Choose the experimental features you want to try

This document is an excerpt from the EUR-Lex website

Document 52017DC0476

    KOMUNIKAZZJONI TAL-KUMMISSJONI LILL-PARLAMENT EWROPEW U LILL-KUNSILL Nagħmlu l-aħjar użu min-NIS – lejn l-implimentazzjoni effettiva tad-Direttiva (UE) 2016/1148 dwar miżuri għal livell għoli komuni ta’ sigurtà tan-netwerks u tas-sistemi tal-informazzjoni madwar l-Unjoni

    COM/2017/0476 final

    Brussell, 4.10.2017

    COM(2017) 476 final

    NOTE
    This language version reflects the corrections done to the original EN version transmitted under COM(2017) 476 final of 13.9.2017 and retransmitted (with corrections) under COM(2017) 476 final/2 of 4.10.2017

    KOMUNIKAZZJONI TAL-KUMMISSJONI LILL-PARLAMENT EWROPEW U LILL-KUNSILL

    Nagħmlu l-aħjar użu min-NIS – lejn l-implimentazzjoni effettiva tad-Direttiva (UE) 2016/1148 dwar miżuri għal livell għoli komuni ta’ sigurtà tan-netwerks u tas-sistemi tal-informazzjoni madwar l-Unjoni


    Introduzzjoni

    Id-Direttiva (UE) 2016/1148 dwar is-sigurtà tan-netwerks u tas-sistemi tal-informazzjoni madwar l-Unjoni 1 (minn hawn ’il quddiem imsejħa “id-Direttiva NIS” jew “id-Direttiva”) adottata fis-6 ta’ Lulju 2016 hi l-ewwel leġiżlazzjoni orizzontali tal-UE li tindirizza l-isfidi taċ-ċibersigurtà u hi trasformazzjoni ġenwina fir-reżiljenza u l-koperazzjoni fl-Ewropa fil-qasam taċ-ċibersigurtà.

    It-tliet għanijiet ewlenin tad-Direttiva huma li:

    ·Ittejjeb il-kapaċitajiet taċ-ċibersigurtà nazzjonali;

    ·Tibni koperazzjoni fil-livell tal-UE; u

    ·Tippromwovi kultura ta’ ġestjoni tar-riskji u rappurtar tal-inċidenti fost l-atturi ekonomiċi ewlenin, l-aktar fost l-operaturi li jipprovdu servizzi essenzjali (OES) għall-manteniment ta’ attivitajiet ekonomiċi u soċjetali u l-Fornituri tas-Servizzi Diġitali (id-DSPs).

    Id-Direttiva NIS hi pedament tar-rispons tal-UE għat-theddid u l-isfidi ċibernetiċi dejjem jikbru li ġġib magħha d-diġitalizzazzjoni tal-ħajja ekonomija u soċjetali tagħna, u għaldaqstant l-implimentazzjoni tagħha hi parti essenzjali mill-pakkett taċ-ċibersigurtà ppreżentat fit-13 ta’ Settembru 2017. L-effikaċja ta’ dan ir-rispons tal-UE tkun dgħajfa jekk id-Direttiva NIS ma tkunx trasposta bis-sħiħ fl-Istati Membri kollha tal-UE. Dan jitqies bħala punt kritiku fil-Komunikazzjoni tal-2016 tal-Kummissjoni dwar it-Tisħiħ tas-Sistema Ewropea tar-Reżiljenza Ċibernetika 2 .

    In-novità d-Direttiva NIS u l-urġenza li jiġi indirizzat ix-xenarju li tant qed jevolvi tat-theddid ċibernetiku jeżiġuna nagħtu ċertu attenzjoni partikolari lill-isfidi li jkollhom l-atturi kollha biex jiżguraw li t-traspożizzjoni tad-Direttiva tkun effikaċi u ssir fil-ħin. Peress li t-traspożizzjoni għandha ssir sad-9 ta’ Mejju 2018 u l-operaturi tas-servizzi essenzjali għandhom jiġu identifikati sad-9 ta’ Novembru 2018, il-Kummissjoni qed tappoġġa l-proċess tat-traspożizzjoni fl-Istati Membri u l-ħidma tagħhom fil-Grupp ta’ Koperazzjoni għal dan il-għan.

    Din il-Komunikazzjoni u l-Anness tagħha huma bbażati fuq il-ħidma preparatorja tal-Kummissjoni u analiżi relatata mal-implimentazzjoni s’issa tad-Direttiva NIS, fuq l-input tal-Aġenzija tal-Unjoni Ewropea dwar is-Sigurtà tan-Netwerks u l-Informazzjoni (l-ENISA) u fuq id-diskussjonijiet li saru mal-Istati Membri fil-fażi tat-traspożizzjoni tad-Direttiva, notevolment fi ħdan il-Grupp ta’ Koperazzjoni 3 . Din il-Komunikazzjoni tikkumplimenta l-isforzi konsiderevoli li saru s’issa, l-aktar permezz ta’:

    ·Il-ħidma intensiva tal-Grupp ta’ Koperazzjoni, li sab ftehim fuq pjan ta’ ħidma ffukat l-aktar fuq it-traspożizzjoni tad-Direttiva NIS, u b’mod partikolari fuq il-kwistjoni tal-identifikazzjoni tal-operaturi tas-servizzi essenzjali u l-obbligi tagħhom fejn jidħlu r-rekwiżiti tas-sigurtà u n-notifiki tal-inċidenti. Filwaqt li d-Direttiva tipprevedi diskrezzjoni fit-traspożizzjoni tad-dispożizzjonijiet relatati mal-operaturi tas-servizzi essenzjali, l-Istati Membri għarfu l-importanza ta’ approċċ armonizzat f’dan ir-rigward 4 .

    ·It-twaqqif u t-tħaddim malajr tan-Netwerk ta’ Skwadri tar-Rispons għal Inċidenti relatati mas-Sigurtà tal-Kompjuters (CSIRTs) skont l-Artikolu 12(1) tad-Direttiva. Minn dak iż-żmien ’l hawn, dan in-Netwerk beda jifrex il-pedamenti għal koperazzjoni operazzjonali strutturata fil-livell Ewropew.

    Għal-livell ta’ politika u għal-livell operazzjonali li qed jirrappreżentaw dawn iż-żewġ strutturi, hemm bżonn l-impenn sħiħ tal-Istati Membri kollha biex jintlaħaq l-għan ta’ livell għoli komuni ta’ sigurtà tan-netwerks u tas-sistemi tal-informazzjoni fl-Unjoni.

    Din il-Komunikazzjoni u l-Anness tagħha se jsaħħu dawn l-isforzi għax se jiġbru u jqabblu l-aqwa prattiki tal-Istati Membri li huma rilevanti għall-implimentazzjoni tad-Direttiva, billi jipprovdu aktar gwida dwar il-mod kif għandha tiġi implimentata d-Direttiva u jagħtu spjegazzjonijiet aktar dettaljati dwar ċertu dispożizzjonijiet speċifiċi. L-għan ġenerali hu jingħata appoġġ lill-Istati Membri ħalli l-implimentazzjoni tad-Direttiva NIS madwar l-UE tkun effettiva u armonizzata.

    Din il-Komunikazzjoni se tiġi kkumplimentata iżjed bir-Regolament ta’ Implimentazzjoni tal-Kummissjoni li se joħroġ dwar speċifikazzjoni ulterjuri tal-elementi u l-parametri relatati mar-rekwiżiti tas-sigurtà u tan-notifika tal-inċidenti għal fornituri tas-servizzi diġitali, skont l-Artikolu 16(8) tad-Direttiva NIS. Ir-Regolament ta’ Implimentazzjoni se jiffaċilita l-implimentazzjoni tad-Direttiva fejn jidħlu l-obbligi tal-fornituri tas-servizzi diġitali 5 .

    Din il-Komunikazzjoni tippreżenta l-konklużjonijiet ewlenin tal-analiżi tal-kwistjonijiet meqjusin bħala punti ta’ referenza importanti u ispirazzjoni potenzjali mil-lat ta’ traspożizzjoni fil-liġi nazzjonali. Hawnhekk, l-enfasi ewlenija qed issir fuq id-dispożizzjonijiet relatati mal-kapaċitajiet tal-Istati Membri u mal-obbligi tal-entitajiet li qegħdin fil-kamp ta’ applikazzjoni tad-Direttiva. L-Anness jipprovdi eżami aktar dettaljat tal-oqsma li l-Kummissjoni tqis li hu ferm importanti li jingħataw gwidi prattiċi dwar it-traspożizzjoni li jkun fihom spjegazzjoni u l-interpretazzjoni tagħha ta’ ċertu dispożizzjonijiet tad-Direttiva, u bi preżentazzjoni tal-aqwa prattiki u tal-esperjenza miksuba s’issa b’din id-Direttiva.

    Għal implimentazzjoni effettiva tad-Direttiva NIS

    Id-Direttiva NIS għandha l-għan li tilħaq livell għoli komuni ta’ sigurtà tan-netwerks u tas-sistemi tal-informazzjoni fl-UE. Dan ifisser li titjieb is-sigurtà tal-internet u tas-sistemi privati tan-netwerks u tal-informazzjoni li jirfdu l-funzjonament tas-soċjetajiet u tal-ekonomiji tagħna. L-ewwel element importanti f’dan ir-rigward hu l-istat ta’ tħejjija tal-Istati Membri; dan għandu jkun żgurat billi jkollhom fis-seħħ strateġiji nazzjonali dwar iċ-ċibersigurtà, kif deskritt fid-Direttiva, bil-ħidma tas-CSIRTs, u bil-ħidma tal-awtoritajiet nazzjonali kompetenti.

    Il-komprensività tal-istrateġiji nazzjonali

    Hu importanti li l-Istati Membri jaħtfu l-opportunità tat-traspożizzjoni tad-Direttiva NIS biex jirrevedu l-istrateġija nazzjonali tagħhom dwar iċ-ċibersigurtà fid-dawl tan-nuqqasijiet, l-aqwa prattiki u l-isfidi l-ġodda li jindirizza l-Anness.

    Wieħed jifhem li d-Direttiva tiffoka fuq il-kumpaniji u s-servizzi li għandhom importanza kritika partikolari, iżda hija ċ-ċibersigurtà tal-ekonomija u s-soċjetà kollha kemm huma li jeħtieġ tiġi indirizzata b’mod ħolistiku u konsistenti, minħabba d-dipendenza dejjem akbar fuq l-ICT. Għalhekk bl-adozzjoni ta’ strateġiji nazzjonali komprensivi li jmorru lil hinn mir-rekwiżiti minimi tad-Direttiva NIS (jiġifieri li jkopru aktar mis-setturi u s-setturi msemmija rispettivament fl-Anness II u III tad-Direttiva) jiżdied il-livell ġenerali tas-sigurtà tan-netwerks u tas-sistemi tal-informazzjoni.

    Iċ-ċibersigurtà għadha qasam ta’ politika pubblika relattivament ġdid u li qed jikber malajr, għalhekk f’ħafna mill-każijiet hemm bżonn isiru investimenti ġodda, anke jekk is-sitwazzjoni ġenerali tal-finanzi pubbliċi titlob tnaqqis u ffrankar. Għaldaqstant biex jintlaħqu l-għanijiet tad-Direttiva, iridu jittieħdu deċiżjonijiet ambizzjużi li jiżguraw riżorsi finanzjarji u umani xierqa li huma indispensabbli għall-implimentazzjoni effettiva tal-istrateġiji nazzjonali, fosthom riżorsi biżżejjed għall-awtoritajiet nazzjonali kompetenti u għas-CSIRTs.

    L-effikaċja tal-implimentazzjoni u l-infurzar

    Il-bżonn li jiġu nnominati l-awtoritajiet nazzjonali kompetenti u l-punti uniċi ta’ kuntatt rispettivi hu spjegat fl-Artikolu 8 tad-Direttiva, u dan hu element ewlieni biex tkun żgurata implimentazzjoni effettiva tad-Direttiva NIS u tal-koperazzjoni transfruntiera. Dwar dan, ħareġ fid-dieher li l-Istati Membri qed iħaddmu kemm approċċi aktar ċentralizzati u anki approċċi aktar deċentralizzati Meta l-Istati Membri jadottaw approċċ aktar deċentralizzat fir-rigward tan-nomina tal-awtoritajiet nazzjonali kompetenti, hu ferm importanti li dawn jiżguraw arranġamenti sodi ta’ koperazzjoni bejn id-diversi awtoritajiet u l-punt uniku ta’ kuntatt (ara t-Tabella 1 tat-Taqsima 3.2. tal-Anness). Dan iżid l-effikaċja tal-implimentazzjoni u jiffaċilita l-infurzar.

    L-esperjenza preċedenti fejn tidħol il-Protezzjoni tal-Infrastrutturi ta’ Informazzjoni Kritika (is-CIIP) tista’ tgħin biex jitfassal l-aħjar mudell ta’ governanza għall-Istati Membri, u jkunu żgurati implimentazzjoni settorjali effikaċi tad-Direttiva NIS u approċċ orizzontali koerenti (ara t-Taqsima 3.1 tal-Anness).

    Jissaħħu l-kapaċitajiet tas-CSIRTs nazzjonali

    Bħalma jistipula l-Artikolu 9 tad-Direttiva NIS, jekk is-CSIRTs nazzjonali madwar l-UE ma jkunux effettivi u ma jkollhomx ir-riżorsi xierqa, l-UE se tibqa’ dgħajfa wisq fejn jidħol it-theddid ċibernetiku transfruntier. Għalhekk, l-Istati Membri jistgħu jikkunsidraw li jwessgħu l-ambitu tas-CSIRTs lil hinn mis-setturi u s-servizzi inklużi fil-kamp ta’ applikazzjoni tad-Direttiva (ara t-Taqsima 3.3 tal-Anness). B’dan il-mod, is-CSIRTs nazzjonali jkunu jistgħu jipprovdu appoġġ operazzjonali għall-inċidenti ċibernetiċi li jseħħu f’kumpaniji u organizzazzjonijiet li mhumiex fil-kamp ta’ applikazzjoni tad-Direttiva, iżda huma importanti wkoll għas-soċjetà u l-ekonomija. Minbarra dan, l-Istati Membri jistgħu jisfruttaw bis-sħiħ l-opportunitajiet ta’ finanzjament addizzjonali li joffri l-programm tal-Infrastrutturi tas-Servizzi Diġitali taċ-Ċibersigurtà li tħaddem il-Faċilità Nikkollegaw l-Ewropa (is-CEF), imfassal biex issaħħaħ il-kapaċitajiet tas-CSIRTs nazzjonali u l-koperazzjoni ta’ bejniethom (ara t-Taqsima 3.5 tal-Anness).

    Il-konsistenza tal-proċess tal-identifikazzjoni tal-operaturi tas-servizzi essenzjali

    Skont l-Artikolu 5 tad-Direttiva NIS, l-Istati Membri għandhom sad-9 ta’ Novembru 2018 biex jidentifikaw l-entitajiet li se jitqiesu bħala operaturi tas-servizzi essenzjali. B’rabta ma’ dan il-kompitu, l-Istati Membri jistgħu jikkunsidraw li jużaw b’mod konsistenti d-definizzjonijiet u l-gwida inklużi f’din il-Komunikazzjoni ħalli jkun żgurat li l-istess tip ta’ entitajiet li jaqdu rwol simili fis-suq intern jiġu identifikati b’mod konsistenti bħala operaturi tas-servizzi essenzjali fi Stati Membri oħra. L-Istati Membri jistgħu jikkunsidraw ukoll li jwessgħu l-kamp ta’ applikazzjoni tad-Direttiva NIS għall-amministrazzjonijiet pubbliċi, minħabba r-rwol li dawn jaqdu għas-soċjetà u l-ekonomija kollha kemm huma (ara t-Taqsimiet 2.1. u 4.1.3 tal-Anness).

    Hu tassew utli li l-approċċi nazzjonali tal-identifikazzjoni tal-operaturi tas-servizzi essenzjali jiġu allinjati kemm jista’ jkun possibbli, notevolment skont il-gwida tal-Grupp ta’ Koperazzjoni (ara t-Taqsima 4.1.2 tal-Anness) għax dan l-allinjament iwassal għal applikazzjoni aktar armonizzata tad-dispożizzjonijiet tad-Direttiva u b’hekk jonqos ir-riskju ta’ frammentazzjoni tas-suq. Meta l-operaturi tas-servizzi essenzjali jkunu jipprovdu servizzi essenzjali f’żewġ Stati Membri jew aktar, hu ferm importanti li jsir kull sforz biex jintlaħaq ftehim bejn l-Istati Membri, fil-kuntest tal-proċess ta’ konsultazzjoni skont l-Artikolu 5(4) dwar l-identifikazzjoni konsistenti tal-entitajiet (ara t-Taqsima 4.1.7 tal-Anness), għax dan jevita trattament regolatorju differenti tal-istess entità skont ġurisdizzjonijiet ta’ Stati Membri differenti.

    Il-preżentazzjoni ta’ informazzjoni lill-Kummissjoni dwar l-identifikazzjoni tal-operaturi tas-servizzi essenzjali

    Skont l-Artikolu 5(7), l-Istati Membri jeħtieġ jipprovdu informazzjoni lill-Kummissjoni dwar il-miżuri nazzjonali li jippermettu l-identifikazzjoni tal-operaturi tas-servizzi essenzjali, il-lista tas-servizzi essenzjali, l-għadd ta’ operaturi tas-servizzi essenzjali identifikati u r-rilevanza ta’ dawn l-operaturi għas-settur. Barra minn hekk, l-Istati Membri jeħtieġ jipprovdu l-limiti, meta dawn ikunu jeżistu, li ntużaw fil-proċess tal-identifikazzjoni biex jinstab il-livell ta’ provvista rilevanti jew l-importanza ta’ operatur partikolari għaż-żamma ta’ livell suffiċjenti ta’ provvista. L-Istati Membri jistgħu jikkunsidraw ukoll li jaqsmu mal-Kummissjoni l-listi tal-operaturi tas-servizzi essenzjali identifikati, u jekk meħtieġ b’mod kunfidenzjali, għax dan jgħin biex jitjiebu l-preċiżjoni u l-kwalità tal-valutazzjoni tal-Kummissjoni (ara t-Taqsimiet 4.1.5. u 4.1.6. tal-Anness).

    Approċċi allinjati għar-rekwiżiti tal-operaturi tas-servizzi essenzjali fejn jidħlu s-sigurtà u n-notifika tal-inċidenti

    Fir-rigward tal-obbligi tal-operaturi tas-servizzi essenzjali fejn jidħlu r-rekwiżiti tas-sigurtà u n-notifiki tal-inċidenti (l-Artikolu 14(1), (2) u (3)), approċċ allinjat għar-rekwiżiti tas-sigurtà u n-notifiki tal-inċidenti li jiffaċilita l-konformità tal-operaturi tas-servizzi essenzjali bejn il-fruntieri tal-Istati Membri tal-UE, jippromwovi kemm jista’ jkun effett ta’ suq uniku. Dwar dan, ir-referenza tibqa’ l-ħidma fuq dokument gwida fi ħdan il-Grupp ta’ Koperazzjoni (ara t-Taqsimiet 4.2. u 4.3. tal-Anness).

    Jekk iseħħu inċidenti ċibernetiċi fuq skala kbira li jaffettwaw lil bosta Stati Membri, hu probabbli ħafna li n-notifika obbligatorja tal-inċidenti ssir mill-operaturi tas-servizzi essenzjali jew mill-fornituri tas-servizzi diġitali skont l-Artikoli 14(3) u 16(3) jew minn entità oħra li mhix fil-kamp ta’ applikazzjoni tad-Direttiva b’mod volontarju skont l-Artikolu 20(1). B’konformità mar-Rakkomandazzjoni tal-Kummissjoni dwar Rispons Koordinat għal Inċidenti u Kriżijiet taċ-Ċibersigurtà fuq Skala Kbira, l-Istati Membri jistgħu jikkunsidraw li jallinjaw l-approċċi nazzjonali tagħhom biex ikunu jistgħu jipprovdu informazzjoni rilevanti malajr kemm jista’ jkun, abbażi ta’ dawk in-notifiki, lill-awtoritajiet kompetenti jew lis-CSIRTs tal-Istati Membri l-oħra kkonċernati. Informazzjoni preċiża u azzjonabbli hi indispensabbli biex jonqos l-għadd ta’ infezzjonijiet jew biex jingħelbu d-dgħjufijiet qabel ma dawn jiġu sfruttati.

    Fl-ispirtu ta’ sħubija biex tagħmel l-aħjar użu mid-Direttiva NIS, il-Kummissjoni beħsiebha żżid l-appoġġ bil-Faċilità Nikkollegaw l-Ewropa għall-partijiet konċernati rilevanti kollha skont din il-leġiżlazzjoni. Filwaqt li l-enfasi saret fuq il-bini tal-kapaċitajiet tas-CSIRTs u fuq it-twaqqif ta’ pjattaforma għal koperazzjoni operazzjonali malajr u effettiva, biex b’hekk jissaħħaħ in-Netwerk tas-CSIRTs, il-Kummissjoni issa se tesplora kif anki l-awtoritajiet nazzjonali kompetenti u l-operaturi tas-servizzi essenzjali u l-fornituri tas-servizzi diġitali jistgħu jibbenefikaw minn finanzjament tal-Faċilità Nikkollegaw l-Ewropa.

    Konklużjoni

    Minħabba l-iskadenza imminenti tat-traspożizzjoni tad-Direttiva NIS fil-leġiżlazzjoni nazzjonali sa mhux aktar tard mid-9 ta’ Mejju 2018, u l-iskadenza għall-identifikazzjoni tal-operaturi tas-servizzi essenzjali sad-9 ta’ Novembru 2018, l-Istati Membri għandhom jieħdu l-miżuri xierqa biex jiżguraw li d-dispożizzjonijiet u l-mudelli ta’ koperazzjoni tad-Direttiva NIS jistgħu jipprovdu l-aqwa għodod possibbli fil-livell tal-UE biex jinkiseb livell għoli komuni ta’ sigurtà tan-netwerks u tas-sistemi tal-informazzjoni fl-Unjoni kollha. Matul dan il-proċess, il-Kummissjoni tistieden lill-Istati Membri biex jikkunsidraw l-informazzjoni rilevanti, il-gwidi u r-rakkomandazzjonijiet li jinsabu f’din il-Komunikazzjoni.

    Din il-Komunikazzjoni tista’ tiġi ssupplimentata b’azzjonijiet oħra, fosthom dawk maħluqa bil-ħidma għaddejja fi ħdan il-qafas tal-Grupp ta’ Koperazzjoni.

    (1)

    Id-Direttiva (UE) 2016/1148 tal-Parlament Ewropew u tal-Kunsill tas-6 ta’ Lulju 2016 dwar miżuri għal livell għoli komuni ta’ sigurtà tan-netwerks u tas-sistemi tal-informazzjoni madwar l-Unjoni. Id-Direttiva daħlet fis-seħħ fit-8 ta’ Awwissu 2016.

    (2)

    COM(2016) 410 final.

    (3)

    Mekkaniżmu għal koperazzjoni strateġika bejn l-Istati Membri skont l-Artikolu 11 tad-Direttiva NIS.

    (4)

    Bħalissa, il-Grupp ta’ Koperazzjoni qed jaħdem fuq dokumenti gwida ta’ referenza li fost l-oħrajn jikkonċernaw: il-kriterji li jiddefinixxu l-kritikalità ta’ operatur skont l-Artikolu 5(2) tad-Direttiva; iċ-ċirkostanzi meta l-operaturi tas-servizzi essenzjali jeħtieġ jinnotifikaw l-inċidenti skont l-Artikolu 14(7) tad-Direttiva; u r-rekwiżiti tas-sigurtà għall-operaturi tas-servizzi essenzjali, b’mod konformi mal-Artikoli 14(1) u 14(2).

    (5)

    L-abbozz tar-Regolament ta’ Implimentazzjoni qiegħed għall-konsultazzjoni pubblika fuq https://ec.europa.eu/info/law/better-regulation/have-your-say_mt

    Top

    Brussell, 4.10.2017

    COM(2017) 476 final

    NOTE
    This language version reflects the corrections done to the original EN version transmitted under COM(2017) 476 final of 13.9.2017 and retransmitted (with corrections) under COM(2017) 476 final/2 of 4.10.2017

    ANNESS

    tal-

    KOMUNIKAZZJONI TAL-KUMMISSJONI EWROPEA LILL-PARLAMENT EWROPEW U LILL-KUNSILL

    Nagħmlu l-aħjar użu min-NIS – lejn l-implimentazzjoni effettiva tad-Direttiva (UE) 2016/1148 dwar miżuri għal livell għoli komuni ta’ sigurtà tan-netwerks u tas-sistemi tal-informazzjoni madwar l-Unjoni


    7. Lista ta’ prattiki tajba u rakkomandazzjonijiet mill-ENISA    



    ANNESS

    1. Introduzzjoni

    Dan l-Anness għandu l-għan li jikkontribwixxi għal applikazzjoni, l-implimentazzjoni u l-infurzar effettivi tad-Direttiva (UE) 2016/1148 dwar is-sigurtà tan-netwerks u tas-sistemi tal-informazzjoni madwar l-Unjoni 1 (minn hawn ’il quddiem imsejħa “id-Direttiva NIS” jew “id-Direttiva”) u li jgħin lill-Istati Membri biex jiżguraw li l-liġi tal-UE tiġi applikata b’mod effettiv. B’mod aktar partikolari, l-għanijiet speċifiċi tiegħu huma tlieta: (a) li joffri aktar ċarezza lill-awtoritajiet nazzjonali fejn jidħlu l-obbligi stipulati fid-Direttiva li japplikaw għal dawn l-awtoritajiet, (b) li jiżgura infurzar effettiv tal-obbligi tad-Direttiva li japplikaw għall-entitajiet obbligati mir-rekwiżiti tas-sigurtà u min-notifiki tal-inċidenti, u (c) li jgħin b’mod ġenerali biex tinħoloq ċertezza legali fost l-atturi rilevanti kollha.

    Għal dan il-għan, dan l-Anness jipprovdi gwida fuq dawn l-aspetti li ġejjin, ilkoll kruċjali biex jintlaħaq l-għan tad-Direttiva NIS, jiġifieri li jkun żgurat livell għoli komuni ta’ sigurtà tan-netwerks u tas-sistemi tal-informazzjoni fl-UE, li fuqu jissejjes il-funzjonament tas-soċjetà u l-ekonomija tagħna:

    ·L-obbligu tal-Istati Membri li jadottaw strateġija nazzjonali dwar is-sigurtà tan-netwerks u tas-sistemi tal-informazzjoni (it-Taqsima 2);

    ·Jitwaqqfu awtoritajiet nazzjonali kompetenti, punti uniċi ta’ kuntatt u Skwadri tar-Rispons għal Inċidenti relatati mas-Sigurtà tal-Kompjuters (it-Taqsima 3);

    ·Ir-rekwiżiti tas-sigurtà u n-notifiki tal-inċidenti applikabbli għall-operaturi tas-servizzi essenzjali u għall-fornituri tas-servizzi diġitali (it-Taqsima 4); u

    ·Ir-relazzjoni bejn id-Direttiva NIS u leġiżlazzjoni oħra (it-Taqsima 5).

    Biex tħejji din il-gwida, il-Kummissjoni użat il-kontribut u l-analiżi miġbura waqt it-tħejjija tad-Direttiva, il-kontribut tal-Aġenzija tal-UE għas-Sigurtà tan-Netwerks u l-Informazzjoni (“l-ENISA”) u l-Grupp ta’ Koperazzjoni. Użat ukoll l-esperjenzi ta’ Stati Membri partikolari. Meta kien xieraq, il-Kummissjoni qieset il-prinċipji gwida għall-interpretazzjoni tad-dritt tal-UE: il-kliem, il-kuntest u l-għanijiet tad-Direttiva NIS. Id-Direttiva ma ġietx trasposta u għalhekk għadha ma nqatgħet l-ebda sentenza tal-Qorti tal-Ġustizzja tal-Unjoni Ewropea (QtĠ-UE) jew tal-qrati nazzjonali. Għaldaqstant il-ġurisprudenza ma setgħetx tintuża bħala gwida.

    Jekk din l-informazzjoni tinġabar f’dokument wieħed, l-Istati Membri jkun jista’ jkollhom stampa ġenerali tajba tad-Direttiva u jkunu jistgħu jqisu din l-informazzjoni waqt it-tfassil tal-leġiżlazzjoni nazzjonali tagħhom. Fl-istess ħin, il-Kummissjoni tisħaq li dan l-Anness mhux vinkolanti u mhix beħsiebha toħloq regoli ġodda. Il-Qorti tal-Ġustizzja tal-Unjoni Ewropea għandha l-kompetenza finali biex tinterpreta d-dritt tal-UE.

    2. Strateġija nazzjonali dwar is-sigurtà tan-netwerks u tas-sistemi tal-informazzjoni

    Skont l-Artikolu 7 tad-Direttiva NIS, l-Istati Membri jeħtieġ jadottaw strateġija nazzjonali dwar is-sigurtà tan-netwerks u tas-sistemi tal-informazzjoni li tkun tista’ titqies ekwivalenti għat-terminu “Strateġija Nazzjonali dwar iċ-Ċibersigurtà (NCSS)”. Strateġija nazzjonali jkollha l-funzjoni li tiddefinixxi l-għanijiet strateġiċi u l-azzjonijiet regolatorji u ta’ politika xierqa relatati maċ-ċibersigurtà. Il-kunċett ta’ NCSS jintuża b’mod wiesa’ fil-livell internazzjonali u fl-Ewropa, l-aktar fil-kuntest tal-ħidma tal-ENISA mal-Istati Membri dwar l-istrateġiji nazzjonali li dan wasslet għal aġġornament fil-Gwida ta’ Prattika Tajba għall-NCSS 2 .

    F’din it-taqsima, il-Kummissjoni tispeċifika kif id-Direttiva NIS isaħħaħ l-istat ta’ tħejjija tal-Istati Membri billi teżiġi li jdaħħlu fis-seħħ strateġiji nazzjonali sodi dwar is-sigurtà tan-netwerks u tas-sistemi tal-informazzjoni (l-Artikolu 7). Din it-taqsima tindirizza dawn l-aspetti: (a) l-ambitu tal-istrateġija, u (b) il-kontenut u l-proċedura għall-adozzjoni.

    Kif deskritt aktar hawn taħt, it-traspożizzjoni korretta tal-Artikolu 7 tad-Direttiva NIS hi fundamentali biex jintlaħqu l-għanijiet tad-Direttiva u teħtieġ l-allokazzjoni ta’ riżorsi finanzjarji u umani adegwati għal dan il-għan.

    2.1. L-ambitu tal-istrateġija nazzjonali

    Skont il-formulazzjoni tal-Artikolu 7, l-obbligu li jadottaw NCSS tapplika biss għas-setturi msemmija fl-Anness II (jiġifieri għall-enerġija, it-trasport, is-servizzi bankarji u s-suq finanzjarju, is-saħħa, il-provvista u d-distribuzzjoni tal-ilma tax-xorb u l-infrastruttura diġitali) u għas-servizzi msemmija fl-Anness III (is-suq online, il-magna tat-tiftix online u l-cloud computing). 

    L-Artikolu 3 tad-Direttiva jistabbilixxi b’mod speċifiku l-prinċipju ta’ armonizzazzjoni minima, li skontu l-Istati Membri jistgħu jadottaw jew iżommu fis-seħħ dispożizzjonijiet bil-għan li jiksbu livell ogħla ta’ sigurtà tan-netwerks u tas-sistemi tal-informazzjoni. Bl-applikazzjoni ta’ dan il-prinċipju għall-obbligu li jadottaw NCSS, l-Istati Membri jkunu jistgħu jinkludu aktar setturi u servizzi minn dawk koperti fl-Anness II u III tad-Direttiva.

    Skont il-Kummissjoni u fid-dawl tal-għan tad-Direttiva NIS, jiġifieri li jinkiseb livell għoli komuni ta’ sigurtà tan-netwerks u tas-sistemi tal-informazzjoni fl-Unjoni 3 , ikun għaqli li tinħoloq strateġija nazzjonali li tkopri d-dimensjonijiet rilevanti kollha tas-soċjetà u tal-ekonomija, u mhux biss is-setturi u s-servizzi diġitali li jkopru rispettivament l-Anness II u III tad-Direttiva NIS. Dan hu konformi mal-aqwa prattiki internazzjonali (ara l-Gwida tal-ITU u l-analiżi tal-OECD imsemmija aktar ’il quddiem) u mad-Direttiva NIS.

    Kif inhu spjegat aktar ’il quddiem, b’mod partikolari dan hu l-każ għall-amministrazzjonijiet pubbliċi responsabbli mis-setturi u mis-servizzi msemmija fl-Annessi II u III tad-Direttiva. L-amministrazzjonijiet pubbliċi jistgħu jipproċessaw informazzjoni sensittiva li tkun tiġġustifika l-ħtieġa li tkun koperta minn NCSS u pjanijiet ta’ ġestjoni li jevitaw l-iżvelar u li jiżguraw il-protezzjoni xierqa ta’ din l-informazzjoni.

    2.2. Il-kontenut u l-proċedura għall-adozzjoni tal-istrateġiji nazzjonali

    Skont l-Artikolu 7 tad-Direttiva NIS, NCSS jeħtieġ tinkludi mill-anqas dan li ġej:

    I)l-għanijiet u l-prijoritajiet tal-istrateġija nazzjonali dwar is-sigurtà tan-netwerks u tas-sistemi tal-informazzjoni;

    II)qafas ta’ governanza biex jintlaħqu l-għanijiet u l-prijoritajiet tal-istrateġija nazzjonali;

    III)tidentifika l-miżuri relatati mal-istat ta’ t-tħejjija, ir-rispons u l-irkupru, inkluż il-koperazzjoni bejn is-settur pubbliku u dak privat;

    IV)tindika programmi rilevanti tal-edukazzjoni, is-sensibilizzazzjoni u t-taħriġ;

    V)tindika pjanijiet tar-riċerka u l-iżvilupp;

    VI)pjan ta’ valutazzjoni tar-riskju biex jiġu identifikati r-riskji; u

    VII)lista tal-atturi involuti fl-implimentazzjoni tal-istrateġija.

    La l-Artikolu 7 u lanqas il-premessa 29 korrispondenti ma jispeċifikaw ir-rekwiżiti għall-adozzjoni ta’ NCSS jew jipprovdu aktar granularità fuq il-kontenut tal-NCSS. Sa fejn jikkonċerna l-proċess u l-elementi addizzjonali relatati mal-kontenut tal-NCSS, il-Kummissjoni jidhrilha li l-approċċ stabbilit hawn taħt jixraq għall-adozzjoni tal-NCSS. Dan hu bbażat fuq analiżi tal-esperjenzi ta’ xi Stati Membri u pajjiżi terzi relatata ma’ kif l-Istati Membri żviluppaw l-istrateġiji tagħhom stess. Riżors informattiv ieħor hu l-għodda tat-taħriġ tal-ENISA dwar l-NCSS fil-forma ta’ filmati u midja li tista’ tniżżel mill-website tagħha 4 .

    2.3. Il-proċess u l-kwistjonijiet li jridu jiġu indirizzati

    Il-proċess tal-abbozzar u l-adozzjoni sussegwenti ta’ strateġija nazzjonali huma kumplessi u multidimensjonali, u għalhekk jeħtieġu impenn sostnut mal-esperti fiċ-ċibersigurtà, is-soċjetà ċivili u l-proċess politiku nazzjonali, jekk dan irid ikun effettiv u effikaċi. Sine qua non hu appoġġ amministrattiv ta’ livell għoli mill-inqas fil-livell ta’ Segretarju tal-Istat jew f’livell ekwivalenti fil-Ministeru, kif ukoll sponsorship. Biex tirnexxi l-adozzjoni ta’ NCSS, jista’ jintuża dan il-proċess ta’ ħames passi li ġej (ara l-Grafika 1):

    L-ewwel passNoħolqu prinċipji gwida u l-għanijiet strateġiċi li joħorġu mill-istrateġija

    Qabelxejn, l-awtoritajiet nazzjonali kompetenti jenħtieġ jiddefinixxu xi elementi ewlenin li jridu jiddaħħlu fl-NCSS, notevolment x’inhuma r-riżultati mixtieqa, bil-lingwaġġ tad-Direttiva (l-Artikolu 7(1)(a) objettivi u prijoritajiet), kif dawn ir-riżultati jikkumplimentaw il-politiki ekonomiċi u soċjali nazzjonali u jekk humiex kompatibbli mal-privileġġi u l-obbligi li għandhom l-Istati Membri tal-Unjoni Ewropea. L-għanijiet jenħtieġ ikunu speċifiċi, jistgħu jitkejlu u jinkisbu, realistiċi u marbutin mal-ħin (SMART). Ngħidu aħna: “We will ensure that this [time bound] strategy is founded upon a rigorous and comprehensive set of metrics against which we measure progress towards the outcomes we need to achieve 5 (Aħna se niżguraw li din l-istrateġija [marbuta mal-ħin] tissejjes fuq metriċi rigorużi u komprensivi li bihom jitkejjel il-progress lejn ir-riżultati li rridu niksbu).

    Dan il-pass jinkludi wkoll valutazzjoni politika dwar jekk jistax jinkiseb baġit sinifikanti bħala riżorsa għall-implimentazzjoni tal-istrateġija. Jinvolvi wkoll deskrizzjoni tal-ambitu maħsub tal-istrateġija u d-diversi kategoriji tal-partijiet konċernati mis-settur pubbliku u dak privat li jenħtieġ ikunu involuti fit-tfassil tal-bosta għanijiet u miżuri.

    Dan l-ewwel pass jista’ jinkiseb bi gruppi ta’ ħidma ma’ politiċi u uffiċjali ministerjali ta’ livell għoli mmexxija minn speċjalisti fiċ-ċibernetika b’ħiliet komunikattivi professjonali li jistgħu jenfasizzaw fuq l-implikazzjonijiet fuq l-ekonomija u s-soċjetà diġitali moderni jekk iċ-ċibersigurtà tkun nieqsa jew dgħajfa.

    It-tieni passNoħolqu l-kontenut tal-istrateġija

    L-istrateġija jenħtieġ tinkludi miżuri abilitanti, azzjonijiet ibbażati fuq il-ħin u indikaturi ewlenin tal-prestazzjoni li jwasslu għal evalwazzjoni, irfinar u titjib wara perjodu definit ta’ implimentazzjoni. Dawn il-miżuri jenħtieġ iwieżnu l-għan, il-prijoritajiet u r-riżultati stabbiliti bħala prinċipji gwida. Il-ħtieġa li jintużaw miżuri abilitanti hi stabbilita fl-Artikolu 7(1)(c) tad-Direttiva NIS.

    Hu rakkomandat li jitwaqqaf grupp taʼ tmexxija mmexxi mill-Ministeru partikolari biex jimmaniġġa l-proċess tal-abbozzar u jiffaċilita l-kontribut. Dan jista’ jinkiseb b’għadd ta’ gruppi tal-abbozzar ta’ uffiċjali u esperti rilevanti skont it-temi ġeneriċi ewlenin, bħal pereżempju dwar il-valutazzjoni tar-riskju, l-ippjanar ta’ kontinġenza, il-ġestjoni tal-inċidenti, l-iżvilupp tal-ħiliet, is-sensibilizzazzjoni, ir-riċerka u l-iżvilupp industrijali u l-bqija. Min-naħa l-oħra, anki s-setturi (bħall-enerġija, it-trasport, eċċ) jkunu mistiedna jivvalutaw l-implikazzjonijiet tal-inklużjoni tagħhom, fosthom ir-riżorsi, u jkunu involuti l-operaturi tas-servizzi essenzjali u l-fornituri tas-servizzi diġitali ewlenin li ġew nominati ħalli jitfasslu l-prijoritajiet u jitressqu proposti għall-proċess tal-abbozzar. Hu importanti ferm li l-partijiet konċernati settorjali jkunu involuti għax hemm bżonn li tkun żgurata implimentazzjoni armonizzata tad-Direttiva bejn is-setturi differenti, u fl-istess ħin ikun hemm lok għal speċifiċità settorjali.

    It-tielet passNoħolqu qafas ta’ governanza

    Biex il-qafas ta’ governanza jkun effiċjenti u effettiv, dan għandu jissejjes fuq il-partijiet konċernati ewlenin, il-prijoritajiet identifikati fil-proċess tat-tfassil u fuq il-limiti u l-kuntest tal-istrutturi politiċi u amministrattivi nazzjonali. Idealment dan jirrapporta direttament lil-livell politiku permezz tal-qafas li jkollu l-kapaċità jieħu d-deċiżjonijiet u jalloka r-riżorsi, u li jkollu wkoll kontribut mingħand esperti fiċ-ċibersigurtà u partijiet konċernati mill-industrija. L-Artikolu 7(1)(b) tad-Direttiva NIS jirreferi għall-qafas ta’ governanza u jeżiġi speċifikament “ir-responsabbiltajiet tal-korpi governattivi u l-atturi rilevanti l-oħrajn”.

    Ir-raba’ passNikkumpilaw u nirrevedu l-abbozz tal-istrateġija

    F’dan l-istadju, l-abbozz tal-istrateġija jenħtieġ jingħalaq u jiġi analizzat skont il-preġji, id-dgħjufijiet, l-opportunitajiet u t-theddid (SWOT), biex jingħaraf jekk il-kontenut għandux bżonn xi reviżjoni. Wara r-reviżjoni interna, jenħtieġ issir konsultazzjoni mal-partijiet konċernati. Hu essenzjali wkoll li ssir konsultazzjoni pubblika biex il-pubbliku jifhem l-importanza tal-istrateġija proposta, jinkiseb rispons mingħand l-għejun kollha possibbli u jinstab appoġġ għar-riżorsi meħtieġa għall-implimentazzjoni tal-istrateġija.

    Il-ħames passL-adozzjoni formali

    Dan il-pass finali jinvolvi l-adozzjoni formali fil-livell politiku b’baġit abilitanti li jixhed is-serjetà li għandu l-Istat Membru konċernat fejn tidħol iċ-ċibersigurtà. Biex jintlaħqu l-għanijiet tad-Direttiva NIS u, meta d-dokument tal-istrateġija nazzjonali jintbagħat lill-Kummissjoni skont l-Artikolu 7(3), il-Kummissjoni tħeġġeġ lill-Istati Membri biex jipprovdu informazzjoni dwar il-baġit. L-impenji dwar il-baġit u r-riżorsi umani meħtieġa huma assolutament kruċjali għall-implimentazzjoni effettiva tal-istrateġija u tad-Direttiva. Iċ-ċibersigurtà għadha qasam ta’ politika pubblika pjuttost ġdid u li qed jikber malajr, għalhekk f’ħafna mill-każijiet hemm bżonn isiru investimenti ġodda, anke jekk is-sitwazzjoni ġenerali tal-finanzi pubbliċi titlob tnaqqis u ffrankar.

    Konsulenza dwar il-proċess u l-kontenut tal-istrateġiji nazzjonali tista’ tinkiseb minn bosta sorsi pubbliċi u akkademiċi, ngħidu aħna l-ENISA 6 , l-ITU 7 , l-OECD 8 , il-Forum Globali dwar l-Għarfien Espert Ċibernetiku u l-Università ta’ Oxford 9 .

    2.4. Il-passi konkreti li jridu jagħmlu l-Istati Membri qabel l-iskadenza għat-traspożizzjoni

    Qabel l-adozzjoni tad-Direttiva, kważi kull Stat Membru 10 ppubblika d-dokumenti indikati bħala NCSS. It-Taqsima 6 ta’ dan l-Anness telenka l-istrateġiji li bħalissa hemm fis-seħħ f’kull Stat Membru 11 . Ħafna drabi, dawn jinkludu prinċipji strateġiċi, linji gwida, għanijiet, u xi drabi miżuri speċifiċi għal ċertu każijiet li jtaffu r-riskji assoċjati maċ-ċibersigurtà.

    Uħud minn dawn l-istrateġiji ġew adottati qabel l-adozzjoni tad-Direttiva NIS u għalhekk mhux bilfors jinkludu l-elementi kollha tal-Artikolu 7. Biex jiżguraw it-traspożizzjoni korretta, l-Istati Membri se jkollhom jagħmlu analiżi tad-diskrepanzi billi jqabblu l-kontenut tal-NCSS tagħhom mas-seba’ rekwiżiti distinti msemmija fl-Artikolu 7 skont l-ambitu tas-setturi mniżżla fl-Anness II tad-Direttiva u tas-servizzi mniżżla fl-Anness III tagħha. Id-diskrepanzi identifikati jistgħu jingħelbu b’reviżjoni tal-NCSS eżistenti tagħhom jew b’reviżjoni sħiħa mill-bidu nett tal-prinċipji tal-istrateġija nazzjonali tan-NIS tagħhom. Il-linji gwida mogħtija hawn fuq għall-proċess tal-adozzjoni tal-NCSS huma rilevanti wkoll għar-reviżjoni u l-aġġornament tal-NCSS eżistenti.



    Il-Grafika 1: Il-proċess ta’ ħames passi għall-adozzjoni ta’ NCSS

    3. Id-Direttiva NIS: l-awtoritajiet nazzjonali kompetenti, il-punti uniċi ta’ kuntatt u l-Iskwadri tar-Rispons għal Inċidenti relatati mas-Sigurtà tal-Kompjuters (is-CSIRTs)

    Skont l-Artikolu 8(1), l-Istati Membri jeħtieġ jinnominaw awtorità nazzjonali kompetenti waħda jew aktar, li tal-anqas ikopru s-setturi msemmija fl-Anness tad-Direttiva II u s-servizzi msemmija fl-Anness III tagħha, bil-kompitu li jissorveljaw l-applikazzjoni tad-Direttiva. L-Istati Membri jistgħu jagħtu dan ir-rwol lil awtorità jew awtoritajiet eżistenti.

    Din it-taqsima tiffoka fuq kif id-Direttiva NIS isaħħaħ l-istat ta’ tħejjija tal-Istati Membri billi teżiġi li l-awtoritajiet nazzjonali kompetenti u l-Iskwadri tar-Rispons għal Inċidenti relatati mas-Sigurtà tal-Kompjuters (is-CSIRTs) ikunu effettivi. B’mod aktar preċiż, din it-taqsima tkopri l-obbligu li jinħatru awtoritajiet nazzjonali kompetenti, inkluż bir-rwol ta’ punt uniku ta’ kuntatt. Din tiddiskuti tliet temi: (a) l-istrutturi nazzjonali ta’ governanza possibbli (eż. mudelli ċentralizzati, deċentralizzati, eċċ) u rekwiżiti oħrajn; (b) ir-rwol tal-punti uniċi ta’ kuntatt u (c) l-Iskwadri tar-Rispons għal Inċidenti relatati mas-Sigurtà tal-Kompjuters (is-CSIRTs).

    3.1. It-tip ta’ awtoritajiet

    L-Artikolu 8 tad-Direttiva NIS jeżiġi li l-Istati Membri jaħtru awtoritajiet nazzjonali kompetenti dwar is-sigurtà tan-netwerks u s-sistemi tal-informazzjoni, filwaqt li espressament jagħraf il-possibbiltà li jaħtru “awtorità nazzjonali kompetenti waħda jew aktar”. Il-premessa 30 tad-Direttiva tispjega din l-għażla ta’ politika: “Fid-dawl tad-differenzi fl-istrutturi nazzjonali ta’ governanza u sabiex jiġu salvagwardjati arranġamenti settorjali jew korpi superviżorji u regolatorji tal-Unjoni diġà eżistenti u biex jiġi evitat xogħol doppju, l-Istati Membri jenħtieġ ikunu jistgħu jaħtru aktar minn awtorità nazzjonali kompetenti waħda responsabbli għat-twettiq tal-kompiti marbuta mas-sigurtà tan-netwerks u tas-sistemi tal-informazzjoni ta’ operaturi tas-servizzi essenzjali u fornituri tas-servizzi diġitali skont din id-Direttiva.

    Għaldaqstant, l-Istati Membri huma liberi biex jagħżlu li jaħtru awtorità ċentrali waħda li tittratta s-setturi u s-servizzi kollha koperti mid-Direttiva jew diversi awtoritajiet, pereżempju skont t-tip ta’ settur.

    Meta jkunu qed jiddeċiedu dwar l-approċċ, l-Istati Membri jistgħu jibbażaw fuq l-esperjenza mill-approċċi nazzjonali użati fil-kuntest tal-leġiżlazzjoni eżistenti dwar il-protezzjoni tal-infrastruttura kritika (is-CIIP). Kif inhu deskritt fit-Tabella 1, fil-każ tas-CIIP, l-Istati Membri ddeċidew li jadottaw approċċ ċentralizzat jew approċċ deċentralizzat biex jassenjaw il-kompetenzi fil-livell nazzjonali. Hawnhekk qed jintużaw xi eżempji nazzjonali għal finijiet illustrattivi biss u biex l-Istati Membri jkunu konxji mill-oqfsa organizzazzjonali eżistenti Għaldaqstant il-Kummissjoni mhix timplika li l-mudell użat mill-pajjiżi rispettivi għas-CIIP għandu bilfors jintuża għall-finijiet tat-traspożizzjoni tad-Direttiva NIS.

    L-Istati Membri jistgħu jagħżlu wkoll diversi arranġamenti ibridi li jinvolvu elementi ta’ approċċi ċentralizzati u deċentralizzati. L-għażliet jistgħu jsiru b’mod allinjat ma’ arranġamenti nazzjonali ta’ governanza li tħaddmu qabel fid-diversi setturi u servizzi koperti minn din id-Direttiva, jew li jkun għadhom kif ġew determinati mill-awtoritajiet konċernati u mill-partijiet konċernati rilevanti identifikati bħala operaturi tas-servizzi essenzjali u fornituri tas-servizzi diġitali. Anki l-eżistenza ta’ kompetenzi speċjalizzati fiċ-ċibersigurtà, il-kunsiderazzjonijiet tar-riżorsi, ir-relazzjonijiet bejn il-partijiet konċernati u l-interessi nazzjonali (bħal pereżempju l-iżvilupp ekonomiku, is-sigurtà pubblika u l-bqija) jistgħu jkunu fatturi importanti li jwasslu għall-għażliet tal-Istati Membri.

    3.2. Il-pubbliċità u aspetti rilevanti oħrajn

    Skont l-Artikolu 8(7), l-Istati Membri jenħtieġ jinfurmaw lill-Kummissjoni dwar in-nomina tal-awtoritajiet nazzjonali kompetenti u l-kompiti tagħhom. Dan għandu jsir sal-iskadenza tat-traspożizzjoni.

    L-Artikoli 15 u 17 tad-Direttiva NIS jeżiġu li l-Istati Membri jiżguraw li l-awtoritajiet kompetenti jkollhom is-setgħat u l-mezzi speċifiċi biex iwettqu l-kompiti stabbiliti f’dawk l-Artikoli.

    Minbarra dan, in-nomina ta’ entitajiet speċifiċi bħala awtoritajiet nazzjonali kompetenti jeħtieġ isir pubblika. Id-Direttiva ma tispeċifikax kif din il-pubbliċità trid issir. Peress li dan ir-rekwiżit għandu l-għan li jilħaq livell għoli ta’ sensibilizzazzjoni fost l-atturi koperti bl-NIS u l-pubbliku ġenerali, u minħabba l-esperjenzi miksuba f’setturi oħrajn (bħat-telekomunikazzjoni, is-servizzi bankarji, u l-mediċini), il-Kummissjoni jidhrilha li dan jsir, pereżempju, b’portal promoss kif xieraq.

    L-Artikolu 8(5) tad-Direttiva NIS jeżiġi li dawn l-awtoritajiet ikollhom ir-riżorsi adegwati biex iwettqu l-kompiti assenjati lilhom mid-Direttiva.



    It-Tabella 1: Approċċi nazzjonali għall-protezzjoni tal-infrastruttura kritika (is-CIIP)

    Fl-2016, l-ENISA ppubblikat studju 12 dwar l-approċċi differenti li jħaddmu l-Istati Membri biex jipproteġu l-infrastrutturi kritiċi tagħhom tal-informazzjoni. Hemm żewġ profili deskritti dwar il-governanza tas-CIIP fl-Istati Membri li jistgħu jintużaw fil-kuntest tat-traspożizzjoni tad-Direttiva NIS.

    Il-Profil 1: Approċċ deċentralizzat – bosta awtoritajiet settorjali huma kompetenti fis-setturi u s-servizzi speċifiċi li jissemmew fl-Anness II u III tad-Direttiva

    L-approċċ deċentralizzat hu kkaratterizzat minn:

    (I)Il-prinċipju tas-sussidjarjetà

    (II)Koperazzjoni b’saħħitha bejn l-aġenziji pubbliċi

    (III)Leġiżlazzjoni speċifika għas-setturi

    Il-prinċipju tas-sussidjarjetà

    Flok jistabbilixxi jew jinnomina aġenzija waħda b’responsabbiltà ġenerali, l-approċċ deċentralizzat jimxi mal-prinċipju tas-sussidjarjetà. B’hekk ir-responsabilità għall-implimentazzjoni tkun f’idejn awtorità settorjali li tkun tifhem aħjar is-settur lokali u li diġà jkollha relazzjoni mal-partijiet konċernati. Skont dan il-prinċipju, id-deċiżjonijiet jeħduhom dawk li jkunu l-eqreb ta’ dawk li qed jintlaqtu.

    Koperazzjoni b’saħħitha bejn l-aġenziji pubbliċi

    Fis-CIIP hemm involuti varjetà ta’ aġenziji pubbliċi u għalhekk ħafna Stati Membri żviluppaw skemi ta’ koperazzjoni biex jikkoordinaw il-ħidma u l-isforzi tal-awtoritajiet differenti. Dawn l-iskemi ta’ koperazzjoni jistgħu jieħdu l-għamla ta’ netwerks informali jew ta’ fora jew arranġamenti aktar istituzzjonalizzati. Madankollu, dawn l-iskemi ta’ koperazzjoni jaqdu biss l-għan tal-iskambju ta’ informazzjoni u l-koordinazzjoni bejn id-diversi aġenziji pubbliċi, u ma teżisti l-ebda awtorità fuqhom.

    Leġiżlazzjoni speċifika għas-setturi

    Il-pajjiżi li jħaddmu approċċ deċentralizzat għas-setturi kritiċi ħafna drabi joqogħdu lura milli jilleġiżlaw għall-fini tas-CIIP. Minflok l-adozzjoni tal-liġijiet u r-regolamenti tibqa’ speċifika għas-setturi u għalhekk tista’ tvarja ħafna bejn is-setturi. Dan l-approċċ għandu l-vantaġġ li jallinja l-miżuri relatati mal-NIS mar-regolamenti settorjali eżistenti biex titjieb l-aċċettazzjoni mis-settur u tiżdied l-effikaċja tal-infurzar mill-awtorità konċernata.

    B’approċċ deċentralizzat purista hemm riskju sostantiv li tonqos il-konsistenza fl-applikazzjoni tad-Direttiva fost il-bosta setturi u servizzi. F’dan il-każ, id-Direttiva tipprovdi għal punt uniku nazzjonali ta’ kuntatt għal kollegament fejn jidħlu l-kwistjonijiet transfruntieri; u dan il-korp jista’ jingħata l-kompitu mill-Istat Membru konċernat biex jikkoordina internament u jikkopera bejn id-diversi awtoritajiet nazzjonali kompetenti, skont l-Artikolu 10 tad-Direttiva.

    Il-Grafika 2 – approċċ deċentralizzat



    Xi eżempji ta’ approċċi deċentralizzati

    L-Iżvezja hi eżempju tajjeb ta’ pajjiż li jħaddem approċċ deċentralizzat għas-CIIP. Dan il-pajjiż juża l-hekk imsejħa “perspettiva ta’ sistema”, jiġifieri li l-kompiti ewlenin tas-CIIP, bħall-identifikazzjoni tas-servizzi vitali u l-infrastrutturi kritiċi, il-koordinazzjoni u l-appoġġ tal-operaturi, il-kompiti regolatorji, u l-miżuri ta’ tħejjija għal emerġenzi, huma f’idejn aġenziji u muniċipalitajiet differenti. Fost dawn l-aġenziji huma l-Aġenzija Żvediża ta’ Kontinġenzi Ċivili (MSB), l-Aġenzija Żvediża tal-Posta u tat-Telekomunikazzjoni (PTS), u d-diversi aġenziji Żvediżi tad-difiża, tal-militar u tal-infurzar tal-liġijiet.

    Biex jikkoordina l-azzjonijiet bejn id-diversi aġenziji u entitajiet pubbliċi, il-gvern Żvediż żviluppa netwerk koperattiv magħmul minn awtoritajiet “b’responsabbiltajiet speċifiċi ta’ sigurtà tal-informazzjoni soċjetali”. Dan il-Grupp ta’ Koperazzjoni għas-Sigurtà tal-Informazzjoni (is-SAMFI) jinkludi rappreżentanti tal-awtoritajiet differenti u jiltaqa’ diversi drabi matul is-sena biex jiddiskuti kwistjonijiet relatati mas-sigurtà tal-informazzjoni nazzjonali. It-temi tas-SAMFI huma l-aktar f’oqsma politiko-strateġiċi u jkopru suġġetti bħal kwistjonijiet tekniċi u l-istandardizzazzjoni, l-iżvilupp nazzjonali u internazzjonali fil-qasam tas-sigurtà tal-informazzjoni, jew il-ġestjoni u l-prevenzjoni tal-inċidenti tal-IT. (L-Aġenzija Żvediża ta’ Kontinġenzi Ċivili (MSB) 2015).

    L-Iżvezja għadha ma ppubblikatx liġi ewlenija għas-CIIP li tapplika għall-operaturi tal-infrastruttura kritika tal-informazzjoni (CII) fis-setturi kollha. Minflok, il-leġiżlazzjoni bl-obbligi għall-kumpaniji f’setturi speċifiċi hija f’idejn l-awtoritajiet pubbliċi rispettivi. Ngħidu aħna l-Aġenzija Żvediża ta’ Kontinġenzi Ċivili għandha d-dritt toħroġ regolamenti għall-awtoritajiet governattivi fil-qasam tas-sigurtà tal-informazzjoni, filwaqt li l-Aġenzija Żvediża tal-Posta u tat-Telekomunikazzjoni tista’ teżiġi li l-operaturi jimplimentaw ċertu miżuri tekniċi jew organizzattivi tas-sigurtà bbażati fuq leġiżlazzjoni sekondarja.

    Eżempju ieħor ta’ pajjiż li juri karatteristiċi ta’ dan il-profil hu l-Irlanda. L-Irlanda timxi bid-“domma tas-sussidjarjetà” jiġifieri li kull Ministeru hu responsabbli biex jidentifika s-CII u għal valutazzjoni tar-riskju fi ħdan is-settur partikolari tiegħu. Barra minn hekk, ma ddaħħal l-ebda regolament speċifiku għas-CIIP fil-livell nazzjonali. Il-leġiżlazzjoni tibqa’ settorjali u teżisti l-aktar fis-settur tal-enerġija u t-telekomunikazzjoni (2015). Xi eżempji oħrajn huma l-Awstrija, Ċipru u l-Finlandja.

    Il-Profil 2: Approċċ ċentralizzat – awtorità ċentrali waħda hi kompetenti għas-setturi u s-servizzi kollha li jissemmew fl-Anness II u III tad-Direttiva

    L-approċċ ċentralizzat hu kkaratterizzat minn:

    I)Awtorità ċentrali għas-setturi kollha

    II)Leġiżlazzjoni komprensiva

    Awtorità ċentrali għas-setturi kollha

    L-Istati Membri li jħaddmu approċċ ċentralizzat ħolqu awtoritajiet b’responsabbiltajiet u kompetenzi wesgħin f’diversi setturi kritiċi jew f’kull settur kritiku, jew wessgħu s-setgħat tal-awtoritajiet eżistenti. Dawn l-awtoritajiet ewlenin għas-CIIP jikkombinaw bosta kompiti fosthom l-ippjanar ta’ kontinġenza, il-ġestjoni ta’ emerġenza, kompiti regolatorji u l-appoġġ lill-operaturi privati. Ħafna drabi, is-CSIRT nazzjonali jew governattiva hi parti ewlenija mill-awtorità tas-CIIP. Aktarx li awtorità ċentrali jkollha konċentrazzjoni akbar ta’ għarfien espert fiċ-ċibersigurtà milli jkollhom bosta awtoritajiet settorjali, meta jitqies in-nuqqas globali ta’ ħiliet fiċ-ċibersigurtà.

    Leġiżlazzjoni komprensiva

    Leġiżlazzjoni komprensiva toħloq obbligi u rekwiżiti għall-operaturi kollha fis-setturi kollha tas-CII. Dan jista’ jinkiseb b’liġijiet komprensivi ġodda jew li jikkumplimentaw ir-regolamenti eżistenti speċifiċi għas-setturi. Dan l-approċċ jiffaċilita applikazzjoni konsistenti tad-Direttiva NIS fost is-setturi u s-servizzi kollha koperti. Dan jevita r-riskju ta’ diskrepanzi fl-implimentazzjoni li jaf jinqalgħu meta pajjiż ikollu bosta awtoritajiet b’kompetenzi speċifiċi.

    Il-Grafika 3 – approċċ ċentralizzat

    Xi eżempji ta’ approċċi ċentralizzati

    Franza hi eżempju tajjeb ta’ Stat Membru tal-UE li jħaddem approċċ ċentralizzat. Fl-2011, l-aġenzija Franċiża msejħa Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI) ġiet dikjarata bħala l-awtorità nazzjonali ewlenija għad-difiża tas-sistemi tal-informazzjoni. ANSSI taqdi rwol superviżorju b’saħħtu fost l-“operaturi ta’ importanza vitali” (l-OIVs): l-aġenzija tista’ tordna lill-OIVs biex jikkonformaw mal-miżuri tas-sigurtà u għandha l-awtorità biex twettaq verifiki tas-sigurtà fihom. Minbarra dan, din l-aġenzija hi l-punt uniku ta’ kuntatt ewlieni għall-OIVs u dawn obbligati jirrappurtawlha kull inċident tas-sigurtà.

    F’każijiet ta’ inċidenti tas-sigurtà, l-ANSSI taġixxi bħala aġenzija ta’ kontinġenza għas-CIIP u tiddeċiedi dwar miżuri li jridu jieħdu l-operaturi biex jirrispondu għall-kriżi. L-azzjonijiet tal-gvern jiġu kkoordinati fiċ-ċentru ta’ operazzjonijiet tal-ANSSI. Id-detezzjoni tat-theddid u r-rispons għall-inċidenti f’livell operazzjonali huma f’idejn is-CERT-FR li hi parti mill-ANSSI.

    Franza stabbiliet qafas legali komprensiv għas-CIIP. Fl-2006, il-Prim Ministru ordna li tinħoloq lista ta’ setturi ta’ infrastruttura kritika. Skont din il-lista bi tnax-il settur vitali, il-gvern iddefinixxa madwar 250 operatur ta’ importanza vitali (OIV). Fl-2013 ġiet ippromulgata l-Liġi dwar il-Programmazzjoni Militari (LPM) 13 . Din tistabbilixxi obbligi differenti għall-operaturi ta’ importanza vitali, fosthom ir-rappurtar tal-inċidenti jew l-implimentazzjoni ta’ miżuri tas-sigurtà. Dawn ir-rekwiżiti huma obbligatorji għal kull operatur ta’ importanza vitali fis-setturi kollha (is-Senat Franċiż fl-2013).

    3.3. Id-Direttiva NIS, l-Artikolu 9: l-Iskwadri tar-Rispons għal Inċidenti relatati mas-Sigurtà tal-Kompjuters (is-CSIRTs)

    Skont l-Artikolu 9, l-Istati Membri jeħtieġ jinnominaw CSIRT waħda jew diversi li jkunu fdati bil-kompitu tal-ġestjoni tar-riskji u tal-inċidenti għas-setturi mniżżla fl-Anness II tad-Direttiva NIS u għas-servizzi mniżżla fl-Anness III tagħha. Filwaqt li jqisu r-rekwiżit tal-armonizzazzjoni minima minqux fl-Artikolu 3 tad-Direttiva, l-Istati Membri huma liberi biex jużaw is-CSIRTs ukoll għal setturi oħrajn li ma tkoprix id-Direttiva, bħal pereżempju l-amministrazzjoni pubblika.

    L-Istati Membri jistgħu jagħżlu li jistabbilixxu CSIRT fi ħdan l-awtorità nazzjonali kompetenti 14 .

    3.4. Il-kompiti u r-rekwiżiti

    Fost il-kompiti tas-CSIRTs nominati kif inhu stabbilit fl-Anness I tad-Direttiva NIS hemm:

    ·Il-monitoraġġ tal-inċidenti fil-livell nazzjonali;

    ·L-għoti ta’ twissija bikrija, allerti, avviżi u t-tixrid ta’ informazzjoni dwar ir-riskji u l-inċidenti lill-partijiet konċernati rilevanti;

    ·Ir-rispons għall-inċidenti;

    ·It-twettiq ta’ analiżi dinamika tar-riskji u tal-inċidenti u għarfien tas-sitwazzjoni; u

    ·Il-parteċipazzjoni fin-netwerk tas-CSIRTs nazzjonali (in-netwerk tas-CSIRTs) stabbilit skont l-Artikolu 12.

    L-Artikoli 14(3), 14(5), 14(6), 16(3), 16(6) u 16(7) jistabbilixxu ċertu kompiti addizzjonali speċifiċi b’rabta man-notifiki tal-inċidenti meta xi Stat Membru jiddeċiedi li dawn ir-rwoli tista’ taqdihom dik is-CSIRT flimkien ma’ awtoritajiet nazzjonali kompetenti jew minflokhom.

    Fit-traspożizzjoni tad-Direttiva, l-Istati Membri għandu ċertu għażliet dwar ir-rwol tas-CSIRTs b’rabta mar-rekwiżiti tan-notifika tal-inċidenti. Ir-rappurtar obbligatorju jista’ jsir direttament lis-CSIRTs bil-vantaġġ ta’ effiċjenza amministrattiva, inkella l-Istati Membri jista’ jagħżel li jirrapporta direttament lill-awtoritajiet nazzjonali kompetenti u s-CSIRTs ikollhom dritt għal aċċess għall-informazzjoni rrappurtata. Fl-aħħar mill-aħħar, is-CSIRTs huma interessati biex isolvu l-problemi, jevitaw, jikxfu, jilqgħu u jtaffu l-impatt tal-inċidenti ċibernetiċi (anki ta’ dawk li mhumiex kritiċi għar-rappurtar obbligatorju) flimkien mal-partijiet konċernati tagħhom, bil-konformità regolatorja tkun f’idejn l-awtoritajiet nazzjonali kompetenti.

    Skont l-Artikolu 9(3) tad-Direttiva, l-Istati Membri jeħtieġ jiżguraw ukoll li dawn is-CSIRTs ikollhom aċċess għal infrastruttura tal-ICT sigura u reżiljenti.

    L-Artikolu 9(4) tad-Direttiva jeżiġi li l-Istati Membri jinfurmaw lill-Kummissjoni dwar l-ambitu u l-elementi ewlenin tal-proċess tal-ġestjoni tal-inċidenti tas-CSIRTs nominati.

    Ir-rekwiżiti tas-CSIRTs nominati mill-Istati Membri huma previsti fl-Anness I tad-Direttiva NIS. Kull CSIRT trid tiżgura livell għoli ta’ disponibbiltà tas-servizzi ta’ komunikazzjoni tagħha. Il-binja tagħha u s-sistemi tal-informazzjoni ta’ appoġġ għandhom ikunu f’postijiet siguri u jkunu kapaċi jiżguraw il-kontinwità tal-operat. Barra minn hekk, is-CSIRT jenħtieġ tkun tista’ tieħu sehem f’netwerks ta’ koperazzjoni internazzjonali.

    3.5. Assistenza fl-iżvilupp tas-CSIRTs

    Il-programm tal-Infrastrutturi tas-Servizzi Diġitali taċ-Ċibersigurtà permezz tal-Faċilità Nikkollegaw l-Ewropa (is-CEF) jista’ jipprovdi finanzjament sinifikanti tal-UE biex jassisti lis-CSIRTs tal-Istati Membri ħalli jtejbu l-kapaċitajiet tagħhom u biex jikkoperaw bejniethom bil-mekkaniżmu ta’ koperazzjoni għall-iskambju tal-informazzjoni. Il-mekkaniżmu ta’ koperazzjoni li qed jiżviluppa l-proġett SMART 2015/1089 għandu l-ħsieb jiffaċilita koperazzjoni operazzjonali effettiva u malajr b’mod volontarju bejn is-CSIRTs tal-Istati Membri, l-aktar billi jappoġġa l-kompiti fdati f’idejn in-Netwerk tas-CSIRTs skont l-Artikolu 12 tad-Direttiva.

    Dettalji dwar is-sejħiet rilevanti għal proposti biex jinbnew il-kapaċitajiet tas-CSIRTs tal-Istati Membri jinsabu fil-website tal-Aġenzija Eżekuttiva għall-Innovazzjoni u n-Netwerks (l-INEA) tal-Kummissjoni Ewropea 15 .

    Il-Bord ta’ Governanza tal-Infrastrutturi tas-Servizzi Diġitali taċ-Ċibersigurtà permezz tas-CEF jipprovdi struttura informali ta’ gwida u assistenza fil-livell ta’ politika lis-CSIRTs tal-Istati Membri biex jibnu l-kapaċitajiet, u għall-implimentazzjoni tal-mekkaniżmu ta’ koperazzjoni volontarja.

    Is-CSIRT l-ġdida stabbilita jew s-CSIRT nominata biex twettaq il-kompiti tal-Anness I tad-Direttiva NIS tista’ tistrieħ fuq il-pariri u l-għarfien espert tal-ENISA biex itejjeb il-prestazzjoni tagħha u twettaq ħidmietha b’mod effiċjenti 16 . F’dan ir-rigward, tajjeb jingħad li dik is-CSIRT tal-Istat Membru tista’ tqis bħala referenza xi parti mill-ħidma li tkun għadha kemm wettqet l-ENISA. B’mod partikolari, kif imniżżel fit-Taqsima 7 ta’ dan l-Anness, l-aġenzija ħarġet għadd ta’ dokumenti u studji li jiddeskrivu l-prattiki tajbin, rakkomandazzjonijiet fil-livell tekniku, li jinkludu valutazzjonijiet tal-livell ta’ maturità tas-CSIRTs għal diversi kapaċitajiet u servizzi tas-CSIRTs. Barra minn hekk, il-gwida u l-aqwa prattiki tqassmu permezz tan-netwerks tas-CSIRTs, kemm fil-livell dinji (FIRST 17 ) u kif ukoll fil-livell Ewropew (Trusted Introducer, TI 18 ).

    3.6. Ir-rwol tal-punt uniku ta’ kuntatt

    Skont l-Artikolu 8(3) tad-Direttiva NIS, kull Stat Membru jrid jinnomina punt uniku nazzjonali ta’ kuntatt, li jaqdi funzjoni ta’ kollegament biex tkun żgurata l-koperazzjoni transfruntiera mal-awtoritajiet rilevanti fi Stati Membri oħra u mal-Grupp ta’ Koperazzjoni u fin-netwerk tas-CSIRTs 19 maħluq bid-Direttiva nnifisha. Il-premessa 31 u l-Artikolu 8(4) jispjegaw r-raġunijiet għal dan ir-rekwiżit, jiġifieri biex jeħfiefu l-koperazzjoni u komunikazzjoni transfruntieri. Dan hemm bżonnu l-aktar għax l-Istati Membri jistgħu jiddeċiedu li jkollhom aktar minn awtorità nazzjonali waħda. B’hekk li jinħoloq punt uniku ta’ kuntatt jiffaċilita l-identifikazzjoni u l-koperazzjoni fost awtoritajiet minn Stati Membri differenti.

    Aktarx li r-rwol ta’ kollegament tal-punt uniku ta’ kuntatt ikun jinvolvi l-interazzjoni mas-segretarjati tal-Grupp ta’ Koperazzjoni u tan-Netwerk tas-CSIRTs fejn jidħlu l-każijiet meta l-punt uniku nazzjonali ta’ kuntatt la jkun CSIRT u lanqas membru tal-Grupp ta’ Koperazzjoni. Barra minn hekk, l-Istati Membri jeħtieġ jiżguraw li l-uniku punt ta’ kuntatt ikun jaf bin-notifiki li jaslu mingħand l-operaturi tas-servizzi essenzjali u l-fornituri tas-servizzi diġitali 20 .

    L-Artikolu 8(3) tad-Direttiva jispeċifika li jekk Stat Membru jadotta approċċ ċentralizzat, jiġifieri jinnomina awtorità kompetenti waħda biss, dik l-awtorità se jkollha taqdi wkoll ir-rwol ta’ punt uniku ta’ kuntatt. Jekk Stat Membru jagħżel approċċ deċentralizzat, dan jista’ jagħżel waħda mill-awtoritajiet kompetenti differenti biex tkun il-punt uniku ta’ kuntatt. Irrispettivament mill-mudell istituzzjonali magħżul, kull meta l-awtorità kompetenti, s-CSIRT u l-punt uniku ta’ kuntatt ikunu entitajiet differenti, l-Istati Membri obbligati jiżguraw koperazzjoni effettiva bejniethom ħalli jissodisfaw l-obbligi stabbiliti f’din id-Direttiva 21 .

    Il-punt uniku ta’ kuntatt jeħtieġ iressaq rapport sommarju lill-Grupp ta’ Koperazzjoni sad-9 ta’ Awwissu 2018, u kull sena, dwar in-notifiki li waslu; u dan għandu jinkludi l-għadd ta’ notifiki, in-natura tal-inċidenti u l-miżuri li ħadu l-awtoritajiet, fosthom li infurmaw lill-Istati Membri l-oħra affettwati bl-inċident jew l-għoti tal-informazzjoni rilevanti lill-kumpanija notifikatur għall-ġestjoni tal-inċident 22 . Meta titolbu l-awtorità kompetenti jew is-CSIRT, il-punt uniku ta’ kuntatt għandu jibgħat in-notifiki tal-operaturi tas-servizzi essenzjali lill-punti uniċi ta’ kuntatt tal-Istati Membri l-oħra affettwati bl-inċidenti 23 .

    L-Istati Membri jeħtieġ jinfurmaw lill-Kummissjoni dwar in-nomina tal-punt uniku ta’ kuntatt u dwar il-kompiti tiegħu sal-iskadenza tat-traspożizzjoni. In-nomina tal-punt uniku ta’ kuntatt trid issir pubblika, bħalma jsir għall-awtoritajiet nazzjonali kompetenti. Il-Kummissjoni għandha tippubblika l-lista tal-punti uniċi ta’ kuntatt nominati.

    3.7. Il-penali

    L-Artikolu 21 jagħti marġini lill-Istati Membri biex jiddeċiedu dwar it-tip u n-natura tal-penali applikabbli, diment li dawn ikunu effettivi, proporzjonati u dissważivi. Fi kliem ieħor, fil-prinċipju, l-Istati Membri huma liberi li jiddeċiedu dwar l-ammont massimu tal-penali stabbilit fil-leġiżlazzjoni nazzjonali tagħhom iżda l-ammont jew il-persentaġġ magħżul jenħtieġ iħalli lok għall-awtoritajiet nazzjonali biex f’kull każ konkret, jimponu penali effettivi, proporzjonati u dissważivi, filwaqt li jqisu fatturi differenti bħall-gravità u l-frekwenza tal-ksur.

    4. L-entitajiet b’obbligi relatati mar-rekwiżiti tas-sigurtà u n-notifika tal-inċidenti

    L-entitajiet li jaqdu rwol importanti għas-soċjetà u l-ekonomija msemmija fl-Artikoli 4(4) u 4(5) tad-Direttiva bħala operaturi tas-servizzi essenzjali (OES) u fornituri tas-servizz diġitali (DSPs) jeħtiġilhom jieħdu miżuri xierqa tas-sigurtà u jinnotifikaw l-inċidenti serji lill-awtoritajiet nazzjonali rilevanti. Ir-raġuni hi li l-impatti tal-inċidenti tas-sigurtà f’dawn is-servizzi jistgħu jkunu theddida kbira għall-operazzjoni ta’ dawn is-servizzi li tista’ tikkawża tħarbit kbir fl-attivitajiet ekonomiċi u għas-soċjetà inġenerali, u potenzjalment iddgħajjef il-fiduċja tal-utenti u tagħmel ħsara kbira lill-ekonomija tal-Unjoni 24 .

    Din it-taqsima tagħti ħarsa ġenerali lejn l-entitajiet inklużi fil-kamp ta’ applikazzjoni tal-Annessi II u III tad-Direttiva NIS u telenka l-obbligi tagħhom. L-identifikazzjoni tal-operaturi tas-servizzi essenzjali hi koperta b’mod estensiv, minħabba l-importanza ta’ dan il-proċess għall-implimentazzjoni armonizzata tad-Direttiva NIS madwar l-UE. Din tipprovdi wkoll spjegazzjonijiet estensivi għad-definizzjonijiet ta’ infrastrutturi diġitali u fornituri tas-servizzi diġitali. Din teżamina wkoll l-inklużjoni possibbli ta’ setturi addizzjonali u tissokta tispjega l-approċċ speċifiku fir-rigward tal-fornituri tas-servizz diġitali.

    4.1. L-operaturi tas-servizzi essenzjali (l-OES)

    Id-Direttiva NIS ma tiddefinix b’mod espliċitu liema entitajiet partikolari se jitqiesu bħala operatur tas-servizzi essenzjali fil-kamp ta’ applikazzjoni tagħha. Minflok, din tipprovdi l-kriterji li l-Istati Membri se jkun jeħtiġilhom japplikaw għall-proċess tal-identifikazzjoni, li fl-aħħar mill-aħħar se jiddetermina liema kumpaniji individwali li jappartjenu għat-tipi ta’ entitajiet elenkati fl-Anness II se jitqiesu bħala operaturi tas-servizzi essenzjali, u għalhekk ikunu soġġetti għall-obbligi tad-Direttiva.

    4.1.1. It-tip ta’ entitajiet elenkati fl-Anness II tad-Direttiva NIS

    L-Artikolu 4(4) jiddefinixxi l-operaturi tas-servizzi essenzjali bħala entitajiet pubbliċi jew privati tat-tipi elenkati fl-Anness II tad-Direttiva li jkunu jissodisfaw ir-rekwiżiti tal-Artikolu 5(2). Fl-Anness II, is-setturi, is-sottosetturi u t-tip ta’ entitajiet huma elenkati skont liema Stat Membru jeħtieġ iwettaq il-proċess tal-identifikazzjoni skont l-Artikolu 5(2) 25 . Fost is-setturi hemm dawk tal-enerġija, tat-trasport, tal-infrastrutturi tas-swieq finanzjarji, tas-saħħa, tal-ilma u tal-infrastruttura diġitali.

    Għall-biċċa l-kbira tal-entitajiet li jappartjenu għas-“setturi tradizzjonali”, il-leġiżlazzjoni tal-UE fiha definizzjonijiet żviluppati sew, li l-Anness II jagħmel referenza għalihom. Iżda dan ma jgħoddx għas-settur tal-infrastruttura diġitali, elenkat fil-punt 7 tal-Anness II, li jinkludi l-Punti ta’ Skambju fuq l-Internet, is-Sistemi ta’ Ismijiet tad-Dominji, u r-reġistri ta’ ismijiet tad-dominji tal-ogħla livell. Sabiex id-definizzjonijiet jiġu ċċarati, dawn l-ispjegazzjonijiet li ġejjin ifissru fid-dettall id-definizzjonijiet meħtieġa.

    1) Punt ta’ Skambju fuq l-Internet (IXP)

    It-terminu “Punt ta’ Skambju fuq l-Internet” hu ddefinit fl-Artikolu 4(13), iċċarat fid-dettall fil-premessa 18, u jista’ jiġi deskritt bħala faċilità ta’ netwerk li permezz tagħha jkunu jistgħu jiġu interkonnessi aktar minn żewġ sistemi awtonomi teknikament indipendenti, bil-għan ewlieni li jeħfief l-iskambju tat-traffiku tal-internet. Il-Punt ta’ Skambju fuq l-Internet jista’ jiġi deskritt ukoll bħala post fiżiku fejn għadd ta’ networks jistgħu jagħmlu skambju tat-traffiku tal-internet bejniethom permezz ta’ swiċċ. L-għan primarju ta’ IXP hu li n-netwerks ikunu jistgħu jiġu interkonnessi direttament, permezz tal-iskambju, aktar milli permezz ta’ netwerk wieħed jew aktar ta’ xi partijiet terzi. Normalment, il-fornitur tal-IXP ma jkunx responsabbli għar-ridirezzjonar tat-traffiku tal-internet. Id-direzzjonar tat-traffiku jieħdu ħsiebu l-fornituri tan-netwerk. Il-vantaġġi tal-interkonnessjoni diretta huma bosta, iżda r-raġunijiet ewlenin huma l-ispiża, il-latenza u l-banda tal-frekwenzi. Normalment, it-traffiku li jgħaddi minn punt ta’ skambju ma jikkawża spiża lil ħadd, filwaqt li t-traffiku lejn fornitur tas-servizz tal-internet (ISP) upstream joħloq spiża. L-interkonnessjoni diretta, li ħafna drabi tkun tinsab fl-istess belt taż-żewġ netwerks, tevita l-bżonn li d-dejta tivvjaġġa distanzi twal bejn netwerk għal ieħor, u b’hekk tonqos il-latenza.

    Għandu jiġi nnutat li d-definizzjoni ta’ IXP ma tkoprix il-punti fiżiċi fejn issir interkonnessjoni ta’ żewġ netwerks fiżiċi biss (jiġifieri l-fornituri tan-netwerks bħal BASE u PROXIMUS). Għaldaqstant, waqt it-traspożizzjoni ta’ din id-Direttiva, l-Istati Membri jridu jiddistingwu bejn l-operaturi li qed jiffaċilitaw l-iskambju ta’ traffiku aggregat tal-internet bejn diversi operaturi tan-netwerks u dawk li huma operaturi ta’ netwerk uniku, li jagħmlu interkonnessjoni fiżika tan-netwerks tagħhom skont ftehim ta’ interkonnessjoni. F’dan l-aħħar każ, il-fornituri tan-netwerk mhumiex koperti bid-definizzjoni tal-Artikolu 4(13). Kjarifika dwar din il-kwistjoni tista’ tinstab fil-premessa 18 li tiddikjara li l-IXP la jipprovdi aċċess għan-netwerk u lanqas jaġixxi bħala fornitur jew trasportatur ta’ tranżitu. L-aħħar kategorija ta’ fornituri huma l-impriżi li jipprovdu netwerks u/jew servizzi pubbliċi tal-komunikazzjoni li huma soġġetti għall-obbligi tas-sigurtà u tan-notifika tal-Artikolu 13a u 13b tad-Direttiva 2002/21/KE u għalhekk esklużi mill-kamp ta’ applikazzjoni tad-Direttiva NIS 26 .

    2) Sistema ta’ Ismijiet tad-Dominji (DNS) 

    It-terminu “Sistema ta’ Ismijiet tad-Dominji” hu ddefinit fl-Artikolu 4(14) bħala “sistema ta’ għoti ta’ isem distribwita ġerarkikament f’netwerk li jipproċessa domandi għal isem ta’ dominju”. B’mod aktar preċiż, is-Sistema ta’ Ismijiet tad-Dominji tista’ tiġi deskritta bħala sistema ta’ għoti ta’ ismijiet distribwiti ġerarkikament għall-kompjuters, is-servizzi jew xi riżorsa oħra konnessi mal-internet li tippermetti l-kodifikazzjoni tal-ismijiet tad-dominji f’indirizzi tal-IP (il-protokoll tal-internet). Ir-rwol ewlieni tas-sistema hu li ssarraf l-ismijiet tad-dominji assenjati f’indirizzi tal-IP. Għal dan il-għan, Sistema ta’ Ismijiet tad-Dominji tħaddem bażi tad-dejta u tuża servers bl-ismijiet u riżolvatur u biex tkun tista’ ssarraf dawn l-ismijiet tad-dominji f’indirizzi tal-IP operazzjonali. Għalkemm il-kodifikazzjoni tal-ismijiet tad-dominji mhix l-unika responsabbiltà tas-Sistema ta’ Ismijiet tad-Dominji, din hi kompitu ċentrali tas-sistema. Id-definizzjoni legali fl-Artikolu 4(14) tiffoka fuq ir-rwol ewlieni tas-sistema mill-perspettiva tal-utent mingħajr ma tidħol f’dettalji aktar tekniċi, bħal pereżempju l-operazzjoni tal-ispazju tal-isem tad-dominju, is-servers tal-ismijiet, ir-riżolvaturi, eċċ. Fl-aħħar nett, l-Artikolu 4(15) jikkjarifika min għandu jitqies bħala fornitur tas-servizzi tas-Sistema ta’ Ismijiet tad-Dominji.

    3) Reġistru tal-ismijiet tad-dominji tal-ogħla livell (reġistru tal-ismijiet TLD)

    Ir-reġistru tal-ismijiet tad-dominji tal-ogħla livell hu ddefinit fl-Artikolu 4(16) bħala entità li tamministra u topera r-reġistrazzjoni ta’ ismijiet tad-dominji tal-internet skont dominju speċifiku tal-ogħla livell. Dawn l-amministrazzjoni u l-ġestjoni tal-ismijiet tad-dominji jinkludu l-kodifikazzjoni tal-ismijiet TLD f’indirizzi tal-IP.

    L-Awtorità għan-Numri Assenjati tal-Internet (il-IANA) hi responsabbli għall-koordinazzjoni globali mad-DNS Root, mal-indirizzi tal-IP u ma’ riżorsi oħrajn tal-IP. B’mod partikolari, il-IANA hi responsabbli li tassenja d-dominji ġeneriċi tal-ogħla livell (il-gTLDs), bħalma hu d-.com, u d-dominji tal-ogħla livell bil-kodiċijiet tal-pajjiżi (is-ccTLDs), bħalma hu d-.mt, lill-operaturi (ir-reġistri), u hi responsabbli wkoll li żżomm id-dettalji tekniċi u amministrattivi dwarhom. Il-IANA żżomm reġistru globali bit-TLDs allokati u taqdi rwol fil-promulgazzjoni ta’ din il-lista lill-utenti tal-internet madwar id-dinja kif ukoll fl-introduzzjoni ta’ TLDs ġodda.

    Biċċa xogħol importanti tar-reġistri hi li jallokaw ismijiet tat-tieni livell lill-hekk imsejħa reġistranti skont id-dominju tal-ogħla livell rispettiv tagħhom. Dawn ir-reġistranti jista’ minn jeddhom jallokaw ismijiet tad-dominji tat-tielet livell. Is-ccTLDs huma deżinjati biex jirrappreżentaw lill-pajjiż jew lit-territorju skont l-istandard ISO 3166-1. Normalment, it-TLDs “ġeneriċi” ma jkollhomx deżinjazzjoni ġeografika jew ta’ xi pajjiż.

    Jenħtieġ jiġi nnutat li l-operazzjoni tar-reġistru bl-ismijiet tat-TLDs tista’ tinkludi l-għoti ta’ DNS. Pereżempju, skont ir-regoli ta’ delega tal-IANA, l-entità ddeżinjata biex tittratta s-ccTLDs — fost l-oħrajn — jeħtieġ tissorvelja l-ismijiet tad-dominji u tħaddem id-DNS ta’ dak il-pajjiż 27 . Meta jkunu qed iwettqu l-proċess tal-identifikazzjoni tal-operaturi tas-servizzi essenzjali skont l-Artikolu 5(2), l-Istati Membri jeħtieġ iqisu dawn iċ-ċirkostanzi.

    4.1.2. L-identifikazzjoni tal-operaturi tas-servizzi essenzjali

    Skont ir-rekwiżiti tal-Artikolu 5 tad-Direttiva, kull Stat Membru jeħtieġ iwettaq proċess tal-identifikazzjoni fir-rigward tal-entitajiet kollha tat-tipi elenkati fl-Anness II li għandhom stabbiliment legali fit-territorju ta’ dak l-Istat Membru. Minħabba din il-valutazzjoni, kull entità li tissodisfa l-kriterji stabbiliti fl-Artikolu 5(2) għandha tiġi identifikata bħala operatur tas-servizzi essenzjali u tkun soġġetta għall-obbligi tas-sigurtà u tan-notifika tal-Artikolu 14.

    L-Istati Membri għandhom sad-9 ta’ Novembru 2018 biex jidentifikaw l-operaturi ta’ kull settur u sottosettur. Biex iwieżen lill-Istati Membri matul dan il-proċess kollu, il-Grupp ta’ Kooerazzjoni bħalissa qed jiżviluppa dokument gwida b’informazzjoni rilevanti dwar il-passi meħtieġa u bl-aqwa prattiki relatati mal-identifikazzjoni tal-operaturi tas-servizzi essenzjali.

    Minbarra dan, skont l-Artikolu 24(2), il-Grupp ta’ Koperazzjoni jrid jiddiskuti l-proċess, is-sustanza u t-tip ta’ miżuri nazzjonali li jippermettu l-identifikazzjoni tal-operaturi tas-servizzi essenzjali f’setturi speċifiċi. Qabel id-9 ta’ Novembru 2018, l-Istati Membri jistgħu jiddiskutu l-abbozz tagħhom tal-miżuri nazzjonali li jippermettu l-identifikazzjoni tal-operaturi tas-servizzi essenzjali, mal-Grupp ta’ Koperazzjoni.

    4.1.3. L-inklużjoni ta’ setturi addizzjonali

    Filwaqt li jqisu r-rekwiżit tal-armonizzazzjoni minima minqux fl-Artikolu 3, l-Istati Membri jistgħu jadottaw jew iżommu leġiżlazzjoni li tiżgura livell ogħla ta’ sigurtà tan-netwerks u tas-sistemi tal-informazzjoni. F’dan ir-rigward, l-Istati Membri huma liberi b’mod ġenerali li jwessgħu l-obbligi tas-sigurtà u tan-notifika skont l-Artikolu 14 lil entitajiet li jappartjenu għal setturi u sottosetturi oħrajn minbarra dawk elenkati fl-Anness II tad-Direttiva NIS. Diversi Stati Membri ddeċidew jew qed jgħarblu biex jinkludu wħud minn dawn is-setturi addizzjonali li ġejjin:

    I)L-amministrazzjoni pubblika

    L-amministrazzjonijiet pubbliċi jistgħu joffru servizzi essenzjali fl-Anness II tad-Direttiva li jissodisfaw ir-rekwiżiti tal-Artikolu 5(2). F’dawn il-każijiet, l-amministrazzjonijiet pubbliċi li qed joffru dawn is-servizzi jkunu koperti bir-rekwiżiti rilevanti tas-sigurtà u bl-obbligi tan-notifika. Min-naħa l-oħra, meta l-amministrazzjonijiet pubbliċi joffru servizzi li ma jkunux fil-kamp ta’ applikazzjoni msemmi hawn fuq, dawn is-servizzi ma jkunux koperti bl-obbligi rilevanti.

    L-amministrazzjonijiet pubbliċi huma responsabbli biex iwasslu kif xieraq is-servizzi pubbliċi li jagħtu l-korpi governattivi, l-awtoritajiet reġjonali u lokali, l-aġenziji u l-intrapriżi assoċjati. Ħafna drabi, dawn is-servizzi jimplikaw il-ħolqien u l-ġestjoni ta’ dejta personali u korporattiva dwar individwi jew organizzazzjonijiet, li tista’ tkun kondiviża u ssir disponibbli għal diversi entitajiet pubbliċi. B’mod aktar wiesa’, is-sigurtà ta’ livell għoli tan-netwerks u tas-sistemi tal-informazzjoni li jużaw l-amministrazzjonijiet pubbliċi għandha interess importanti għas-soċjetà u l-ekonomija kollha kemm hi. Għaldaqstant, il-Kummissjoni jidhrilha li jkun raġonevoli li l-Istati Membri jikkunsidraw l-inklużjoni tal-amministrazzjoni pubblika fil-kamp ta’ applikazzjoni tal-leġiżlazzjoni nazzjonali li tittrasponi d-Direttiva, lil hinn mill-provvista tas-servizzi essenzjali kif stabbilit skont l-Anness II u l-Artikolu 5(2).

    II)Is-settur postali

    Is-settur postali jinkludi l-forniment tas-servizzi postali, bħalma huma l-ġbir, l-issortjar, it-trasport u t-tqassim tal-oġġetti postali.

    III)Is-settur tal-ikel

    Is-settur tal-ikel jikkonċerna l-produzzjoni ta’ prodotti agrikoli u prodotti alimentari oħrajn u jista’ jinkludi servizzi essenzjali, bħall-għoti ta’ sigurtà alimentari u assigurazzjoni tal-kwalità u s-sikurezza tal-ikel.

    IV)L-industrija kimika u nukleari

    L-industrija kimika u nukleari tikkonċerna b’mod partikolari l-ħażna, il-produzzjoni u l-ipproċessar ta’ prodotti kimiċi u petrokimiċi jew materjali nukleari.

    V)Is-settur ambjentali

    L-attivitajiet ambjentali jinkludu l-provvista ta’ oġġetti u servizzi meħtieġa biex iħarsu l-ambjent u jimmaniġġaw ir-riżorsi. Għalhekk, l-attivitajiet huma mmirati lejn il-prevenzjoni, it-tnaqqis u t-tneħħija tat-tniġġis u l-preżervazzjoni tar-riżorsi naturali disponibbli. F’dan is-settur, is-servizzi essenzjali jistgħu jkunu l-monitoraġġ u l-kontroll tat-tniġġis (eż. tal-arja u tal-ilma) u ta’ fenomeni meteoroloġiċi.

    VI)Il-protezzjoni ċivili

    Is-settur tal-protezzjoni ċivili għandu l-għan tal-prevenzjoni, it-tħejjija u r-rispons għad-diżastri naturali u dawk li jikkawża l-bniedem. Is-servizzi mogħtija għal dan l-iskop jistgħu jkunu l-attivazzjoni ta’ numri ta’ emerġenza u l-implimentazzjoni ta’ azzjonijiet li jinfurmaw dwar emerġenzi, li jinkludu emerġenzi u li jwieġbu għal emerġenzi.

    4.1.4. Il-ġurisdizzjoni.

    Skont l-Artikolu 5(1), kull Stat Membru għandu jidentifika l-operaturi tas-servizzi essenzjali bi stabbiliment fit-territorju tiegħu. Id-dispożizzjoni ma tispeċifikax aktar it-tip ta’ stabbiliment legali iżda l-premessa 21 tiċċara li dan l-istabbiliment jimplika l-eżerċizzju effettiv u reali tal-attività b’arranġamenti stabbli; filwaqt li l-forma legali ta’ dawk l-arranġamenti ma jenħtieġx tkun fattur determinanti. Dan ifisser li Stat Membru jista’ jkollu ġurisdizzjoni fuq operatur tas-servizzi essenzjali mhux biss meta l-operatur ikollu l-uffiċċju ewlieni tiegħu rreġistrat fit-territorju tiegħu iżda anki meta l-operatur ikollu, pereżempju, fergħa jew tip ieħor ta’ stabbiliment legali.

    Minħabba f’hekk, diversi Stati Membri jista’ jkollhom ġurisdizzjoni fuq l-istess entità b’mod paralleli.

    4.1.5. L-informazzjoni li trid tintbagħat lill-Kummissjoni

    Għall-finijiet tar-rieżami li l-Kummissjoni jeħtieġ twettaq skont l-Artikolu 23(1) tad-Direttiva NIS, l-Istati Membri jeħtieġ jippreżentaw din l-informazzjoni li ġejja lill-Kummissjoni sad-9 ta’ Novembru 2018 u mbagħad kull sentejn:

    ·Il-miżuri nazzjonali għall-identifikazzjoni tal-operaturi tas-servizzi essenzjali;

    ·Lista tas-servizzi essenzjali

    ·L-għadd ta’ operaturi tas-servizzi essenzjali identifikati għal kull settur imsemmi fl-Anness II u r-rilevanza ta’ dawk l-operaturi għas-settur; u

    ·Il-limiti, jekk jeżistu, li ntużaw biex jinstab il-livell ta’ provvista b’referenza għall-għadd ta’ utenti li jiddependu minn dak is-servizz kif imsemmi fl-Artikolu 6(1)(a) jew l-importanza tal-entità skont l-Artikolu 6(1)(f).

    Ir-rieżami previst fl-Artikolu 23(1), li jippreċedi r-rieżami komprensiv tad-Direttiva jixhed l-importanza li l-koleġiżlaturi jagħtu lit-traspożizzjoni korretta tad-Direttiva fejn tidħol l-identifikazzjoni tal-operaturi tas-servizzi essenzjali ħalli tkun evitata l-frammentazzjoni tas-suq.

    Sabiex dan il-proċess isir bl-aħjar mod possibbli, il-Kummissjoni tħeġġeġ lill-Istati Membri biex jiddiskutu dan is-suġġett, u jaqsmu l-esperjenzi rilevanti fil-Grupp ta’ Koperazzjoni. Minbarra dan, il-Kummissjoni tħeġġeġ lill-Istati Membri biex jaqsmu mal-Kummissjoni — jekk ikun meħtieġ, b’mod kunfidenzjali — il-listi tal-operaturi tas-servizzi essenzjali identifikati (li fl-aħħar ikunu ntgħażlu), kif ukoll kull informazzjoni li d-Direttiva teżiġi li l-Istati Membri jipprovdu lill-Kummissjoni. Id-disponibbiltà ta’ dawn il-listi għandha tiffaċilita u twassal għal kwalità aħjar tal-valutazzjoni tal-Kummissjoni tal-konsistenza tal-proċess tal-identifikazzjoni u tippermetti li jitqabblu l-approċċi bejn l-Istati Membri, ħalli jkunu jistgħu jintlaħqu aħjar l-għanijiet tad-Direttiva.

    4.1.6. Kif irid isir il-proċess tal-identifikazzjoni?

    Bħalma turi l-Grafika 4, hemm sitt kwistjonijiet ewlenin li awtorità nazzjonali jenħtieġ teżamina waqt il-proċess tal-identifikazzjoni dwar entità partikolari. F’dan il-paragrafu li ġej, kull kwistjoni tikkorrispondi għal pass li jrid jsir skont l-Artikolu 5 flimkien mal-Artikolu 6, filwaqt li titqies ukoll l-applikabbiltà tal-Artikolu 1(7).

    Il-Pass 1L-entità tappartjeni għal xi settur/sottosettur u tikkorrispondi mat-tip kopert mill-Anness II tad-Direttiva?

    Awtorità nazzjonali jenħtieġ tivvaluta jekk entità stabbilita fit-territorju tagħha tappartjenix għas-setturi u s-sottosetturi elenkati fl-Anness II tad-Direttiva. L-Anness II ikopri diversi setturi ekonomiċi li jitqiesu bħala strumentali biex ikun żgurat il-funzjonament tajjeb tas-suq intern. B’mod partikolari, l-Anness II jirreferi għal dawn is-setturi u s-sottosetturi li ġejjin:

    ·L-enerġija: l-elettriku, iż-żejt u l-gass;

    ·It-trasport: bl-ajru, bil-ferrovija, bl-ilma u bit-triq;

    ·Is-settur bankarju: l-istituzzjonijiet ta’ kreditu;

    ·L-infrastrutturi tas-swieq finanzjarji: iċ-ċentri tan-negozjar, il-kontropartijiet ċentrali;

    ·Is-saħħa: il-fornituri tal-kura tas-saħħa (inkluż l-isptarijiet u l-kliniċi privati);

    ·L-ilma: il-provvista u d-distribuzzjoni tal-ilma tax-xorb;

    ·L-infrastruttura diġitali: il-punti ta’ skambju fuq l-internet, il-fornituri ta’ servizzi tas-sistema ta’ ismijiet tad-dominji, u r-reġistri tal-ismijiet tad-dominji tal-ogħla livell 28 .

    Il-Pass 2Tapplika xi lex specialis?

    Bħala l-pass li jmiss, l-awtorità nazzjonali jeħtieġ tevalwa jekk tapplikax id-dispożizzjoni ta’ lex specialis minquxa fl-Artikolu 1(7). B’mod partikolari, din id-dispożizzjoni tipprevedi li jekk jeżisti xi att legali tal-UE li jimponi rekwiżiti tas-sigurtà u/jew tan-notifika fuq il-fornituri tas-servizzi diġitali jew l-operaturi tas-servizzi essenzjali li mill-anqas ikunu ekwivalenti għar-rekwiżiti korrispondenti skont id-Direttiva NIS, jenħtieġ japplikaw l-obbligi tal-att legali speċjali. Barra minn hekk, il-premessa 9 tikkjarifika li jekk jiġu ssodisfati r-rekwiżiti tal-Artikolu 1(7), l-Istati Membri jenħtieġ japplikaw id-dispożizzjonijiet tal-att tal-UE speċifiku għas-settur, inkluż dawk relatati mal-ġurisdizzjoni. Min-naħa l-oħra, id-dispożizzjonijiet rilevanti tad-Direttiva NIS ma jkunux japplikaw. F’dan il-każ, l-awtorità kompetenti ma jenħtiġilhiex tissokta bil-proċess tal-identifikazzjoni skont l-Artikolu 5(2) 29 .

    Il-Pass 3L-operatur qed jipprovdi “servizz essenzjali” skont it-tifsira tad-Direttiva?

    Skont l-Artikolu 5(2)(a), l-entità soġġetta għall-identifikazzjoni jeħtieġ tipprovdi servizz li hu essenzjali għaż-żamma tal-attivitajiet ekonomiċi u/jew tas-soċjetà importanti. Waqt din il-valutazzjoni, l-Istati Membri jenħtieġ iqisu l-fatt li entità waħda tista’ tipprovdi servizzi essenzjali u servizzi mhux essenzjali. Dan ifisser li r-rekwiżiti tas-sigurtà u tan-notifika tad-Direttiva NIS se japplikaw għal ċertu operatur biss sa fejn dan jipprovdi servizzi essenzjali.

    Skont l-Artikolu 5(3), Stat Membru jenħtieġ isawwar lista ta’ kull servizz essenzjali li jipprovdu l-operaturi tas-servizzi essenzjali fit-territorju tiegħu. Din il-lista jeħtieġ tintbagħat lill-Kummissjoni sa mhux aktar tard mid-9 ta’ Novembru 2018 u mbagħad kull sentejn wara dan 30 .

    Il-Pass 4Is-servizz jiddependi fuq netwerk u sistema tal-informazzjoni?

    Minbarra dan, jenħtieġ jiġi ċċarat jekk dan is-servizz jissodisfax it-tieni kriterju tal-Artikolu 5(2)(b) u b’mod partikolari jekk il-forniment tas-servizz essenzjali jiddependix fuq in-netwerks u s-sistemi tal-informazzjoni kif definit fl-Artikolu 4(1).

    Il-Pass 5Inċident tas-sigurtà jkollu effett ta’ tfixkil sinifikanti?

    L-Artikolu 5(2)(c) jeżiġi li l-awtorità nazzjonali għandha tivvaluta jekk inċident għandux effett ta’ tfixkil sinifikanti fuq il-forniment tas-servizz. F’dan il-kuntest, l-Artikolu 6(1) jistabbilixxi diversi fatturi transsettorjali li jeħtieġ tqis l-evalwazzjoni. Barra minn hekk, l-Artikolu 6(2) jirregola li meta jkun xieraq, il-valutazzjoni jenħtieġ tqis ukoll fatturi speċifiċi għas-setturi.

    Il-fatturi transsettorjali elenkati fl-Artikolu 6(1) huma dawn li ġejjin:

    ·L-għadd ta’ utenti li jiddependu mis-servizzi mogħtija mill-entità konċernata;

    ·Id-dipendenza ta’ setturi oħra msemmija fl-Anness II fuq is-servizz li tagħti dik l-entità;

    ·L-impatt li jistgħu jħallu l-inċidenti, f’dak li għandu x’jaqsam mad-daqs u t-tul taż-żmien, fuq l-attivitajiet ekonomiċi u tas-soċjetà jew fuq is-sikurezza pubblika;

    ·Is-sehem mis-suq ta’ dik l-entità;

    ·Il-firxa ġeografika fir-rigward taż-żona li tista’ tintlaqat minn inċident;

    ·L-importanza tal-entità biex jinżamm livell ta’ servizz biżżejjed, filwaqt li titqies id-disponibbiltà ta’ mezzi oħra għall-forniment ta’ dak is-servizz.

    Rigward il-fatturi speċifiċi għas-setturi, il-premessa 28 tipprovdi xi eżempji (ara t-Tabella 4) li tagħti gwida siewja lill-awtoritajiet nazzjonali.

    It-Tabella 4: Eżempji ta’ fatturi speċifiċi għas-setturi li jridu jitqiesu fid-determinazzjoni tal-effett ta’ tfixkil sinifikanti f’każ ta’ inċident.

    Is-settur

    Eżempji ta’ fatturi speċifiċi għas-setturi

    Il-fornituri tal-enerġija

    il-volum jew il-proporzjon ta’ enerġija nazzjonali ġġenerata

    Il-fornituri taż-żejt

    il-volum ta’ żejt fornut kuljum

    It-trasport bl-ajru (inkluż l-ajruporti u t-trasportaturi bl-ajru)

    It-trasport bil-ferrovija

    Il-portijiet marittimi

    il-proporzjon tal-volum tat-traffiku nazzjonali;

    l-għadd ta’ passiġġieri jew operazzjonijiet ta’ tagħbija kull sena

    Is-settur bankarju u tal-infrastrutturi tas-suq finanzjarju

    l-importanza sistemika bbażata fuq l-assi totali;

    il-proporzjon tal-assi totali mal-PDG

    Is-settur tas-saħħa

    l-għadd ta’ pazjenti li qed jirċievu kura mingħand il-fornitur kull sena

    Il-produzzjoni, l-ipproċessar u l-provvista tal-ilma

    il-volum u l-għadd u t-tipi ta’ utenti fornuti (inkluż pereżempju l-isptarijiet, l-organizzazzjonijiet tas-servizz pubbliku, jew individwi);

    l-eżistenza ta’ sorsi alternattivi tal-ilma biex ikopru l-istess żona ġeografika

    Jenħtieġ jiġi spjegat li meta jagħmlu l-valutazzjoni skont l-Artikolu 5(2), l-Istati Membri ma jenħtiġilhomx iżidu kriterji addizzjonali għajr dawk elenkati f’dik id-dispożizzjoni għax dan jista’ jnaqqas l-għadd ta’ operaturi tas-servizzi essenzjali identifikati u jipperikola l-armonizzazzjoni minima għall-operaturi tas-servizzi essenzjali li hemm minquxa fl-Artikolu 3 tad-Direttiva.

    Il-Pass 6L-operatur konċernat qed jipprovdi servizzi essenzjali fi Stati Membri oħra?

    Il-Pass 6 jirreferi għal meta l-operatur ikun jipprovdi s-servizzi essenzjali tiegħu f’żewġ Stati Membri jew aktar. Qabel jitlesta l-proċess tal-identifikazzjoni, l-Artikolu 5(4) jeżiġi li l-Istati Membri konċernati jieħdu sehem fi proċess ta’ konsultazzjoni 31 .



    Id-Direttiva NIS

    ma tapplikax

    LE

    IVA

    Id-Direttiva NIS

    ma tapplikax

    LE

    IVA

    Id-Direttiva NIS

    ma tapplikax

    IVA

    LE

    Id-Direttiva NIS

    ma tapplikax

    LE

    IVA


     

    Eżempju: fornitur tal-elettriku stabbilit fi

    Id-Direttiva NIS

    ma tapplikax

    LE

    IVA

    Id-Direttiva NIS

    ma tapplikax

    IVA

    LE

    Konsultazzjoni obbligatorja mal-Istati Membri konċernati

    L-adozzjoni tal-miżuri nazzjonali (eż. lista tal-operaturi tas-servizzi essenzjali, miżuri ta’ politika u legali).

    4.1.7. Il-proċess ta’ konsultazzjoni transfruntiera

    Meta operatur jipprovdi servizzi essenzjali f’żewġ Stati Membri jew aktar, l-Artikolu 5(4) jeżiġi li dawk l-Istati Membri jikkonsultaw lil xulxin qabel ma jitlesta l-proċess tal-identifikazzjoni. Din il-konsultazzjoni għandha l-għan li tiffaċilita l-valutazzjoni dwar in-natura kritika tal-operatur mil-lat ta’ impatt transfruntier.

    Ir-riżultat mixtieq ta’ din il-konsultazzjoni hu li l-awtoritajiet nazzjonali involuti joħorġu b’argumenti u pożizzjonjiet u idealment jaslu għall-istess riżultat dwar l-identifikazzjoni tal-operatur konċernat. Madankollu, id-Direttiva NIS ma tipprekludix lill-Istati Membri milli jaslu għal konklużjonijiet diverġenti dwar jekk entità partikolari hix identifikata bħala operatur tas-servizzi essenzjali jew le. Il-premessa 24 issemmi l-possibbiltà li l-Istati Membri jitolbu l-assistenza tal-Grupp ta’ Koperazzjoni f’dan ir-rigward.

    Skont il-fehma tal-Kummissjoni, l-Istati Membri jenħtieġ jagħmlu l-almu kollu biex jilħqu kunsens dwar dawn il-kwistjonijiet ħalli jevitaw sitwazzjoni fejn l-istess kumpanija tkun qed taffaċċja status legali differenti f’diversi Stati Membri. Jenħieġ li d-diverġenza tkun tassew eċċezzjonali, pereżempju meta entità identifikata bħala operatur tas-servizzi essenzjali fi Stat Membru wieħed ikollha attività marġinali u insinifikanti f’pajjiż ieħor.

    4.2. Ir-rekwiziti tas-sigurtà

    Skont l-Artikolu 14(1), l-Istati Membri jeħtieġ jiżguraw li l-operaturi tas-servizzi essenzjali, wara li jqisu l-ogħla livell ta’ żvilupp tekniku, jieħdu miżuri tekniċi u organizzattivi adattati u proporzjonati biex iġestixxu r-riskju għas-sigurtà tan-netwerks u tas-sistemi tal-informazzjoni li l-organizzazzjonijiet jużaw għall-forniment tas-servizzi tagħhom. Skont l-Artikolu 14(2), bil-miżuri xierqa jiġi evitat u minimizzat l-impatt tal-inċident.

    Bħalissa għaddejja ħidma apposta fil-Grupp ta’ Koperazzjoni fuq linji gwida mhux vinkolanti dwar il-miżuri tas-sigurtà għall-operaturi tas-servizzi essenzjali 32 . Il-Grupp irid jiffinalizza d-dokument gwida sar-raba’ kwart tal-2017. Il-Kummissjoni tħeġġeġ lill-Istati Membri biex isegwu mill-qrib id-dokument gwida li jrid jiżviluppa l-Grupp ta’ Koperazzjoni ħalli d-dispożizzjonijiet nazzjonali dwar ir-rekwiżiti tas-sigurtà jkunu allinjati kemm jista’ jkun possibbli. Bl-armonizzazzjoni ta’ dawn ir-rekwiżiti jeħfiefu ħafna l-konformità tal-operaturi tas-servizzi essenzjali li ta’ spiss jipprovdu servizzi essenzjali f’aktar minn Stat Membru wieħed u l-kompiti tas-superviżjoni tal-awtoritajiet nazzjonali kompetenti u tas-CSIRTs.

    4.3. Ir-rekwiżiti tan-notifika

    Skont l-Artikolu 14(3), l-Istati Membri jridu jiżguraw li l-operaturi tas-servizzi essenzjali jinnotifikaw “kwalunkwe inċident li jkollu impatt sinifikanti fuq il-kontinwità tas-servizzi essenzjali”. Għaldaqstant, l-operaturi tas-servizzi essenzjali ma jenħtiġilhomx jinnotifikaw kull inċident żgħir li jinqala’ iżda l-inċidenti serji biss li jaffettwaw il-kontinwità tas-servizzi essenzjali. Bħala inċident, l-Artikolu 4(7) jiddefinixxi “kwalunkwe avveniment li proprju għandu effett negattiv fuq is-sigurtà tan-netwerks u tas-sistemi tal-informazzjoni”. It-terminu “sigurtà tan-netwerks u tas-sistemi tal-informazzjoni” hu ddefinit aktar fl-Artikolu 4(2) bħala “l-abbiltà tan-netwerks u tas-sistemi tal-informazzjoni li jirreżistu, f’livell partikolari ta’ fiduċja, kwalunkwe azzjoni li tikkomprometti d-disponibbiltà, l-awtentiċità, l-integrità jew il-kunfidenzjalità ta’ dejta maħżuna, mibgħuta jew ipproċessata jew is-servizzi relatati offruti minn, jew aċċessibbli permezz ta’, dawk in-netwerks u s-sistemi tal-informazzjoni”. Għaldaqstant, kwalunkwe każ li jaffettwa ħażin lid-disponibbiltà kif ukoll lill-awtentiċità, lill-integrità jew lill-kunfidenzjalità tad-dejta jew tas-servizzi relatati, potenzjalment jista’ jiskatta l-obbligu tan-notifika. Fil-fatt, il-kontinwità tas-servizz imsemmija fl-Artikolu 14(3) tista’ tiġi kompromessa mhux biss bid-disponibbiltà fiżika, iżda anki meta xi inċident tas-sigurtà ieħor jaffettwa l-provvista tajba tas-servizz 33 .

    Bħalissa għaddejja ħidma apposta fil-Grupp ta’ Koperazzjoni fuq linji gwida mhux vinkolanti dwar in-notifiki b’rabta maċ-ċirkostanzi meta l-operaturi tas-servizzi essenzjali jeħtieġ jinnotifikaw l-inċidenti skont l-Artikolu 14(7) u l-format u l-proċeduri tan-notifiki nazzjonali. Hu ppjanat li l-linji gwida jitlestew sar-raba’ kwart tal-2017.

    Id-differenzi fir-rekwiżiti nazzjonali tan-notifika jistgħu jwasslu għal inċertezza legali, proċeduri aktar kumplessi u kkumplikati, u spejjeż amministrattivi sinifikanti għall-fornituri li joperaw bejn il-fruntieri. Għalhekk il-Kummissjoni tapprezza l-ħidma tal-Grupp ta’ Koperazzjoni. Bħal fil-każ tar-rekwiżiti tas-sigurtà, il-Kummissjoni tħeġġeġ lill-Istati Membri biex isegwu mill-qrib id-dokument gwida li jrid jiżviluppa l-Grupp ta’ Koperazzjoni ħalli d-dispożizzjonijiet nazzjonali dwar in-notifika tal-inċidenti jkunu allinjati kemm jista’ jkun possibbli.

    4.4. Id-Direttiva NIS, l-Anness III: il-Fornituri tas-Servizzi Diġitali

    Il-Fornituri tas-Servizzi Diġitali huma t-tieni kategorija ta’ entitajiet inklużi fil-kamp ta’ applikazzjoni tad-Direttiva NIS. Dawn l-entitajiet huma meqjusa bħala atturi ekonomiċi importanti għax jużawhom bosta negozji għall-forniment tas-servizzi tagħhom stess, u għalhekk it-tfixkil tas-servizzi diġitali jista’ jħalli impatt fuq l-attivitajiet ekonomiċi u tas-soċjetà ewlenin.

    4.4.1. Il-kategoriji tal-fornituri tas-servizzi diġitali

    L-Artikolu 4(5) li jiddefinixxi servizz diġitali jirreferi għad-definizzjoni legali tal-punt (b) tal-Artikolu 1(1) tad-Direttiva (UE) 2015/1535 billi jdejjaq l-ambitu tat-tipi ta’ servizzi elenkati fl-Anness III. B’mod partikolari, il-punt (b) tal-Artikolu 1(1) tad-Direttiva (UE) 2015/1535 jiddefinixxi dawn is-servizzi bħala “kull servizz normalment ipprovdut għal rimunerazzjoni, mill-bogħod, b’mezzi elettroniċi u fuq it-talba individwali ta’ riċevitur ta’ servizzi” u l-Anness III tad-Direttiva jelenka tliet tipi speċifiċi ta’ servizzi: is-suq online, il-magna tat-tiftix online u l-cloud computing. Meta mqabbel mal-operaturi tas-servizzi essenzjali, id-Direttiva ma teħtieġx li l-Istati Membri jidentifikaw il-fornituri tas-servizzi diġitali, li mbagħad ikunu soġġetti għall-obbligi rilevanti. Għaldaqstant, l-obbligi rilevanti tad-Direttiva, jiġifieri r-rekwiżiti tas-sigurtà u tan-notifiki stabbiliti fl-Artikolu 16 se japplikaw għal kull fornitur tas-servizzi diġitali fil-kamp ta’ applikazzjoni tagħha.

    Dawn it-taqsimiet jagħtu spjegazzjonijiet addizzjonali dwar tliet tipi ta’ servizzi diġitali inklużi fil-kamp ta’ applikazzjoni tad-Direttiva.

    1. Fornitur fis-suq online

    Is-suq online jiftaħ il-bibien għal għadd kbir u varjat ta’ negozji biex iwettqu l-attivitajiet kummerċjali tagħhom fost il-konsumaturi u biex jibnu relazzjonijiet bejn in-negozji. Din tipprovdi infrastruttura bażika lill-kumpaniji biex jagħmlu kummerċ fuq l-internet u bejn il-fruntieri. Dawn jaqdu rwol sinifikanti fl-ekonomija, l-aktar għax jipprovdi aċċess usa’ lill-SMEs għas-suq uniku diġitali tal-UE. Anki l-forniment ta’ servizzi remoti bil-kompjuter li jiffaċilitaw l-attività ekonomika tal-klijenti tagħhom, inkluż l-ipproċessar ta’ tranżazzjonijiet u l-aggregazzjoni ta’ informazzjoni fuq ix-xerrejja, il-fornituri u l-prodotti, jista’ jitqies waħda mill-attivitajiet tal-fornitur fis-suq online, u dan jgħodd ukoll għall-faċilitazzjoni tat-tiftix għal prodotti xierqa, il-provvista ta’ prodotti, l-għarfien espert fuq it-tranżazzjonijiet u t-tlaqqigħ tax-xerrejja u l-bejjiegħa.

    It-terminu “suq online” fl-Artikolu 4(17) u ċċarat aktar fil-premessa 15. Dan hu deskritt bħala servizz li jippermetti lill-konsumaturi u n-negozjanti jwettqu bejgħ jew kuntratti ta’ servizz bl-internet ma’ negozjanti, u jirrappreżenta d-destinazzjoni finali għall-konklużjoni ta’ dawk il-kuntratti. Ngħidu aħna, il-fornituri bħal E-bay jistgħu jitqisu bħala suq online għax jippermettu lill-oħrajn biex jistabbilixxu ħwienet fuq il-pjattaforma tagħhom biex jagħmlu l-prodotti u s-servizzi tagħhom disponibbli fuq l-internet għall-konsumaturi jew n-negozji. Minbarra dan, il-ħwienet tal-applikazzjoni fuq l-internet għad-distribuzzjonijiet tal-applikazzjonijiet u tas-softwer jitqiesu li jaqgħu taħt id-definizzjoni ta’ suq online għax jippermettu lill-iżviluppaturi tal-apps biex ibigħu jew iqassmu s-servizzi tagħhom lill-konsumaturi jew lil negozji oħra. B’kuntrast ma’ dan, l-intermedjarji ta’ servizzi ta’ partijiet terzi bħal Skyscanner u s-servizzi tat-tqabbil tal-prezzijiet li jidderieġu lill-utenti lejn il-website tal-kummerċjant fejn jiġi konkluż il-kuntratt proprja tas-servizz jew tal-prodott, mhumiex koperti mid-definizzjoni tal-Artikolu 4(17).

    2. Fornitur ta’ magna tat-tiftix online

    It-terminu “magna tat-tiftix online” hu ddefinit fl-Artikolu 4(18) u ċċarat aktar fil-premessa 16. Dan hu deskritt bħala servizz diġitali li jippermetti lill-utenti biex fil-prinċipju jfittxu fil-websites kollha jew f’websites b’lingwa partikolari skont tiftixa fuq xi suġġett. Il-funzjonalitajiet ta’ tiftix intern ġo website u l-websites tat-tqabbil tal-prezzijiet mhumiex koperti. Pereżempju t-tip ta’ magna tat-tiftix bħal dik mogħtija mill-EUR-Lex 34 ma tistax titqies bħala magna tat-tiftix fis-sens tad-Direttiva għax il-funzjoni tat-tiftix tagħha hu limitat għall-kontenut intern ta’ dik il-website.

    3. Fornitur tas-servizzi tal-cloud computing

    L-Artikolu 4(19) jiddefinixxi s-servizz tal-cloud computing bħala “servizz diġitali li jippermetti aċċess għal riżorsi tat-teknoloġija tal-informatika li kapaċi jespandu, li huma flessibbli u li jistgħu jiġu kondiviżi” u l-premessa 17 tikkjarifika aktar dwar it-terminu “riżorsi tat-teknoloġija tal-informatika li kapaċi jespandu, li huma flessibbli”.

    Fi ftit kliem, il-cloud computing jista’ jiġi deskritt bħala tip partikolari ta’ servizzi komputazzjonali li juża riżorsi kondiviżi biex jipproċessa d-dejta fuq talba, fejn ir-riżorsi kondiviżi jirreferu għal kwalunkwe tip ta’ komponent ta’ ħardwer jew softwer (eż. netwerks, servers jew infrastruttura oħra, ħażniet, applikazzjonijiet u servizzi) li jiġu rilaxxati fuq talba lill-utenti għall-ipproċessar tad-dejta. It-terminu “li jistgħu jiġu kondiviżi” jiddefinixxi r-riżorsi komputazzjonali meta bosta utenti jkunu qed jużaw l-istess infrastruttura fiżika għall-ipproċessar tad-dejta. Ir-riżorsi komputazzjonali jistgħu jiġu ddefiniti li jistgħu jiġu kondiviżi meta l-ġabra tar-riżorsi użati mill-fornitur tkun tista’ tiżdied jew titnaqqas fi kwalunkwe ħin, skont il-ħtiġijiet tal-utenti. B’hekk, iċ-ċentri tad-dejta jew komponenti singoli f’ċentru tad-dejta wieħed jistgħu jiġu miżjuda jew jitneħħew jekk l-ammont totali tal-kapaċità komputazzjonali jew tal-ħażna tkun teħtieġ aġġornament. It-terminu “riżorsi...li huma flessibbli” jista’ jiġi deskritt bħala bidliet fl-ammont ta’ xogħol skont l-għoti u t-tneħħija tar-riżorsi b’mod awtomatiku u b’mod li f’kull mument ir-riżorsi disponibbli jkunu kemm jista’ jkun jaqblu mad-domanda attwali 35 .

    Daż-żmien jeżistu tliet tipi ta’ mudelli ta’ servizzi tal-cloud computing li fornitur jista’ joffri:

    ØInfrastruttura bħala Servizz (IaaS): Din hi kategorija ta’ servizzi tal-cloud computing fejn it-tip ta’ kapaċitajiet tal-cloud computing mogħti lill-klijenti hu infrastruttura. Din tinkludi l-għoti virtwali ta’ riżorsi komputazzjonali fil-forma ta’ ħardwer, networking u servizzi tal-ħażna. Infrastruttura bħala Servizz (IaaS) tipprovdi l-enerġija lis-servers, il-ħażniet, in-netwerks u s-sistemi operattivi. Din tipprovdi infrastruttura tal-intrapriża fejn negozju jista’ jaħżen id-dejta tiegħu u jħaddem l-applikazzjonijiet meħtieġa għall-operat ta’ kuljum tiegħu.

    ØPjattaforma bħala Servizz (PaaS): Din hi kategorija ta’ servizzi tal-cloud computing fejn it-tip ta’ kapaċitajiet tal-cloud computing mogħti lill-klijenti hu pjattaforma. Din tinkludi l-pjattaformi komputazzjonali fuq l-internet li jippermettu lill-kumpaniji biex iħaddmu applikazzjonijiet eżistenti jew biex jiżviluppaw u jittestjaw oħrajn ġodda.

    ØSoftwer bħala Servizz (SaaS): Dan hu kategorija ta’ servizzi tal-cloud computing fejn it-tip ta’ kapaċitajiet tal-cloud computing mogħti lill-klijenti hu applikazzjoni jew softwer skjerat fuq l-internet. Dan it-tip ta’ servizzi tal-cloud computing jelimina l-bżonn li l-utent finali jixtri, jinstalla u jimmaniġġa s-softwer, u għandu l-vantaġġ li s-softwer jista’ jkun aċċessibbli minn kullimkien bil-konnessjoni tal-internet.

    Il-Grafika 5: Mudelli tas-servizz u assi tal-cloud computing 

    Linji gwida komprensivi dwar suġġetti speċifiċi fil-qasam tal-cloud computing 36 u dokument gwida dwar l-elementi bażiċi tal-cloud computing 37 intbagħtu lill-ENISA.

    4.4.2. Ir-rekwiżiti tas-sigurtà

    Skont l-Artikolu 16(1), l-Istati Membri jeħtieġ jiżguraw li l-fornituri tas-servizzi diġitali jieħdu miżuri tekniċi u organizzattivi adattati u proporzjonati biex iġestixxu r-riskju għas-sigurtà tan-netwerks u tas-sistemi tal-informazzjoni li l-kumpaniji jużaw għall-forniment tas-servizzi tagħhom. Dawn il-miżuri tas-sigurtà jenħtieġ iqisu l-aqwa żvilupp tekniku u dawn il-ħames elementi li ġejjin: i) is-sigurtà tas-sistemi u tal-faċilitajiet; ii) il-ġestjoni tal-inċidenti; iii) il-ġestjoni tal-kontinwità tal-operat; iv) il-monitoraġġ, il-verifiki u l-ittestjar; v) il-konformità mal-istandards internazzjonali.

    F’dan ir-rigward il-Kummissjoni għandha s-setgħa bl-Artikolu 16(8) li tadotta atti ta’ implimentazzjoni biex tispeċifika aktar dawk l-elementi u tiżgura livell għoli ta’ armonizzazzjoni għal dawk il-fornituri tas-servizzi. L-att ta’ implimentazzjoni mistenni jiġi adottat mill-Kummissjoni fil-ħarifa tal-2017. Barra minn hekk, l-Istati Membri jeħtieġ jiżguraw li l-fornituri tas-servizzi diġitali jieħdu l-miżuri meħtieġa biex jevitaw u jnaqqsu kemm jista’ jkun l-impatt tal-inċidenti biex tkun żgurata l-kontinwità tas-servizzi tagħhom.

    4.4.3. Ir-rekwiżiti tan-notifika

    Il-fornituri tas-servizzi diġitali jenħtieġ ikunu obbligati jinnotifikaw l-inċidenti serji lill-awtoritajiet kompetenti jew lis-CSIRTs. Skont l-Artikolu 16(3) tad-Direttiva NIS, ir-rekwiżit tan-notifika għall-fornituri tas-servizzi diġitali se jiskatta meta l-inċident tas-sigurtà jħalli impatt sostanzjali fuq il-forniment tas-servizz. Biex jiġi ddeterminat l-impatt, l-Artikolu 16(4) jelenka b’mod partikolari ħames parametri li jridu jqisu l-fornituri tas-servizzi diġitali. F’dan ir-rigward, il-Kummissjoni għandha s-setgħa bl-Artikolu 16(8) li tadotta atti ta’ implimentazzjoni biex tagħti deskrizzjonijiet aktar dettaljata tal-parametri. L-ispeċifikazzjoni ulterjuri ta’ dawn il-parametri se tkun parti mill-att ta’ implimentazzjoni li jispeċifika l-elementi tas-sigurtà msemmija fil-punt 4.4.2., li l-Kummissjoni beħsiebha tadotta fil-ħarifa.

    4.4.4. Approċċ regolatorju bbażat fuq ir-riskji

    L-Artikolu 17 jistipula li l-fornituri tas-servizzi diġitali huma soġġetti għal kontroll superviżorju ex post mill-awtoritajiet nazzjonali kompetenti. L-Istati Membri jridu jiżguraw li l-awtoritajiet kompetenti jieħdu azzjoni, meta jkollhom evidenza li xi fornitur tas-servizzi diġitali mhux konformi mar-rekwiżiti tal-Artikolu 16 tad-Direttiva.

    Barra minn hekk, skont l-Artikolu 16(8) u (9), il-Kummissjoni għandha s-setgħa li tadotta atti ta’ implimentazzjoni dwar ir-rekwiżiti tan-notifika u tas-sigurtà li se jżidu l-livell ta’ armonizzazzjoni għall-fornituri tas-servizzi diġitali. Minbarra dan, skont l-Artikolu 16(10), l-Istati Membri ma jistgħux jimponu rekwiżiti oħrajn tan-notifika u tas-sigurtà fuq il-fornituri tas-servizzi diġitali għajr dawk previsti fid-Direttiva, ħlief meta dawk il-miżuri jkunu meħtieġa biex jissalvagwardjaw il-funzjonijiet Statali essenzjali tagħhom, b’mod partikolari biex tkun ssalvagwardjata s-sigurtà nazzjonali, u jkunu jistgħu jsiru l-investigazzjoni, id-detezzjoni u l-prosekuzzjoni ta’ reati kriminali.

    U fl-aħħar nett, meta titqies in-natura transfruntiera tal-fornituri tas-servizzi diġitali, id-Direttiva ma timxix mal-mudell ta’ diversi ġurisdizzjonijiet paralleli iżda tħaddem approċċ ibbażat fuq il-kriterju ta’ stabbiliment ewlieni tal-kumpanija fl-UE 38 . B’dan l-approċċ, il-fornituri tas-servizzi diġitali jkollhom sett uniku ta’ regoli u awtorità kompetenti waħda responsabbli għas-sorveljanza; dan hu partikolarment importanti għax ħafna fornituri tas-servizzi diġitali joffru s-servizzi tagħhom f’bosta Stati Membri fl-istess ħin. L-applikazzjoni ta’ dan l-approċċ tnaqqas kemm jista’ jkun il-piż tal-konformità minn fuq il-fornituri tas-servizzi diġitali u tiżgura l-funzjonament sew tas-Suq Uniku Diġitali.

    4.4.5. Il-ġurisdizzjoni

    Kif spjegat hawn fuq, skont l-Artikolu 18(1) tad-Direttiva NIS, l-Istat Membru fejn il-fornitur tas-servizzi diġitali għandu l-istabbiliment ewlieni tiegħu għandu ġurisdizzjoni fuq il-kumpanija. Meta l-fornitur konkret tas-servizzi diġitali joffri servizzi fl-UE iżda ma jkunx stabbilit fit-territorju tal-UE, l-Artikolu 18(2) jimponi l-obbligu fuq il-fornitur tas-servizzi diġitali li jinnomina rappreżentant fl-Unjoni. F’dak il-każ, l-Istat Membru fejn ikun stabbilit ir-rappreżentant ikollu ġurisdizzjoni fuq il-kumpanija. Meta l-fornitur tas-servizzi diġitali jipprovdi servizzi fi Stat Membru iżda ma jkunx innomina rappreżentant fl-UE, fil-prinċipju, l-Istat Membru jista’ jieħu azzjonijiet kontra l-fornitur tas-servizzi diġitali għax dan ikun qed jikser l-obbligi tiegħu li joħorġu mid-Direttiva.

    4.4.6. Eżenzjoni lill-fornituri tas-servizzi diġitali bi Skala Limitatata mill-kamp ta’ applikazzjoni tar-rekwiżiti tas-sigurtà u tan-notifika

    Skont l-Artikolu 16(11), il-fornituri tas-servizzi diġitali li huma intrapriżi mikro jew żgħar skont it-tifsira tar-Rakkomandazzjoni tal-Kummissjoni 2003/361/KE 39 huma esklużi mill-kamp ta’applikazzjoni tar-rekwiżiti tas-sigurtà u tan-notifika stabbiliti fl-Artikolu 16. Dan ifisser lil dawk in-negozji li jimpjegaw inqas minn 50 persuna u li jkollhom fatturat annwali u/jew total fil-karta tal-bilanċ annwali li ma jaqbiżx l-EUR 10 miljun, mhumiex marbuta jissodisfaw dawn ir-rekwiżiti. Meta jkun qed jitkejjel id-daqs tal-entità, mhux rilevanti jekk il-kumpanija konċernata tipprovdix biss servizzi diġitali skont it-tifsira tad-Direttiva NIS jew xi servizzi oħrajn ukoll.

    5. Ir-relazzjoni bejn id-Direttiva NIS u leġiżlazzjoni oħra

    Din it-taqsima tiffoka fuq id-dispożizzjonijiet ta’ lex specialis minquxa fl-Artikolu 1(7) tad-Direttiva NIS, li juru tliet eżempji ta’ lex specialis li vvalutat il-Kummissjoni s’issa, u tiċċara r-rekwiżiti tas-sigurtà u tan-notifika li japplikaw għall-fornituri tat-telekomunikazzjoni u tas-servizzi fiduċjarji.

    5.1. Id-Direttiva NIS, l-Artikolu 1(7): Id-dispożizzjoni ta’ lex specialis

    Skont l-Artikolu 1(7) tad-Direttiva NIS, id-dispożizzjonijiet dwar ir-rekwiżiti tas-sigurtà u/jew tan-notifika għall-fornituri tas-servizzi diġitali jew għall-operaturi tas-servizzi essenzjali skont id-Direttiva ma japplikawx jekk ikun hemm xi leġiżlazzjoni tal-UE speċifika għas-setturi li tipprevedi rekwiżiti tas-sigurtà u/jew tan-notifika, li mill-anqas għandhom effett ekwivalenti għall-obbligi korrispondenti tad-Direttiva NIS. Waqt it-transpożizzjoni ġenerali tad-Direttiva, l-Istati Membri jeħtieġ iqisu l-Artikolu 1(7) u jipprovdu informazzjoni lill-Kummissjoni dwar l-applikazzjoni ta’ dispożizzjonijiet ta’ lex specialis.

    Il-metodoloġija

    Waqt il-valutazzjoni tal-ekwivalenza ta’ biċċa leġiżlazzjoni tal-UE speċifika għas-setturi mad-dispożizzjonijiet rilevanti tad-Direttiva NIS, jenħtieġ tingħata importanza partikolari għall-kwistjoni jekk l-obbligi tas-sigurtà fil-leġiżlazzjoni speċifika għas-setturi jinkludux miżuri li jiżguraw is-sigurtà tan-netwerks u tas-sistemi tal-informazzjoni kif definit fl-Artikolu 4(2) tad-Direttiva.

    Fejn jidħlu r-rekwiżiti tan-notifika, l-Artikolu 14(3) u 16(3) tad-Direttiva NIS jistipulaw li l-operaturi tas-servizzi essenzjali u l-fornituri tas-servizzi diġitali jeħtieġ jinnotifikaw mingħajr dewmien bla bżonn lill-awtoritajiet kompetenti jew lis-CSIRT kull inċident li jħalli impatt sostanzjali/sinifikanti fuq il-forniment tas-servizz. F’dan il-kuntest jeħtieġ tingħata attenzjoni speċjali lill-obbligi li l-operatur/fornitur tas-servizzi diġitali jinkludi informazzjoni fin-notifika li permezz tagħha l-awtorità kompetenti jew is-CSIRT tkun tista’ tiddetermina kwalunkwe impatt transfruntier tal-inċident tas-sigurtà.

    Bħalissa m’hemm l-ebda leġiżlazzjoni speċifika għas-setturi għall-kategorija ta’ fornituri tas-servizzi diġitali li tipprovdi għal rekwiżiti tas-sigurtà u tan-notifika simili għal dawk stabbiliti fl-Artikolu 16 tad-Direttiva NIS u li tista’ titqies fl-applikazzjoni tal-Artikolu 1(7) tad-Direttiva NIS 40 .

    Fejn jidħlu l-operaturi tas-servizzi essenzjali, bħalissa s-settur finanzjarju u b’mod partikolari s-settur bankarju u tal-infrastrutturi tas-suq finanzjarju kif imsemmi fil-punt 3 u 4 tal-Anness II huma soġġetti għal rekwiżiti tas-sigurtà u/jew tan-notifika li joħorġu minn leġiżlazzjoni tal-UE speċifika għas-setturi. Dan għax is-sigurtà u s-sodezza tas-sistemi tal-informatika, in-netwerks u s-sistemi tal-informazzjoni użati mill-istituzzjonijiet finanzjarji huma parti essenzjali mir-rekwiżiti tar-riskju operazzjonali imposti fuq l-istituzzjonijiet finanzjarji bil-leġiżlazzjoni tal-UE.

    Xi eżempji

    i) Id-Direttiva dwar is-Servizzi tal-Pagament

    Fir-rigward tas-settur bankarju u b’mod partikolari fejn jidħol il-forniment tas-servizzi tal-pagament minn istituzzjonijiet ta’ kreditu kif definit fil-punt (1) tal-Artikolu 4 tar-Regolament (UE) Nru 575/2013, l-hekk imsejħa Direttiva 2 dwar is-Servizzi tal-Pagament (il-PSD 2) 41 tipprevedi r-rekwiżiti tas-sigurtà u tan-notifika stabbiliti fl-Artikoli 95 u 96 ta’ dik id-Direttiva.

    B’mod aktar preċiż, l-Artikolu 95(1) jeżiġi li l-fornituri tas-servizzi tal-pagament jadottaw miżuri xierqa ta’ mitigazzjoni u mekkaniżmi tal-kontroll biex tkun tista’ ssir il-ġestjoni tar-riskji operazzjonali tas-sigurtà marbutin mas-servizzi tal-pagament li jipprovdu. Dawn il-miżuri jenħtieġ jinkludu l-istabbiliment u ż-żamma ta’ proċeduri effettivi għall-ġestjoni tal-inċidenti, inkluż proċeduri għad-detezzjoni u l-klassifikazzjoni ta’ inċidenti maġġuri operazzjonali u tas-sigurtà. Il-premessi 95 u 96 tal-PSD 2 tikkjarifika aktar in-natura ta’ dawn il-miżuri tas-sigurtà. Minn dawn id-dispożizzjonijiet, jidher li l-miżuri preskritti għandhom l-għan li iġestixxu r-riskji relatati mas-sigurtà tan-netwerks u tas-sistemi tal-informazzjoni li jintużaw fil-forniment tas-servizzi tal-pagament. Għalhekk, dawk ir-rekwiżiti tas-sigurtà jistgħu jitqiesu li mill-anqas għandhom effett ekwivalenti għad-dispożizzjoni korrispondenti tal-Artikolu 14(1) u (2) tad-Direttiva NIS.

    Dwar ir-rekwiżiti ta’ notifika, l-Artikolu 96(1) tal-PSD 2 jipprevedi obbligu għall-fornituri tas-servizz tal-pagament li jirrapportaw, mingħajr dewmien żejjed, l-inċidenti serji tas-sigurtà lill-awtorità kompetenti. Barra minn hekk, b’mod komparabbli għall-Artikolu 14(5) tad-Direttiva NIS, l-Artikolu 96(2) tal-PSD 2 jeżiġi li l-awtorità kompetenti tinforma lill-awtoritajiet kompetenti tal-Istati Membri l-oħra jekk l-inċident ikun rilevanti għalihom Dan l-obbligu jimplika fl-istess ħin li r-rappurtar tal-inċidenti tas-sigurtà jrid jinkludi informazzjoni li biha l-awtoritajiet ikunu jistgħu jivvalutaw l-impatt transfruntier ta’ inċident. L-Artikolu 96(3)(a) tal-PSD 2 jagħti s-setgħa f’dan ir-rigward lill-Awtorità Bankarja Ewropea b’koperazzjoni mal-Bank Ċentrali Ewropew biex jiżviluppaw linji gwida dwar il-kontenut eżatt u l-format tan-notifika.

    Għaldaqstant, jista’jiġi konkluż li skont l-Artikolu 1(7) tad-Direttiva NIS, jeħtieġ japplikaw ir-rekwiżiti tas-sigurtà u tan-notifika stabbiliti fl-Artikoli 95 u 96 tal-PSD 2 minflok id-dispożizzjonijiet korrispondenti tal-Artikolu 14 tad-Direttiva NIS, fejn jidħol il-forniment tas-servizzi tal-pagament minn istituzzjonijiet ta’ kreditu.

    ii) Ir-Regolament (UE) Nru 648/2012 tal-Parlament Ewropew u tal-Kunsill tal-4 ta’ Lulju 2012 dwar derivati OTC, kontropartijiet ċentrali u repożitorji tad-dejta dwar it-tranżazzjonijiet

    Fir-rigward tal-infrastruttura tas-suq finanzjarju, ir-Regolament (UE) Nru 648/2012 flimkien mar-Regolament ta’ Delega tal-Kummissjoni (UE) 153/2013 fih dispożizzjonijiet dwar ir-rekwiżiti tas-sigurtà għal kontropartijiet ċentrali (CCP) li jistgħu jitqiesu bħala lex specialis. B’mod partikolari, l-atti legali li jipprovdu għal miżuri tekniċi u organizzazzjonali relatati mas-sigurtà tan-netwerks u tas-sistemi tal-informazzjoni li mil-lat ta’ dettall jmorru saħansitra lil hinn mir-rekwiżiti tal-Artikolu 14(1) u (2) tad-Direttiva NIS u għalhekk jistgħu jitqiesu li jissodisfaw ir-rekwiżiti tal-Artikolu 1(7) tad-Direttiva NIS fejn jidħlu r-rekwiżiti tas-sigurtà.

    B’mod aktar preċiż, l-Artikolu 26(1) tar-Regolament (UE) Nru 648/2012 jipprevedi li l-entità jenħtieġ ikollha arranġamenti ta’ governanza robusti, li jinkludu struttura organizzattiva ċara b’linji ta’ responsabilità ddefiniti sew, trasparenti u konsistenti, proċessi effettivi għall-identifikazzjoni, l-immaniġġar, il-monitoraġġ u r-rappurtar tar-riskji li għalihom hi jew tista’ tkun esposta, u mekkaniżmi tal-kontroll interni adegwati, inklużi proċeduri amministrattivi u kontabilistiċi sodi”.. L-Artikolu 26(3) jeżiġi li l-istruttura organizzazzjonali trid tiżgura l-kontinwità u l-funzjonament sew tas-servizzi u tal-attivitajiet permezz ta’ sistemi, riżorsi u proċeduri xierqa u proporzjonati.

    Minbarra dan, l-Artikolu 26(6) jikkjarifika li l-kontroparti ċentrali (CCP) jeħtieġ iżżomm “sistemi tat-teknoloġija tal-informatika b’mod adegwat li jittrattaw mal-kumplessità, il-varjetà u t-tip ta’ servizzi u attivitajiet imwettqa sabiex jiġu żgurati standards għolja ta’ sigurtà u l-integrità u ż-żamma tal-kunfidenzjalità tal-informazzjoni”. Barra minn hekk, l-Artikolu 34(1) jimponi l-istabbiliment, l-implimentazzjoni u ż-żamma ta’ politika xierqa dwar il-kontinwità tal-operat u pjan ta’ rkupru minn diżastru li jenħtieġ jiżguraw l-irkupru fil-ħin tal-operazzjonijiet.

    Dawn l-obbligi huma speċifikati aktar fir-Regolament ta’ Delega tal-Kummissjoni (UE) Nru 153/2013 tad-19 ta’ Diċembru 2012 li jissupplimenta r-Regolament (UE) Nru 648/2012 tal-Parlament Ewropew u tal-Kunsill tal-4 ta’ Lulju 2012 fir-rigward ta’ standards tekniċi regolatorji dwar rekwiżiti għall-kontropartijiet ċentrali 42 . B’mod partikolari, l-Artikolu 4 tiegħu jimponi l-obbligu fuq il-kontroparti ċentrali biex tiżviluppa għodod xierqa għall-ġestjoni tar-riskji li tiffaċilita l-ġestjoni u r-rappurtar ta’ kull riskju rilevanti u jiġi speċifikat aktar it-tip ta’ mżiura (eż. it-tħaddim ta’ sistemi sodi tal-informazzjoni u l-kontroll tar-riskju, id-disponibbiltà tar-riżorsi, għarfien espert u aċċess għall-informazzjoni rilevanti kollha għal ġestjoni tar-riskji, id-disponibbiltà ta’ mekkaniżmi adegwati tal-kontroll intern bħalma huma proċeduri amministrattivi u kontabilistiċi sodi biex jassistu lill-bord tal-kontroparti ċentrali ħalli tissorvelja u taċċessa l-adegwatezza u l-effikaċja tal-politiki, tal-proċeduri u tas-sistemi tagħha tal-ġestjoni tar-riskji).

    Barra minn hekk, l-Artikolu 9 jirreferi espliċitament għas-sigurtà tas-sistemi tat-teknoloġija tal-informazzjoni u jimponi miżuri tekniċi u organizzattivi konkreti relatati maż-żamma ta’ qafas sod tas-sigurtà tal-informazzjoni għall-ġestjoni tar-riskji tas-sigurtà tal-IT. Dawn il-miżuri jenħtieġ jinkludu mekkaniżmi u proċeduri li jiżguraw id-disponibbiltà tas-servizzi kif ukoll il-protezzjoni tal-awtentiċità, l-integrità u l-kunfidenzjalità tad-dejta.

    (iii) Id-Direttiva 2014/65/UE tal-Parlament Ewropew u tal-Kunsill tal-15 ta’ Mejju 2014 dwar is-swieq fl-istrumenti finanzjarji u li temenda d-Direttiva 2002/92/KE u d-Direttiva 2011/61/UE 43 .

    Fir-rigward taċ-ċentri tan-negozjar, l-Artikolu 48(1) tad-Direttiva 2014/65/UE jeżiġi li l-operaturi jiżguraw il-kontinwità tas-servizzi tagħhom fil-każ ta’ xi ħsara tas-sistema tan-negozjar tagħhom. Dan l-aħħar, dan l-obbligu ġenerali ġie speċifikat aktar u kkumplimentat bir-Regolament Delegat tal-Kummissjoni (UE) 2017/584 44 tal-14 ta’ Lulju 2016 li jissupplimenta d-Direttiva 2014/65/UE tal-Parlament Ewropew u tal-Kunsill fir-rigward tal-istandards tekniċi regolatorji li jispeċifikaw ir-rekwiżiti organizzazzjonali taċ-ċentri ta’ negozjar 45 . B’mod partikolari, l-Artikolu 23(1) ta’ dan ir-Regolament jistipula li ċ-ċentri tan-negozjar għandu jkollhom fis-seħħ proċeduri u arranġamenti għas-sigurtà fiżika u elettronika mfassla biex jipproteġu s-sistemi tagħhom minn użu ħażin jew minn aċċess mhux awtorizzat u biex jiżguraw l-integrità tad-dejta. Dawn il-miżuri jeħtieġ jippermettu l-prevenzjoni jew il-minimizzazzjoni tar-riskji ta’ attakki kontra s-sistemi tal-informazzjoni.

    L-Artikolu 23(2) jeżiġi wkoll li l-miżuri u l-arranġamenti meħuda mill-operaturi jenħtieġ jippermetti l-identifikazzjoni fil-pront u l-ġestjoni tar-riskju relatat ma’ xi aċċess mhux awtorizzat, ma’ interferenzi fis-sistema li jfixklu serjament jew jinterrompu l-funzjonament tas-sistemi tal-informazzjoni u l-interferenzi tad-dejta li jikkompromettu d-disponibbiltà, l-integrità jew l-awtentiċità tad-dejta. Barra minn hekk, l-Artikolu 15 tar-Regolament jimponi l-obbligu fuq iċ-ċentri tan-negozjar biex ikollhom fis-seħħ arranġamenti effettivi għal kontinwità tal-operat ħalli jiżguraw biżżejjed stabbiltà tas-sistema u jindirizzaw l-inċidenti ta’ tfixkil. B’mod partikolari, dawn il-miżuri jenħtieġ jippermettu lill-operatur biex jissokta bin-negozju fi żmien sagħtejn jew qrib sagħtejn u fl-istess waqt jiżguraw li l-ammont ta’ dejta mitlufa jkun qrib iż-żero.

    L-Artikolu 16 jiddikjara wkoll li l-miżuri identifikati biex jindirizzaw u jġestixxu l-inċidenti ta’ tfixkil jenħtieġ ikunu parti mill-pjan ta’ kontinwità tal-operat taċ-ċentri tan-negozjar, u jipprovdi għal elementi partikolari li jeħtieġ iqis l-operatur meta jkun qed jadotta l-pjan ta’ kontinwità tal-operat (eż. l-istabbiliment ta’ tim speċifiku għall-operazzjonijiet tas-sigurtà, u t-twettiq ta’ valutazzjoni tal-impatt li tidentifika r-riskji u li tiġi riveduta minn żmien għal żmien).

    Fid-dawl tal-kontenut ta’ dawn il-miżuri tas-sigurtà, jidher li dawn inħasbu biex iġestixxu u jindirizzaw ir-riskju relatat mad-disponibbiltà, l-awtentiċità, l-integrità u l-kunfidenzjalità tad-dejta jew tas-servizzi provduti, u għaldaqstant jista’ jiġi konkluż li dawn il-leġiżlazzjonijiet tal-UE speċifiċi għas-setturi msemmija hawn fuq jinkludu obbligi tas-sigurtà li mill-anqas għandhom effett ekwivalenti għall-obbligi korrispondenti tal-Artikolu 14(1) u (2) tad-Direttiva NIS.

    5.2. Id-Direttiva NIS, l-Artikolu 1(3): il-fornituri tat-telekomunikazzjoni u l-fornituri tas-servizzi fiduċjarji

    Skont l-Artikolu 1(3), ir-rekwiżiti tas-sigurtà u tan-notifika previsti f’din id-Direttiva ma japplikawx għall-fornituri soġġetti għar-rekwiżiti tal-Artikolu 13a u 13b tad-Direttiva 2002/21/KE. L-Artikolu 13a u 13b tad-Direttiva 2002/21/KE japplikaw għall-impriżi li jipprovdu netwerks pubbliċi tal-komunikazzjoni jew servizzi tal-komunikazzjoni elettronika disponibbli pubblikament. Għaldaqstant, fejn jidħol il-forniment ta’ netwerks pubbliċi tal-komunikazzjoni jew ta’ servizzi tal-komunikazzjoni elettronika disponibbli pubblikament, il-kumpanija trid tikkonforma mar-rekwiżiti tas-sigurtà u tan-notifika tad-Direttiva 2002/21/KE.

    Madankollu, jekk l-istess kumpanija tkun qed tipprovdi wkoll servizzi oħra bħas-servizzi diġitali (eż. tal-cloud computing jew tas-suq online) elenkati fl-Anness III tad-Direttiva NIS jew servizzi bħal DNS jew IXP skont il-punt 7 tal-Anness II tad-Direttiva NIS, il-kumpanija se tkun soġġetta għar-rekwiżiti tas-sigurtà u tan-notifika tad-Direttiva NIS għall-forniment ta’ dawn is-servizzi partikolari. Jenħtieġ jiġi nnutat li billi l-fornituri tas-servizzi elenkati fil-punt 7 tal-Anness II jagħmlu parti mill-kategorija tal-operaturi tas-servizzi essenzjali, l-Istati Membri jeħtiġilhom iwettqu l-proċess tal-identifikazzjoni skont l-Artikolu 5(2) u jidentifikaw liema fornituri individwali tas-servizzi ta’ DNS, IXP jew TLD jenħtieġ ikunu konformi mar-rekwiżiti tad-Direttiva NIS. Dan ifisser li wara din il-valutazzjoni, il-fornituri ta’ DNS, IXP jew TLD biss li jissodisfaw il-kriterji tal-Artikolu 5(2) tad-Direttiva NIS se jkunu obbligati jikkonformaw mar-rekwiżiti tad-Direttiva NIS.

    L-Artikolu 1(3) jispeċifika wkoll li dawn ir-rekwiżiti tas-sigurtà u tan-notifika tad-Direttiva lanqas ma japplikaw għall-fornituri tas-servizzi fiduċjarji li huma soġġetti għal rekwiżiti simili skont l-Artikolu 19 tar-Regolament (UE) Nru 910/2014.



    6. Dokumenti ppubblikati ta’ Strateġiji Nazzjonali dwar iċ-Ċibersigurtà

    L-Istat Membru

    Isem l-istrateġija u l-links

    1

    L-Awstrija

    Austrian Cybersecurity Strategy (2013)

    https://www.enisa.europa.eu/topics/national-cyber-security-strategies/ncss-map/AT_NCSS.pdf (bl-Ingliż)

    2

    Il-Belġju

    Securing Cyberspace (2012)

    https://www.enisa.europa.eu/topics/national-cyber-security-strategies/ncss-map/ncss-be-fr (bil-Franċiż)

    3

    Il-Bulgarija

    Cyber Resilient Bulgaria 2020 (2016)

    http://www.cyberbg.eu/ (bil-Bulgaru)

    4

    Il-Kroazja

    The national cyber security strategy of the republic of Croatia (2015)

    https://www.enisa.europa.eu/topics/national-cyber-security-strategies/ncss-map/CRNCSSEN.pdf (bl-Ingliż)

    5

    Ir-Repubblika Ċeka

    National cyber security strategy of the Czech Republic for the period from 2015 to 2020 (2015)

    https://www.enisa.europa.eu/topics/national-cyber-security-strategies/ncss-map/CzechRepublic_Cyber_Security_Strategy.pdf (bl-Ingliż)

    6

    Ċipru

    Cybersecurity Strategy of the Republic of Cyprus (2012)

    https://www.enisa.europa.eu/topics/national-cyber-security-strategies/ncss-map/CybersecurityStrategyoftheRepublicofCyprusv10_English.pdf (bl-Ingliż)

    7

    Id-Danimarka

    The Danish Cyber and Information Security Strategy (2015)

    https://www.enisa.europa.eu/topics/national-cyber-security-strategies/ncss-map/DK_NCSS.pdf (bl-Ingliż)

    8

    L-Estonja

    Cyber Security Strategy (2014)

    https://www.enisa.europa.eu/topics/national-cyber-security-strategies/ncss-map/Estonia_Cyber_security_Strategy.pdf (bl-Ingliż)

    9

    Il-Finlandja

    Finland’s Cyber security Strategy (2013)

    https://www.enisa.europa.eu/topics/national-cyber-security-strategies/ncss-map/FinlandsCyberSecurityStrategy.pdf (bl-Ingliż)

     

    10

    Franza

    French national digital security strategy (2015)

    https://www.enisa.europa.eu/topics/national-cyber-security-strategies/ncss-map/France_Cyber_Security_Strategy.pdf (bl-Ingliż)

    11

    L-Irlanda

    National Cyber Security Strategy 2015-2017 (2015)

    https://www.enisa.europa.eu/topics/national-cyber-security-strategies/ncss-map/NCSS_IE.pdf (bl-Ingliż)

    12

    L-Italja

    National Strategic Framework for Cyberspace Security (2013)

    https://www.enisa.europa.eu/topics/national-cyber-security-strategies/ncss-map/IT_NCSS.pdf (bl-Ingliż)

    13

    Il-Ġermanja

    Cyber-security Strategy for Germany (2016)

    http://www.bmi.bund.de/SharedDocs/Downloads/DE/Themen/ModerneVerwaltung-OeffentlicherDienst/Informationsgesellschaft/cybersicherheitsstrategie-2016.pdf?__blob=publicationFile (bil-Ġermaniż)

    14

    L-Ungerija

    National Cyber Security Strategy of Hungary (2013)

    https://www.enisa.europa.eu/topics/national-cyber-security-strategies/ncss-map/HU_NCSS.pdf (bl-Ingliż)

    15

    Il-Latvja

    Cyber Security Strategy of Latvia 2014-2018 (2014)

    https://www.enisa.europa.eu/topics/national-cyber-security-strategies/ncss-map/lv-ncss (bl-Ingliż)

    16

    Il-Litwanja

    The programme for the development of electronic information security (cyber-security) for 2011-2019 (2011)

    https://www.enisa.europa.eu/topics/national-cyber-security-strategies/ncss-map/Lithuania_Cyber_Security_Strategy.pdf (bl-Ingliż)

    17

    Il-Lussemburgu

    National Cybersecurity Strategy II (2015)

    https://www.enisa.europa.eu/topics/national-cyber-security-strategies/ncss-map/Luxembourg_Cyber_Security_strategy.pdf (bl-Ingliż)

    18

    Malta

    National Cyber Security Strategy Green Paper (2015)

    https://www.enisa.europa.eu/topics/national-cyber-security-strategies/ncss-map/NCSSGreenPaper.pdf (bl-Ingliż)

    19

    In-Netherlands

    National Cyber Security Strategy 2 (2013)

    https://www.enisa.europa.eu/topics/national-cyber-security-strategies/ncss-map/NCSS2Engelseversie.pdf (bl-Ingliż)

    20

    Il-Polonja

    Cyberspace Protection Policy of the Republic of Poland (2013)

    https://www.enisa.europa.eu/topics/national-cyber-security-strategies/ncss-map/copy_of_PO_NCSS.pdf (bl-Ingliż)

     

    21

    Ir-Rumanija

    Cybersecurity Strategy of Romania (2011)

    https://www.enisa.europa.eu/topics/national-cyber-security-strategies/ncss-map/StrategiaDeSecuritateCiberneticaARomaniei.pdf  (bir-Rumen)

    22

    Il-Portugall

    National Cyberspace Security Strategy (2015)

    https://www.enisa.europa.eu/topics/national-cyber-security-strategies/ncss-map/portuguese-national-cyber-security-strategy/view (bl-Ingliż)

    23

    Ir-Repubblika Slovakka

    Cyber Security Concept of the Slovak Republic for 2015 – 2020 (2015)

    https://www.enisa.europa.eu/topics/national-cyber-security-strategies/ncss-map/cyber-security-concept-of-the-slovak-republic-1 (bl-Ingliż)

    24

    Is-Slovenja

    Cyber Security Strategy establishing a system to ensure a high level of cyber security (2016)

    http://www.uvtp.gov.si/fileadmin/uvtp.gov.si/pageuploads/Cyber_Security_Strategy_Slovenia.pdf (bl-Ingliż)

    25

    Spanja

    National Cyber Security Strategy (2013)

    https://www.enisa.europa.eu/topics/national-cyber-security-strategies/ncss-map/NCSS_ESen.pdf (bl-Ingliż)

    26

    L-Iżvezja

    The Swedish National Cybersecurity Strategy (2017)

    http://www.government.se/49edf4/contentassets/b5f956be6c50412188fb4e1d72a5e501/fact-sheet-a-national-cyber-security-strategy.pdf (bl-Ingliż)

     

    27

    Ir-Renju Unit

    National Cyber Security Strategy (2016-2021) (2016)

    https://www.enisa.europa.eu/topics/national-cyber-security-strategies/ncss-map/national_cyber_security_strategy_2016.pdf (bl-Ingliż)



    7. Lista ta’ prattiki tajba u rakkomandazzjonijiet mill-ENISA

    Għal rispons għall-inċidenti

    üStrateġiji dwar ir-rispons għall-inċidenti u l-koperazzjoni fi kriżijiet ċibernetiċi 46

    Għal ġestjoni tal-inċidenti

    üProġett ta’ awtomatizzazzjoni għall-ġestjoni tal-inċidenti 47  

    üGwida ta’ Prattika Tajba għall-Ġestjoni tal-Inċidenti 48

    Għal klassifikazzjoni tal-inċidenti u tassonomija

    üĦarsa ġenerali lejn it-tassonomiji eżistenti 49

    üGwida ta’ prattika tajba dwar l-użu tat-tassonomiji għall-prevenzjoni tal-inċidenti u d-detezzjoni 50

    Għall-maturità tas-CSIRTs

    üL-isfidi tas-CSIRTs Nazzjonali fl-Ewropa fl-2016: Studju dwar il-maturità tas-CSIRTs 51  

    üStudju dwar il-maturità tas-CSIRTs – il-proċess tal-evalwazzjoni 52

    üLinji gwida għas-CSIRTs nazzjonali u governattivi dwar kif għandha tiġi vvalutata l-maturità 53

    Għall-bini tal-kapaċitajiet u t-taħriġ tas-CSIRTs

    üGwida ta’ prattika tajba dwar il-metodoloġiji tat-taħriġ 54  

    Għal aktar informazzjoni dwar is-CSIRTs eżistenti fl-Ewropa – Ħarsa ġenerali lejn is-CSIRTs skont il-pajjiż 55 .

    (1)

    Id-Direttiva (UE) 2016/1148 tal-Parlament Ewropew u tal-Kunsill tas-6 ta’ Lulju 2016 dwar miżuri għal livell għoli komuni ta’ sigurtà tan-netwerks u tas-sistemi tal-informazzjoni madwar l-Unjoni. Id-Direttiva daħlet fis-seħħ fit-8 ta’ Awwissu 2016.

    (2)

    ENISA, National Cyber-Security Strategy Good Practice 2016). Dan id-dokument jinsab fuq https://www.enisa.europa.eu/publications/ncss-good-practice-guide

    (3)

    Ara l-Artikolu 1(1).

    (4)

      https://www.enisa.europa.eu/topics/national-cyber-security-strategies/national-cyber-security-strategies-training-tool

    (5)

    Silta mill-Istrateġija Nazzjonali tar-Renju Unit dwar iċ-Ċibersigurtà, 2016-2021, il-paġna 67.

    (6)

    ENISA, National Cyber-Security Strategy Good Practice 2016). Dan id-dokument jinsab fuq https://www.enisa.europa.eu/publications/ncss-good-practice-guide

    (7)

    ITU, National Cybersecurity Strategy Guide (2011). Dan id-dokument jinsab fuq http://www.itu.int/ITU-D/cyb/cybersecurity/docs/ITUNationalCybersecurityStrategyGuide.pdf
    Fl-2017, l-ITU se toħroġ ukoll Għodod għall-Istrateġija Nazzjonali dwar iċ-Ċibersigurtà (ara l-preżentazzjoni fuq
    http://www.itu.int/en/ITU-D/Cybersecurity/Documents/National%20Strategy%20Toolkit%20introduction.pdf )

    (8)

    OECD, Cybersecurity Policy Making at a Turning Point: Analysing a New Generation of National Cybersecurity Strategies (2012). Dan id-dokument jinsab fuq http://www.oecd.org/sti/ieconomy/cybersecurity%20policy%20making.pdf

    (9)

    Iċ-Ċentru Globali tal-Kapaċità fiċ-Ċibersigurtà u l-Università ta’ Oxford, Global Cyber Cybersecurity Capacity Maturity Model for Nations (CMM) − edizzjoni riveduta (2016). Dan id-dokument jinsab fuq https://www.thegfce.com/binaries/gfce/documents/publications/2017/02/13/cybersecurity-cmm-for-nations/CMM+revised+edition.pdf

    (10)

    Minbarra l-Greċja li ilha mill-2014 tħejji strateġija nazzjonali dwar iċ-ċibersigurtà (ara https://www.enisa.europa.eu/topics/national-cyber-security-strategies/ncss-map/strategies/national-cyber-security-strategy-greece/view )

    (11)

    Din l-informazzjoni hi bbażata fuq il-ħarsa ġenerali lejn l-NCSS li provdiet l-ENISA fuq https://www.enisa.europa.eu/topics/national-cyber-security-strategies/ncss-map

    (12)

    ENISA, Stocktaking, Analysis and Recommendations on the protection of CIIs (2016). Dan id-dokument jinsab fuq https://www.enisa.europa.eu/publications/stocktaking-analysis-and-recommendations-on-the-protection-of-ciis  

    (13)

     La loi de programmation militaire

    (14)

    Ara l-aħħar sentenza tal-Artikolu 9(1).

    (15)

    Dan id-dokument jinsab fuq https://ec.europa.eu/inea/en/connecting-europe-facility

    (16)

    Ara tal-Artikolu 9(5) tad-Direttiva NIS.

    (17)

    Il-Forum tal-Iskwadri tar-Rispons għal Inċidenti u s-Sigurtà ( https://www.first.org/ )

    (18)

      https://www.trusted-introducer.org/  

    (19)

    Netwerk ta’ CSIRTs nazzjonali għal koperazzjoni operazzjonali bejn l-Istati Membri skont l-Artikolu 12.

    (20)

    Ara l-Artikolu 10(3)

    (21)

    Ara l-Artikolu 10(1).

    (22)

    Idem

    (23)

    Ara l-Artikolu 14(5).

    (24)

    Ara l-premessa 2.

    (25)

    Aktar informazzjoni dwar il-proċess tal-identifikazzjoni tinsab fit-Taqsima 4.1.6. hawn taħt.

    (26)

    Ara t-Taqsima 5.2. għal aktar dettalji dwar ir-relazzjoni bejn id-Direttiva NIS u d-Direttiva 2002/21/KE.

    (27)

    Din l-informazzjoni tinsab fuq https://www.icann.org/resources/pages/delegation-2012-02-25-en  

    (28)

    Dawn l-entitajiet huma spjegati aktar fit-Taqsima 4.1.1.

    (29)

    Aktar dettalji dwar l-applikabbiltà ta’ lex specialis jinsabu fit-Taqsima 5.1.

    (30)

    Ara l-Artikolu 5(7)(b).

    (31)

    Għal aktar dettalji dwar il-proċess ta’ konsultazzjoni, ara t-Taqsima 4.1.7.

    (32)

    Għall-fini ta’ din il-ħidma, iddawru listi ta’ standards internazzjonali, prattiki tajba u metodoloġiji tal-valutazzjoni/ġestjoni tar-riskju fost is-setturi kollha li tkopri d-Direttiva NIS u ntużaw bħala kontribut għall-oqsma u l-miżuri tas-sigurtà proposti.

    (33)

    Dan japplika wkoll għall-fornituri tas-servizzi diġitali.

    (34)

    Dan id-dokument jinsab fuq http://eur-lex.europa.eu/homepage.html?locale=mt  

    (35)

     Nikolas Roman Herbst, Samuel Kounev, Ralf Reussner, mill-Istitut tat-Teknoloġija ta’ Karlsruhe, “Elasticity in Cloud Computing: What It Is, and What It Is Not”, li jinsab fuq https://sdqweb.ipd.kit.edu/publications/pdfs/HeKoRe2013-ICAC-Elasticity.pdf . Ara wkoll il-paġni 2-5 tal-COM(2012) 529.

    (36)

    Dan id-dokument jinsab fuq https://www.enisa.europa.eu/topics/cloud-and-big-data/cloud-security

    (37)

    ENISA, Cloud Security Guide for SMEs (2015). Dan id-dokument jinsab fuq https://www.enisa.europa.eu/publications/cloud-security-guide-for-smes  

    (38)

    Ara b’mod partikolari l-Artikolu 18 tad-Direttiva.

    (39)

    ĠU L 24, 20.5.2003, p. 36.

    (40)

    Dan hu mingħajr preġudizzju għall-ksur tan-notifika tad-dejta personali lill-awtorità tas-superviżjoni li jkopri l-Artikolu 33 tar-Regolament Ġenerali dwar il-Protezzjoni tad-Dejta.

    (41)

    Id-Direttiva (UE) 2015/2366, ĠU L 337, 23.12.2015, p. 35.

    (42)

    ĠU L 52, 23.2.2013, p. 41.

    (43)

    ĠU L 173, 12.6.2014, p. 349.

    (44)

    ĠU L 87, 31.3.2017, p. 350.

    (45)

      http://ec.europa.eu/finance/securities/docs/isd/mifid/rts/160714-rts-7_en.pdf

    (46)

    ENISA, Strategies for incident response and cyber crisis cooperation (2016). Dan id-dokument jinsab fuq https://www.enisa.europa.eu/publications/strategies-for-incident-response-and-cyber-crisis-cooperation

    (47)

    Aktar informazzjoni tinsab fuq https://www.enisa.europa.eu/topics/csirt-cert-services/community-projects/incident-handling-automation

    (48)

    ENISA, Good Practice Guide for Incident Management (2010). Dan id-dokument jinsab fuq https://www.enisa.europa.eu/publications/good-practice-guide-for-incident-management

    (49)

    Aktar informazzjoni tinsab fuq https://www.enisa.europa.eu/topics/csirt-cert-services/community-projects/existing-taxonomies

    (50)

    ENISA, A good practice guide of using taxonomies in incident prevention and detection (2017). Dan id-dokument jinsab fuq https://www.enisa.europa.eu/publications/using-taxonomies-in-incident-prevention-detection

    (51)

    ENISA, Challenges for National CSIRTs in Europe in 2016: Study on CSIRT Maturity (2017). Dan id-dokument jinsab fuq https://www.enisa.europa.eu/publications/study-on-csirt-maturity

    (52)

    ENISA, Study on CSIRT MaturityEvaluation Process (2017). Dan id-dokument jinsab fuq https://www.enisa.europa.eu/publications/study-on-csirt-maturity-evaluation-process

    (53)

    ENISA, il-Kapaċitajiet tas-CSIRTs. How to assess maturity? Guidelines for national and governmental CSIRTs (2016). Dan id-dokument jinsab fuq https://www.enisa.europa.eu/publications/csirt-capabilities

    (54)

    ENISA, Good Practice Guide on Training Methodologies (2014). Dan id-dokument jinsab fuq https://www.enisa.europa.eu/publications/good-practice-guide-on-training-methodologies  

    (55)

    Aktar informazzjoni tinsab fuq https://www.enisa.europa.eu/topics/csirts-in-europe/csirt-inventory/certs-by-country-interactive-map

    Top