Cyber Resilience Act 2023/2841 MT

1. Sat-8 ta’ April 2025, kull entità tal-Unjoni għandha, wara li twettaq rieżami inizjali taċ-ċibersigurtà, bħal awditu, tistabbilixxi qafas intern għall-ġestjoni, il-governanza u l-kontroll tar-riskji taċ-ċibersigurtà (il-“Qafas”). L-istabbiliment tal-Qafas għandu jiġi ssorveljat mill-ogħla livell ta’ maniġment tal-entità tal-Unjoni u taħt ir-responsabbiltà tiegħu.

2. Il-qafas għandu jkopri l-ambjent tal-ICT mhux klassifikat kollu tal-entità tal-Unjoni kkonċernata, inkluż kwalunkwe ambjent tal-ICT fuq il-post, network tat-teknoloġija operazzjonali, assi u servizzi esternalizzati f’ambjenti tal-cloud computing jew ospitati minn partijiet terzi, apparati mobbli, networks korporattivi, networks tan-negozju mhux konnessi mal-internet u kwalunkwe apparat konness ma’ dawk l-ambjenti (“ambjent tal-ICT”). Il-Qafas għandu jkun ibbażat fuq approċċ li jkopri l-perikli kollha.

3. Il-Qafas għandu jiżgura livell għoli ta’ ċibersigurtà. Il-Qafas għandu jistabbilixxi politiki interni dwar iċ-ċibersigurtà, inklużi objettivi u prijoritajiet, għas-sigurtà tan-networks u tas-sistemi tal-informazzjoni, u r-rwoli u r-responsabbiltajiet tal-persunal tal-entità tal-Unjoni inkarigat li jiżgura l-implimentazzjoni effettiva ta’ dan ir-Regolament. Il-Qafas għandu jinkludi wkoll mekkaniżmi biex titkejjel l-effettività tal-implimentazzjoni.

4. Il-Qafas għandu jiġi rieżaminat fuq bażi regolari, fid-dawl tar-riskji taċ-ċibersigurtà li jinbidlu, u mill-inqas kull erba’ snin. Meta xieraq u wara talba mill-Bord Interistituzzjonali taċ-Ċibersigurtà stabbilit skont l-Artikolu 10, Qafas ta’ entità tal-Unjoni jista’ jiġi aġġornat abbażi tal-gwida tas-CERT-UE dwar inċidenti identifikati jew lakuni possibbli osservati fl-implimentazzjoni ta’ dan ir-Regolament.

5. L-ogħla livell ta’ ġestjoni ta’ kull entità tal-Unjoni għandu jkun responsabbli għall-implimentazzjoni ta’ dan ir-Regolament u għandu jissorvelja l-konformità tal-organizzazzjoni tiegħu mal-obbligi relatati mal-Qafas.

6. Meta xieraq u mingħajr preġudizzju għar-responsabbiltà tiegħu għall-implimentazzjoni ta’ dan ir-Regolament, l-ogħla livell ta’ maniġment ta’ kull entità tal-Unjoni jista’ jiddelega obbligi speċifiċi skont dan ir-Regolament lil uffiċjali għolja skont it-tifsira tal-Artikolu 29(2) tar-Regolamenti tal-Persunal jew uffiċjali oħra f’livell ekwivalenti, fl-entità tal-Unjoni kkonċernata. Irrispettivament minn kwalunkwe delega bħal din, l-ogħla livell ta’ maniġment jista’ jinżamm responsabbli għall-ksur ta’ dan ir-Regolament mill-entità tal-Unjoni kkonċernata.

7. Kull entità tal-Unjoni għandu jkollha mekkaniżmi effettivi fis-seħħ biex jiżguraw li perċentwal adegwat tal-baġit tal-ICT jintefaq fuq iċ-ċibersigurtà. Meta jiġi stabbilit dak il-perċentwal għandu jittieħed kont debitu tal-Qafas.

8. Kull entità tal-Unjoni għandha taħtar uffiċjal lokali taċ-ċibersigurtà jew funzjoni ekwivalenti, li għandu jaġixxi bħala l-punt uniku ta’ kuntatt tagħha fir-rigward tal-aspetti kollha taċ-ċibersigurtà. L-uffiċjal lokali taċ-ċibersigurtà għandu jiffaċilita l-implimentazzjoni ta’ dan ir-Regolament u jirrapporta direttament lill-ogħla livell ta’ maniġment fuq bażi regolari dwar l-istat tal-implimentazzjoni. Mingħajr preġudizzju għar-rwol tal-uffiċjal lokali taċ-ċibersigurtà bħala l-punt uniku ta’ kuntatt f’kull entità tal-Unjoni, entità tal-Unjoni tista’ tiddelega ċerti kompiti tal-uffiċjal lokali taċ-ċibersigurtà fir-rigward tal-implimentazzjoni ta’ dan ir-Regolament lis-CERT-UE abbażi ta’ ftehim dwar il-livell ta’ servizz konkluż bejn dik l-entità tal-Unjoni u s-CERT-UE, jew dawk il-kompiti jistgħu jiġu kondiviżi bejn diversi entitajiet tal-Unjoni. Meta dawk il-kompiti jiġu delegati lis-CERT-EU, il-Bord Interistituzzjonali taċ-Ċibersigurtà stabbilit skont l-Artikolu 10 għandu jiddeċiedi jekk il-forniment ta’ dak is-servizz għandux ikun parti mis-servizzi tal-linja bażi tas-CERT-UE, b’kont meħud tar-riżorsi umani u finanzjarji tal-entità tal-Unjoni kkonċernata. Kull entità tal-Unjoni għandha, mingħajr dewmien żejjed, tinnotifika lis-CERT-EU dwar l-uffiċjal lokali taċ-ċibersigurtà maħtur u kwalunkwe bidla sussegwenti tiegħu.

Is-CERT-UE għandu jistabbilixxi u jżomm aġġornata lista tal-uffiċjali lokali taċ-ċibersigurtà maħtura.

9. L-uffiċjali għolja skont it-tifsira tal-Artikolu 29(2) tar-Regolamenti tal-Persunal jew uffiċjali oħra ta’ livell ekwivalenti ta’ kull entità tal-Unjoni, kif ukoll il-membri rilevanti tal-persunal inkarigati bl-implimentazzjoni tal-miżuri tal-ġestjoni tar-riskji taċ-ċibersigurtà u bl-issodisfar tal-obbligi stabbiliti f’dan ir-Regolament, għandhom isegwu taħriġ speċifiku fuq bażi regolari bil-għan li jiksbu għarfien u ħiliet suffiċjenti sabiex jifhmu u jivvalutaw ir-riskji taċ-ċibersigurtà u l-prattiki tal-ġestjoni tar-riskji taċ-ċibersigurtà u l-impatt tagħhom fuq l-operazzjonijiet tal-entità tal-Unjoni.

Artikolu 11

Kompiti tal-IICB

Meta jeżerċita r-responsabbiltajiet tiegħu, l-IICB għandu, b’mod partikolari:

(a)	jipprovdi gwida lill-Kap tas-CERT-UE;

(b)	jimmonitorja u jissorvelja b’mod effettiv l-implimentazzjoni ta’ dan ir-Regolament u jappoġġja lill-entitajiet tal-Unjoni fit-tisħiħ taċ-ċibersigurtà tagħhom, inkluż, meta xieraq, billi jitlob rapporti ad hoc mill-entitajiet tal-Unjoni u mis-CERT-UE;

(c)	wara diskussjoni strateġika, jadotta strateġija pluriennali dwar żieda fil-livell taċ-ċibersigurtà fl-entitajiet tal-Unjoni, jivvaluta dik l-istrateġija fuq bażi regolari u fi kwalunkwe każ kull ħames snin u, meta meħtieġ, jemenda dik l-istrateġija;

(d)

jistabbilixxi l-metodoloġija u l-aspetti organizzattivi għat-twettiq ta’ rieżamijiet bejn il-pari volontarji mill-entitajiet tal-Unjoni, bil-ħsieb li wieħed jitgħallem mill-esperjenzi kondiviżi, li tissaħħaħ il-fiduċja reċiproka, jinkiseb livell għoli komuni ta’ ċibersigurtà, kif ukoll jissaħħu l-kapaċitajiet ta’ ċibersigurtà tal-entitajiet tal-Unjoni, filwaqt li jiżgura li tali rieżamijiet bejn il-pari jitwettqu minn esperti taċ-ċibersigurtà ddeżinjati minn entità tal-Unjoni differenti mill-entità tal-Unjoni li tkun qed tiġi rieżaminata u li l-metodoloġija tkun ibbażata fuq l-Artikolu 19 tad-Direttiva (UE) 2022/2555 u, meta xieraq, tkun adattata għall-entitajiet tal-Unjoni;

(e)	japprova, abbażi ta’ proposta tal-Kap tas-CERT-UE, il-programm ta’ ħidma annwali tas-CERT-UE u jimmonitorja l-implimentazzjoni tiegħu;

(f)	japprova, abbażi ta’ proposta tal-Kap tas-CERT-UE, il-katalgu tas-servizzi tas-CERT-UE u kwalunkwe aġġornament tiegħu;

(g)	japprova, abbażi ta’ proposta tal-Kap tas-CERT-UE, l-ippjanar finanzjarju annwali tad-dħul u tan-nefqa, inkluż tal-persunal, għall-attivitajiet tas-CERT-UE;

(h)	japprova, abbażi ta’ proposta mill-Kap tas-CERT-UE, l-arranġamenti għall-ftehimiet dwar il-livell ta’ servizz;

(i)	jeżamina u japprova r-rapport annwali mfassal mill-Kap tas-CERT-UE li jkopri l-attivitajiet tas-CERT-UE u l-ġestjoni tal-fondi mis-CERT-UE;

(j)	japprova u jimmonitorja indikaturi ewlenin tal-prestazzjoni (KPIs) għas-CERT-UE stabbiliti abbażi ta’ proposta tal-Kap tas-CERT-UE;

(k)	japprova l-arranġamenti ta’ kooperazzjoni, il-ftehimiet dwar il-livell ta’ servizz jew il-kuntratti bejn is-CERT-UE u entitajiet oħrajn skont l-Artikolu 18;

(l)	jadotta linji gwida u rakkomandazzjonijiet abbażi ta’ proposta tas-CERT-UE f’konformità mal-Artikolu 14 u jagħti istruzzjonijiet lis-CERT-UE biex joħroġ, jirtira jew jimmodifika proposta għal linji gwida jew rakkomandazzjonijiet, jew sejħa għal azzjoni;

(m)	jistabbilixxi gruppi konsultattivi tekniċi b’kompiti speċifiċi biex jassistu l-ħidma tal-IICB, japprova t-termini ta’ referenza tagħhom u jiddeżinja l-Presidenti rispettivi tagħhom;

(n)	jirċievi u jivvaluta dokumenti u rapporti sottomessi mill-entitajiet tal-Unjoni skont dan ir-Regolament, bħal valutazzjonijiet tal-maturità taċ-ċibersigurtà;

(o)	jiffaċilita l-istabbiliment ta’ grupp informali ta’ uffiċjali lokali taċ-ċibersigurtà tal-entitajiet tal-Unjoni, appoġġati mill-ENISA, bl-għan tal-iskambju tal-aħjar prattiki u ta’ informazzjoni fir-rigward tal-implimentazzjoni ta’ dan ir-Regolament;

(p)	filwaqt li jqis l-informazzjoni dwar ir-riskji taċ-ċibersigurtà identifikati u t-tagħlimiet meħuda pprovduti mis-CERT-UE, jimmonitorja l-adegwatezza tal-arranġamenti tal-interkonnettività fost l-ambjenti tal-ICT tal-entitajiet tal-Unjoni u jagħti pariri dwar titjib possibbli;

(q)

jistabbilixxi pjan ta’ ġestjoni tal-kriżijiet ċibernetiċi bil-ħsieb li jappoġġja, f’livell operazzjonali, il-ġestjoni koordinata ta’ inċidenti kbar li jaffettwaw lill-entitajiet tal-Unjoni u li jikkontribwixxi għall-iskambju regolari ta’ informazzjoni rilevanti, b’mod partikolari fir-rigward tal-impatti u s-severità ta’ inċidenti kbar u l-modi possibbli biex l-effetti tagħhom jiġu mitigati;

(r)	jikkoordina l-adozzjoni tal-pjanijiet ta’ ġestjoni tal-kriżijiet ċibernetiċi tal-entitajiet individwali tal-Unjoni msemmija fl-Artikolu 9(2);

(s)

jadotta rakkomandazzjonijiet relatati mas-sigurtà tal-ktajjen tal-provvista msemmija fl-Artikolu 8(2), l-ewwel subparagrafu, il-punt (m), filwaqt li jqis ir-riżultati ta’ valutazzjonijiet tar-riskji tas-sigurtà kkoordinati fuq livell tal-Unjoni tal-ktajjen ta’ provvista kritiċi msemmija fl-Artikolu 22 tad-Direttiva (UE) 2022/2555 biex l-entitajiet tal-Unjoni jiġu appoġġati fl-adozzjoni ta’ miżuri effettivi u proporzjonati ta’ ġestjoni tar-riskji taċ-ċibersigurtà.

Artikolu 13

Missjoni u kompiti tas-CERT-UE

1. Il-missjoni tas-CERT-UE għandha tkun li jikkontribwixxi għas-sigurtà tal-ambjent tal-ICT mhux klassifikat tal-entitajiet tal-Unjoni, billi jgħinhom fil-prevenzjoni, fid-detezzjoni, fil-ġestjoni, fil-mitigazzjoni u fir-rispons għall-inċidenti u l-irkupru minnhom, u billi jaġixxi bħaċ-ċentru tagħhom ta’ koordinazzjoni tal-iskambju tal-informazzjoni u tar-rispons għall-inċidenti taċ-ċibersigurtà.

2. Is-CERT-UE għandu jiġbor, jamministra, janalizza u jikkondividi informazzjoni mal-entitajiet tal-Unjoni dwar theddidiet, vulnerabbiltajiet u inċidenti f’infrastruttura tal-ICT mhux klassifikata. Għandu jikkoordina r-risponsi għal inċidenti fil-livell interistituzzjonali u fil-livell tal-entitajiet tal-Unjoni, inkluż billi jipprovdi jew jikkoordina l-għoti ta’ assistenza operazzjonali speċjalizzata.

3. Is-CERT-UE għandu jwettaq il-kompiti li ġejjin biex jassisti lill-entitajiet tal-Unjoni:

(a)	jappoġġjahom fl-implimentazzjoni ta’ dan ir-Regolament u jikkontribwixxi għall-koordinazzjoni tal-implimentazzjoni ta’ dan ir-Regolament permezz tal-miżuri elenkati fl-Artikolu 14(1) jew permezz ta’ rapporti ad hoc mitluba mill-IICB;

(b)	joffri servizzi standard tas-CSIRT lill-entitajiet tal-Unjoni permezz ta’ pakkett ta’ servizzi taċ-ċibersigurtà deskritti fil-katalgu tas-servizzi tiegħu (servizzi tal-linja bażi);

(c)	iżomm network ta’ pari u sħab sabiex jappoġġjaw is-servizzi kif deskritti fl-Artikoli 17 u 18;

(d)	iġib għall-attenzjoni tal-IICB kwalunkwe problema relatata mal-implimentazzjoni ta’ dan ir-Regolament u mal-implimentazzjoni tal-linji gwida, tar-rakkomandazzjonijiet u tas-sejħiet għal azzjoni;

(e)	abbażi tal-informazzjoni msemmija fil-paragrafu 2, jikkontribwixxi għall-għarfien tas-sitwazzjoni ċibernetika tal-Unjoni f’kooperazzjoni mill-qrib mal-ENISA;

(f)	jikkoordina l-ġestjoni ta’ inċidenti kbar;

(g)	jaġixxi f’isem l-entitajiet tal-Unjoni bħala l-ekwivalenti tal-koordinatur iddeżinjat għall-finijiet ta’ divulgazzjoni kkoordinata tal-vulnerabbiltajiet skont l-Artikolu 12(1) tad-Direttiva (UE) 2022/2555;

(h)	jipprovdi, fuq talba ta’ entità tal-Unjoni, skennjar proattiv mhux intrużiv tan-network u s-sistemi tal-informazzjoni aċċessibbli għall-pubbliku ta’ dik l-entità tal-Unjoni.

L-informazzjoni msemmija fl-ewwel subparagrafu, il-punt (e), għandha tiġi kondiviża mal-IICB, man-network ta’ CSIRTs u maċ-Ċentru tal-Intelligence u tas-Sitwazzjonijiet tal-Unjoni Ewropea (INTCEN tal-UE), meta applikabbli u xieraq, u soġġett għal kundizzjonijiet xierqa ta’ kunfidenzjalità.

4. Is-CERT-UE jista’, f’konformità mal-Artikolu 17 jew 18, kif xieraq, jikkoopera mal-komunitajiet taċ-ċibersigurtà rilevanti fl-Unjoni u fl-Istati Membri tagħha, inkluż fl-oqsma li ġejjin:

(a)	it-tħejjija, il-koordinazzjoni tal-inċidenti, l-iskambju ta’ informazzjoni u r-rispons għall-kriżijiet fil-livell tekniku dwar każijiet marbuta mal-entitajiet tal-Unjoni;

(b)	il-kooperazzjoni operazzjonali rigward in-network ta’ CSIRTs, inkluż fir-rigward tal-assistenza reċiproka;

(c)	intelligence dwar it-theddid ċibernetiku, inkluż l-għarfien tas-sitwazzjoni;

(d)	dwar kwalunkwe suġġett li jeħtieġ l-għarfien espert tekniku dwar iċ-ċibersigurtà tas-CERT-UE.

5. Fl-ambitu tal-kompetenza tiegħu, is-CERT-UE għandu jinvolvi ruħu f’kooperazzjoni strutturata mal-ENISA dwar il-bini tal-kapaċitajiet, il-kooperazzjoni operazzjonali u l-analiżijiet strateġiċi fit-tul tat-theddid ċibernetiku f’konformità mar-Regolament (UE) 2019/881. Is-CERT-UE jista’ jikkoopera u jiskambja informazzjoni maċ-Ċentru Ewropew taċ-Ċiberkriminalità tal-Europol.

6. Is-CERT-UE jista’ jipprovdi s-servizzi li ġejjin mhux deskritti fil-katalgu tas-servizzi tiegħu (servizzi bi ħlas):

(a)

servizzi li jappoġġjaw iċ-ċibersigurtà tal-ambjent tal-ICT tal-entitajiet tal-Unjoni, għajr dawk imsemmija fil-paragrafu 3, fuq il-bażi ta’ ftehimiet dwar il-livell ta’ servizz u soġġett għar-riżorsi disponibbli, b’mod partikolari monitoraġġ tan-networks fuq firxa wiesgħa, inkluż monitoraġġ tal-ewwel linja 24/7 għal theddid ċibernetiku ta’ severità għolja;

(b)	servizzi li jappoġġjaw operazzjonijiet jew proġetti taċ-ċibersigurtà tal-entitajiet tal-Unjoni, għajr dawk li jipproteġu l-ambjent tal-ICT tagħhom, fuq il-bażi ta’ ftehimiet bil-miktub u bl-approvazzjoni minn qabel tal-IICB;

(c)	fuq talba, skennjar proattiv tan-network u tas-sistemi tal-informazzjoni tal-entità tal-Unjoni kkonċernata biex jiġu identifikati vulnerabbiltajiet b’impatt sinifikanti potenzjali;

(d)

servizzi li jappoġġjaw is-sigurtà tal-ambjent tal-ICT tagħhom lil organizzazzjonijiet għajr l-entitajiet tal-Unjoni li jikkooperaw mill-qrib mal-entitajiet tal-Unjoni, pereżempju bl-assenjar ta’ kompiti jew responsabbiltajiet skont il-liġi tal-Unjoni, fuq il-bażi ta’ ftehimiet bil-miktub u bl-approvazzjoni minn qabel tal-IICB.

Fir-rigward tal-ewwel subparagrafu, il-punt (d), is-CERT-UE jista’, fuq bażi eċċezzjonali, jidħol f’arranġamenti fil-livell tas-servizzi ma’ entitajiet oħra għajr l-entitajiet tal-Unjoni bl-approvazzjoni minn qabel tal-IICB.

7. Is-CERT-UE għandu jorganizza eżerċizzji taċ-ċibersigurtà, u jista’ jipparteċipa fihom, jew jirrakkomanda l-parteċipazzjoni f’eżerċizzji eżistenti, meta applikabbli f’kooperazzjoni mill-qrib mal-ENISA, biex jittestja l-livell ta’ ċibersigurtà tal-entitajiet tal-Unjoni.

8. Is-CERT-UE jista’ jipprovdi assistenza lill-entitajiet tal-Unjoni rigward inċidenti fin-networks u s-sistemi tal-informazzjoni li jamministraw l-EUCI meta jkun espliċitament mitlub jagħmel dan mill-entitajiet tal-Unjoni kkonċernati f’konformità mal-proċeduri rispettivi tagħhom. L-għoti ta’ assistenza mis-CERT-UE skont dan il-paragrafu għandu jkun mingħajr preġudizzju għar-regoli applikabbli li jikkonċernaw il-protezzjoni ta’ informazzjoni klassifikata.

9. Is-CERT-UE għandu jinforma lill-entitajiet tal-Unjoni dwar il-proċeduri u l-proċessi tiegħu ta’ trattament tal-inċidenti.

10. Is-CERT-UE għandu jikkontribwixxi, b’livell għoli ta’ kunfidenzjalità u affidabbiltà, permezz tal-mekkaniżmi ta’ kooperazzjoni u l-linji ta’ rapportar xierqa, informazzjoni rilevanti u anonimizzata dwar inċidenti kbar u l-mod li bih ġew ittrattati. Dik l-informazzjoni għandha tiġi inkluża fir-rapport imsemmi fl-Artikolu 10(14).

11. Is-CERT-UE, f’kooperazzjoni mal-KEPD, għandu jappoġġja lill-entitajiet tal-Unjoni kkonċernati meta jindirizzaw inċidenti li jirriżultaw fi ksur tad-data personali, mingħajr preġudizzju għall-kompetenzi u l-kompiti tal-KEPD bħala awtorità superviżorja skont ir-Regolament (UE) 2018/1725.

12. Jekk jintalab espressament mid-dipartimenti tal-politika tal-entitajiet tal-Unjoni, is-CERT-UE jista’ jagħti parir jew input tekniku dwar kwistjonijiet ta’ politika rilevanti.

Artikolu 15

Il-Kap tas-CERT-UE

1. Il-Kummissjoni, wara li tikseb l-approvazzjoni ta’ maġġoranza ta’ żewġ terzi tal-membri tal-IICB, għandha taħtar il-Kap tas-CERT-UE. L-IICB għandu jiġi kkonsultat fl-istadji kollha tal-proċedura tal-ħatra, b’mod partikolari fir-rigward tal-abbozzar ta’ avviżi dwar postijiet vakanti, tal-eżami ta’ applikazzjonijiet u tal-ħatra ta’ bordijiet tal-għażla fir-rigward tal-kariga. Il-proċedura tal-għażla, inkluża l-lista qasira finali ta’ kandidati li minnhom għandu jinħatar il-Kap tas-CERT-UE, għandha tiżgura rappreżentanza ġusta ta’ kull ġeneru, billi jitqiesu l-applikazzjonijiet sottomessi.

2. Il-Kap tas-CERT-UE għandu jkun responsabbli għall-funzjonament tajjeb tas-CERT-UE u għandu jaġixxi skont il-mandat tar-rwol tiegħu u taħt id-direzzjoni tal-IICB. Il-Kap tas-CERT-UE għandu jirrapporta regolarment lill-President tal-IICB u għandu jissottometti rapporti ad hoc lill-IICB fuq talba tiegħu.

3. Il-Kap tas-CERT-UE għandu jassisti lill-uffiċjal awtorizzanti b’delega responsabbli fl-abbozzar tar-rapport annwali tal-attività li jkun fih informazzjoni finanzjarja u ta’ ġestjoni, inklużi r-riżultati tal-kontrolli, imfassal f’konformità mal-Artikolu 74(9) tar-Regolament (UE, Euratom) 2018/1046 tal-Parlament Ewropew u tal-Kunsill (9), u għandu jirrapporta regolarment lill-uffiċjal awtorizzanti b’delega dwar l-implimentazzjoni tal-miżuri li fir-rigward tagħhom ġew sottodelegati setgħat lill-Kap tas-CERT-UE.

4. Il-Kap tas-CERT-UE għandu jfassal, fuq bażi annwali, ippjanar finanzjarju tad-dħul u tan-nefqa amministrattivi għall-attivitajiet tiegħu, programm propost ta’ ħidma annwali, katalgu propost tas-servizzi għas-CERT-UE, reviżjonijiet proposti tal-katalgu tas-servizzi, arranġamenti proposti għal ftehimiet dwar il-livell ta’ servizz u KPIs proposti għas-CERT-UE, li għandhom jiġu approvati mill-IICB f’konformità mal-Artikolu 11. Meta jirrevedi l-lista ta’ servizzi fil-katalgu tas-servizzi tas-CERT-UE, il-Kap tas-CERT-UE għandu jqis ir-riżorsi allokati lis-CERT-UE.

5. Il-Kap tas-CERT-UE għandu jissottometti rapporti mill-inqas annwalment lill-IICB u lill-President tal-IICB dwar l-attivitajiet u l-prestazzjoni tas-CERT-UE matul il-perjodu ta’ referenza, inkluż dwar l-implimentazzjoni tal-baġit, il-ftehimiet dwar il-livell ta’ servizz u l-ftehimiet bil-miktub konklużi, il-kooperazzjoni mal-kontropartijiet u s-sħab, u l-missjonijiet imwettqa mill-persunal, inklużi r-rapporti msemmija fl-Artikolu 11. Dawk ir-rapporti għandhom jinkludu programm ta’ ħidma għall-perjodu ta’ wara, ippjanar finanzjarju tad-dħul u n-nefqa, inkluż il-persunal, l-aġġornamenti ppjanati tal-katalgu tas-servizzi tas-CERT-UE u valutazzjoni tal-impatt mistenni li tali aġġornamenti jista’ jkollhom fir-rigward tar-riżorsi finanzjarji u umani.

Artikolu 16

Kwistjonijiet finanzjarji u ta’ persunal

1. Is-CERT-UE għandu jiġi integrat fl-istruttura amministrattiva ta’ direttorat ġenerali tal-Kummissjoni sabiex jibbenefika mill-istrutturi ta’ appoġġ amministrattiv, ta’ ġestjoni finanzjarja u kontabilistiku tal-Kummissjoni, filwaqt li jżomm l-istatus tiegħu bħala fornitur interistituzzjonali awtonomu ta’ servizzi għall-entitajiet kollha tal-Unjoni. Il-Kummissjoni għandha tinforma lill-IICB dwar is-sede amministrattiva tas-CERT-UE u kwalunkwe modifika tagħha. Il-Kummissjoni għandha teżamina mill-ġdid l-arranġamenti amministrattivi relatati mas-CERT-UE fuq bażi regolari u fi kwalunkwe każ qabel l-istabbiliment ta’ kwalunkwe qafas finanzjarju pluriennali skont l-Artikolu 312 tat-TFUE, sabiex tkun tista’ tittieħed azzjoni xierqa. Ir-rieżami għandu jinkludi l-possibbiltà li s-CERT-UE jiġi stabbilit bħala uffiċċju tal-Unjoni.

2. Għall-applikazzjoni tal-proċeduri amministrattivi u finanzjarji, il-Kap tas-CERT-UE għandu jaġixxi taħt l-awtorità tal-Kummissjoni u taħt is-superviżjoni tal-IICB.

3. Il-kompiti u l-attivitajiet tas-CERT-UE, inklużi s-servizzi pprovduti mis-CERT-UE skont l-Artikolu 13(3), (4), (5) u (7) u l-Artikolu 14(1) lill-entitajiet tal-Unjoni ffinanzjati mill-intestatura tal-qafas finanzjarju pluriennali ddedikata għall-amministrazzjoni pubblika Ewropea, għandhom jiġu ffinanzjati permezz ta’ linja baġitarja distinta tal-baġit tal-Kummissjoni. Il-karigi assenjati lis-CERT-UE għandhom jiġu spjegati f’nota f’qiegħ il-paġna tal-pjan ta’ stabbiliment tal-Kummissjoni.

4. L-entitajiet tal-Unjoni għajr dawk imsemmija fil-paragrafu 3 ta’ dan l-Artikolu għandhom jagħmlu kontribuzzjoni finanzjarja annwali lis-CERT-UE biex ikopru s-servizzi pprovduti mis-CERT-UE skont dak il-paragrafu. Il-kontribuzzjonijiet għandhom ikunu bbażati fuq l-orjentazzjonijiet mogħtija mill-IICB u miftiehma bejn kull entità tal-Unjoni u s-CERT-UE fi ftehimiet dwar il-livell ta’ servizz. Il-kontribuzzjonijiet għandhom jirrappreżentaw sehem ġust u proporzjonat tal-kostijiet totali tas-servizzi pprovduti. Għandhom jiġu riċevuti mil-linja baġitarja distinta msemmija fil-paragrafu 3 ta’ dan l-Artikolu, bħala dħul assenjat intern, kif previst fl-Artikolu 21(3), il-punt (c), tar-Regolament (UE, Euratom) 2018/1046.

5. Il-kostijiet tas-servizz previsti fl-Artikolu 13(6) għandhom jiġu rkuprati mill-entitajiet tal-Unjoni li jirċievu s-servizzi tas-CERT-UE. Id-dħul għandu jiġi assenjat lil-linji baġitarji li jappoġġjaw il-kostijiet.

Artikolu 22

Koordinazzjoni u kooperazzjoni dwar ir-rispons għall-inċidenti

1. Meta jaġixxi bħala ċentru ta’ koordinazzjoni tal-iskambju ta’ informazzjoni dwar iċ-ċibersigurtà u tar-rispons għall-inċidenti ċibernetiċi, is-CERT-UE għandu jiffaċilita l-iskambju ta’ informazzjoni fir-rigward tat-theddid ċibernetiku, il-vulnerabbiltajiet u l-kważi inċidenti bejn:

(a)	l-entitajiet tal-Unjoni;

(b)	il-kontropartijiet imsemmija fl-Artikoli 17 u 18.

2. Is-CERT-UE, meta rilevanti u f’kooperazzjoni mill-qrib mal-ENISA, għandu jiffaċilita l-koordinazzjoni fost l-entitajiet tal-Unjoni dwar ir-rispons għall-inċidenti, inklużi:

(a)	kontribuzzjoni għal komunikazzjoni esterna konsistenti;

(b)	appoġġ reċiproku, bħall-kondiviżjoni ta’ informazzjoni rilevanti għall-entitajiet tal-Unjoni, jew l-għoti ta’ assistenza, meta rilevanti direttament fuq il-post;

(c)	l-aħjar użu tar-riżorsi operazzjonali;

(d)	koordinazzjoni ma’ mekkaniżmi oħra ta’ rispons għall-kriżijiet fil-livell tal-Unjoni.

3. Is-CERT-UE, f’kooperazzjoni mill-qrib mal-ENISA, għandu jappoġġja lill-entitajiet tal-Unjoni rigward l-għarfien tas-sitwazzjoni ta’ theddid ċibernetiku, vulnerabbiltajiet u kważi inċidenti kif ukoll jikkondividi żviluppi reċenti fil-qasam taċ-ċibersigurtà.

4. Sat-8 ta’ Jannar 2025, l-IICB, abbażi ta’ proposta tas-CERT-UE, għandu jadotta linji gwida jew rakkomandazzjonijiet dwar il-koordinazzjoni u l-kooperazzjoni tar-rispons għal inċidenti sinifikanti. Jekk ikun hemm suspett ta’ natura kriminali b’rabta ma’ inċident, is-CERT-UE għandu jagħti pariri dwar kif għandu jiġi rrapportat l-inċident lill-awtoritajiet tal-infurzar tal-liġi, mingħajr dewmien żejjed.

5. Wara talba speċifika minn Stat Membru u bl-approvazzjoni tal-entitajiet tal-Unjoni kkonċernati, is-CERT-UE jista’ jitlob esperti mil-lista msemmija fl-Artikolu 23(4), biex jikkontribwixxu għar-rispons għal inċident kbir li jkollu impatt f’dak l-Istat Membru, jew inċident taċ-ċibersigurtà fuq skala kbira f’konformità mal-Artikolu 15(3), il-punt (g), tad-Direttiva (UE) 2022/2555. Regoli speċifiċi dwar l-aċċess għal esperti tekniċi u l-użu tagħhom minn entitajiet tal-Unjoni għandhom jiġu approvati mill-IICB abbażi ta’ proposta mis-CERT-UE.

Artikolu 23

Ġestjoni ta’ inċidenti kbar

1. Sabiex jappoġġja fil-livell operazzjonali l-ġestjoni kkoordinata ta’ inċidenti kbar li jaffettwaw lill-entitajiet tal-Unjoni u biex jikkontribwixxi għall-iskambju regolari ta’ informazzjoni rilevanti fost l-entitajiet tal-Unjoni u mal-Istati Membri, l-IICB għandu, skont l-Artikolu 11, il-punt (q), jistabbilixxi pjan ta’ ġestjoni tal-kriżijiet ċibernetiċi bbażat fuq l-attivitajiet imsemmija fl-Artikolu 22(2), f’kooperazzjoni mill-qrib mas-CERT-UE u l-ENISA. Il-pjan ta’ ġestjoni tal-kriżijiet ċibernetiċi għandu jinkludi mill-inqas l-elementi li ġejjin:

(a)	arranġamenti li jikkonċernaw il-koordinazzjoni u l-fluss tal-informazzjoni fost l-entitajiet tal-Unjoni għall-ġestjoni ta’ inċidenti kbar fil-livell operazzjonali;

(b)	proċeduri operattivi standard (SOPs) komuni;

(c)	tassonomija komuni tas-severità ta’ inċidenti kbar u punti ta’ skattar ta’ kriżijiet;

(d)	eżerċizzji regolari;

(e)	kanali ta’ komunikazzjoni siguri li għandhom jintużaw.

2. Ir-rappreżentant tal-Kummissjoni fl-IICB għandu, soġġett għall-pjan ta’ ġestjoni tal-kriżijiet ċibernetiċi stabbilit skont il-paragrafu 1 ta’ dan l-Artikolu u mingħajr preġudizzju għall-Artikolu 16(2), l-ewwel subparagrafu, tad-Direttiva (UE) 2022/2555, ikun il-punt ta’ kuntatt għall-kondiviżjoni tal-informazzjoni rilevanti fir-rigward ta’ inċidenti kbar mal-EU-CyCLONe.

3. Is-CERT-UE għandu jikkoordina fost l-entitajiet tal-Unjoni l-ġestjoni ta’ inċidenti kbar. Għandu jżomm inventarju tal-għarfien espert tekniku disponibbli li jkun meħtieġ għar-rispons għal inċidenti fil-każ ta’ inċidenti kbar u jassisti lill-IICB fil-koordinazzjoni tal-pjanijiet ta’ ġestjoni ta’ kriżijiet ċibernetiċi tal-entitajiet tal-Unjoni għall-inċidenti kbar imsemmija fl-Artikolu 9(2a).

4. L-entitajiet tal-Unjoni għandhom jikkontribwixxu għall-inventarju ta’ għarfien espert tekniku billi jipprovdu lista aġġornata kull sena ta’ esperti disponibbli fl-organizzazzjonijiet rispettivi tagħhom bid-dettalji tal-ħiliet tekniċi speċifiċi tagħhom.

KAPITOLU VI

DISPOŻIZZJONIJIET FINALI

whereas

keyboard_tab Cyber Resilience Act 2023/2841 MT

Cyber Resilience Act 2023/2841 MT