keyboard_tab Cyber Resilience Act 2023/2841 MT

1.   Sat-8 ta’ Settembru 2024, il-Bord Interistituzzjonali taċ-Ċibersigurtà stabbilit skont l-Artikolu 10 għandu, wara li jikkonsulta mal-Aġenzija tal-Unjoni Ewropea għaċ-Ċibersigurtà (ENISA) u wara li jirċievi gwida mis-CERT-UE, joħroġ linji gwida għall-entitajiet tal-Unjoni għall-fini li jwettqu rieżami inizjali taċ-ċibersigurtà u jistabbilixxu qafas intern għall-ġestjoni, il-governanza u l-kontroll tar-riskji taċ-ċibersigurtà skont l-Artikolu 6, iwettqu valutazzjonijiet tal-maturità taċ-ċibersigurtà skont l-Artikolu 7, jieħdu miżuri ta’ ġestjoni tar-riskji taċ-ċibersigurtà skont l-Artikolu 8, u jadottaw il-pjan taċ-ċibersigurtà skont l-Artikolu 9.

2.   Meta jimplimentaw l-Artikoli 6 sa 9, l-entitajiet tal-Unjoni għandhom iqisu l-linji gwida msemmija fil-paragrafu 1 ta’ dan l-Artikolu, kif ukoll il-linji gwida u r-rakkomandazzjonijiet rilevanti adottati skont l-Artikoli 11 u 14.

1.   Sat-8 ta’ April 2025, kull entità tal-Unjoni għandha, wara li twettaq rieżami inizjali taċ-ċibersigurtà, bħal awditu, tistabbilixxi qafas intern għall-ġestjoni, il-governanza u l-kontroll tar-riskji taċ-ċibersigurtà (il-“Qafas”). L-istabbiliment tal-Qafas għandu jiġi ssorveljat mill-ogħla livell ta’ maniġment tal-entità tal-Unjoni u taħt ir-responsabbiltà tiegħu.

2.   Il-qafas għandu jkopri l-ambjent tal-ICT mhux klassifikat kollu tal-entità tal-Unjoni kkonċernata, inkluż kwalunkwe ambjent tal-ICT fuq il-post, network tat-teknoloġija operazzjonali, assi u servizzi esternalizzati f’ambjenti tal-cloud computing jew ospitati minn partijiet terzi, apparati mobbli, networks korporattivi, networks tan-negozju mhux konnessi mal-internet u kwalunkwe apparat konness ma’ dawk l-ambjenti (“ambjent tal-ICT”). Il-Qafas għandu jkun ibbażat fuq approċċ li jkopri l-perikli kollha.

3.   Il-Qafas għandu jiżgura livell għoli ta’ ċibersigurtà. Il-Qafas għandu jistabbilixxi politiki interni dwar iċ-ċibersigurtà, inklużi objettivi u prijoritajiet, għas-sigurtà tan-networks u tas-sistemi tal-informazzjoni, u r-rwoli u r-responsabbiltajiet tal-persunal tal-entità tal-Unjoni inkarigat li jiżgura l-implimentazzjoni effettiva ta’ dan ir-Regolament. Il-Qafas għandu jinkludi wkoll mekkaniżmi biex titkejjel l-effettività tal-implimentazzjoni.

4.   Il-Qafas għandu jiġi rieżaminat fuq bażi regolari, fid-dawl tar-riskji taċ-ċibersigurtà li jinbidlu, u mill-inqas kull erba’ snin. Meta xieraq u wara talba mill-Bord Interistituzzjonali taċ-Ċibersigurtà stabbilit skont l-Artikolu 10, Qafas ta’ entità tal-Unjoni jista’ jiġi aġġornat abbażi tal-gwida tas-CERT-UE dwar inċidenti identifikati jew lakuni possibbli osservati fl-implimentazzjoni ta’ dan ir-Regolament.

5.   L-ogħla livell ta’ ġestjoni ta’ kull entità tal-Unjoni għandu jkun responsabbli għall-implimentazzjoni ta’ dan ir-Regolament u għandu jissorvelja l-konformità tal-organizzazzjoni tiegħu mal-obbligi relatati mal-Qafas.

6.   Meta xieraq u mingħajr preġudizzju għar-responsabbiltà tiegħu għall-implimentazzjoni ta’ dan ir-Regolament, l-ogħla livell ta’ maniġment ta’ kull entità tal-Unjoni jista’ jiddelega obbligi speċifiċi skont dan ir-Regolament lil uffiċjali għolja skont it-tifsira tal-Artikolu 29(2) tar-Regolamenti tal-Persunal jew uffiċjali oħra f’livell ekwivalenti, fl-entità tal-Unjoni kkonċernata. Irrispettivament minn kwalunkwe delega bħal din, l-ogħla livell ta’ maniġment jista’ jinżamm responsabbli għall-ksur ta’ dan ir-Regolament mill-entità tal-Unjoni kkonċernata.

7.   Kull entità tal-Unjoni għandu jkollha mekkaniżmi effettivi fis-seħħ biex jiżguraw li perċentwal adegwat tal-baġit tal-ICT jintefaq fuq iċ-ċibersigurtà. Meta jiġi stabbilit dak il-perċentwal għandu jittieħed kont debitu tal-Qafas.

8.   Kull entità tal-Unjoni għandha taħtar uffiċjal lokali taċ-ċibersigurtà jew funzjoni ekwivalenti, li għandu jaġixxi bħala l-punt uniku ta’ kuntatt tagħha fir-rigward tal-aspetti kollha taċ-ċibersigurtà. L-uffiċjal lokali taċ-ċibersigurtà għandu jiffaċilita l-implimentazzjoni ta’ dan ir-Regolament u jirrapporta direttament lill-ogħla livell ta’ maniġment fuq bażi regolari dwar l-istat tal-implimentazzjoni. Mingħajr preġudizzju għar-rwol tal-uffiċjal lokali taċ-ċibersigurtà bħala l-punt uniku ta’ kuntatt f’kull entità tal-Unjoni, entità tal-Unjoni tista’ tiddelega ċerti kompiti tal-uffiċjal lokali taċ-ċibersigurtà fir-rigward tal-implimentazzjoni ta’ dan ir-Regolament lis-CERT-UE abbażi ta’ ftehim dwar il-livell ta’ servizz konkluż bejn dik l-entità tal-Unjoni u s-CERT-UE, jew dawk il-kompiti jistgħu jiġu kondiviżi bejn diversi entitajiet tal-Unjoni. Meta dawk il-kompiti jiġu delegati lis-CERT-EU, il-Bord Interistituzzjonali taċ-Ċibersigurtà stabbilit skont l-Artikolu 10 għandu jiddeċiedi jekk il-forniment ta’ dak is-servizz għandux ikun parti mis-servizzi tal-linja bażi tas-CERT-UE, b’kont meħud tar-riżorsi umani u finanzjarji tal-entità tal-Unjoni kkonċernata. Kull entità tal-Unjoni għandha, mingħajr dewmien żejjed, tinnotifika lis-CERT-EU dwar l-uffiċjal lokali taċ-ċibersigurtà maħtur u kwalunkwe bidla sussegwenti tiegħu.

Is-CERT-UE għandu jistabbilixxi u jżomm aġġornata lista tal-uffiċjali lokali taċ-ċibersigurtà maħtura.

9.   L-uffiċjali għolja skont it-tifsira tal-Artikolu 29(2) tar-Regolamenti tal-Persunal jew uffiċjali oħra ta’ livell ekwivalenti ta’ kull entità tal-Unjoni, kif ukoll il-membri rilevanti tal-persunal inkarigati bl-implimentazzjoni tal-miżuri tal-ġestjoni tar-riskji taċ-ċibersigurtà u bl-issodisfar tal-obbligi stabbiliti f’dan ir-Regolament, għandhom isegwu taħriġ speċifiku fuq bażi regolari bil-għan li jiksbu għarfien u ħiliet suffiċjenti sabiex jifhmu u jivvalutaw ir-riskji taċ-ċibersigurtà u l-prattiki tal-ġestjoni tar-riskji taċ-ċibersigurtà u l-impatt tagħhom fuq l-operazzjonijiet tal-entità tal-Unjoni.

1.   Mingħajr dewmien żejjed u fi kwalunkwe każ sat-8 ta’ Settembru 2025, kull entità tal-Unjoni għandha, taħt is-sorveljanza tal-ogħla livell ta’ maniġment tagħha, tieħu miżuri tekniċi, operazzjonali u organizzattivi xierqa u proporzjonati biex jiġu ġestiti r-riskji taċ-ċibersigurtà identifikati fl-ambitu tal-Qafas, u biex tipprevjeni u/jew timminimizza l-impatt tal-inċidenti. B’kont meħud tal-ogħla livell ta’ żvilupp tekniku u, meta applikabbli, tal-istandards Ewropej u internazzjonali rilevanti, dawk il-miżuri għandhom jiżguraw livell ta’ sigurtà tan-networks u tas-sistemi tal-informazzjoni fl-ambjent tal-ICT kollu kemm hu proporzjonat mar-riskji taċ-ċibersigurtà kkawżati. Meta tiġi vvalutata l-proporzjonalità ta’ dawk il-miżuri, għandu jittieħed kont debitu tal-grad tal-espożizzjoni tal-entità tal-Unjoni għar-riskji taċ-ċibersigurtà, id-daqs tagħha, il-probabbiltà tal-okkorrenza ta’ inċidenti u tas-severità tagħhom, inkluż l-impatt soċjetali, ekonomiku u interistituzzjonali tagħhom.

2.   L-entitajiet tal-Unjoni għandhom jindirizzaw mill-inqas l-oqsma li ġejjin fl-implimentazzjoni tal-miżuri tal-ġestjoni tar-riskji taċ-ċibersigurtà:

(a)	il-politika taċ-ċibersigurtà, inklużi l-miżuri meħtieġa biex jintlaħqu l-objettivi u l-prijoritajiet imsemmija fl-Artikolu 6 u fil-paragrafu 3 ta’ dan l-Artikolu;

(b)	il-politiki dwar l-analiżi tar-riskji taċ-ċibersigurtà u s-sigurtà tas-sistema tal-informazzjoni;

(c)	l-objettivi ta’ politika rigward l-użu tas-servizzi tal-cloud computing;

(d)	l-awditu taċ-ċibersigurtà, meta xieraq, li jista’ jinkludi valutazzjoni tar-riskju taċ-ċibersigurtà, tal-vulnerabbiltà u tat-theddid ċibernetiku, u ttestjar tal-penetrazzjoni mwettaq minn fornitur privat fdat fuq bażi regolari;

(e)	l-implimentazzjoni tar-rakkomandazzjonijiet li jirriżultaw mill-awditi taċ-ċibersigurtà msemmija fil-punt (d) permezz ta’ aġġornamenti taċ-ċibersigurtà u tal-politika;

(f)	l-organizzazzjoni taċ-ċibersigurtà, inkluż l-istabbiliment tar-rwoli u r-responsabbiltajiet;

(g)	l-immaniġġar ta’ assi, inkluż l-inventarju tal-assi tal-ICT u l-kartografija tan-network tal-ICT;

(h)	is-sigurtà tar-riżorsi umani u l-kontroll tal-aċċess;

(i)	is-sigurtà operazzjonali tan-network;

(j)	is-sigurtà tal-komunikazzjoni;

(k)	l-akkwiżizzjoni, l-iżvilupp u l-manutenzjoni tas-sistema, inklużi l-politiki dwar it-trattament u d-divulgazzjoni tal-vulnerabbiltajiet;

(l)	meta jkun possibbli, il-politiki dwar it-trasparenza tal-kodiċi sors;

(m)	is-sigurtà tal-katina tal-provvista, inkluż l-aspetti relatati mas-sigurtà li jikkonċernaw ir-relazzjonijiet bejn kull entità tal-Unjoni u l-fornituri diretti jew il-fornituri ta’ servizzi diretti tagħha.

(n)	it-trattament tal-inċidenti u l-kooperazzjoni mas-CERT-UE, bħall-manutenzjoni tal-monitoraġġ tas-sigurtà u reġistrazzjonijiet;

(o)	il-ġestjoni tal-kontinwità tal-operat, bħall-ġestjoni ta’ riżerva u l-irkupru minn diżastri, u l-ġestjoni tal-kriżijiet; u

(p)	il-promozzjoni u l-iżvilupp ta’ programmi ta’ edukazzjoni, ħiliet, sensibilizzazzjoni, eżerċizzju u taħriġ fil-qasam taċ-ċibersigurtà.

Għall-finijiet tal-ewwel subparagrafu, il-punt (m), l-entitajiet tal-Unjoni għandhom iqisu l-vulnerabbiltajiet speċifiċi għal kull fornitur dirett u kull fornitur ta’ servizzi dirett u l-kwalità ġenerali tal-prodotti u l-prattiki taċ-ċibersigurtà tal-fornituri u l-fornituri tas-servizzi tagħhom, inkluż il-proċeduri ta’ żvilupp siguri tagħhom.

3.   L-entitajiet tal-Unjoni għandhom jieħdu mill-inqas il-miżuri speċifiċi tal-ġestjoni tar-riskji taċ-ċibersigurtà li ġejjin:

(a)	l-arranġamenti tekniċi li jippermettu u jsostnu t-telexogħol;

(b)	passi konkreti li jimxu lejn prinċipji ta’ fiduċja żero;

(c)	l-użu tal-awtentikazzjoni b’diversi fatturi bħala norma fin-network u s-sistema tal-informazzjoni;

(d)	l-użu tal-kriptografija u l-kriptaġġ, b’mod partikolari l-kriptaġġ minn tarf sa tarf, kif ukoll l-iffirmar diġitali sigur;

(e)	meta xieraq, l-użu ta’ komunikazzjonijiet bil-vuċi, bil-vidjo u bil-kitba siguri, u sistemi ta’ komunikazzjonijiet ta’ emerġenza siguri fi ħdan l-entità tal-Unjoni;

(f)	miżuri proattivi għad-detezzjoni u t-tneħħija ta’ malware u spyware;

(g)	l-istabbiliment ta’ sigurtà tal-katina tal-provvista tas-software permezz ta’ kriterji għall-iżvilupp u l-evalwazzjoni ta’ software sigur;

(h)	l-istabbiliment u l-adozzjoni ta’ programmi ta’ taħriġ dwar iċ-ċibersigurtà proporzjonati għall-kompiti preskritti u l-kapaċitajiet mistennija għall-ogħla livell ta’ maniġment u l-membri tal-persunal tal-entità tal-Unjoni inkarigati biex jiżguraw l-implimentazzjoni effettiva ta’ dan ir-Regolament;

(i)	it-taħriġ regolari dwar iċ-ċibersigurtà tal-membri tal-persunal;

(j)	fejn rilevanti, il-parteċipazzjoni fl-analiżijiet tar-riskji tal-interkonnettività bejn l-entitajiet tal-Unjoni;

(k)

it-titjib tar-regoli dwar l-akkwist pubbliku għall-faċilitazzjoni ta’ livell komuni għoli ta’ ċibersigurtà permezz ta’: (i) it-tneħħija tal-ostakli kuntrattwali li jillimitaw il-kondiviżjoni tal-informazzjoni mill-fornituri tas-servizzi tal-ICT dwar inċidenti, vulnerabbiltajiet u theddid ċibernetiku mas-CERT-UE; (ii) l-obbligu kuntrattwali li jiġu rrapportati inċidenti, vulnerabbiltajiet u theddid ċibernetiku kif ukoll li jkun hemm fis-seħħ mekkaniżmi ta’ rispons u monitoraġġ xierqa għall-inċidenti.

1.   Wara l-konklużjoni tal-valutazzjoni tal-maturità taċ-ċibersigurtà mwettqa skont l-Artikolu 7 u waqt li jitqiesu l-assi u r-riskji taċ-ċibersigurtà identifikati fil-Qafas kif ukoll il-miżuri tal-ġestjoni tar-riskji taċ-ċibersigurtà meħuda skont l-Artikolu 8, l-ogħla livell ta’ maniġment ta’ kull entità tal-Unjoni għandu japprova pjan taċ-ċibersigurtà mingħajr dewmien żejjed u fi kwalunkwe każ sat-8 ta’ Jannar 2026. Il-pjan taċ-ċibersigurtà għandu jkollu l-għan li jżid iċ-ċibersigurtà kumplessiva tal-entità tal-Unjoni kkonċernata u b’hekk għandu jikkontribwixxi għat-titjib ta’ livell għoli komuni ta’ ċibersigurtà fi ħdan l-entitajiet tal-Unjoni. Il-pjan taċ-ċibersigurtà għandu mill-inqas jinkludi l-miżuri ta’ ġestjoni tar-riskji taċ-ċibersigurtà meħuda skont l-Artikolu 8. Il-pjan taċ-ċibersigurtà għandu jiġi rrivedut kull sentejn, jew aktar ta’ spiss fejn neċessarju, wara l-valutazzjonijiet tal-maturità taċ-ċibersigurtà mwettqa skont l-Artikolu 7 jew wara kwalunkwe rieżami sostanzjali tal-Qafas.

2.   Il-pjan taċ-ċibersigurtà għandu jinkludi l-pjan ta’ ġestjoni tal-kriżijiet ċibernetiċi tal-entità tal-Unjoni għal inċidenti kbar.

3.   L-entità tal-Unjoni għanda tissottometti l-pjan taċ-ċibersigurtà komplut lill-Bord Interistituzzjonali taċ-Ċibersigurtà stabbilit skont l-Artikolu 10.

1.   B’dan qed jiġi stabbilit Bord Interistituzzjonali taċ-Ċibersigurtà (IICB).

2.   L-IICB għandu jkun responsabbli:

(a)	għall-monitoraġġ u l-appoġġ tal-implimentazzjoni ta’ dan ir-Regolament mill-entitajiet tal-Unjoni;

(b)	għas-superviżjoni tal-implimentazzjoni tal-prijoritajiet u l-objettivi ġenerali mis-CERT-UE u l-għoti ta’ direzzjoni strateġika lis-CERT-UE.

3.   L-IICB għandu jikkonsisti minn:

(a)

rappreżentant wieħed iddeżinjat minn kull wieħed minn dawn li ġejjin: (i) il-Parlament Ewropew; (ii) il-Kunsill Ewropew; (iii) il-Kunsill tal-Unjoni Ewropea; (iv) il-Kummissjoni; (v) il-Qorti tal-Ġustizzja tal-Unjoni Ewropea; (vi) il-Bank Ċentrali Ewropew; (vii) il-Qorti tal-Awdituri; (viii) is-Servizz Ewropew għall-Azzjoni Esterna; (ix) il-Kumitat Ekonomiku u Soċjali Ewropew; (x) il-Kumitat Ewropew tar-Reġjuni; (xi) il-Bank Ewropew tal-Investiment; (xii) iċ-Ċentru Ewropew ta’ Kompetenza Industrijali, Teknoloġika u tar-Riċerka fil-qasam taċ-Ċibersigurtà; (xiii) l-ENISA; (xiv) il-Kontrollur Ewropew għall-Protezzjoni tad-Data (KEPD); (xv) l-Aġenzija tal-Unjoni Ewropea għall-Programm Spazjali.

(b)	tliet rappreżentanti ddeżinjati min-Network tal-Aġenziji tal-UE (EUAN) abbażi ta’ proposta tal-Kumitat Konsultattiv tal-ICT tiegħu biex jirrappreżentaw l-interessi tal-korpi, l-uffiċċji u l-aġenziji tal-Unjoni li jmexxu l-ambjent tal-ICT tagħhom stess, għajr dawk imsemmija fil-punt (a).

L-entitajiet tal-Unjoni rappreżentati fuq l-IICB għandu jkollhom l-għan li jiksbu bilanċ bejn il-ġeneri fost ir-rappreżentanti ddeżinjati.

4.   Il-membri tal-IICB jistgħu jiġu megħjuna minn sostitut. Rappreżentanti oħra tal-entitajiet tal-Unjoni msemmija fil-paragrafu 3 jew ta’ entitajiet oħra tal-Unjoni jistgħu jiġu mistiedna mill-President biex jattendu laqgħat tal-IICB mingħajr id-dritt tal-vot.

5.   Il-Kap tas-CERT-UE u l-Presidenti tal-Grupp ta’ Kooperazzjoni, in-Network tas-CSIRTs u l-EU-CyCLONe stabbiliti, rispettivament, skont l-Artikoli 14, 15 u 16 tad-Direttiva (UE) 2022/2555, jew is-sostituti tagħhom, jistgħu jipparteċipaw fil-laqgħat tal-IICB bħala osservaturi. F’każijiet eċċezzjonali, l-IICB jista’, f’konformità mar-regoli ta’ proċedura interni tiegħu, jiddeċiedi mod ieħor.

6.   L-IICB għandu jadotta r-regoli ta’ proċedura interni tiegħu.

7.   L-IICB għandu jiddeżinja President f’konformità mar-regoli ta’ proċedura interni tiegħu, minn fost il-membri tiegħu għal perjodu ta’ tliet snin. Is-sostitut tal-President għandu jsir membru sħiħ tal-IICB għall-istess durata.

8.   L-IICB għandu jiltaqa’ mill-inqas tliet darbiet fis-sena fuq inizjattiva tal-President tiegħu, fuq talba tas-CERT-UE jew fuq talba ta’ xi wieħed mill-membri tiegħu.

9.   Kull membru tal-IICB għandu jkollu vot wieħed. Id-deċiżjonijiet tal-IICB għandhom jittieħdu b’maġġoranza sempliċi ħlief meta jkun previst mod ieħor f’dan ir-Regolament. Il-President tal-IICB ma għandux ikollu vot ħlief fil-każ ta’ voti ndaqs, f’liema każ il-President jista’ jitfa’ vot deċiżiv.

10.   L-IICB jista’ jaġixxi permezz ta’ proċedura bil-miktub simplifikata mibdija f’konformità mar-regoli ta’ proċedura interni tiegħu. Fil-qafas ta’ dik il-proċedura, id-deċiżjoni rilevanti għandha titqies li hija approvata fil-perjodu ta’ żmien stabbilit mill-President, ħlief meta membru joġġezzjona.

11.   Is-segretarjat tal-IICB għandu jiġi pprovdut mill-Kummissjoni u għandu jagħti rendikont lill-President tal-IICB.

12.   Ir-rappreżentanti nnominati mill-EUAN għandhom jgħaddu d-deċiżjonijiet tal-IICB lill-membri tal-EUAN. Kwalunkwe membru tal-EUAN għandu jkun intitolat li jqajjem ma’ dawk ir-rappreżentanti jew mal-President tal-IICB kwalunkwe kwistjoni li jqis li jenħtieġ li tiġi indirizzata mill-IICB.

13.   L-IICB jista’ jistabbilixxi kumitat eżekuttiv biex jassistih fil-ħidma tiegħu, u jiddelegalu xi wħud mill-kompiti u s-setgħat tiegħu. L-IICB għandu jistabbilixxi r-regoli ta’ proċedura tal-kumitat eżekuttiv, inklużi l-kompiti u s-setgħat tiegħu, u l-mandati tal-membri tiegħu.

14.   Sat-8 ta’ Jannar 2025 u fuq bażi annwali minn hemm ’il quddiem, l-IICB għandu jissottometti rapport lill-Parlament Ewropew u lill-Kunsill li fih jagħti dettalji dwar il-progress li jkun sar bl-implimentazzjoni ta’ dan ir-Regolament u li jispeċifika b’mod partikolari l-firxa tal-kooperazzjoni tas-CERT-UE mal-kontropartijiet tal-Istati Membri f’kull wieħed mill-Istati Membri. Ir-rapport għandu jikkostitwixxi input għar-rapport biennali dwar l-istat taċ-ċibersigurtà fl-Unjoni adottat skont l-Artikolu 18 tad-Direttiva (UE) 2022/2555.

1.   L-IICB, skont l-Artikolu 10(2) u l-Artikolu 11, għandu jimmonitorja b’mod effettiv l-implimentazzjoni ta’ dan ir-Regolament u tal-linji gwida, tar-rakkomandazzjonijiet u tas-sejħiet għal azzjoni adottati mill-entitajiet tal-Unjoni. L-IICB jista’ jitlob l-informazzjoni jew id-dokumentazzjoni meħtieġa għal dak l-għan mill-entitajiet tal-Unjoni. Għall-fini tal-adozzjoni ta’ miżuri ta’ konformità skont dan l-Artikolu, meta l-entità tal-Unjoni kkonċernata tkun rappreżentata direttament fuq l-IICB, dik l-entità tal-Unjoni ma għandux ikollha drittijiet tal-vot.

2.   Meta l-IICB isib li entità tal-Unjoni ma implimentatx b’mod effettiv dan ir-Regolament jew il-linji gwida, ir-rakkomandazzjonijiet jew is-sejħiet għal azzjoni maħruġa skont ir-Regolament, huwa jista’, mingħajr preġudizzju għall-proċeduri interni tal-entità tal-Unjoni kkonċernata, u wara li jagħti opportunità lill-entità tal-Unjoni kkonċernata biex tippreżenta l-osservazzjonijiet tagħha:

(a)	jikkomunika opinjoni motivata lill-entità tal-Unjoni kkonċernata dwar lakuni osservati fl-implimentazzjoni ta’ dan ir-Regolament;

(b)	jipprovdi, wara li jikkonsulta lis-CERT-UE, linji gwida lill-entità tal-Unjoni kkonċernata biex jiżgura li l-qafas, il-miżuri ta’ ġestjoni tar-riskji taċ-ċibersigurtà, il-pjanijiet taċ-ċibersigurtà u r-rapportar tagħha jikkonformaw ma’ dan ir-Regolament f’perjodu ta’ żmien speċifikat;

(c)	joħroġ twissija biex jiġu indirizzati n-nuqqasijiet identifikati f’perjodu ta’ żmien speċifikat, inklużi rakkomandazzjonijiet biex jiġu emendati miżuri adottati mill-entità tal-Unjoni kkonċernata skont dan ir-Regolament;

(d)	joħroġ notifika motivata lill-entità tal-Unjoni kkonċernata, f’każ li n-nuqqasijiet identifikati fi twissija maħruġa skont il-punt (c) ma jkunux ġew indirizzati biżżejjed fil-perjodu ta’ żmien speċifikat;

(e)	joħroġ: (i) rakkomandazzjoni biex isir awditu; jew (ii) talba li jsir awditu minn servizz tal-awditjar terz;

(f)	jekk applikabbli, jinforma lill-Qorti tal-Awdituri, fl-ambitu tal-mandat tagħha, dwar l-allegata nonkonformità;

(g)	joħroġ rakkomandazzjoni biex l-Istati Membri u l-entitajiet tal-Unjoni kollha jimplimentaw sospensjoni temporanja tal-flussi tad-data lill-entità tal-Unjoni kkonċernata.

Għall-finijiet tal-ewwel subparagrafu, il-punt (c), id-destinatarji ta’ twissija għandhom jiġu limitati b’mod xieraq, meta meħtieġ fid-dawl ta’ riskju taċ-ċibersigurtà.

It-twissijiet u r-rakkomandazzjonijiet maħruġa skont l-ewwel subparagrafu għandhom ikunu diretti lejn l-ogħla livell ta’ maniġment tal-entità tal-Unjoni kkonċernata.

3.   Meta l-IICB ikun adotta miżuri skont il-paragrafu 2, l-ewwel subparagrafu, il-punti (a) sa (g), l-entità tal-Unjoni kkonċernata għandha tipprovdi dettalji tal-miżuri u l-azzjonijiet meħuda biex jiġu indirizzati n-nuqqasijiet allegati identifikati mill-IICB. L-entità tal-Unjoni għandha tissottometti dawk id-dettalji fi żmien raġonevoli li għandu jiġi miftiehem mal-IICB.

4.   Meta l-IICB iqis li hemm ksur kontinwu ta’ dan ir-Regolament minn entità tal-Unjoni li jirriżulta direttament minn azzjonijiet jew ommissjonijiet ta’ uffiċjal jew aġent ieħor tal-Unjoni, inkluż fl-ogħla livell tal-maniġment, l-IICB għandu jitlob li l-entità tal-Unjoni kkonċernata tieħu azzjoni xierqa, inkluż li jikkunsidra li jitlobha tieħu azzjoni ta’ natura dixxiplinarja, f’konformità mar-regoli u l-proċeduri stabbiliti fir-Regolamenti tal-Persunal u f’xi regoli u proċeduri applikabbli oħra. Għal dak il-għan, l-IICB għandu jittrasferixxi l-informazzjoni meħtieġa lill-entità tal-Unjoni kkonċernata.

5.   Meta l-entitajiet tal-Unjoni jinnotifikaw li ma jkunux jistgħu jissodisfaw l-iskadenzi stabbiliti fl-Artikolu 6(1) u fl-Artikolu 8(1), l-IICB jista’, f’każijiet debitament sostanzjati, filwaqt li jqis id-daqs tal-entità tal-Unjoni, jawtorizza l-estensjoni ta’ dawk l-iskadenzi.

1.   Il-missjoni tas-CERT-UE għandha tkun li jikkontribwixxi għas-sigurtà tal-ambjent tal-ICT mhux klassifikat tal-entitajiet tal-Unjoni, billi jgħinhom fil-prevenzjoni, fid-detezzjoni, fil-ġestjoni, fil-mitigazzjoni u fir-rispons għall-inċidenti u l-irkupru minnhom, u billi jaġixxi bħaċ-ċentru tagħhom ta’ koordinazzjoni tal-iskambju tal-informazzjoni u tar-rispons għall-inċidenti taċ-ċibersigurtà.

2.   Is-CERT-UE għandu jiġbor, jamministra, janalizza u jikkondividi informazzjoni mal-entitajiet tal-Unjoni dwar theddidiet, vulnerabbiltajiet u inċidenti f’infrastruttura tal-ICT mhux klassifikata. għandu jikkoordina r-risponsi għal inċidenti fil-livell interistituzzjonali u fil-livell tal-entitajiet tal-Unjoni, inkluż billi jipprovdi jew jikkoordina l-għoti ta’ assistenza operazzjonali speċjalizzata.

3.   Is-CERT-UE għandu jwettaq il-kompiti li ġejjin biex jassisti lill-entitajiet tal-Unjoni:

(a)	jappoġġjahom fl-implimentazzjoni ta’ dan ir-Regolament u jikkontribwixxi għall-koordinazzjoni tal-implimentazzjoni ta’ dan ir-Regolament permezz tal-miżuri elenkati fl-Artikolu 14(1) jew permezz ta’ rapporti ad hoc mitluba mill-IICB;

(b)	joffri servizzi standard tas-CSIRT lill-entitajiet tal-Unjoni permezz ta’ pakkett ta’ servizzi taċ-ċibersigurtà deskritti fil-katalgu tas-servizzi tiegħu (servizzi tal-linja bażi);

(c)	iżomm network ta’ pari u sħab sabiex jappoġġjaw is-servizzi kif deskritti fl-Artikoli 17 u 18;

(d)	iġib għall-attenzjoni tal-IICB kwalunkwe problema relatata mal-implimentazzjoni ta’ dan ir-Regolament u mal-implimentazzjoni tal-linji gwida, tar-rakkomandazzjonijiet u tas-sejħiet għal azzjoni;

(e)	abbażi tal-informazzjoni msemmija fil-paragrafu 2, jikkontribwixxi għall-għarfien tas-sitwazzjoni ċibernetika tal-Unjoni f’kooperazzjoni mill-qrib mal-ENISA;

(f)	jikkoordina l-ġestjoni ta’ inċidenti kbar;

(g)	jaġixxi f’isem l-entitajiet tal-Unjoni bħala l-ekwivalenti tal-koordinatur iddeżinjat għall-finijiet ta’ divulgazzjoni kkoordinata tal-vulnerabbiltajiet skont l-Artikolu 12(1) tad-Direttiva (UE) 2022/2555;

(h)	jipprovdi, fuq talba ta’ entità tal-Unjoni, skennjar proattiv mhux intrużiv tan-network u s-sistemi tal-informazzjoni aċċessibbli għall-pubbliku ta’ dik l-entità tal-Unjoni.

L-informazzjoni msemmija fl-ewwel subparagrafu, il-punt (e), għandha tiġi kondiviża mal-IICB, man-network ta’ CSIRTs u maċ-Ċentru tal-Intelligence u tas-Sitwazzjonijiet tal-Unjoni Ewropea (INTCEN tal-UE), meta applikabbli u xieraq, u soġġett għal kundizzjonijiet xierqa ta’ kunfidenzjalità.

4.   Is-CERT-UE jista’, f’konformità mal-Artikolu 17 jew 18, kif xieraq, jikkoopera mal-komunitajiet taċ-ċibersigurtà rilevanti fl-Unjoni u fl-Istati Membri tagħha, inkluż fl-oqsma li ġejjin:

(a)	it-tħejjija, il-koordinazzjoni tal-inċidenti, l-iskambju ta’ informazzjoni u r-rispons għall-kriżijiet fil-livell tekniku dwar każijiet marbuta mal-entitajiet tal-Unjoni;

(b)	il-kooperazzjoni operazzjonali rigward in-network ta’ CSIRTs, inkluż fir-rigward tal-assistenza reċiproka;

(c)	intelligence dwar it-theddid ċibernetiku, inkluż l-għarfien tas-sitwazzjoni;

(d)	dwar kwalunkwe suġġett li jeħtieġ l-għarfien espert tekniku dwar iċ-ċibersigurtà tas-CERT-UE.

5.   Fl-ambitu tal-kompetenza tiegħu, is-CERT-UE għandu jinvolvi ruħu f’kooperazzjoni strutturata mal-ENISA dwar il-bini tal-kapaċitajiet, il-kooperazzjoni operazzjonali u l-analiżijiet strateġiċi fit-tul tat-theddid ċibernetiku f’konformità mar-Regolament (UE) 2019/881. Is-CERT-UE jista’ jikkoopera u jiskambja informazzjoni maċ-Ċentru Ewropew taċ-Ċiberkriminalità tal-Europol.

6.   Is-CERT-UE jista’ jipprovdi s-servizzi li ġejjin mhux deskritti fil-katalgu tas-servizzi tiegħu (servizzi bi ħlas):

(a)

servizzi li jappoġġjaw iċ-ċibersigurtà tal-ambjent tal-ICT tal-entitajiet tal-Unjoni, għajr dawk imsemmija fil-paragrafu 3, fuq il-bażi ta’ ftehimiet dwar il-livell ta’ servizz u soġġett għar-riżorsi disponibbli, b’mod partikolari monitoraġġ tan-networks fuq firxa wiesgħa, inkluż monitoraġġ tal-ewwel linja 24/7 għal theddid ċibernetiku ta’ severità għolja;

(b)	servizzi li jappoġġjaw operazzjonijiet jew proġetti taċ-ċibersigurtà tal-entitajiet tal-Unjoni, għajr dawk li jipproteġu l-ambjent tal-ICT tagħhom, fuq il-bażi ta’ ftehimiet bil-miktub u bl-approvazzjoni minn qabel tal-IICB;

(c)	fuq talba, skennjar proattiv tan-network u tas-sistemi tal-informazzjoni tal-entità tal-Unjoni kkonċernata biex jiġu identifikati vulnerabbiltajiet b’impatt sinifikanti potenzjali;

(d)

servizzi li jappoġġjaw is-sigurtà tal-ambjent tal-ICT tagħhom lil organizzazzjonijiet għajr l-entitajiet tal-Unjoni li jikkooperaw mill-qrib mal-entitajiet tal-Unjoni, pereżempju bl-assenjar ta’ kompiti jew responsabbiltajiet skont il-liġi tal-Unjoni, fuq il-bażi ta’ ftehimiet bil-miktub u bl-approvazzjoni minn qabel tal-IICB.

Fir-rigward tal-ewwel subparagrafu, il-punt (d), is-CERT-UE jista’, fuq bażi eċċezzjonali, jidħol f’arranġamenti fil-livell tas-servizzi ma’ entitajiet oħra għajr l-entitajiet tal-Unjoni bl-approvazzjoni minn qabel tal-IICB.

7.   Is-CERT-UE għandu jorganizza eżerċizzji taċ-ċibersigurtà, u jista’ jipparteċipa fihom, jew jirrakkomanda l-parteċipazzjoni f’eżerċizzji eżistenti, meta applikabbli f’kooperazzjoni mill-qrib mal-ENISA, biex jittestja l-livell ta’ ċibersigurtà tal-entitajiet tal-Unjoni.

8.   Is-CERT-UE jista’ jipprovdi assistenza lill-entitajiet tal-Unjoni rigward inċidenti fin-networks u s-sistemi tal-informazzjoni li jamministraw l-EUCI meta jkun espliċitament mitlub jagħmel dan mill-entitajiet tal-Unjoni kkonċernati f’konformità mal-proċeduri rispettivi tagħhom. L-għoti ta’ assistenza mis-CERT-UE skont dan il-paragrafu għandu jkun mingħajr preġudizzju għar-regoli applikabbli li jikkonċernaw il-protezzjoni ta’ informazzjoni klassifikata.

9.   Is-CERT-UE għandu jinforma lill-entitajiet tal-Unjoni dwar il-proċeduri u l-proċessi tiegħu ta’ trattament tal-inċidenti.

10.   Is-CERT-UE għandu jikkontribwixxi, b’livell għoli ta’ kunfidenzjalità u affidabbiltà, permezz tal-mekkaniżmi ta’ kooperazzjoni u l-linji ta’ rapportar xierqa, informazzjoni rilevanti u anonimizzata dwar inċidenti kbar u l-mod li bih ġew ittrattati. Dik l-informazzjoni għandha tiġi inkluża fir-rapport imsemmi fl-Artikolu 10(14).

11.   Is-CERT-UE, f’kooperazzjoni mal-KEPD, għandu jappoġġja lill-entitajiet tal-Unjoni kkonċernati meta jindirizzaw inċidenti li jirriżultaw fi ksur tad-data personali, mingħajr preġudizzju għall-kompetenzi u l-kompiti tal-KEPD bħala awtorità superviżorja skont ir-Regolament (UE) 2018/1725.

12.   Jekk jintalab espressament mid-dipartimenti tal-politika tal-entitajiet tal-Unjoni, is-CERT-UE jista’ jagħti parir jew input tekniku dwar kwistjonijiet ta’ politika rilevanti.

1.   Is-CERT-UE għandu jappoġġja l-implimentazzjoni ta’ dan ir-Regolament billi joħroġ:

(a)	sejħiet għal azzjoni li jiddeskrivu miżuri ta’ sigurtà urġenti li l-entitajiet tal-Unjoni huma mħeġġa jieħdu f’perjodu ta’ żmien stabbilit;

(b)	proposti lill-IICB għal linji gwida indirizzati lill-entitajiet kollha tal-Unjoni jew lil subsett tagħhom;

(c)	proposti lill-IICB għal rakkomandazzjonijiet indirizzati lil entitajiet individwali tal-Unjoni.

Fir-rigward tal-ewwel subparagrafu, il-punt (a), l-entità tal-Unjoni kkonċernata għandha, mingħajr dewmien żejjed wara li tirċievi s-sejħa għal azzjoni, tinforma lis-CERT-UE dwar kif ġew applikati l-miżuri ta’ sigurtà urġenti.

2.   Il-linji gwida u r-rakkomandazzjonijiet jistgħu jinkludu:

(a)

metodoloġiji komuni u mudell għall-valutazzjoni tal-maturità taċ-ċibersigurtà tal-entitajiet tal-Unjoni, inklużi l-iskali jew il-KPIs korrispondenti, li jservu bħala referenza b’appoġġ għat-titjib kontinwu taċ-ċibersigurtà fl-entitajiet kollha tal-Unjoni u li jiffaċilitaw il-prijoritizzazzjoni tad-dominji u l-miżuri taċ-ċibersigurtà filwaqt li titqies il-qagħda taċ-ċibersigurtà tal-entitajiet;

(b)	arranġamenti għall-ġestjoni tar-riskju taċ-ċibersigurtà jew it-titjib tagħha u l-miżuri ta’ ġestjoni tar-riskju taċ-ċibersigurtà;

(c)	arranġamenti għall-valutazzjonijiet tal-maturità taċ-ċibersigurtà u l-pjanijiet taċ-ċibersigurtà;

(d)	meta xieraq, l-użu ta’ teknoloġija komuni, arkitettura, sors miftuħ u l-aħjar prattiki assoċjati bil-għan li jinkisbu l-interoperabbiltà u l-istandards komuni, inkluż approċċ koordinat għas-sigurtà tal-ktajjen tal-provvista;

(e)	meta xieraq, informazzjoni biex jiġi ffaċilitat l-użu ta’ strumenti għal akkwist komuni għax-xiri ta’ servizzi u prodotti rilevanti taċ-ċibersigurtà minn fornituri terzi;

(f)	arranġamenti ta’ kondiviżjoni ta’ informazzjoni skont l-Artikolu 20.

1.   Il-Kummissjoni, wara li tikseb l-approvazzjoni ta’ maġġoranza ta’ żewġ terzi tal-membri tal-IICB, għandha taħtar il-Kap tas-CERT-UE. L-IICB għandu jiġi kkonsultat fl-istadji kollha tal-proċedura tal-ħatra, b’mod partikolari fir-rigward tal-abbozzar ta’ avviżi dwar postijiet vakanti, tal-eżami ta’ applikazzjonijiet u tal-ħatra ta’ bordijiet tal-għażla fir-rigward tal-kariga. Il-proċedura tal-għażla, inkluża l-lista qasira finali ta’ kandidati li minnhom għandu jinħatar il-Kap tas-CERT-UE, għandha tiżgura rappreżentanza ġusta ta’ kull ġeneru, billi jitqiesu l-applikazzjonijiet sottomessi.

2.   Il-Kap tas-CERT-UE għandu jkun responsabbli għall-funzjonament tajjeb tas-CERT-UE u għandu jaġixxi skont il-mandat tar-rwol tiegħu u taħt id-direzzjoni tal-IICB. Il-Kap tas-CERT-UE għandu jirrapporta regolarment lill-President tal-IICB u għandu jissottometti rapporti ad hoc lill-IICB fuq talba tiegħu.

3.   Il-Kap tas-CERT-UE għandu jassisti lill-uffiċjal awtorizzanti b’delega responsabbli fl-abbozzar tar-rapport annwali tal-attività li jkun fih informazzjoni finanzjarja u ta’ ġestjoni, inklużi r-riżultati tal-kontrolli, imfassal f’konformità mal-Artikolu 74(9) tar-Regolament (UE, Euratom) 2018/1046 tal-Parlament Ewropew u tal-Kunsill (9), u għandu jirrapporta regolarment lill-uffiċjal awtorizzanti b’delega dwar l-implimentazzjoni tal-miżuri li fir-rigward tagħhom ġew sottodelegati setgħat lill-Kap tas-CERT-UE.

4.   Il-Kap tas-CERT-UE għandu jfassal, fuq bażi annwali, ippjanar finanzjarju tad-dħul u tan-nefqa amministrattivi għall-attivitajiet tiegħu, programm propost ta’ ħidma annwali, katalgu propost tas-servizzi għas-CERT-UE, reviżjonijiet proposti tal-katalgu tas-servizzi, arranġamenti proposti għal ftehimiet dwar il-livell ta’ servizz u KPIs proposti għas-CERT-UE, li għandhom jiġu approvati mill-IICB f’konformità mal-Artikolu 11. Meta jirrevedi l-lista ta’ servizzi fil-katalgu tas-servizzi tas-CERT-UE, il-Kap tas-CERT-UE għandu jqis ir-riżorsi allokati lis-CERT-UE.

5.   Il-Kap tas-CERT-UE għandu jissottometti rapporti mill-inqas annwalment lill-IICB u lill-President tal-IICB dwar l-attivitajiet u l-prestazzjoni tas-CERT-UE matul il-perjodu ta’ referenza, inkluż dwar l-implimentazzjoni tal-baġit, il-ftehimiet dwar il-livell ta’ servizz u l-ftehimiet bil-miktub konklużi, il-kooperazzjoni mal-kontropartijiet u s-sħab, u l-missjonijiet imwettqa mill-persunal, inklużi r-rapporti msemmija fl-Artikolu 11. Dawk ir-rapporti għandhom jinkludu programm ta’ ħidma għall-perjodu ta’ wara, ippjanar finanzjarju tad-dħul u n-nefqa, inkluż il-persunal, l-aġġornamenti ppjanati tal-katalgu tas-servizzi tas-CERT-UE u valutazzjoni tal-impatt mistenni li tali aġġornamenti jista’ jkollhom fir-rigward tar-riżorsi finanzjarji u umani.

1.   Is-CERT-UE għandu jiġi integrat fl-istruttura amministrattiva ta’ direttorat ġenerali tal-Kummissjoni sabiex jibbenefika mill-istrutturi ta’ appoġġ amministrattiv, ta’ ġestjoni finanzjarja u kontabilistiku tal-Kummissjoni, filwaqt li jżomm l-istatus tiegħu bħala fornitur interistituzzjonali awtonomu ta’ servizzi għall-entitajiet kollha tal-Unjoni. Il-Kummissjoni għandha tinforma lill-IICB dwar is-sede amministrattiva tas-CERT-UE u kwalunkwe modifika tagħha. Il-Kummissjoni għandha teżamina mill-ġdid l-arranġamenti amministrattivi relatati mas-CERT-UE fuq bażi regolari u fi kwalunkwe każ qabel l-istabbiliment ta’ kwalunkwe qafas finanzjarju pluriennali skont l-Artikolu 312 tat-TFUE, sabiex tkun tista’ tittieħed azzjoni xierqa. Ir-rieżami għandu jinkludi l-possibbiltà li s-CERT-UE jiġi stabbilit bħala uffiċċju tal-Unjoni.

2.   Għall-applikazzjoni tal-proċeduri amministrattivi u finanzjarji, il-Kap tas-CERT-UE għandu jaġixxi taħt l-awtorità tal-Kummissjoni u taħt is-superviżjoni tal-IICB.

3.   Il-kompiti u l-attivitajiet tas-CERT-UE, inklużi s-servizzi pprovduti mis-CERT-UE skont l-Artikolu 13(3), (4), (5) u (7) u l-Artikolu 14(1) lill-entitajiet tal-Unjoni ffinanzjati mill-intestatura tal-qafas finanzjarju pluriennali ddedikata għall-amministrazzjoni pubblika Ewropea, għandhom jiġu ffinanzjati permezz ta’ linja baġitarja distinta tal-baġit tal-Kummissjoni. Il-karigi assenjati lis-CERT-UE għandhom jiġu spjegati f’nota f’qiegħ il-paġna tal-pjan ta’ stabbiliment tal-Kummissjoni.

4.   L-entitajiet tal-Unjoni għajr dawk imsemmija fil-paragrafu 3 ta’ dan l-Artikolu għandhom jagħmlu kontribuzzjoni finanzjarja annwali lis-CERT-UE biex ikopru s-servizzi pprovduti mis-CERT-UE skont dak il-paragrafu. Il-kontribuzzjonijiet għandhom ikunu bbażati fuq l-orjentazzjonijiet mogħtija mill-IICB u miftiehma bejn kull entità tal-Unjoni u s-CERT-UE fi ftehimiet dwar il-livell ta’ servizz. Il-kontribuzzjonijiet għandhom jirrappreżentaw sehem ġust u proporzjonat tal-kostijiet totali tas-servizzi pprovduti. Għandhom jiġu riċevuti mil-linja baġitarja distinta msemmija fil-paragrafu 3 ta’ dan l-Artikolu, bħala dħul assenjat intern, kif previst fl-Artikolu 21(3), il-punt (c), tar-Regolament (UE, Euratom) 2018/1046.

5.   Il-kostijiet tas-servizz previsti fl-Artikolu 13(6) għandhom jiġu rkuprati mill-entitajiet tal-Unjoni li jirċievu s-servizzi tas-CERT-UE. Id-dħul għandu jiġi assenjat lil-linji baġitarji li jappoġġjaw il-kostijiet.

1.   Is-CERT-UE għandu, mingħajr dewmien żejjed, jikkoopera u jiskambja informazzjoni mal-kontropartijiet tal-Istati Membri, b’mod partikolari s-CSIRTs iddeżinjati jew stabbiliti skont l-Artikolu 10 tad-Direttiva (UE) 2022/2555, jew, meta applikabbli, l-awtoritajiet kompetenti u l-punti uniċi ta’ kuntatt iddeżinjati jew stabbiliti skont l-Artikolu 8 ta’ dik id-Direttiva, fir-rigward ta’ inċidenti, theddid ċibernetiku, vulnerabbiltajiet, kważi inċidenti, kontromiżuri possibbli kif ukoll l-aħjar prattiki u dwar il-kwistjonijiet kollha rilevanti għat-titjib tal-protezzjoni tal-ambjenti tal-ICT tal-entitajiet tal-Unjoni, inkluż permezz tan-network ta’ CSIRTs stabbilit skont l-Artikolu 15 tad-Direttiva (UE) 2022/2555. Is-CERT-UE għandu jappoġġja lill-Kummissjoni fl-EU-CyCLONe stabbilit skont l-Artikolu 16 tad-Direttiva (UE) 2022/2555 dwar il-ġestjoni koordinata ta’ inċidenti u kriżijiet taċ-ċibersigurtà fuq skala kbira.

2.   Meta s-CERT-UE jsir jaf b’inċident sinifikanti li jseħħ fit-territorju ta’ Stat Membru, huwa għandu, mingħajr dewmien, jinnotifika lil kwalunkwe kontroparti f’dak l-Istat Membru, f’konformità mal-paragrafu 1.

3.   Dment li d-data personali tkun protetta f’konformità mal-liġi applikabbli tal-Unjoni dwar il-protezzjoni tad-data, is-CERT-UE għandu, mingħajr dewmien żejjed, jiskambja informazzjoni rilevanti speċifika għall-inċident mal-kontropartijiet tal-Istati membri biex jiffaċilita d-detezzjoni ta’ theddid jew inċidenti ċibernetiċi simili, jew biex jikkontribwixxi għall-analiżi ta’ inċident, mingħajr l-awtorizzazzjoni tal-entità tal-Unjoni affettwata. Is-CERT-UE għandu jiskambja informazzjoni speċifika għall-inċidenti li tiżvela l-identità tal-mira tal-inċident biss fil-każ ta’ wieħed minn dan li ġej:

(a)	l-entità tal-Unjoni affettwata tkun tat il-kunsens tagħha;

(b)	l-entità tal-Unjoni affettwata ma tagħtix il-kunsens tagħha kif previst fil-punt (a) iżda d-divulgazzjoni tal-identità tal-entità tal-Unjoni affettwata żżid il-probabbiltà li l-inċidenti xi mkien ieħor jiġu evitati jew mitigati;

(c)	l-entità tal-Unjoni affettwata tkun diġà għamlet pubbliku l-fatt li kienet affettwata.

Id-deċiżjonijiet biex tiġi skambjata informazzjoni speċifika għall-inċidenti li tiżvela l-identità tal-mira tal-inċident skont l-ewwel subparagrafu, il-punt (b), għandhom jiġu approvati mill-Kap tas-CERT-UE. Qabel ma joħroġ tali deċiżjoni, is-CERT-UE għandu jikkuntattja lill-entità tal-Unjoni affettwata bil-miktub, filwaqt li jispjega b’mod ċar kif id-divulgazzjoni tal-identità tagħha tgħin biex jiġu evitati jew mitigati inċidenti xi mkien ieħor. Il-Kap tas-CERT-UE għandu jipprovdi l-ispjegazzjoni u jitlob b’mod espliċitu lill-entità tal-Unjoni biex tiddikjara jekk tagħtix il-kunsens tagħha f’perjodu ta’ żmien stabbilit. Il-Kap tas-CERT-UE għandu jinforma wkoll lill-entità tal-Unjoni li, fid-dawl tal-ispjegazzjoni pprovduta, jirriżerva d-dritt li jiddivulga l-informazzjoni anki fin-nuqqas ta’ kunsens. L-entità tal-Unjoni affettwata għandha tiġi infurmata qabel ma l-informazzjoni tiġi ddivulgata.

1.   Is-CERT-UE jista’ jikkoopera ma’ kontropartijiet fl-Unjoni għajr dawk imsemmija fl-Artikolu 17 li huma soġġetti għar-rekwiżiti ta’ ċibersigurtà tal-Unjoni, inklużi kontropartijiet speċifiċi għas-settur tal-industrija, dwar għodod u metodi, bħal tekniki, tattiki, proċeduri u l-aħjar prattiki, u dwar it-theddid ċibernetiku u l-vulnerabbiltajiet. Għall-kooperazzjoni kollha ma’ tali kontropartijiet, is-CERT-UE għandu jitlob approvazzjoni minn qabel mill-IICB fuq bażi ta’ każ b’każ. Meta s-CERT-UE jistabbilixxi kooperazzjoni ma’ tali kontropartijiet, għandu jinforma lil kwalunkwe kontroparti tal-Istati Membri msemmija fl-Artikolu 17(1), fl-Istat Membru li fih il-kontroparti tkun tinsab. Meta applikabbli u xieraq, tali kooperazzjoni u l-kundizzjonijiet tagħha, inkluż rigward iċ-ċibersigurtà, il-protezzjoni tad-data u l-immaniġġar tal-informazzjoni, għandhom jiġu stabbiliti f’arranġamenti speċifiċi ta’ kunfidenzjalità bħal kuntratti jew arranġamenti amministrattivi. Il-ftehimiet ta’ kunfidenzjalità ma għandhomx jirrikjedu approvazzjoni minn qabel mill-IICB, iżda l-President tal-IICB għandu jiġi infurmat. Fil-każ ta’ ħtieġa urġenti u imminenti li tiġi skambjata informazzjoni dwar iċ-ċibersigurtà fl-interessi tal-entitajiet tal-Unjoni jew ta’ parti oħra, is-CERT-UE jista’ jagħmel dan ma’ entità li l-kompetenza, il-kapaċità u l-għarfien espert speċifiċi tagħha jkunu meħtieġa b’mod ġustifikabbli biex tassisti b’tali ħtieġa urġenti u imminenti, anki jekk is-CERT-UE ma jkollux arranġament ta’ kunfidenzjalità fis-seħħ ma’ dik l-entità. F’każijiet bħal dawn, is-CERT-UE għandu jinforma minnufih lill-President tal-IICB, u għandu jirrapporta lill-IICB permezz ta’ rapporti jew laqgħat regolari.

2.   Is-CERT-UE jista’ jikkoopera ma’ sħab, bħal entitajiet kummerċjali, inklużi entitajiet speċifiċi għas-settur tal-industrija, organizzazzjonijiet internazzjonali, entitajiet nazzjonali mhux tal-Unjoni jew esperti individwali, biex jiġbor informazzjoni dwar theddid ċibernetiku ġenerali u speċifiku, kważi inċidenti, vulnerabbiltajiet u kontromiżuri possibbli. Għal kooperazzjoni usa’ ma’ sħab bħal dawn, is-CERT-UE għandu jfittex approvazzjoni minn qabel mill-IICB fuq bażi ta’ każ b’każ.

3.   Is-CERT-UE jista’, bil-kunsens tal-entità tal-Unjoni affettwata minn inċident u dment li jkun fis-seħħ arranġament jew kuntratt ta’ nondivulgazzjoni mal-kontroparti jew is-sieħeb rilevanti, jipprovdi informazzjoni relatata mal-inċident speċifiku lill-kontropartijiet jew lis-sħab imsemmija fil-paragrafi 1 u 2 unikament għall-fini li jikkontribwixxi għall-analiżi tiegħu.

1.   L-entitajiet tal-Unjoni u s-CERT-UE għandhom jirrispettaw l-obbligu tas-segretezza professjonali f’konformità mal-Artikolu 339 tat-TFUE jew oqfsa applikabbli ekwivalenti.

2.   Ir-Regolament (KE) Nru 1049/2001 tal-Parlament Ewropew u tal-Kunsill (10) għandu japplika fir-rigward ta’ talbiet għal aċċess pubbliku għal dokumenti miżmuma mis-CERT-UE, inkluż l-obbligu skont dak ir-Regolament li jiġu kkonsultati entitajiet oħra tal-Unjoni jew, meta rilevanti, Stati Membri oħra, kull meta talba tikkonċerna d-dokumenti tagħhom.

3.   L-immaniġġar tal-informazzjoni mill-entitajiet tal-Unjoni u mis-CERT-UE għandu jkun konformi mar-regoli applikabbli dwar is-sigurtà tal-informazzjoni

1.   L-entitajiet tal-Unjoni jistgħu, fuq bażi volontarja, jinnotifikaw lis-CERT-UE dwar inċidenti, theddid ċibernetiku, kważi inċidenti u vulnerabbiltajiet li jaffettwawhom, u jagħtuh informazzjoni dwarhom. Is-CERT-UE għandu jiżgura li jkunu disponibbli mezzi ta’ komunikazzjoni, b’livell għoli ta’ traċċabbiltà, kunfidenzjalità u affidabbiltà, għall-finijiet tal-faċilitazzjoni tal-kondiviżjoni tal-informazzjoni mal-entitajiet tal-Unjoni. Meta jipproċessa n-notifiki, is-CERT-UE jista’ jagħti prijorità lill-ipproċessar tan-notifiki obbligatorji minflok lin-notifiki volontarji. Mingħajr preġudizzju għall-Artikolu 12, in-notifika volontarja ma għandhiex tirriżulta fl-impożizzjoni ta’ xi obbligu addizzjonali fuq l-entità tal-Unjoni li tirrapporta li ma kinitx tkun soġġetta għalih kieku ma saritx dik in-notifika.

2.   Biex iwettaq il-missjoni u l-kompiti tiegħu mogħtija skont l-Artikolu 13, is-CERT-UE jista’ jitlob lill-entitajiet tal-Unjoni jipprovdulu informazzjoni mill-inventarji tas-sistemi tal-ICT rispettivi tagħhom, inkluża informazzjoni relatata mat-theddid ċibernetiku, il-kważi inċidenti, il-vulnerabbiltajiet, l-indikaturi ta’ kompromess, iċ-ċiberallerti u r-rakkomandazzjonijiet rigward il-konfigurazzjoni tal-għodod taċ-ċibersigurtà biex jiġu identifikati l-inċidenti. L-entità mitluba tal-Unjoni għandha tibgħat l-informazzjoni mitluba, u kwalunkwe aġġornament sussegwenti tagħha, mingħajr dewmien żejjed.

3.   Is-CERT-UE jista’ tiskambja informazzjoni speċifika għall-inċident ma’ entitajiet tal-Unjoni li tiżvela l-identità tal-entità tal-Unjoni affettwata mill-inċident, dment li l-entità tal-Unjoni affettwata tagħti l-kunsens tagħha. Meta entità tal-Unjoni ma tagħtix il-kunsens tagħha, għandha tagħti lis-CERT-UE raġunijiet li jissostanzjaw dik id-deċiżjoni.

4.   L-entitajiet tal-Unjoni għandhom, fuq talba, jikkondividu informazzjoni mal-Parlament Ewropew u mal-Kunsill dwar it-tlestija tal-pjanijiet taċ-ċibersigurtà.

5.   L-IICB jew is-CERT-UE, kif applikabbli, għandu, fuq talba, jikkondividi linji gwida, rakkomandazzjonijiet u sejħiet għal azzjoni mal-Parlament Ewropew u mal-Kunsill.

6.   L-obbligi ta’ rapportar stabbiliti f’dan l-Artikolu ma għandhomx jestendu:

(a)	għall-EUCI;

(b)	għal informazzjoni li d-distribuzzjoni ulterjuri tagħha ġiet eskluża permezz ta’ mmarkar viżibbli, sakemm il-kondiviżjoni tagħha mas-CERT-UE ma tkunx ġiet permessa b’mod espliċitu.

1.   Inċident għandu jitqies li huwa sinifikanti jekk:

(a)	ikun ikkawża jew kapaċi jikkawża tfixkil operazzjonali gravi fil-funzjonament tal-entità tal-Unjoni kkonċernata, jew telf finanzjarju għaliha;

(b)	ikun affettwa jew kapaċi jaffettwa lil persuni fiżiċi jew ġuridiċi oħra billi jikkawża dannu materjali jew mhux materjali konsiderevoli.

2.   L-entitajiet tal-Unjoni għandhom jissottomettu lis-CERT-UE:

(a)

mingħajr dewmien żejjed u fi kwalunkwe każ fi żmien 24 siegħa minn meta jsiru jafu bl-inċident sinifikanti, twissija bikrija, li, meta applikabbli, għandha tindika li l-inċident sinifikanti huwa ssuspettat li ġie kkawżat minn atti illegali jew malizzjużi jew jista’ jkollu impatt li jolqot lil diversi entitajiet jew impatt transfruntier;

(b)

mingħajr dewmien żejjed u fi kwalunkwe każ fi żmien 72 siegħa minn meta jsiru jafu bl-inċident sinifikanti, notifika tal-inċident, li, meta applikabbli, għandha taġġorna l-informazzjoni msemmija fil-punt (a) u tindika valutazzjoni inizjali tal-inċident sinifikanti, inklużi s-severità u l-impatt tiegħu, kif ukoll, meta disponibbli, l-indikaturi ta’ kompromess;

(c)	fuq talba tas-CERT-UE, rapport intermedju dwar aġġornamenti rilevanti tal-istatus;

(d)

rapport finali mhux aktar tard minn xahar wara s-sottomissjoni tan-notifika tal-inċident skont il-punt (b), li jinkludi dan li ġej: (i) deskrizzjoni dettaljata tal-inċident, inklużi s-severità u l-impatt tiegħu; (ii) it-tip ta’ theddida jew il-kawża ewlenija li aktarx wasslet għall-inċident; (iii) miżuri ta’ mitigazzjoni applikati u fis-seħħ; (iv) meta applikabbli, l-impatt transfruntier jew li jolqot lil diversi entitajiet tal-inċident;

(e)	fil-każ ta’ inċident li jkun għaddej fiż-żmien tas-sottomissjoni tar-rapport finali msemmi fil-punt (d), rapport tal-progress f’dak iż-żmien u rapport finali fi żmien xahar minn meta jittrattaw l-inċident.

3.   Entità tal-Unjoni għandha, mingħajr dewmien żejjed u fi kwalunkwe każ fi żmien 24 siegħa minn meta ssir taf b’inċident sinifikanti, tinforma lil kwalunkwe kontroparti rilevanti tal-Istati Membri msemmija fl-Artikolu 17(1) fl-Istat Membru fejn tkun tinsab li seħħ inċident sinifikanti.

4.   L-entitajiet tal-Unjoni għandhom jinnotifikaw, fost l-oħrajn, kwalunkwe informazzjoni li tippermetti lis-CERT-UE jiddetermina kwalunkwe impatt li jolqot lil diversi entitajiet, impatt fuq l-Istat Membru ospitanti jew impatt transfruntier wara inċident sinifikanti. Mingħajr preġudizzju għall-Artikolu 12, is-sempliċi att ta’ notifika ma għandux jimponi żieda fir-responsabbiltà għall-entità tal-Unjoni.

5.   Meta applikabbli, l-entitajiet tal-Unjoni għandhom jikkomunikaw, mingħajr dewmien żejjed, lill-utenti tan-network u tas-sistemi tal-informazzjoni affettwati, jew ta’ komponenti oħra tal-ambjent tal-ICT, li jkunu potenzjalment affettwati minn inċident sinifikanti jew theddida ċibernetika sinifikanti, u, meta xieraq, jeħtieġ li jieħdu miżuri ta’ mitigazzjoni, kwalunkwe miżura jew rimedju li jistgħu jieħdu b’rispons għal dak l-inċident jew dik it-theddida. Meta jkun xieraq, l-entitajiet tal-Unjoni għandhom jinfurmaw lil dawk l-utenti bit-theddida ċibernetika sinifikanti nnifisha.

6.   Meta inċident sinifikanti jew theddida ċibernetika sinifikanti jaffettwaw network u sistema tal-informazzjoni, jew komponent tal-ambjent tal-ICT ta’ entità tal-Unjoni li tkun konxjament konnessa ma’ ambjent tal-ICT ta’ entità oħra tal-Unjoni, is-CERT-UE għandu joħroġ ċiberallert rilevanti.

7.   L-entitajiet tal-Unjoni, fuq talba tas-CERT-UE, għandhom, mingħajr dewmien żejjed, jagħtu lis-CERT-UE informazzjoni diġitali maħluqa bl-użu ta’ apparati elettroniċi involuti fl-inċidenti rispettivi tagħhom. Is-CERT-UE jista’ jipprovdi aktar dettalji tat-tipi ta’ informazzjoni li jeħtieġ għall-għarfien tas-sitwazzjoni u għar-rispons għall-inċidenti.

8.   Is-CERT-UE għandu jissottometti lill-IICB, lill-ENISA, lill-INTCEN tal-UE u lin-network ta’ CSIRTs, kull tliet xhur, rapport ta’ sinteżi li jinkludi data anonimizzata u aggregata dwar inċidenti, theddid ċibernetiku sinifikanti, kważi inċidenti u vulnerabbiltajiet sinifikanti skont l-Artikolu 20 u inċidenti sinifikanti notifikati skont il-paragrafu 2 ta’ dan l-Artikolu. Ir-rapport ta’ sinteżi għandu jikkostitwixxi input għar-rapport biennali dwar l-istat taċ-ċibersigurtà fl-Unjoni adottat skont l-Artikolu 18 tad-Direttiva (UE) 2022/2555.

9.   Sat-8 ta’ Lulju 2024, l-IICB għandu joħroġ linji gwida jew rakkomandazzjonijiet li jispeċifikaw aktar l-arranġamenti għar-rapportar skont dan l-Artikolu, u l-format u l-kontenut tiegħu. Meta jħejji tali linji gwida jew rakkomandazzjonijiet, l-IICB għandu jqis kwalunkwe att ta’ implimentazzjoni adottat skont l-Artikolu 23(11) tad-Direttiva (UE) 2022/2555 li jispeċifika t-tip ta’ informazzjoni, il-format u l-proċedura tan-notifiki. Is-CERT-UE għandu jxerred id-dettalji tekniċi xierqa biex jippermetti d-detezzjoni proattiva, ir-rispons għall-inċidenti jew il-miżuri ta’ mitigazzjoni mill-entitajiet tal-Unjoni.

10.   L-obbligi ta’ rapportar stabbiliti f’dan l-Artikolu ma għandhomx jestendu:

(a)	għall-EUCI;

(b)	għal informazzjoni li d-distribuzzjoni ulterjuri tagħha ġiet eskluża permezz ta’ mmarkar viżibbli, sakemm il-kondiviżjoni tagħha mas-CERT-UE ma tkunx ġiet permessa b’mod espliċitu.

1.   Meta jaġixxi bħala ċentru ta’ koordinazzjoni tal-iskambju ta’ informazzjoni dwar iċ-ċibersigurtà u tar-rispons għall-inċidenti ċibernetiċi, is-CERT-UE għandu jiffaċilita l-iskambju ta’ informazzjoni fir-rigward tat-theddid ċibernetiku, il-vulnerabbiltajiet u l-kważi inċidenti bejn:

(a)	l-entitajiet tal-Unjoni;

(b)	il-kontropartijiet imsemmija fl-Artikoli 17 u 18.

2.   Is-CERT-UE, meta rilevanti u f’kooperazzjoni mill-qrib mal-ENISA, għandu jiffaċilita l-koordinazzjoni fost l-entitajiet tal-Unjoni dwar ir-rispons għall-inċidenti, inklużi:

(a)	kontribuzzjoni għal komunikazzjoni esterna konsistenti;

(b)	appoġġ reċiproku, bħall-kondiviżjoni ta’ informazzjoni rilevanti għall-entitajiet tal-Unjoni, jew l-għoti ta’ assistenza, meta rilevanti direttament fuq il-post;

(c)	l-aħjar użu tar-riżorsi operazzjonali;

(d)	koordinazzjoni ma’ mekkaniżmi oħra ta’ rispons għall-kriżijiet fil-livell tal-Unjoni.

3.   Is-CERT-UE, f’kooperazzjoni mill-qrib mal-ENISA, għandu jappoġġja lill-entitajiet tal-Unjoni rigward l-għarfien tas-sitwazzjoni ta’ theddid ċibernetiku, vulnerabbiltajiet u kważi inċidenti kif ukoll jikkondividi żviluppi reċenti fil-qasam taċ-ċibersigurtà.

4.   Sat-8 ta’ Jannar 2025, l-IICB, abbażi ta’ proposta tas-CERT-UE, għandu jadotta linji gwida jew rakkomandazzjonijiet dwar il-koordinazzjoni u l-kooperazzjoni tar-rispons għal inċidenti sinifikanti. Jekk ikun hemm suspett ta’ natura kriminali b’rabta ma’ inċident, is-CERT-UE għandu jagħti pariri dwar kif għandu jiġi rrapportat l-inċident lill-awtoritajiet tal-infurzar tal-liġi, mingħajr dewmien żejjed.

5.   Wara talba speċifika minn Stat Membru u bl-approvazzjoni tal-entitajiet tal-Unjoni kkonċernati, is-CERT-UE jista’ jitlob esperti mil-lista msemmija fl-Artikolu 23(4), biex jikkontribwixxu għar-rispons għal inċident kbir li jkollu impatt f’dak l-Istat Membru, jew inċident taċ-ċibersigurtà fuq skala kbira f’konformità mal-Artikolu 15(3), il-punt (g), tad-Direttiva (UE) 2022/2555. Regoli speċifiċi dwar l-aċċess għal esperti tekniċi u l-użu tagħhom minn entitajiet tal-Unjoni għandhom jiġu approvati mill-IICB abbażi ta’ proposta mis-CERT-UE.

1.   Sabiex jappoġġja fil-livell operazzjonali l-ġestjoni kkoordinata ta’ inċidenti kbar li jaffettwaw lill-entitajiet tal-Unjoni u biex jikkontribwixxi għall-iskambju regolari ta’ informazzjoni rilevanti fost l-entitajiet tal-Unjoni u mal-Istati Membri, l-IICB għandu, skont l-Artikolu 11, il-punt (q), jistabbilixxi pjan ta’ ġestjoni tal-kriżijiet ċibernetiċi bbażat fuq l-attivitajiet imsemmija fl-Artikolu 22(2), f’kooperazzjoni mill-qrib mas-CERT-UE u l-ENISA. Il-pjan ta’ ġestjoni tal-kriżijiet ċibernetiċi għandu jinkludi mill-inqas l-elementi li ġejjin:

(a)	arranġamenti li jikkonċernaw il-koordinazzjoni u l-fluss tal-informazzjoni fost l-entitajiet tal-Unjoni għall-ġestjoni ta’ inċidenti kbar fil-livell operazzjonali;

(b)	proċeduri operattivi standard (SOPs) komuni;

(c)	tassonomija komuni tas-severità ta’ inċidenti kbar u punti ta’ skattar ta’ kriżijiet;

(d)	eżerċizzji regolari;

(e)	kanali ta’ komunikazzjoni siguri li għandhom jintużaw.

2.   Ir-rappreżentant tal-Kummissjoni fl-IICB għandu, soġġett għall-pjan ta’ ġestjoni tal-kriżijiet ċibernetiċi stabbilit skont il-paragrafu 1 ta’ dan l-Artikolu u mingħajr preġudizzju għall-Artikolu 16(2), l-ewwel subparagrafu, tad-Direttiva (UE) 2022/2555, ikun il-punt ta’ kuntatt għall-kondiviżjoni tal-informazzjoni rilevanti fir-rigward ta’ inċidenti kbar mal-EU-CyCLONe.

3.   Is-CERT-UE għandu jikkoordina fost l-entitajiet tal-Unjoni l-ġestjoni ta’ inċidenti kbar. għandu jżomm inventarju tal-għarfien espert tekniku disponibbli li jkun meħtieġ għar-rispons għal inċidenti fil-każ ta’ inċidenti kbar u jassisti lill-IICB fil-koordinazzjoni tal-pjanijiet ta’ ġestjoni ta’ kriżijiet ċibernetiċi tal-entitajiet tal-Unjoni għall-inċidenti kbar imsemmija fl-Artikolu 9(2a).

4.   L-entitajiet tal-Unjoni għandhom jikkontribwixxu għall-inventarju ta’ għarfien espert tekniku billi jipprovdu lista aġġornata kull sena ta’ esperti disponibbli fl-organizzazzjonijiet rispettivi tagħhom bid-dettalji tal-ħiliet tekniċi speċifiċi tagħhom.

1.   Sat-8 ta’ Jannar 2025, u fuq bażi annwali minn hemm ’il quddiem, l-IICB, bl-assistenza tas-CERT-UE, għandu jirrapporta lill-Kummissjoni dwar l-implimentazzjoni ta’ dan ir-Regolament. L-IICB jista’ jagħmel rakkomandazzjonijiet lill-Kummissjoni biex tirrieżamina dan ir-Regolament.

2.   Sat-8 ta’ Jannar 2027 u kull sentejn wara dan, il-Kummissjoni għandha tivvaluta u tirrapporta dwar l-implimentazzjoni ta’ dan ir-Regolament u dwar l-esperjenza miksuba f’livell strateġiku u operazzjonali lill-Parlament Ewropew u lill-Kunsill.

Ir-rapport imsemmi fl-ewwel subparagrafu ta’ dan il-paragrafu għandu jinkludi r-rieżami msemmi fl-Artikolu 16(1), dwar il-possibbiltà li s-CERT-UE jiġi stabbilit bħala uffiċċju tal-Unjoni.

3.   Sat-8 ta’ Jannar 2029, il-Kummissjoni għandha tevalwa l-funzjonament ta’ dan ir-Regolament u tissottometti rapport lill-Parlament Ewropew, lill-Kunsill, lill-Kumitat Ekonomiku u Soċjali Ewropew u lill-Kumitat tar-Reġjuni. Il-Kummissjoni għandha tevalwa wkoll l-adegwatezza tal-inklużjoni tan-network u s-sistemi tal-informazzjoni li jimmaniġġjaw l-EUCI fil-kamp ta’ applikazzjoni ta’ dan ir-Regolament, b’kont meħud ta’ atti leġiżlattivi oħra tal-Unjoni applikabbli għal dawk is-sistemi. Ir-rapport għandu jkun akkumpanjat, meta jkun hemm bżonn, minn proposta leġiżlattiva.