keyboard_tab Cyber Resilience Act 2023/2841 MT
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Artikolu 8 Miżuri ta’ ġestjoni tar-riskji taċ-ċibersigurtà
- 1 Artikolu 11 Kompiti tal-IICB
- 3 Artikolu 12 Konformità
- 2 Artikolu 13 Missjoni u kompiti tas-CERT-UE
- 1 Artikolu 14 Linji gwida, rakkomandazzjonijiet u sejħiet għal azzjoni
- 1 Artikolu 17 Kooperazzjoni tas-CERT-UE mal-kontropartijiet tal-Istati Membri
- 1 Artikolu 23 Ġestjoni ta’ inċidenti kbar
- 1 Artikolu 25 Rieżami
- Artikolu 26 Dħul fis-seħħ
KAPITOLU I
DISPOŻIZZJONIJIET ĠENERALI
KAPITOLU II
MIŻURI GĦAL LIVELL KOMUNI GĦOLI TA’ ĊIBERSIGURTÀ
KAPITOLU III
BORD INTERISTITUZZJONALI TAĊ-ĊIBERSIGURTÀ
KAPITOLU IV
CERT-UE
KAPITOLU V
OBBLIGI TA’ KOOPERAZZJONI U TA’ RAPPORTAR
KAPITOLU VI
DISPOŻIZZJONIJIET FINALI
- ta’ 153
- tal-unjoni 94
- taċ-ċibersigurtà 39
- dwar 32
- għandu 32
- biex 26
- inċidenti 24
- skont 21
- ir-regolament 21
- tas-cert-ue 20
- meta 19
- għal 19
- inkluż 16
- minn 15
- tagħhom 15
- informazzjoni 14
- kkonċernata 14
- tal-entitajiet 14
- kbar 12
- l-iicb 12
- jiġu 12
- tal-informazzjoni 12
- l-entitajiet 12
- l-entità 12
- jista’ 12
- is-cert-ue 12
- b’mod 11
- rilevanti 11
- tagħha 11
- għandha 11
- tal-ict 11
- l-artikolu 11
- subparagrafu 11
- ġestjoni 10
- servizzi 10
- gwida 10
- fl-artikolu 10
- il-punt 10
- applikabbli 9
- ue / 9
- is-cert-ue 9
- mingħajr 9
- lill-entità 9
- lill-entitajiet 9
- xieraq 9
- livell 9
- azzjoni 9
- operazzjonali 9
- għandhom 9
- permezz 8
Artikolu 8
Miżuri ta’ ġestjoni tar-riskji taċ-ċibersigurtà
1. Mingħajr dewmien żejjed u fi kwalunkwe każ sat-8 ta’ Settembru 2025, kull entità tal-Unjoni għandha, taħt is-sorveljanza tal-ogħla livell ta’ maniġment tagħha, tieħu miżuri tekniċi, operazzjonali u organizzattivi xierqa u proporzjonati biex jiġu ġestiti r-riskji taċ-ċibersigurtà identifikati fl-ambitu tal-Qafas, u biex tipprevjeni u/jew timminimizza l-impatt tal-inċidenti. B’kont meħud tal-ogħla livell ta’ żvilupp tekniku u, meta applikabbli, tal-istandards Ewropej u internazzjonali rilevanti, dawk il-miżuri għandhom jiżguraw livell ta’ sigurtà tan-networks u tas-sistemi tal-informazzjoni fl-ambjent tal-ICT kollu kemm hu proporzjonat mar-riskji taċ-ċibersigurtà kkawżati. Meta tiġi vvalutata l-proporzjonalità ta’ dawk il-miżuri, għandu jittieħed kont debitu tal-grad tal-espożizzjoni tal-entità tal-Unjoni għar-riskji taċ-ċibersigurtà, id-daqs tagħha, il-probabbiltà tal-okkorrenza ta’ inċidenti u tas-severità tagħhom, inkluż l-impatt soċjetali, ekonomiku u interistituzzjonali tagħhom.
2. L-entitajiet tal-Unjoni għandhom jindirizzaw mill-inqas l-oqsma li ġejjin fl-implimentazzjoni tal-miżuri tal-ġestjoni tar-riskji taċ-ċibersigurtà:
(a) | il-politika taċ-ċibersigurtà, inklużi l-miżuri meħtieġa biex jintlaħqu l-objettivi u l-prijoritajiet imsemmija fl-Artikolu 6 u fil-paragrafu 3 ta’ dan l-Artikolu; |
(b) | il-politiki dwar l-analiżi tar-riskji taċ-ċibersigurtà u s-sigurtà tas-sistema tal-informazzjoni; |
(c) | l-objettivi ta’ politika rigward l-użu tas-servizzi tal-cloud computing; |
(d) | l-awditu taċ-ċibersigurtà, meta xieraq, li jista’ jinkludi valutazzjoni tar-riskju taċ-ċibersigurtà, tal-vulnerabbiltà u tat-theddid ċibernetiku, u ttestjar tal-penetrazzjoni mwettaq minn fornitur privat fdat fuq bażi regolari; |
(e) | l-implimentazzjoni tar-rakkomandazzjonijiet li jirriżultaw mill-awditi taċ-ċibersigurtà msemmija fil-punt (d) permezz ta’ aġġornamenti taċ-ċibersigurtà u tal-politika; |
(f) | l-organizzazzjoni taċ-ċibersigurtà, inkluż l-istabbiliment tar-rwoli u r-responsabbiltajiet; |
(g) | l-immaniġġar ta’ assi, inkluż l-inventarju tal-assi tal-ICT u l-kartografija tan-network tal-ICT; |
(h) | is-sigurtà tar-riżorsi umani u l-kontroll tal-aċċess; |
(i) | is-sigurtà operazzjonali tan-network; |
(j) | is-sigurtà tal-komunikazzjoni; |
(k) | l-akkwiżizzjoni, l-iżvilupp u l-manutenzjoni tas-sistema, inklużi l-politiki dwar it-trattament u d-divulgazzjoni tal-vulnerabbiltajiet; |
(l) | meta jkun possibbli, il-politiki dwar it-trasparenza tal-kodiċi sors; |
(m) | is-sigurtà tal-katina tal-provvista, inkluż l-aspetti relatati mas-sigurtà li jikkonċernaw ir-relazzjonijiet bejn kull entità tal-Unjoni u l-fornituri diretti jew il-fornituri ta’ servizzi diretti tagħha. |
(n) | it-trattament tal-inċidenti u l-kooperazzjoni mas-CERT-UE, bħall-manutenzjoni tal-monitoraġġ tas-sigurtà u reġistrazzjonijiet; |
(o) | il-ġestjoni tal-kontinwità tal-operat, bħall-ġestjoni ta’ riżerva u l-irkupru minn diżastri, u l-ġestjoni tal-kriżijiet; u |
(p) | il-promozzjoni u l-iżvilupp ta’ programmi ta’ edukazzjoni, ħiliet, sensibilizzazzjoni, eżerċizzju u taħriġ fil-qasam taċ-ċibersigurtà. |
Għall-finijiet tal-ewwel subparagrafu, il-punt (m), l-entitajiet tal-Unjoni għandhom iqisu l-vulnerabbiltajiet speċifiċi għal kull fornitur dirett u kull fornitur ta’ servizzi dirett u l-kwalità ġenerali tal-prodotti u l-prattiki taċ-ċibersigurtà tal-fornituri u l-fornituri tas-servizzi tagħhom, inkluż il-proċeduri ta’ żvilupp siguri tagħhom.
3. L-entitajiet tal-Unjoni għandhom jieħdu mill-inqas il-miżuri speċifiċi tal-ġestjoni tar-riskji taċ-ċibersigurtà li ġejjin:
(a) | l-arranġamenti tekniċi li jippermettu u jsostnu t-telexogħol; |
(b) | passi konkreti li jimxu lejn prinċipji ta’ fiduċja żero; |
(c) | l-użu tal-awtentikazzjoni b’diversi fatturi bħala norma fin-network u s-sistema tal-informazzjoni; |
(d) | l-użu tal-kriptografija u l-kriptaġġ, b’mod partikolari l-kriptaġġ minn tarf sa tarf, kif ukoll l-iffirmar diġitali sigur; |
(e) | meta xieraq, l-użu ta’ komunikazzjonijiet bil-vuċi, bil-vidjo u bil-kitba siguri, u sistemi ta’ komunikazzjonijiet ta’ emerġenza siguri fi ħdan l-entità tal-Unjoni; |
(f) | miżuri proattivi għad-detezzjoni u t-tneħħija ta’ malware u spyware; |
(g) | l-istabbiliment ta’ sigurtà tal-katina tal-provvista tas-software permezz ta’ kriterji għall-iżvilupp u l-evalwazzjoni ta’ software sigur; |
(h) | l-istabbiliment u l-adozzjoni ta’ programmi ta’ taħriġ dwar iċ-ċibersigurtà proporzjonati għall-kompiti preskritti u l-kapaċitajiet mistennija għall-ogħla livell ta’ maniġment u l-membri tal-persunal tal-entità tal-Unjoni inkarigati biex jiżguraw l-implimentazzjoni effettiva ta’ dan ir-Regolament; |
(i) | it-taħriġ regolari dwar iċ-ċibersigurtà tal-membri tal-persunal; |
(j) | fejn rilevanti, il-parteċipazzjoni fl-analiżijiet tar-riskji tal-interkonnettività bejn l-entitajiet tal-Unjoni; |
(k) | it-titjib tar-regoli dwar l-akkwist pubbliku għall-faċilitazzjoni ta’ livell komuni għoli ta’ ċibersigurtà permezz ta’:
|
Artikolu 11
Kompiti tal-IICB
Meta jeżerċita r-responsabbiltajiet tiegħu, l-IICB għandu, b’mod partikolari:
(a) | jipprovdi gwida lill-Kap tas-CERT-UE; |
(b) | jimmonitorja u jissorvelja b’mod effettiv l-implimentazzjoni ta’ dan ir-Regolament u jappoġġja lill-entitajiet tal-Unjoni fit-tisħiħ taċ-ċibersigurtà tagħhom, inkluż, meta xieraq, billi jitlob rapporti ad hoc mill-entitajiet tal-Unjoni u mis-CERT-UE; |
(c) | wara diskussjoni strateġika, jadotta strateġija pluriennali dwar żieda fil-livell taċ-ċibersigurtà fl-entitajiet tal-Unjoni, jivvaluta dik l-istrateġija fuq bażi regolari u fi kwalunkwe każ kull ħames snin u, meta meħtieġ, jemenda dik l-istrateġija; |
(d) | jistabbilixxi l-metodoloġija u l-aspetti organizzattivi għat-twettiq ta’ rieżamijiet bejn il-pari volontarji mill-entitajiet tal-Unjoni, bil-ħsieb li wieħed jitgħallem mill-esperjenzi kondiviżi, li tissaħħaħ il-fiduċja reċiproka, jinkiseb livell għoli komuni ta’ ċibersigurtà, kif ukoll jissaħħu l-kapaċitajiet ta’ ċibersigurtà tal-entitajiet tal-Unjoni, filwaqt li jiżgura li tali rieżamijiet bejn il-pari jitwettqu minn esperti taċ-ċibersigurtà ddeżinjati minn entità tal-Unjoni differenti mill-entità tal-Unjoni li tkun qed tiġi rieżaminata u li l-metodoloġija tkun ibbażata fuq l-Artikolu 19 tad-Direttiva (UE) 2022/2555 u, meta xieraq, tkun adattata għall-entitajiet tal-Unjoni; |
(e) | japprova, abbażi ta’ proposta tal-Kap tas-CERT-UE, il-programm ta’ ħidma annwali tas-CERT-UE u jimmonitorja l-implimentazzjoni tiegħu; |
(f) | japprova, abbażi ta’ proposta tal-Kap tas-CERT-UE, il-katalgu tas-servizzi tas-CERT-UE u kwalunkwe aġġornament tiegħu; |
(g) | japprova, abbażi ta’ proposta tal-Kap tas-CERT-UE, l-ippjanar finanzjarju annwali tad-dħul u tan-nefqa, inkluż tal-persunal, għall-attivitajiet tas-CERT-UE; |
(h) | japprova, abbażi ta’ proposta mill-Kap tas-CERT-UE, l-arranġamenti għall-ftehimiet dwar il-livell ta’ servizz; |
(i) | jeżamina u japprova r-rapport annwali mfassal mill-Kap tas-CERT-UE li jkopri l-attivitajiet tas-CERT-UE u l-ġestjoni tal-fondi mis-CERT-UE; |
(j) | japprova u jimmonitorja indikaturi ewlenin tal-prestazzjoni (KPIs) għas-CERT-UE stabbiliti abbażi ta’ proposta tal-Kap tas-CERT-UE; |
(k) | japprova l-arranġamenti ta’ kooperazzjoni, il-ftehimiet dwar il-livell ta’ servizz jew il-kuntratti bejn is-CERT-UE u entitajiet oħrajn skont l-Artikolu 18; |
(l) | jadotta linji gwida u rakkomandazzjonijiet abbażi ta’ proposta tas-CERT-UE f’konformità mal-Artikolu 14 u jagħti istruzzjonijiet lis-CERT-UE biex joħroġ, jirtira jew jimmodifika proposta għal linji gwida jew rakkomandazzjonijiet, jew sejħa għal azzjoni; |
(m) | jistabbilixxi gruppi konsultattivi tekniċi b’kompiti speċifiċi biex jassistu l-ħidma tal-IICB, japprova t-termini ta’ referenza tagħhom u jiddeżinja l-Presidenti rispettivi tagħhom; |
(n) | jirċievi u jivvaluta dokumenti u rapporti sottomessi mill-entitajiet tal-Unjoni skont dan ir-Regolament, bħal valutazzjonijiet tal-maturità taċ-ċibersigurtà; |
(o) | jiffaċilita l-istabbiliment ta’ grupp informali ta’ uffiċjali lokali taċ-ċibersigurtà tal-entitajiet tal-Unjoni, appoġġati mill-ENISA, bl-għan tal-iskambju tal-aħjar prattiki u ta’ informazzjoni fir-rigward tal-implimentazzjoni ta’ dan ir-Regolament; |
(p) | filwaqt li jqis l-informazzjoni dwar ir-riskji taċ-ċibersigurtà identifikati u t-tagħlimiet meħuda pprovduti mis-CERT-UE, jimmonitorja l-adegwatezza tal-arranġamenti tal-interkonnettività fost l-ambjenti tal-ICT tal-entitajiet tal-Unjoni u jagħti pariri dwar titjib possibbli; |
(q) | jistabbilixxi pjan ta’ ġestjoni tal-kriżijiet ċibernetiċi bil-ħsieb li jappoġġja, f’livell operazzjonali, il-ġestjoni koordinata ta’ inċidenti kbar li jaffettwaw lill-entitajiet tal-Unjoni u li jikkontribwixxi għall-iskambju regolari ta’ informazzjoni rilevanti, b’mod partikolari fir-rigward tal-impatti u s-severità ta’ inċidenti kbar u l-modi possibbli biex l-effetti tagħhom jiġu mitigati; |
(r) | jikkoordina l-adozzjoni tal-pjanijiet ta’ ġestjoni tal-kriżijiet ċibernetiċi tal-entitajiet individwali tal-Unjoni msemmija fl-Artikolu 9(2); |
(s) | jadotta rakkomandazzjonijiet relatati mas-sigurtà tal-ktajjen tal-provvista msemmija fl-Artikolu 8(2), l-ewwel subparagrafu, il-punt (m), filwaqt li jqis ir-riżultati ta’ valutazzjonijiet tar-riskji tas-sigurtà kkoordinati fuq livell tal-Unjoni tal-ktajjen ta’ provvista kritiċi msemmija fl-Artikolu 22 tad-Direttiva (UE) 2022/2555 biex l-entitajiet tal-Unjoni jiġu appoġġati fl-adozzjoni ta’ miżuri effettivi u proporzjonati ta’ ġestjoni tar-riskji taċ-ċibersigurtà. |
Artikolu 12
Konformità
1. L-IICB, skont l-Artikolu 10(2) u l-Artikolu 11, għandu jimmonitorja b’mod effettiv l-implimentazzjoni ta’ dan ir-Regolament u tal-linji gwida, tar-rakkomandazzjonijiet u tas-sejħiet għal azzjoni adottati mill-entitajiet tal-Unjoni. L-IICB jista’ jitlob l-informazzjoni jew id-dokumentazzjoni meħtieġa għal dak l-għan mill-entitajiet tal-Unjoni. Għall-fini tal-adozzjoni ta’ miżuri ta’ konformità skont dan l-Artikolu, meta l-entità tal-Unjoni kkonċernata tkun rappreżentata direttament fuq l-IICB, dik l-entità tal-Unjoni ma għandux ikollha drittijiet tal-vot.
2. Meta l-IICB isib li entità tal-Unjoni ma implimentatx b’mod effettiv dan ir-Regolament jew il-linji gwida, ir-rakkomandazzjonijiet jew is-sejħiet għal azzjoni maħruġa skont ir-Regolament, huwa jista’, mingħajr preġudizzju għall-proċeduri interni tal-entità tal-Unjoni kkonċernata, u wara li jagħti opportunità lill-entità tal-Unjoni kkonċernata biex tippreżenta l-osservazzjonijiet tagħha:
(a) | jikkomunika opinjoni motivata lill-entità tal-Unjoni kkonċernata dwar lakuni osservati fl-implimentazzjoni ta’ dan ir-Regolament; |
(b) | jipprovdi, wara li jikkonsulta lis-CERT-UE, linji gwida lill-entità tal-Unjoni kkonċernata biex jiżgura li l-qafas, il-miżuri ta’ ġestjoni tar-riskji taċ-ċibersigurtà, il-pjanijiet taċ-ċibersigurtà u r-rapportar tagħha jikkonformaw ma’ dan ir-Regolament f’perjodu ta’ żmien speċifikat; |
(c) | joħroġ twissija biex jiġu indirizzati n-nuqqasijiet identifikati f’perjodu ta’ żmien speċifikat, inklużi rakkomandazzjonijiet biex jiġu emendati miżuri adottati mill-entità tal-Unjoni kkonċernata skont dan ir-Regolament; |
(d) | joħroġ notifika motivata lill-entità tal-Unjoni kkonċernata, f’każ li n-nuqqasijiet identifikati fi twissija maħruġa skont il-punt (c) ma jkunux ġew indirizzati biżżejjed fil-perjodu ta’ żmien speċifikat; |
(e) | joħroġ:
|
(f) | jekk applikabbli, jinforma lill-Qorti tal-Awdituri, fl-ambitu tal-mandat tagħha, dwar l-allegata nonkonformità; |
(g) | joħroġ rakkomandazzjoni biex l-Istati Membri u l-entitajiet tal-Unjoni kollha jimplimentaw sospensjoni temporanja tal-flussi tad-data lill-entità tal-Unjoni kkonċernata. |
Għall-finijiet tal-ewwel subparagrafu, il-punt (c), id-destinatarji ta’ twissija għandhom jiġu limitati b’mod xieraq, meta meħtieġ fid-dawl ta’ riskju taċ-ċibersigurtà.
It-twissijiet u r-rakkomandazzjonijiet maħruġa skont l-ewwel subparagrafu għandhom ikunu diretti lejn l-ogħla livell ta’ maniġment tal-entità tal-Unjoni kkonċernata.
3. Meta l-IICB ikun adotta miżuri skont il-paragrafu 2, l-ewwel subparagrafu, il-punti (a) sa (g), l-entità tal-Unjoni kkonċernata għandha tipprovdi dettalji tal-miżuri u l-azzjonijiet meħuda biex jiġu indirizzati n-nuqqasijiet allegati identifikati mill-IICB. L-entità tal-Unjoni għandha tissottometti dawk id-dettalji fi żmien raġonevoli li għandu jiġi miftiehem mal-IICB.
4. Meta l-IICB iqis li hemm ksur kontinwu ta’ dan ir-Regolament minn entità tal-Unjoni li jirriżulta direttament minn azzjonijiet jew ommissjonijiet ta’ uffiċjal jew aġent ieħor tal-Unjoni, inkluż fl-ogħla livell tal-maniġment, l-IICB għandu jitlob li l-entità tal-Unjoni kkonċernata tieħu azzjoni xierqa, inkluż li jikkunsidra li jitlobha tieħu azzjoni ta’ natura dixxiplinarja, f’konformità mar-regoli u l-proċeduri stabbiliti fir-Regolamenti tal-Persunal u f’xi regoli u proċeduri applikabbli oħra. Għal dak il-għan, l-IICB għandu jittrasferixxi l-informazzjoni meħtieġa lill-entità tal-Unjoni kkonċernata.
5. Meta l-entitajiet tal-Unjoni jinnotifikaw li ma jkunux jistgħu jissodisfaw l-iskadenzi stabbiliti fl-Artikolu 6(1) u fl-Artikolu 8(1), l-IICB jista’, f’każijiet debitament sostanzjati, filwaqt li jqis id-daqs tal-entità tal-Unjoni, jawtorizza l-estensjoni ta’ dawk l-iskadenzi.
KAPITOLU IV
CERT-UE
Artikolu 13
Missjoni u kompiti tas-CERT-UE
1. Il-missjoni tas-CERT-UE għandha tkun li jikkontribwixxi għas-sigurtà tal-ambjent tal-ICT mhux klassifikat tal-entitajiet tal-Unjoni, billi jgħinhom fil-prevenzjoni, fid-detezzjoni, fil-ġestjoni, fil-mitigazzjoni u fir-rispons għall-inċidenti u l-irkupru minnhom, u billi jaġixxi bħaċ-ċentru tagħhom ta’ koordinazzjoni tal-iskambju tal-informazzjoni u tar-rispons għall-inċidenti taċ-ċibersigurtà.
2. Is-CERT-UE għandu jiġbor, jamministra, janalizza u jikkondividi informazzjoni mal-entitajiet tal-Unjoni dwar theddidiet, vulnerabbiltajiet u inċidenti f’infrastruttura tal-ICT mhux klassifikata. Għandu jikkoordina r-risponsi għal inċidenti fil-livell interistituzzjonali u fil-livell tal-entitajiet tal-Unjoni, inkluż billi jipprovdi jew jikkoordina l-għoti ta’ assistenza operazzjonali speċjalizzata.
3. Is-CERT-UE għandu jwettaq il-kompiti li ġejjin biex jassisti lill-entitajiet tal-Unjoni:
(a) | jappoġġjahom fl-implimentazzjoni ta’ dan ir-Regolament u jikkontribwixxi għall-koordinazzjoni tal-implimentazzjoni ta’ dan ir-Regolament permezz tal-miżuri elenkati fl-Artikolu 14(1) jew permezz ta’ rapporti ad hoc mitluba mill-IICB; |
(b) | joffri servizzi standard tas-CSIRT lill-entitajiet tal-Unjoni permezz ta’ pakkett ta’ servizzi taċ-ċibersigurtà deskritti fil-katalgu tas-servizzi tiegħu (servizzi tal-linja bażi); |
(c) | iżomm network ta’ pari u sħab sabiex jappoġġjaw is-servizzi kif deskritti fl-Artikoli 17 u 18; |
(d) | iġib għall-attenzjoni tal-IICB kwalunkwe problema relatata mal-implimentazzjoni ta’ dan ir-Regolament u mal-implimentazzjoni tal-linji gwida, tar-rakkomandazzjonijiet u tas-sejħiet għal azzjoni; |
(e) | abbażi tal-informazzjoni msemmija fil-paragrafu 2, jikkontribwixxi għall-għarfien tas-sitwazzjoni ċibernetika tal-Unjoni f’kooperazzjoni mill-qrib mal-ENISA; |
(f) | jikkoordina l-ġestjoni ta’ inċidenti kbar; |
(g) | jaġixxi f’isem l-entitajiet tal-Unjoni bħala l-ekwivalenti tal-koordinatur iddeżinjat għall-finijiet ta’ divulgazzjoni kkoordinata tal-vulnerabbiltajiet skont l-Artikolu 12(1) tad-Direttiva (UE) 2022/2555; |
(h) | jipprovdi, fuq talba ta’ entità tal-Unjoni, skennjar proattiv mhux intrużiv tan-network u s-sistemi tal-informazzjoni aċċessibbli għall-pubbliku ta’ dik l-entità tal-Unjoni. |
L-informazzjoni msemmija fl-ewwel subparagrafu, il-punt (e), għandha tiġi kondiviża mal-IICB, man-network ta’ CSIRTs u maċ-Ċentru tal-Intelligence u tas-Sitwazzjonijiet tal-Unjoni Ewropea (INTCEN tal-UE), meta applikabbli u xieraq, u soġġett għal kundizzjonijiet xierqa ta’ kunfidenzjalità.
4. Is-CERT-UE jista’, f’konformità mal-Artikolu 17 jew 18, kif xieraq, jikkoopera mal-komunitajiet taċ-ċibersigurtà rilevanti fl-Unjoni u fl-Istati Membri tagħha, inkluż fl-oqsma li ġejjin:
(a) | it-tħejjija, il-koordinazzjoni tal-inċidenti, l-iskambju ta’ informazzjoni u r-rispons għall-kriżijiet fil-livell tekniku dwar każijiet marbuta mal-entitajiet tal-Unjoni; |
(b) | il-kooperazzjoni operazzjonali rigward in-network ta’ CSIRTs, inkluż fir-rigward tal-assistenza reċiproka; |
(c) | intelligence dwar it-theddid ċibernetiku, inkluż l-għarfien tas-sitwazzjoni; |
(d) | dwar kwalunkwe suġġett li jeħtieġ l-għarfien espert tekniku dwar iċ-ċibersigurtà tas-CERT-UE. |
5. Fl-ambitu tal-kompetenza tiegħu, is-CERT-UE għandu jinvolvi ruħu f’kooperazzjoni strutturata mal-ENISA dwar il-bini tal-kapaċitajiet, il-kooperazzjoni operazzjonali u l-analiżijiet strateġiċi fit-tul tat-theddid ċibernetiku f’konformità mar-Regolament (UE) 2019/881. Is-CERT-UE jista’ jikkoopera u jiskambja informazzjoni maċ-Ċentru Ewropew taċ-Ċiberkriminalità tal-Europol.
6. Is-CERT-UE jista’ jipprovdi s-servizzi li ġejjin mhux deskritti fil-katalgu tas-servizzi tiegħu (servizzi bi ħlas):
(a) | servizzi li jappoġġjaw iċ-ċibersigurtà tal-ambjent tal-ICT tal-entitajiet tal-Unjoni, għajr dawk imsemmija fil-paragrafu 3, fuq il-bażi ta’ ftehimiet dwar il-livell ta’ servizz u soġġett għar-riżorsi disponibbli, b’mod partikolari monitoraġġ tan-networks fuq firxa wiesgħa, inkluż monitoraġġ tal-ewwel linja 24/7 għal theddid ċibernetiku ta’ severità għolja; |
(b) | servizzi li jappoġġjaw operazzjonijiet jew proġetti taċ-ċibersigurtà tal-entitajiet tal-Unjoni, għajr dawk li jipproteġu l-ambjent tal-ICT tagħhom, fuq il-bażi ta’ ftehimiet bil-miktub u bl-approvazzjoni minn qabel tal-IICB; |
(c) | fuq talba, skennjar proattiv tan-network u tas-sistemi tal-informazzjoni tal-entità tal-Unjoni kkonċernata biex jiġu identifikati vulnerabbiltajiet b’impatt sinifikanti potenzjali; |
(d) | servizzi li jappoġġjaw is-sigurtà tal-ambjent tal-ICT tagħhom lil organizzazzjonijiet għajr l-entitajiet tal-Unjoni li jikkooperaw mill-qrib mal-entitajiet tal-Unjoni, pereżempju bl-assenjar ta’ kompiti jew responsabbiltajiet skont il-liġi tal-Unjoni, fuq il-bażi ta’ ftehimiet bil-miktub u bl-approvazzjoni minn qabel tal-IICB. |
Fir-rigward tal-ewwel subparagrafu, il-punt (d), is-CERT-UE jista’, fuq bażi eċċezzjonali, jidħol f’arranġamenti fil-livell tas-servizzi ma’ entitajiet oħra għajr l-entitajiet tal-Unjoni bl-approvazzjoni minn qabel tal-IICB.
7. Is-CERT-UE għandu jorganizza eżerċizzji taċ-ċibersigurtà, u jista’ jipparteċipa fihom, jew jirrakkomanda l-parteċipazzjoni f’eżerċizzji eżistenti, meta applikabbli f’kooperazzjoni mill-qrib mal-ENISA, biex jittestja l-livell ta’ ċibersigurtà tal-entitajiet tal-Unjoni.
8. Is-CERT-UE jista’ jipprovdi assistenza lill-entitajiet tal-Unjoni rigward inċidenti fin-networks u s-sistemi tal-informazzjoni li jamministraw l-EUCI meta jkun espliċitament mitlub jagħmel dan mill-entitajiet tal-Unjoni kkonċernati f’konformità mal-proċeduri rispettivi tagħhom. L-għoti ta’ assistenza mis-CERT-UE skont dan il-paragrafu għandu jkun mingħajr preġudizzju għar-regoli applikabbli li jikkonċernaw il-protezzjoni ta’ informazzjoni klassifikata.
9. Is-CERT-UE għandu jinforma lill-entitajiet tal-Unjoni dwar il-proċeduri u l-proċessi tiegħu ta’ trattament tal-inċidenti.
10. Is-CERT-UE għandu jikkontribwixxi, b’livell għoli ta’ kunfidenzjalità u affidabbiltà, permezz tal-mekkaniżmi ta’ kooperazzjoni u l-linji ta’ rapportar xierqa, informazzjoni rilevanti u anonimizzata dwar inċidenti kbar u l-mod li bih ġew ittrattati. Dik l-informazzjoni għandha tiġi inkluża fir-rapport imsemmi fl-Artikolu 10(14).
11. Is-CERT-UE, f’kooperazzjoni mal-KEPD, għandu jappoġġja lill-entitajiet tal-Unjoni kkonċernati meta jindirizzaw inċidenti li jirriżultaw fi ksur tad-data personali, mingħajr preġudizzju għall-kompetenzi u l-kompiti tal-KEPD bħala awtorità superviżorja skont ir-Regolament (UE) 2018/1725.
12. Jekk jintalab espressament mid-dipartimenti tal-politika tal-entitajiet tal-Unjoni, is-CERT-UE jista’ jagħti parir jew input tekniku dwar kwistjonijiet ta’ politika rilevanti.
Artikolu 14
Linji gwida, rakkomandazzjonijiet u sejħiet għal azzjoni
1. Is-CERT-UE għandu jappoġġja l-implimentazzjoni ta’ dan ir-Regolament billi joħroġ:
(a) | sejħiet għal azzjoni li jiddeskrivu miżuri ta’ sigurtà urġenti li l-entitajiet tal-Unjoni huma mħeġġa jieħdu f’perjodu ta’ żmien stabbilit; |
(b) | proposti lill-IICB għal linji gwida indirizzati lill-entitajiet kollha tal-Unjoni jew lil subsett tagħhom; |
(c) | proposti lill-IICB għal rakkomandazzjonijiet indirizzati lil entitajiet individwali tal-Unjoni. |
Fir-rigward tal-ewwel subparagrafu, il-punt (a), l-entità tal-Unjoni kkonċernata għandha, mingħajr dewmien żejjed wara li tirċievi s-sejħa għal azzjoni, tinforma lis-CERT-UE dwar kif ġew applikati l-miżuri ta’ sigurtà urġenti.
2. Il-linji gwida u r-rakkomandazzjonijiet jistgħu jinkludu:
(a) | metodoloġiji komuni u mudell għall-valutazzjoni tal-maturità taċ-ċibersigurtà tal-entitajiet tal-Unjoni, inklużi l-iskali jew il-KPIs korrispondenti, li jservu bħala referenza b’appoġġ għat-titjib kontinwu taċ-ċibersigurtà fl-entitajiet kollha tal-Unjoni u li jiffaċilitaw il-prijoritizzazzjoni tad-dominji u l-miżuri taċ-ċibersigurtà filwaqt li titqies il-qagħda taċ-ċibersigurtà tal-entitajiet; |
(b) | arranġamenti għall-ġestjoni tar-riskju taċ-ċibersigurtà jew it-titjib tagħha u l-miżuri ta’ ġestjoni tar-riskju taċ-ċibersigurtà; |
(c) | arranġamenti għall-valutazzjonijiet tal-maturità taċ-ċibersigurtà u l-pjanijiet taċ-ċibersigurtà; |
(d) | meta xieraq, l-użu ta’ teknoloġija komuni, arkitettura, sors miftuħ u l-aħjar prattiki assoċjati bil-għan li jinkisbu l-interoperabbiltà u l-istandards komuni, inkluż approċċ koordinat għas-sigurtà tal-ktajjen tal-provvista; |
(e) | meta xieraq, informazzjoni biex jiġi ffaċilitat l-użu ta’ strumenti għal akkwist komuni għax-xiri ta’ servizzi u prodotti rilevanti taċ-ċibersigurtà minn fornituri terzi; |
(f) | arranġamenti ta’ kondiviżjoni ta’ informazzjoni skont l-Artikolu 20. |
Artikolu 17
Kooperazzjoni tas-CERT-UE mal-kontropartijiet tal-Istati Membri
1. Is-CERT-UE għandu, mingħajr dewmien żejjed, jikkoopera u jiskambja informazzjoni mal-kontropartijiet tal-Istati Membri, b’mod partikolari s-CSIRTs iddeżinjati jew stabbiliti skont l-Artikolu 10 tad-Direttiva (UE) 2022/2555, jew, meta applikabbli, l-awtoritajiet kompetenti u l-punti uniċi ta’ kuntatt iddeżinjati jew stabbiliti skont l-Artikolu 8 ta’ dik id-Direttiva, fir-rigward ta’ inċidenti, theddid ċibernetiku, vulnerabbiltajiet, kważi inċidenti, kontromiżuri possibbli kif ukoll l-aħjar prattiki u dwar il-kwistjonijiet kollha rilevanti għat-titjib tal-protezzjoni tal-ambjenti tal-ICT tal-entitajiet tal-Unjoni, inkluż permezz tan-network ta’ CSIRTs stabbilit skont l-Artikolu 15 tad-Direttiva (UE) 2022/2555. Is-CERT-UE għandu jappoġġja lill-Kummissjoni fl-EU-CyCLONe stabbilit skont l-Artikolu 16 tad-Direttiva (UE) 2022/2555 dwar il-ġestjoni koordinata ta’ inċidenti u kriżijiet taċ-ċibersigurtà fuq skala kbira.
2. Meta s-CERT-UE jsir jaf b’inċident sinifikanti li jseħħ fit-territorju ta’ Stat Membru, huwa għandu, mingħajr dewmien, jinnotifika lil kwalunkwe kontroparti f’dak l-Istat Membru, f’konformità mal-paragrafu 1.
3. Dment li d-data personali tkun protetta f’konformità mal-liġi applikabbli tal-Unjoni dwar il-protezzjoni tad-data, is-CERT-UE għandu, mingħajr dewmien żejjed, jiskambja informazzjoni rilevanti speċifika għall-inċident mal-kontropartijiet tal-Istati membri biex jiffaċilita d-detezzjoni ta’ theddid jew inċidenti ċibernetiċi simili, jew biex jikkontribwixxi għall-analiżi ta’ inċident, mingħajr l-awtorizzazzjoni tal-entità tal-Unjoni affettwata. Is-CERT-UE għandu jiskambja informazzjoni speċifika għall-inċidenti li tiżvela l-identità tal-mira tal-inċident biss fil-każ ta’ wieħed minn dan li ġej:
(a) | l-entità tal-Unjoni affettwata tkun tat il-kunsens tagħha; |
(b) | l-entità tal-Unjoni affettwata ma tagħtix il-kunsens tagħha kif previst fil-punt (a) iżda d-divulgazzjoni tal-identità tal-entità tal-Unjoni affettwata żżid il-probabbiltà li l-inċidenti xi mkien ieħor jiġu evitati jew mitigati; |
(c) | l-entità tal-Unjoni affettwata tkun diġà għamlet pubbliku l-fatt li kienet affettwata. |
Id-deċiżjonijiet biex tiġi skambjata informazzjoni speċifika għall-inċidenti li tiżvela l-identità tal-mira tal-inċident skont l-ewwel subparagrafu, il-punt (b), għandhom jiġu approvati mill-Kap tas-CERT-UE. Qabel ma joħroġ tali deċiżjoni, is-CERT-UE għandu jikkuntattja lill-entità tal-Unjoni affettwata bil-miktub, filwaqt li jispjega b’mod ċar kif id-divulgazzjoni tal-identità tagħha tgħin biex jiġu evitati jew mitigati inċidenti xi mkien ieħor. Il-Kap tas-CERT-UE għandu jipprovdi l-ispjegazzjoni u jitlob b’mod espliċitu lill-entità tal-Unjoni biex tiddikjara jekk tagħtix il-kunsens tagħha f’perjodu ta’ żmien stabbilit. Il-Kap tas-CERT-UE għandu jinforma wkoll lill-entità tal-Unjoni li, fid-dawl tal-ispjegazzjoni pprovduta, jirriżerva d-dritt li jiddivulga l-informazzjoni anki fin-nuqqas ta’ kunsens. L-entità tal-Unjoni affettwata għandha tiġi infurmata qabel ma l-informazzjoni tiġi ddivulgata.
Artikolu 23
Ġestjoni ta’ inċidenti kbar
1. Sabiex jappoġġja fil-livell operazzjonali l-ġestjoni kkoordinata ta’ inċidenti kbar li jaffettwaw lill-entitajiet tal-Unjoni u biex jikkontribwixxi għall-iskambju regolari ta’ informazzjoni rilevanti fost l-entitajiet tal-Unjoni u mal-Istati Membri, l-IICB għandu, skont l-Artikolu 11, il-punt (q), jistabbilixxi pjan ta’ ġestjoni tal-kriżijiet ċibernetiċi bbażat fuq l-attivitajiet imsemmija fl-Artikolu 22(2), f’kooperazzjoni mill-qrib mas-CERT-UE u l-ENISA. Il-pjan ta’ ġestjoni tal-kriżijiet ċibernetiċi għandu jinkludi mill-inqas l-elementi li ġejjin:
(a) | arranġamenti li jikkonċernaw il-koordinazzjoni u l-fluss tal-informazzjoni fost l-entitajiet tal-Unjoni għall-ġestjoni ta’ inċidenti kbar fil-livell operazzjonali; |
(b) | proċeduri operattivi standard (SOPs) komuni; |
(c) | tassonomija komuni tas-severità ta’ inċidenti kbar u punti ta’ skattar ta’ kriżijiet; |
(d) | eżerċizzji regolari; |
(e) | kanali ta’ komunikazzjoni siguri li għandhom jintużaw. |
2. Ir-rappreżentant tal-Kummissjoni fl-IICB għandu, soġġett għall-pjan ta’ ġestjoni tal-kriżijiet ċibernetiċi stabbilit skont il-paragrafu 1 ta’ dan l-Artikolu u mingħajr preġudizzju għall-Artikolu 16(2), l-ewwel subparagrafu, tad-Direttiva (UE) 2022/2555, ikun il-punt ta’ kuntatt għall-kondiviżjoni tal-informazzjoni rilevanti fir-rigward ta’ inċidenti kbar mal-EU-CyCLONe.
3. Is-CERT-UE għandu jikkoordina fost l-entitajiet tal-Unjoni l-ġestjoni ta’ inċidenti kbar. Għandu jżomm inventarju tal-għarfien espert tekniku disponibbli li jkun meħtieġ għar-rispons għal inċidenti fil-każ ta’ inċidenti kbar u jassisti lill-IICB fil-koordinazzjoni tal-pjanijiet ta’ ġestjoni ta’ kriżijiet ċibernetiċi tal-entitajiet tal-Unjoni għall-inċidenti kbar imsemmija fl-Artikolu 9(2a).
4. L-entitajiet tal-Unjoni għandhom jikkontribwixxu għall-inventarju ta’ għarfien espert tekniku billi jipprovdu lista aġġornata kull sena ta’ esperti disponibbli fl-organizzazzjonijiet rispettivi tagħhom bid-dettalji tal-ħiliet tekniċi speċifiċi tagħhom.
KAPITOLU VI
DISPOŻIZZJONIJIET FINALI
Artikolu 25
Rieżami
1. Sat-8 ta’ Jannar 2025, u fuq bażi annwali minn hemm ’il quddiem, l-IICB, bl-assistenza tas-CERT-UE, għandu jirrapporta lill-Kummissjoni dwar l-implimentazzjoni ta’ dan ir-Regolament. L-IICB jista’ jagħmel rakkomandazzjonijiet lill-Kummissjoni biex tirrieżamina dan ir-Regolament.
2. Sat-8 ta’ Jannar 2027 u kull sentejn wara dan, il-Kummissjoni għandha tivvaluta u tirrapporta dwar l-implimentazzjoni ta’ dan ir-Regolament u dwar l-esperjenza miksuba f’livell strateġiku u operazzjonali lill-Parlament Ewropew u lill-Kunsill.
Ir-rapport imsemmi fl-ewwel subparagrafu ta’ dan il-paragrafu għandu jinkludi r-rieżami msemmi fl-Artikolu 16(1), dwar il-possibbiltà li s-CERT-UE jiġi stabbilit bħala uffiċċju tal-Unjoni.
3. Sat-8 ta’ Jannar 2029, il-Kummissjoni għandha tevalwa l-funzjonament ta’ dan ir-Regolament u tissottometti rapport lill-Parlament Ewropew, lill-Kunsill, lill-Kumitat Ekonomiku u Soċjali Ewropew u lill-Kumitat tar-Reġjuni. Il-Kummissjoni għandha tevalwa wkoll l-adegwatezza tal-inklużjoni tan-network u s-sistemi tal-informazzjoni li jimmaniġġjaw l-EUCI fil-kamp ta’ applikazzjoni ta’ dan ir-Regolament, b’kont meħud ta’ atti leġiżlattivi oħra tal-Unjoni applikabbli għal dawk is-sistemi. Ir-rapport għandu jkun akkumpanjat, meta jkun hemm bżonn, minn proposta leġiżlattiva.
whereas