Kap tas-CERT-UE għandu jinforma wkoll lill-entità tal-Unjoni li, fid-dawl tal-ispjegazzjoni pprovduta, jirriżerva d-dritt li jiddivulga l-informazzjoni anki fin-nuqqas ta’ kunsens. L-entità tal-Unjoni affettwata għandha tiġi infurmata qabel ma l-informazzjoni tiġi ddivulgata.

Artikolu 18

Kooperazzjoni tas-CERT-UE ma’ kontropartijiet oħra

1. Is-CERT-UE jista’ jikkoopera ma’ kontropartijiet fl-Unjoni għajr dawk imsemmija fl-Artikolu 17 li huma soġġetti għar-rekwiżiti ta’ ċibersigurtà tal-Unjoni, inklużi kontropartijiet speċifiċi għas-settur tal-industrija, dwar għodod u metodi, bħal tekniki, tattiki, proċeduri u l-aħjar prattiki, u dwar it-theddid ċibernetiku u l-vulnerabbiltajiet. Għall-kooperazzjoni kollha ma’ tali kontropartijiet, is-CERT-UE għandu jitlob approvazzjoni minn qabel mill-IICB fuq bażi ta’ każ b’każ. Meta s-CERT-UE jistabbilixxi kooperazzjoni ma’ tali kontropartijiet, għandu jinforma lil kwalunkwe kontroparti tal-Istati Membri msemmija fl-Artikolu 17(1), fl-Istat Membru li fih il-kontroparti tkun tinsab. Meta applikabbli u xieraq, tali kooperazzjoni u l-kundizzjonijiet tagħha, inkluż rigward iċ-ċibersigurtà, il-protezzjoni tad-data u l-immaniġġar tal-informazzjoni, għandhom jiġu stabbiliti f’arranġamenti speċifiċi ta’ kunfidenzjalità bħal kuntratti jew arranġamenti amministrattivi. Il-ftehimiet ta’ kunfidenzjalità ma għandhomx jirrikjedu approvazzjoni minn qabel mill-IICB, iżda l-President tal-IICB għandu jiġi infurmat. Fil-każ ta’ ħtieġa urġenti u imminenti li tiġi skambjata informazzjoni dwar iċ-ċibersigurtà fl-interessi tal-entitajiet tal-Unjoni jew ta’ parti oħra, is-CERT-UE jista’ jagħmel dan ma’ entità li l-kompetenza, il-kapaċità u l-għarfien espert speċifiċi tagħha jkunu meħtieġa b’mod ġustifikabbli biex tassisti b’tali ħtieġa urġenti u imminenti, anki jekk is-CERT-UE ma jkollux arranġament ta’ kunfidenzjalità fis-seħħ ma’ dik l-entità. F’każijiet bħal dawn, is-CERT-UE għandu jinforma minnufih lill-President tal-IICB, u għandu jirrapporta lill-IICB permezz ta’ rapporti jew laqgħat regolari.

2. Is-CERT-UE jista’ jikkoopera ma’ sħab, bħal entitajiet kummerċjali, inklużi entitajiet speċifiċi għas-settur tal-industrija, organizzazzjonijiet internazzjonali, entitajiet nazzjonali mhux tal-Unjoni jew esperti individwali, biex jiġbor informazzjoni dwar theddid ċibernetiku ġenerali u speċifiku, kważi inċidenti, vulnerabbiltajiet u kontromiżuri possibbli. Għal kooperazzjoni usa’ ma’ sħab bħal dawn, is-CERT-UE għandu jfittex approvazzjoni minn qabel mill-IICB fuq bażi ta’ każ b’każ.

3. Is-CERT-UE jista’, bil-kunsens tal-entità tal-Unjoni affettwata minn inċident u dment li jkun fis-seħħ arranġament jew kuntratt ta’ nondivulgazzjoni mal-kontroparti jew is-sieħeb rilevanti, jipprovdi informazzjoni relatata mal-inċident speċifiku lill-kontropartijiet jew lis-sħab imsemmija fil-paragrafi 1 u 2 unikament għall-fini li jikkontribwixxi għall-analiżi tiegħu.

KAPITOLU V

OBBLIGI TA’ KOOPERAZZJONI U TA’ RAPPORTAR

Artikolu 19

Immaniġġar tal-informazzjoni

1. L-entitajiet tal-Unjoni u s-CERT-UE għandhom jirrispettaw l-obbligu tas-segretezza professjonali f’konformità mal-Artikolu 339 tat-TFUE jew oqfsa applikabbli ekwivalenti.

2. Ir-Regolament (KE) Nru 1049/2001 tal-Parlament Ewropew u tal-Kunsill (10) għandu japplika fir-rigward ta’ talbiet għal aċċess pubbliku għal dokumenti miżmuma mis-CERT-UE, inkluż l-obbligu skont dak ir-Regolament li jiġu kkonsultati entitajiet oħra tal-Unjoni jew, meta rilevanti, Stati Membri oħra, kull meta talba tikkonċerna d-dokumenti tagħhom.

3. L-immaniġġar tal-informazzjoni mill-entitajiet tal-Unjoni u mis-CERT-UE għandu jkun konformi mar-regoli applikabbli dwar is-sigurtà tal-informazzjoni

Artikolu 20

Arranġamenti għall-kondiviżjoni tal-informazzjoni dwar iċ-ċibersigurtà

1. L-entitajiet tal-Unjoni jistgħu, fuq bażi volontarja, jinnotifikaw lis-CERT-UE dwar inċidenti, theddid ċibernetiku, kważi inċidenti u vulnerabbiltajiet li jaffettwawhom, u jagħtuh informazzjoni dwarhom. Is-CERT-UE għandu jiżgura li jkunu disponibbli mezzi ta’ komunikazzjoni, b’livell għoli ta’ traċċabbiltà, kunfidenzjalità u affidabbiltà, għall-finijiet tal-faċilitazzjoni tal-kondiviżjoni tal-informazzjoni mal-entitajiet tal-Unjoni. Meta jipproċessa n-notifiki, is-CERT-UE jista’ jagħti prijorità lill-ipproċessar tan-notifiki obbligatorji minflok lin-notifiki volontarji. Mingħajr preġudizzju għall-Artikolu 12, in-notifika volontarja ma għandhiex tirriżulta fl-impożizzjoni ta’ xi obbligu addizzjonali fuq l-entità tal-Unjoni li tirrapporta li ma kinitx tkun soġġetta għalih kieku ma saritx dik in-notifika.

2. Biex iwettaq il-missjoni u l-kompiti tiegħu mogħtija skont l-Artikolu 13, is-CERT-UE jista’ jitlob lill-entitajiet tal-Unjoni jipprovdulu informazzjoni mill-inventarji tas-sistemi tal-ICT rispettivi tagħhom, inkluża informazzjoni relatata mat-theddid ċibernetiku, il-kważi inċidenti, il-vulnerabbiltajiet, l-indikaturi ta’ kompromess, iċ-ċiberallerti u r-rakkomandazzjonijiet rigward il-konfigurazzjoni tal-għodod taċ-ċibersigurtà biex jiġu identifikati l-inċidenti. L-entità mitluba tal-Unjoni għandha tibgħat l-informazzjoni mitluba, u kwalunkwe aġġornament sussegwenti tagħha, mingħajr dewmien żejjed.

3. Is-CERT-UE jista’ tiskambja informazzjoni speċifika għall-inċident ma’ entitajiet tal-Unjoni li tiżvela l-identità tal-entità tal-Unjoni affettwata mill-inċident, dment li l-entità tal-Unjoni affettwata tagħti l-kunsens tagħha. Meta entità tal-Unjoni ma tagħtix il-kunsens tagħha, għandha tagħti lis-CERT-UE raġunijiet li jissostanzjaw dik id-deċiżjoni.

4. L-entitajiet tal-Unjoni għandhom, fuq talba, jikkondividu informazzjoni mal-Parlament Ewropew u mal-Kunsill dwar it-tlestija tal-pjanijiet taċ-ċibersigurtà.

5. L-IICB jew is-CERT-UE, kif applikabbli, għandu, fuq talba, jikkondividi linji gwida, rakkomandazzjonijiet u sejħiet għal azzjoni mal-Parlament Ewropew u mal-Kunsill.

6. L-obbligi ta’ rapportar stabbiliti f’dan l-Artikolu ma għandhomx jestendu:

(a)	għall-EUCI;

(b)	għal informazzjoni li d-distribuzzjoni ulterjuri tagħha ġiet eskluża permezz ta’ mmarkar viżibbli, sakemm il-kondiviżjoni tagħha mas-CERT-UE ma tkunx ġiet permessa b’mod espliċitu.

Artikolu 21

Obbligi ta’ rapportar

1. Inċident għandu jitqies li huwa sinifikanti jekk:

(a)	ikun ikkawża jew kapaċi jikkawża tfixkil operazzjonali gravi fil-funzjonament tal-entità tal-Unjoni kkonċernata, jew telf finanzjarju għaliha;

(b)	ikun affettwa jew kapaċi jaffettwa lil persuni fiżiċi jew ġuridiċi oħra billi jikkawża dannu materjali jew mhux materjali konsiderevoli.

2. L-entitajiet tal-Unjoni għandhom jissottomettu lis-CERT-UE:

(a)

mingħajr dewmien żejjed u fi kwalunkwe każ fi żmien 24 siegħa minn meta jsiru jafu bl-inċident sinifikanti, twissija bikrija, li, meta applikabbli, għandha tindika li l-inċident sinifikanti huwa ssuspettat li ġie kkawżat minn atti illegali jew malizzjużi jew jista’ jkollu impatt li jolqot lil diversi entitajiet jew impatt transfruntier;

(b)

mingħajr dewmien żejjed u fi kwalunkwe każ fi żmien 72 siegħa minn meta jsiru jafu bl-inċident sinifikanti, notifika tal-inċident, li, meta applikabbli, għandha taġġorna l-informazzjoni msemmija fil-punt (a) u tindika valutazzjoni inizjali tal-inċident sinifikanti, inklużi s-severità u l-impatt tiegħu, kif ukoll, meta disponibbli, l-indikaturi ta’ kompromess;

(c)	fuq talba tas-CERT-UE, rapport intermedju dwar aġġornamenti rilevanti tal-istatus;

(d)

rapport finali mhux aktar tard minn xahar wara s-sottomissjoni tan-notifika tal-inċident skont il-punt (b), li jinkludi dan li ġej:

(i)	deskrizzjoni dettaljata tal-inċident, inklużi s-severità u l-impatt tiegħu;

(ii)	it-tip ta’ theddida jew il-kawża ewlenija li aktarx wasslet għall-inċident;

(iii)

miżuri ta’ mitigazzjoni applikati u fis-seħħ;

(iv)	meta applikabbli, l-impatt transfruntier jew li jolqot lil diversi entitajiet tal-inċident;

(e)	fil-każ ta’ inċident li jkun għaddej fiż-żmien tas-sottomissjoni tar-rapport finali msemmi fil-punt (d), rapport tal-progress f’dak iż-żmien u rapport finali fi żmien xahar minn meta jittrattaw l-inċident.

3. Entità tal-Unjoni għandha, mingħajr dewmien żejjed u fi kwalunkwe każ fi żmien 24 siegħa minn meta ssir taf b’inċident sinifikanti, tinforma lil kwalunkwe kontroparti rilevanti tal-Istati Membri msemmija fl-Artikolu 17(1) fl-Istat Membru fejn tkun tinsab li seħħ inċident sinifikanti.

4. L-entitajiet tal-Unjoni għandhom jinnotifikaw, fost l-oħrajn, kwalunkwe informazzjoni li tippermetti lis-CERT-UE jiddetermina kwalunkwe impatt li jolqot lil diversi entitajiet, impatt fuq l-Istat Membru ospitanti jew impatt transfruntier wara inċident sinifikanti. Mingħajr preġudizzju għall-Artikolu 12, is-sempliċi att ta’ notifika ma għandux jimponi żieda fir-responsabbiltà għall-entità tal-Unjoni.

5. Meta applikabbli, l-entitajiet tal-Unjoni għandhom jikkomunikaw, mingħajr dewmien żejjed, lill-utenti tan-network u tas-sistemi tal-informazzjoni affettwati, jew ta’ komponenti oħra tal-ambjent tal-ICT, li jkunu potenzjalment affettwati minn inċident sinifikanti jew theddida ċibernetika sinifikanti, u, meta xieraq, jeħtieġ li jieħdu miżuri ta’ mitigazzjoni, kwalunkwe miżura jew rimedju li jistgħu jieħdu b’rispons għal dak l-inċident jew dik it-theddida. Meta jkun xieraq, l-entitajiet tal-Unjoni għandhom jinfurmaw lil dawk l-utenti bit-theddida ċibernetika sinifikanti nnifisha.

6. Meta inċident sinifikanti jew theddida ċibernetika sinifikanti jaffettwaw network u sistema tal-informazzjoni, jew komponent tal-ambjent tal-ICT ta’ entità tal-Unjoni li tkun konxjament konnessa ma’ ambjent tal-ICT ta’ entità oħra tal-Unjoni, is-CERT-UE għandu joħroġ ċiberallert rilevanti.

7. L-entitajiet tal-Unjoni, fuq talba tas-CERT-UE, għandhom, mingħajr dewmien żejjed, jagħtu lis-CERT-UE informazzjoni diġitali maħluqa bl-użu ta’ apparati elettroniċi involuti fl-inċidenti rispettivi tagħhom. Is-CERT-UE jista’ jipprovdi aktar dettalji tat-tipi ta’ informazzjoni li jeħtieġ għall-għarfien tas-sitwazzjoni u għar-rispons għall-inċidenti.

8. Is-CERT-UE għandu jissottometti lill-IICB, lill-ENISA, lill-INTCEN tal-UE u lin-network ta’ CSIRTs, kull tliet xhur, rapport ta’ sinteżi li jinkludi data anonimizzata u aggregata dwar inċidenti, theddid ċibernetiku sinifikanti, kważi inċidenti u vulnerabbiltajiet sinifikanti skont l-Artikolu 20 u inċidenti sinifikanti notifikati skont il-paragrafu 2 ta’ dan l-Artikolu. Ir-rapport ta’ sinteżi għandu jikkostitwixxi input għar-rapport biennali dwar l-istat taċ-ċibersigurtà fl-Unjoni adottat skont l-Artikolu 18 tad-Direttiva (UE) 2022/2555.

9. Sat-8 ta’ Lulju 2024, l-IICB għandu joħroġ linji gwida jew rakkomandazzjonijiet li jispeċifikaw aktar l-arranġamenti għar-rapportar skont dan l-Artikolu, u l-format u l-kontenut tiegħu. Meta jħejji tali linji gwida jew rakkomandazzjonijiet, l-IICB għandu jqis kwalunkwe att ta’ implimentazzjoni adottat skont l-Artikolu 23(11) tad-Direttiva (UE) 2022/2555 li jispeċifika t-tip ta’ informazzjoni, il-format u l-proċedura tan-notifiki. Is-CERT-UE għandu jxerred id-dettalji tekniċi xierqa biex jippermetti d-detezzjoni proattiva, ir-rispons għall-inċidenti jew il-miżuri ta’ mitigazzjoni mill-entitajiet tal-Unjoni.

10. L-obbligi ta’ rapportar stabbiliti f’dan l-Artikolu ma għandhomx jestendu:

(a)	għall-EUCI;

(b)	għal informazzjoni li d-distribuzzjoni ulterjuri tagħha ġiet eskluża permezz ta’ mmarkar viżibbli, sakemm il-kondiviżjoni tagħha mas-CERT-UE ma tkunx ġiet permessa b’mod espliċitu.

Artikolu 25

Rieżami

1. Sat-8 ta’ Jannar 2025, u fuq bażi annwali minn hemm ’il quddiem, l-IICB, bl-assistenza tas-CERT-UE, għandu jirrapporta lill-Kummissjoni dwar l-implimentazzjoni ta’ dan ir-Regolament. L-IICB jista’ jagħmel rakkomandazzjonijiet lill-Kummissjoni biex tirrieżamina dan ir-Regolament.

2. Sat-8 ta’ Jannar 2027 u kull sentejn wara dan, il-Kummissjoni għandha tivvaluta u tirrapporta dwar l-implimentazzjoni ta’ dan ir-Regolament u dwar l-esperjenza miksuba f’livell strateġiku u operazzjonali lill-Parlament Ewropew u lill-Kunsill.

Ir-rapport imsemmi fl-ewwel subparagrafu ta’ dan il-paragrafu għandu jinkludi r-rieżami msemmi fl-Artikolu 16(1), dwar il-possibbiltà li s-CERT-UE jiġi stabbilit bħala uffiċċju tal-Unjoni.

3. Sat-8 ta’ Jannar 2029, il-Kummissjoni għandha tevalwa l-funzjonament ta’ dan ir-Regolament u tissottometti rapport lill-Parlament Ewropew, lill-Kunsill, lill-Kumitat Ekonomiku u Soċjali Ewropew u lill-Kumitat tar-Reġjuni. Il-Kummissjoni għandha tevalwa wkoll l-adegwatezza tal-inklużjoni tan-network u s-sistemi tal-informazzjoni li jimmaniġġjaw l-EUCI fil-kamp ta’ applikazzjoni ta’ dan ir-Regolament, b’kont meħud ta’ atti leġiżlattivi oħra tal-Unjoni applikabbli għal dawk is-sistemi. Ir-rapport għandu jkun akkumpanjat, meta jkun hemm bżonn, minn proposta leġiżlattiva.

Artikolu 26

Dħul fis-seħħ

Dan ir-Regolament għandu jidħol fis-seħħ fl-għoxrin jum wara dak tal-pubblikazzjoni tiegħu f’Il-Ġurnal Uffiċjali tal-Unjoni Ewropea.

Dan ir-Regolament għandu jorbot fl-intier tiegħu u japplika direttament fl-Istati Membri kollha.

Magħmul fi Strasburgu, it-13 ta’ Diċembru 2023.

Għall-Parlament Ewropew

Il-President

R. METSOLA

Għall-Kunsill

Il-President

P. NAVARRO RÍOS

(1) Il-Pożizzjoni tal-Parlament Ewropew ta’ tal-21 ta' Novembru 2023 (għadha mhijiex ippubblikata fil-Ġurnal Uffiċjali) u d-Deċiżjoni tal-Kunsill tat-8 ta’ Diċembru 2023.

(2) Id-Direttiva (UE) 2022/2555 tal-Parlament Ewropew u tal-Kunsill tal-14 ta’ Diċembru 2022 dwar miżuri għal livell komuni għoli ta’ ċibersigurtà madwar l-Unjoni, li temenda r-Regolament (UE) Nru 910/2014 u d-Direttiva (UE) 2018/1972, u li tħassar id-Direttiva (UE) 2016/1148 (id-Direttiva NIS 2) (ĠU L 333, 27.12.2022, p. 80).

(3) Ir-Regolament (UE) 2019/881 tal-Parlament Ewropew u tal-Kunsill tas-17 ta’ April 2019 dwar l-ENISA (l-Aġenzija tal-Unjoni Ewropea għaċ-Ċibersigurtà) u dwar iċ-ċertifikazzjoni taċ-ċibersigurtà tat-teknoloġija tal-informazzjoni u tal-komunikazzjoni u li jħassar ir-Regolament (UE) Nru 526/2013 (l-Att dwar iċ-Ċibersigurtà) (ĠU L 151, 7.6.2019, p. 15).

(4) Arranġament Interistituzzjonali bejn il-Parlament Ewropew, il-Kunsill Ewropew, il-Kunsill tal-Unjoni Ewropea, il-Kummissjoni Ewropea, il-Qorti tal-Ġustizzja tal-Unjoni Ewropea, il-Bank Ċentrali Ewropew, il-Qorti Ewropea tal-Awdituri, is-Servizz Ewropew għall-Azzjoni Esterna, il-Kumitat Ekonomiku u Soċjali Ewropew, il-Kumitat Ewropew tar-Reġjuni u l-Bank Ewropew tal-Investiment dwar l-organizzazzjoni u l-operazzjoni ta’ skwadra ta’ rispons f’emerġenza relatata mal-kompjuters għall-istituzzjonijiet, il-korpi u l-aġenziji tal-Unjoni (CERT-UE) (ĠU C 12, 13.1.2018, p. 1).

(5) Ir-Regolament tal-Kunsill (KEE, Euratom, KEFA) Nru 259/68 tad-29 ta’ Frar 1968 li jistabbilixxi r-Regolamenti tal-Persunal tal-uffiċjali u l-kundizzjonijiet ta’ impjieg ta’ uffiċjali oħra tal-Komunitajiet Ewropej u li jistabbilixxi miżuri temporanji applikabbli għall-Uffiċjali tal-Kummissjoni (ĠU L 56, 4.3.1968, p. 1).

(6) Ir-Rakkomandazzjoni tal-Kummissjoni (UE) 2017/1584 tat-13 ta’ Settembru 2017 dwar Rispons Koordinat għal Inċidenti u Kriżijiet taċ-Ċibersigurtà fuq Skala Kbira (ĠU L 239, 19.9.2017, p. 36).

(7) Ir-Regolament (UE) 2018/1725 tal-Parlament Ewropew u tal-Kunsill tat-23 ta’ Ottubru 2018 dwar il-protezzjoni ta’ persuni fiżiċi fir-rigward tal-ipproċessar ta’ data personali mill-istituzzjonijiet, korpi, uffiċċji u aġenziji tal-Unjoni u dwar il-moviment liberu ta’ tali data, u li jħassar ir-Regolament (KE) Nru 45/2001 u d-Deċiżjoni Nru 1247/2002/KE (ĠU L 295, 21.11.2018, p. 39).

(8) ĠU C 258, 5.7.2022, p. 10.

(9) Ir-Regolament (UE, Euratom) 2018/1046 tal-Parlament Ewropew u tal-Kunsill tat-18 ta’ Lulju 2018 dwar ir-regoli finanzjarji applikabbli għall-baġit ġenerali tal-Unjoni, li jemenda r-Regolamenti (UE) Nru 1296/2013, (UE) Nru 1301/2013, (UE) Nru 1303/2013, (UE) Nru 1304/2013, (UE) Nru 1309/2013, (UE) Nru 1316/2013, (UE) Nru 223/2014, (UE) Nru 283/2014, u d-Deċiżjoni Nru 541/2014/UE u li jħassar ir-Regolament (UE, Euratom) Nru 966/2012 (ĠU L 193, 30.7.2018, p. 1).

(10) Ir-Regolament (KE) Nru 1049/2001 tal-Parlament Ewropew u tal-Kunsill tat-30 ta’ Mejju 2001 dwar l-aċċess pubbliku għad-dokumenti tal-Parlament Ewropew, tal-Kunsill u tal-Kummissjoni (ĠU L 145, 31.5.2001, p. 43).

ELI: http://data.europa.eu/eli/reg/2023/2841/oj

ISSN 1977-074X (electronic edition)

whereas

keyboard_tab Cyber Resilience Act 2023/2841 MT

Cyber Resilience Act 2023/2841 MT