keyboard_tab Cyber Resilience Act 2023/2841 MT
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Artikolu 4 Proċessar ta’ data personali
- 2 Artikolu 6 Qafas għall-ġestjoni, il-governanza u l-kontroll tar-riskji taċ-ċibersigurtà
- 2 Artikolu 8 Miżuri ta’ ġestjoni tar-riskji taċ-ċibersigurtà
- 1 Artikolu 9 Pjanijiet taċ-ċibersigurtà
KAPITOLU I
DISPOŻIZZJONIJIET ĠENERALI
KAPITOLU II
MIŻURI GĦAL LIVELL KOMUNI GĦOLI TA’ ĊIBERSIGURTÀ
KAPITOLU III
BORD INTERISTITUZZJONALI TAĊ-ĊIBERSIGURTÀ
KAPITOLU IV
CERT-UE
KAPITOLU V
OBBLIGI TA’ KOOPERAZZJONI U TA’ RAPPORTAR
KAPITOLU VI
DISPOŻIZZJONIJIET FINALI
- ta’ 76
- taċ-ċibersigurtà 41
- tal-unjoni 36
- għandu 24
- skont 21
- l-artikolu 17
- livell 15
- ir-regolament 14
- entità 13
- tar-riskji 13
- kull 12
- dwar 12
- tal-entità 9
- meta 9
- għandhom 8
- biex 8
- kwalunkwe 7
- maniġment 7
- interistituzzjonali 7
- dawk 7
- tal-ict 7
- inkluż 6
- tal-persunal 6
- stabbilit 6
- inċidenti 6
- data 6
- lokali 6
- tal-ġestjoni 6
- kkonċernata 5
- miżuri 5
- minn 5
- jiġi 5
- tagħhom 5
- regolari 5
- personali 5
- iċ-ċibersigurtà 5
- l-entitajiet 5
- tal-informazzjoni 5
- taċ-Ċibersigurtà 5
- bażi 5
- jkun 4
- ġestjoni 4
- mingħajr 4
- bħala 4
- il-miżuri 4
- jiġu 4
- jista’ 4
- bejn 4
- tagħha 4
- speċifiċi 4
Artikolu 4
Proċessar ta’ data personali
1. L-ipproċessar ta’ data personali skont dan ir-Regolament mis-CERT-UE, mill-Bord Interistituzzjonali taċ-Ċibersigurtà stabbilit skont l-Artikolu 10 u mill-entitajiet tal-Unjoni għandu jitwettaq f’konformità mar-Regolament (UE) 2018/1725.
2. Meta jwettqu kompiti jew jissodisfaw obbligi skont dan ir-Regolament, is-CERT-UE, il-Bord Interistituzzjonali taċ-Ċibersigurtà stabbilit skont l-Artikolu 10 u l-entitajiet tal-Unjoni għandhom jipproċessaw u jiskambjaw data personali biss sa fejn ikun meħtieġ u għall-iskop uniku li jwettqu dawk il-kompiti jew li jissodisfaw dawk l-obbligi.
3. L-ipproċessar ta’ kategoriji speċjali ta’ data personali kif imsemmi fl-Artikolu 10(1) tar-Regolament (UE) 2018/1725 għandu jitqies meħtieġ għal raġunijiet ta’ interess pubbliku sostanzjali skont l-Artikolu 10(2), il-punt (g), ta’ dak ir-Regolament. Tali data tista’ tiġi pproċessata biss sal-punt meħtieġ għall-implimentazzjoni tal-miżuri tal-ġestjoni tar-riskji taċ-ċibersigurtà msemmija fl-Artikoli 6 u 8, għall-forniment ta’ servizzi mis-CERT-UE skont l-Artikolu 13, għall-kondiviżjoni ta’ informazzjoni speċifika għall-inċidenti skont l-Artikolu 17(3) u l-Artikolu 18(3), għall-kondiviżjoni ta’ informazzjoni skont l-Artikolu 20, għall-obbligi ta’ rapportar skont l-Artikolu 21, għall-koordinazzjoni u l-kooperazzjoni tar-rispons għall-inċidenti skont l-Artikolu 22 u għall-ġestjoni ta’ inċidenti kbar skont l-Artikolu 23 ta’ dan ir-Regolament. L-entitajiet tal-Unjoni u s-CERT-UE, meta jaġixxu bħala kontrolluri tad-data, għandhom japplikaw miżuri tekniċi biex jipprevjenu l-ipproċessar ta’ kategoriji speċjali ta’ data personali għal finijiet oħra u għandhom jipprevedu miżuri xierqa u speċifiċi biex jissalvagwardjaw id-drittijiet fundamentali u l-interessi tas-suġġetti tad-data.
KAPITOLU II
MIŻURI GĦAL LIVELL KOMUNI GĦOLI TA’ ĊIBERSIGURTÀ
Artikolu 6
Qafas għall-ġestjoni, il-governanza u l-kontroll tar-riskji taċ-ċibersigurtà
1. Sat-8 ta’ April 2025, kull entità tal-Unjoni għandha, wara li twettaq rieżami inizjali taċ-ċibersigurtà, bħal awditu, tistabbilixxi qafas intern għall-ġestjoni, il-governanza u l-kontroll tar-riskji taċ-ċibersigurtà (il-“Qafas”). L-istabbiliment tal-Qafas għandu jiġi ssorveljat mill-ogħla livell ta’ maniġment tal-entità tal-Unjoni u taħt ir-responsabbiltà tiegħu.
2. Il-qafas għandu jkopri l-ambjent tal-ICT mhux klassifikat kollu tal-entità tal-Unjoni kkonċernata, inkluż kwalunkwe ambjent tal-ICT fuq il-post, network tat-teknoloġija operazzjonali, assi u servizzi esternalizzati f’ambjenti tal-cloud computing jew ospitati minn partijiet terzi, apparati mobbli, networks korporattivi, networks tan-negozju mhux konnessi mal-internet u kwalunkwe apparat konness ma’ dawk l-ambjenti (“ambjent tal-ICT”). Il-Qafas għandu jkun ibbażat fuq approċċ li jkopri l-perikli kollha.
3. Il-Qafas għandu jiżgura livell għoli ta’ ċibersigurtà. Il-Qafas għandu jistabbilixxi politiki interni dwar iċ-ċibersigurtà, inklużi objettivi u prijoritajiet, għas-sigurtà tan-networks u tas-sistemi tal-informazzjoni, u r-rwoli u r-responsabbiltajiet tal-persunal tal-entità tal-Unjoni inkarigat li jiżgura l-implimentazzjoni effettiva ta’ dan ir-Regolament. Il-Qafas għandu jinkludi wkoll mekkaniżmi biex titkejjel l-effettività tal-implimentazzjoni.
4. Il-Qafas għandu jiġi rieżaminat fuq bażi regolari, fid-dawl tar-riskji taċ-ċibersigurtà li jinbidlu, u mill-inqas kull erba’ snin. Meta xieraq u wara talba mill-Bord Interistituzzjonali taċ-Ċibersigurtà stabbilit skont l-Artikolu 10, Qafas ta’ entità tal-Unjoni jista’ jiġi aġġornat abbażi tal-gwida tas-CERT-UE dwar inċidenti identifikati jew lakuni possibbli osservati fl-implimentazzjoni ta’ dan ir-Regolament.
5. L-ogħla livell ta’ ġestjoni ta’ kull entità tal-Unjoni għandu jkun responsabbli għall-implimentazzjoni ta’ dan ir-Regolament u għandu jissorvelja l-konformità tal-organizzazzjoni tiegħu mal-obbligi relatati mal-Qafas.
6. Meta xieraq u mingħajr preġudizzju għar-responsabbiltà tiegħu għall-implimentazzjoni ta’ dan ir-Regolament, l-ogħla livell ta’ maniġment ta’ kull entità tal-Unjoni jista’ jiddelega obbligi speċifiċi skont dan ir-Regolament lil uffiċjali għolja skont it-tifsira tal-Artikolu 29(2) tar-Regolamenti tal-Persunal jew uffiċjali oħra f’livell ekwivalenti, fl-entità tal-Unjoni kkonċernata. Irrispettivament minn kwalunkwe delega bħal din, l-ogħla livell ta’ maniġment jista’ jinżamm responsabbli għall-ksur ta’ dan ir-Regolament mill-entità tal-Unjoni kkonċernata.
7. Kull entità tal-Unjoni għandu jkollha mekkaniżmi effettivi fis-seħħ biex jiżguraw li perċentwal adegwat tal-baġit tal-ICT jintefaq fuq iċ-ċibersigurtà. Meta jiġi stabbilit dak il-perċentwal għandu jittieħed kont debitu tal-Qafas.
8. Kull entità tal-Unjoni għandha taħtar uffiċjal lokali taċ-ċibersigurtà jew funzjoni ekwivalenti, li għandu jaġixxi bħala l-punt uniku ta’ kuntatt tagħha fir-rigward tal-aspetti kollha taċ-ċibersigurtà. L-uffiċjal lokali taċ-ċibersigurtà għandu jiffaċilita l-implimentazzjoni ta’ dan ir-Regolament u jirrapporta direttament lill-ogħla livell ta’ maniġment fuq bażi regolari dwar l-istat tal-implimentazzjoni. Mingħajr preġudizzju għar-rwol tal-uffiċjal lokali taċ-ċibersigurtà bħala l-punt uniku ta’ kuntatt f’kull entità tal-Unjoni, entità tal-Unjoni tista’ tiddelega ċerti kompiti tal-uffiċjal lokali taċ-ċibersigurtà fir-rigward tal-implimentazzjoni ta’ dan ir-Regolament lis-CERT-UE abbażi ta’ ftehim dwar il-livell ta’ servizz konkluż bejn dik l-entità tal-Unjoni u s-CERT-UE, jew dawk il-kompiti jistgħu jiġu kondiviżi bejn diversi entitajiet tal-Unjoni. Meta dawk il-kompiti jiġu delegati lis-CERT-EU, il-Bord Interistituzzjonali taċ-Ċibersigurtà stabbilit skont l-Artikolu 10 għandu jiddeċiedi jekk il-forniment ta’ dak is-servizz għandux ikun parti mis-servizzi tal-linja bażi tas-CERT-UE, b’kont meħud tar-riżorsi umani u finanzjarji tal-entità tal-Unjoni kkonċernata. Kull entità tal-Unjoni għandha, mingħajr dewmien żejjed, tinnotifika lis-CERT-EU dwar l-uffiċjal lokali taċ-ċibersigurtà maħtur u kwalunkwe bidla sussegwenti tiegħu.
Is-CERT-UE għandu jistabbilixxi u jżomm aġġornata lista tal-uffiċjali lokali taċ-ċibersigurtà maħtura.
9. L-uffiċjali għolja skont it-tifsira tal-Artikolu 29(2) tar-Regolamenti tal-Persunal jew uffiċjali oħra ta’ livell ekwivalenti ta’ kull entità tal-Unjoni, kif ukoll il-membri rilevanti tal-persunal inkarigati bl-implimentazzjoni tal-miżuri tal-ġestjoni tar-riskji taċ-ċibersigurtà u bl-issodisfar tal-obbligi stabbiliti f’dan ir-Regolament, għandhom isegwu taħriġ speċifiku fuq bażi regolari bil-għan li jiksbu għarfien u ħiliet suffiċjenti sabiex jifhmu u jivvalutaw ir-riskji taċ-ċibersigurtà u l-prattiki tal-ġestjoni tar-riskji taċ-ċibersigurtà u l-impatt tagħhom fuq l-operazzjonijiet tal-entità tal-Unjoni.
Artikolu 8
Miżuri ta’ ġestjoni tar-riskji taċ-ċibersigurtà
1. Mingħajr dewmien żejjed u fi kwalunkwe każ sat-8 ta’ Settembru 2025, kull entità tal-Unjoni għandha, taħt is-sorveljanza tal-ogħla livell ta’ maniġment tagħha, tieħu miżuri tekniċi, operazzjonali u organizzattivi xierqa u proporzjonati biex jiġu ġestiti r-riskji taċ-ċibersigurtà identifikati fl-ambitu tal-Qafas, u biex tipprevjeni u/jew timminimizza l-impatt tal-inċidenti. B’kont meħud tal-ogħla livell ta’ żvilupp tekniku u, meta applikabbli, tal-istandards Ewropej u internazzjonali rilevanti, dawk il-miżuri għandhom jiżguraw livell ta’ sigurtà tan-networks u tas-sistemi tal-informazzjoni fl-ambjent tal-ICT kollu kemm hu proporzjonat mar-riskji taċ-ċibersigurtà kkawżati. Meta tiġi vvalutata l-proporzjonalità ta’ dawk il-miżuri, għandu jittieħed kont debitu tal-grad tal-espożizzjoni tal-entità tal-Unjoni għar-riskji taċ-ċibersigurtà, id-daqs tagħha, il-probabbiltà tal-okkorrenza ta’ inċidenti u tas-severità tagħhom, inkluż l-impatt soċjetali, ekonomiku u interistituzzjonali tagħhom.
2. L-entitajiet tal-Unjoni għandhom jindirizzaw mill-inqas l-oqsma li ġejjin fl-implimentazzjoni tal-miżuri tal-ġestjoni tar-riskji taċ-ċibersigurtà:
(a) | il-politika taċ-ċibersigurtà, inklużi l-miżuri meħtieġa biex jintlaħqu l-objettivi u l-prijoritajiet imsemmija fl-Artikolu 6 u fil-paragrafu 3 ta’ dan l-Artikolu; |
(b) | il-politiki dwar l-analiżi tar-riskji taċ-ċibersigurtà u s-sigurtà tas-sistema tal-informazzjoni; |
(c) | l-objettivi ta’ politika rigward l-użu tas-servizzi tal-cloud computing; |
(d) | l-awditu taċ-ċibersigurtà, meta xieraq, li jista’ jinkludi valutazzjoni tar-riskju taċ-ċibersigurtà, tal-vulnerabbiltà u tat-theddid ċibernetiku, u ttestjar tal-penetrazzjoni mwettaq minn fornitur privat fdat fuq bażi regolari; |
(e) | l-implimentazzjoni tar-rakkomandazzjonijiet li jirriżultaw mill-awditi taċ-ċibersigurtà msemmija fil-punt (d) permezz ta’ aġġornamenti taċ-ċibersigurtà u tal-politika; |
(f) | l-organizzazzjoni taċ-ċibersigurtà, inkluż l-istabbiliment tar-rwoli u r-responsabbiltajiet; |
(g) | l-immaniġġar ta’ assi, inkluż l-inventarju tal-assi tal-ICT u l-kartografija tan-network tal-ICT; |
(h) | is-sigurtà tar-riżorsi umani u l-kontroll tal-aċċess; |
(i) | is-sigurtà operazzjonali tan-network; |
(j) | is-sigurtà tal-komunikazzjoni; |
(k) | l-akkwiżizzjoni, l-iżvilupp u l-manutenzjoni tas-sistema, inklużi l-politiki dwar it-trattament u d-divulgazzjoni tal-vulnerabbiltajiet; |
(l) | meta jkun possibbli, il-politiki dwar it-trasparenza tal-kodiċi sors; |
(m) | is-sigurtà tal-katina tal-provvista, inkluż l-aspetti relatati mas-sigurtà li jikkonċernaw ir-relazzjonijiet bejn kull entità tal-Unjoni u l-fornituri diretti jew il-fornituri ta’ servizzi diretti tagħha. |
(n) | it-trattament tal-inċidenti u l-kooperazzjoni mas-CERT-UE, bħall-manutenzjoni tal-monitoraġġ tas-sigurtà u reġistrazzjonijiet; |
(o) | il-ġestjoni tal-kontinwità tal-operat, bħall-ġestjoni ta’ riżerva u l-irkupru minn diżastri, u l-ġestjoni tal-kriżijiet; u |
(p) | il-promozzjoni u l-iżvilupp ta’ programmi ta’ edukazzjoni, ħiliet, sensibilizzazzjoni, eżerċizzju u taħriġ fil-qasam taċ-ċibersigurtà. |
Għall-finijiet tal-ewwel subparagrafu, il-punt (m), l-entitajiet tal-Unjoni għandhom iqisu l-vulnerabbiltajiet speċifiċi għal kull fornitur dirett u kull fornitur ta’ servizzi dirett u l-kwalità ġenerali tal-prodotti u l-prattiki taċ-ċibersigurtà tal-fornituri u l-fornituri tas-servizzi tagħhom, inkluż il-proċeduri ta’ żvilupp siguri tagħhom.
3. L-entitajiet tal-Unjoni għandhom jieħdu mill-inqas il-miżuri speċifiċi tal-ġestjoni tar-riskji taċ-ċibersigurtà li ġejjin:
(a) | l-arranġamenti tekniċi li jippermettu u jsostnu t-telexogħol; |
(b) | passi konkreti li jimxu lejn prinċipji ta’ fiduċja żero; |
(c) | l-użu tal-awtentikazzjoni b’diversi fatturi bħala norma fin-network u s-sistema tal-informazzjoni; |
(d) | l-użu tal-kriptografija u l-kriptaġġ, b’mod partikolari l-kriptaġġ minn tarf sa tarf, kif ukoll l-iffirmar diġitali sigur; |
(e) | meta xieraq, l-użu ta’ komunikazzjonijiet bil-vuċi, bil-vidjo u bil-kitba siguri, u sistemi ta’ komunikazzjonijiet ta’ emerġenza siguri fi ħdan l-entità tal-Unjoni; |
(f) | miżuri proattivi għad-detezzjoni u t-tneħħija ta’ malware u spyware; |
(g) | l-istabbiliment ta’ sigurtà tal-katina tal-provvista tas-software permezz ta’ kriterji għall-iżvilupp u l-evalwazzjoni ta’ software sigur; |
(h) | l-istabbiliment u l-adozzjoni ta’ programmi ta’ taħriġ dwar iċ-ċibersigurtà proporzjonati għall-kompiti preskritti u l-kapaċitajiet mistennija għall-ogħla livell ta’ maniġment u l-membri tal-persunal tal-entità tal-Unjoni inkarigati biex jiżguraw l-implimentazzjoni effettiva ta’ dan ir-Regolament; |
(i) | it-taħriġ regolari dwar iċ-ċibersigurtà tal-membri tal-persunal; |
(j) | fejn rilevanti, il-parteċipazzjoni fl-analiżijiet tar-riskji tal-interkonnettività bejn l-entitajiet tal-Unjoni; |
(k) | it-titjib tar-regoli dwar l-akkwist pubbliku għall-faċilitazzjoni ta’ livell komuni għoli ta’ ċibersigurtà permezz ta’:
|
Artikolu 9
Pjanijiet taċ-ċibersigurtà
1. Wara l-konklużjoni tal-valutazzjoni tal-maturità taċ-ċibersigurtà mwettqa skont l-Artikolu 7 u waqt li jitqiesu l-assi u r-riskji taċ-ċibersigurtà identifikati fil-Qafas kif ukoll il-miżuri tal-ġestjoni tar-riskji taċ-ċibersigurtà meħuda skont l-Artikolu 8, l-ogħla livell ta’ maniġment ta’ kull entità tal-Unjoni għandu japprova pjan taċ-ċibersigurtà mingħajr dewmien żejjed u fi kwalunkwe każ sat-8 ta’ Jannar 2026. Il-pjan taċ-ċibersigurtà għandu jkollu l-għan li jżid iċ-ċibersigurtà kumplessiva tal-entità tal-Unjoni kkonċernata u b’hekk għandu jikkontribwixxi għat-titjib ta’ livell għoli komuni ta’ ċibersigurtà fi ħdan l-entitajiet tal-Unjoni. Il-pjan taċ-ċibersigurtà għandu mill-inqas jinkludi l-miżuri ta’ ġestjoni tar-riskji taċ-ċibersigurtà meħuda skont l-Artikolu 8. Il-pjan taċ-ċibersigurtà għandu jiġi rrivedut kull sentejn, jew aktar ta’ spiss fejn neċessarju, wara l-valutazzjonijiet tal-maturità taċ-ċibersigurtà mwettqa skont l-Artikolu 7 jew wara kwalunkwe rieżami sostanzjali tal-Qafas.
2. Il-pjan taċ-ċibersigurtà għandu jinkludi l-pjan ta’ ġestjoni tal-kriżijiet ċibernetiċi tal-entità tal-Unjoni għal inċidenti kbar.
3. L-entità tal-Unjoni għanda tissottometti l-pjan taċ-ċibersigurtà komplut lill-Bord Interistituzzjonali taċ-Ċibersigurtà stabbilit skont l-Artikolu 10.
KAPITOLU III
BORD INTERISTITUZZJONALI TAĊ-ĊIBERSIGURTÀ
whereas