L-Att tal-UE dwar iċ-Ċibersigurtà
SOMMARJU TA’:
Ir-Regolament (UE) 2019/881 dwar l-Aġenzija tal-Unjoni Ewropea għaċ-Ċibersigurtà u dwar iċ-ċertifikazzjoni taċ-ċibersigurtà tat-teknoloġija tal-informazzjoni u tal-komunikazzjoni (l-Att dwar iċ-Ċibersigurtà)
X’INHU L-GĦAN TAR-REGOLAMENT?
L-għan tiegħu huwa li jikseb livell għoli ta’ ċibersigurtà, ta’ reżiljenza ċibernetika u ta’ fiduċja fl-Unjoni Ewropea (UE) billi jistabbilixxi:
- l-objettivi, il-kompiti u l-kwistjonijiet organizzattivi għal Aġenzija tal-Unjoni Ewropea għaċ-Ċibersigurtà (ENISA) li ġiet imsaħħa u mogħtija isem ġdid, b’mandat permanenti ġdid;
- qafas għal skemi volontarji Ewropej ta’ ċertifikazzjoni taċ-ċibersigurtà għal prodotti, servizzi u proċessi tat-teknoloġija tal-Informazzjoni u l-komunikazzjoni (ICT).
PUNTI EWLENIN
Il-mandat tal-ENISA huwa li:
- jinkiseb livell komuni għoli ta’ ċibersigurtà madwar l-UE;
- jiġu appoġġati l-awtoritajiet nazzjonali u l-istituzzjonijiet tal-UE, il-korpi, l-uffiċċji u l-aġenziji tal-UE fit-titjib taċ-ċibersigurtà;
- isservi bħala punt ta’ referenza għal pariri u għarfien espert xjentifiċi u tekniċi dwar iċ-ċibersigurtà għall-istituzzjonijiet, il-korpi, l-uffiċċji u l-aġenziji tal-UE kif ukoll għal partijiet ikkonċernati rilevanti oħra;
- tagħti kontribut għat-tnaqqis tal-frammentazzjoni fis-suq intern;
- taġixxi b’mod indipendenti, tevita d-duplikazzjoni ta’ attivitajiet nazzjonali u tqis l-għarfien espert nazzjonali;
- tiżviluppa r-riżorsi tekniċi, umani u kompetenti tagħha stess.
Il-kompiti tal-ENISA huma li:
- tgħin fl-iżvilupp u l-implimentazzjoni tal-politika u d-dritt tal-Unjoni;
- tippromwovi l-bini tal-kapaċitajiet, pereżempju, permezz ta’ prevenzjoni, kxif u analiżi mtejba ta’ theddid ċibernetiku* u billi tassisti fl-iżvilupp ta’ skwadri ta’ rispons għal inċidenti relatati mas-sigurtà tal-kompjuters (CSIRTs) nazzjonali, jew permezz tal-organizzazzjoni ta’ eżerċizzji taċ-ċibersigurtà fil-livell tal-UE;
- tappoġġa l-kooperazzjoni operazzjonali tal-UE fost l-atturi kollha involuti, inkluż is-Servizz taċ-Ċibersigurtà għall-istituzzjonijiet tal-Unjoni, il-Korpi, l-Uffiċċji u Aġenziji(CERT-UE), permezz ta’, b’mod partikolari, l-iskambju tal-għarfien espert u l-aħjar prattiki, il-provvista ta’ linji gwida rilevanti u s-servizzjar tan-network tal-UE u nazzjonali tas-CSIRTs;
- tappoġġa u tippromwovi l-iżvilupp u l-implimentazzjoni taċ-ċertifikazzjoni taċ-ċibersigurtà tal-UE ta’ prodotti, servizzi u proċessi tal-ICT, bħala parti mir-rwol tagħha li tħejji skemi skont il-qafas il-ġdid taċ-ċertifikazzjoni Ewropea taċ-ċibersigurtà;
- tiġbor u tanalizza l-għarfien u l-informazzjoni dwar iċ-ċibersigurtà, b’mod partikolari dwar teknoloġiji emerġenti, theddid ċibernetiku u inċidenti, biex tipprovdi informazzjoni u pariri lill-awtoritajiet nazzjonali, lill-partijiet ikkonċernati rilevanti u, permezz ta’ portal dedikat, lill-pubbliku (ċittadini, organizzazzjonijiet u negozji);
- tqajjem is-sensibilizzazzjoni tal-pubbliku dwar ir-riskji taċ-ċibersigurtà u tipprovdi gwida dwar prattiki tajba lill-utenti individwali u tippromwovi s-sensibilizzazzjoni u l-edukazzjoni dwar iċ-ċibersigurtà b’mod ġenerali;
- tagħti pariri dwar il-ħtiġijiet u l-prijoritajiet tar-riċerka u tikkontribwixxi għall-aġenda strateġika tal-UE dwar ir-riċerka u l-innovazzjoni taċ-ċibersigurtà;
- tikkontribwixxi għall-isforzi tal-UE biex tikkoopera dwar iċ-ċibersigurtà mas-sħab u l-organizzazzjonijiet internazzjonali tagħha.
L-ENISA għandha l-istruttura amministrattiva u maniġerjali li ġejja:
- Bord tat-Tmexxija b’rappreżentant wieħed minn kull Stat Membru tal-UE u żewġ membri maħtura mill-Kummissjoni Ewropea jistabbilixxi d-direzzjoni ġenerali tal-attivitajiet tal-aġenzija u jiżgura li l-Aġenzija twettaq il-kompiti tagħha taħt kundizzjonijiet li jippermettulha li sservi skont ir-regolament ta’ twaqqif;
- Bord Eżekuttiv ta’ ħames membri, li jħejji d-deċiżjonijiet li għandhom jiġu adottati mill-Bord ta’ Tmexxija;
- direttur eżekuttiv indipendenti, responsabbli quddiem il-Bord ta’ Tmexxija u li jirrapporta lill-Parlament Ewropew u lill-Kunsill tal-Unjoni Ewropea meta jintalab jagħmel dan, huwa responsabbli għall-ġestjoni tal-aġenzija;
- Grupp Konsultattiv tal-ENISA ta’ esperti rikonoxxuti minn partijiet ikkonċernati rilevanti bħall-industrija tal-ICT, il-fornituri tan-networks jew tas-servizzi tal-komunikazzjoni elettronika, l-impriżi żgħar u medji, il-konsumaturi, l-akkademiċi, l-operaturi ta’ servizzi essenzjali, kif ukoll rappreżentanti ta’ awtoritajiet kompetenti nnotifikati skont il-Kodiċi Ewropew għall-Komunikazzjonijiet Elettroniċi, l-organizzazzjonijiet tal-istandardizzazzjoni, l-awtoritajiet superviżorji responsabbli għall-infurzar tal-liġi u għall-protezzjoni tad-data, jiffoka fuq kwistjonijiet rilevanti għall-partijiet ikkonċernati u jippreżentahom għall-attenzjoni tal-ENISA;
- Network ta’ Uffiċjali ta’ Kollegament Nazzjonali magħmul minn rappreżentanti tal-Istati Membri kollha tal-UE jiffaċilita l-iskambju ta’ informazzjoni bejn l-ENISA u l-Istati Membri tal-UE u jappoġġa lill-ENISA billi jagħmel l-attivitajiet, is-sejbiet u r-rakkomandazzjonijiet tagħha aktar magħrufa.
Ir-regolament joħloq dan li ġej:
- Grupp ta’ Ċertifikazzjoni taċ-Ċibersigurtà tal-Partijiet Ikkonċernati magħmul minn esperti rikonoxxuti biex, pereżempju, jagħti pariri lill-Kummissjoni dwar kwistjonijiet strateġiċi relatati mal-qafas tal-UE dwar iċ-ċertifikazzjoni taċ-ċibersigurtà u, fuq talba, lill-ENISA dwar kwistjonijiet ġenerali u strateġiċi rigward il-kompiti rilevanti tal-Aġenzija;
- Grupp Ewropew taċ-Ċertifikazzjoni taċ-Ċibersigurtà (ECCG) magħmul minn rappreżentanti nazzjonali biex jagħti pariri u jassisti lill-Kummissjoni fil-ħidma tagħha biex tiġi żgurata l-implimentazzjoni u l-applikazzjoni konsistenti tal-att, u lill-ENISA fir-rigward tat-tħejjija ta’ skemi kandidati ta’ ċertifikazzjoni taċ-ċibersigurtà.
L-ENISA:
- hi mwaqqfa għal perjodu indefinit mis-27 ta’ Ġunju 2019.
- topera skont dokument uniku ta’ programmazzjoni li fih il-programmazzjoni annwali u pluriennali tagħha;
- issegwi r-regoli ta’ sigurtà tal-Kummissjoni għall-protezzjoni ta’ informazzjoni sensittiva mhux klassifikata u ta’ informazzjoni klassifikata tal-UE;
- ma tiżvelax lil partijiet terzi informazzjoni kunfidenzjali li din tipproċessa jew tirċievi;
- tipparteċipa bis-sħiħ fil-miżuri tal-UE għall-ġlieda kontra l-frodi, il-korruzzjoni u attivitajiet illegali oħra;
- tipproċessa data personali skont ir-regoli rispettivi tal-UE.
Ir-regolament jistabbilixxi qafas ta’ ċertifikazzjoni Ewropea għaċ-ċibersigurtà biex:
- ittejjeb il-funzjonament tas-suq intern billi żżid il-livell ta’ ċibersigurtà fl-UE u billi tippermetti approċċ armonizzat fil-livell tal-UE għal skemi ta’ ċertifikazzjoni taċ-ċibersigurtà Ewropea bil-għan li toħloq suq uniku diġitali għal prodotti, servizzi u proċessi tal-ICT;
- tistabbilixxi mekkaniżmu biex jiġu stabbiliti skemi ta’ ċertifikazzjoni li jikkonfermaw li l-prodotti, is-servizzi u l-proċessi tal-ICT li ġew evalwati skont skemi bħal dawn jikkonformaw ma’ rekwiżiti speċifikati ta’ sigurtà għall-protezzjoni tad-disponibbiltà, l-awtentiċità, l-integrità jew il-kunfidenzjalità tad-data maħżuna, trażmessa jew ipproċessata jew funzjonijiet jew servizzi offruti minn, jew aċċessibbli permezz ta’, dawk il-prodotti, servizzi u proċessi matul iċ-ċiklu tal-ħajja tagħhom.
Skont il-qafas:
- il-Kummissjoni:
- tippubblika programm ta’ azzjoni uffiċjali għal ċertifikazzjoni taċ-ċibersigurtà Ewropea li jidentifika prijoritajiet strateġiċi u prodotti, servizzi u proċessi tal-ICT jew kategoriji li jistgħu jibbenefikaw minn skema;
- tista’ titlob li ENISA tipprepara skema ta’ ċertifikazzjoni kandidat jew tirrevedi waħda eżistenti;
- L-ENISA:
- tipprepara abbozzi ta’ skemi xierqa, wara talba mill-Kummissjoni jew mill-Grupp Ewropew ta’ Ċertifikazzjoni taċ-Ċibersigurtà;
- tevalwa kull skema ta’ ċertifikazzjoni adottata kull 5 snin, u tqis il-feedback li tkun irċeviet;
- iżżomm website dedikata li tipprovdi informazzjoni dwar l-iskemi, ċertifikazzjoni u dikjarazzjonijiet ta’ konformità.
L-iskemi volontarji Ewropej ta’ ċertifikazzjoni taċ-ċibersigurtà:
- għandhom l-għan li jiksbu diversi objettivi ta’ sigurtà, bħall-protezzjoni tad-data maħżuna, trażmessa u pproċessata;
- jimmarkaw il-livell ta’ sigurtà ta’ prodotti, servizzi u proċessi tal-ICT bħala bażiċi, sostanzjali jew għoli;
- jippermettu fabbrikanti u fornituri ta’ riskju baxx (jiġifieri bażiku) ta’ prodotti, servizzi u proċessi tal-ICT biex jaċċessjaw dawn huma stess (awtovalutazzjoni ta’ konformità);
- iridu jinkludu ċerti karatteristiċi, bħal deskrizzjonijiet ċari tal-iskop, suġġett u skop tal-materja, u l-kriterja ta’ evalwazzjoni u metodi użati;
- jissostitwixxu dawk nazzjonali simili, għalkemm dawk iċ-ċertifikati jibqgħu validi sad-data ta’ skadenza tagħhom.
Il-manifatturi u l-fornituri ta’ prodotti, servizzi jew proċessi ċċertifikati tal-ICT għandhom jagħmlu disponibbli għall-pubbliku:
- gwida u rakkomandazzjonijiet biex jgħinu lill-utenti finali fl-installazzjoni, l-applikazzjoni u l-manutenzjoni tal-prodotti jew is-servizzi tagħhom;
- informazzjoni dwar id-durata li għalihom huma joffru appoġġ;
- id-dettalji ta’ kuntatt tagħhom;
- referenzi għal repożitorji onlajn b’informazzjoni dwar kwistjonijiet magħrufa taċ-ċibersigurtà li jaffettwaw il-prodotti jew is-servizzi tagħhom.
L-Istati Membri jaħtru awtorità nazzjonali taċ-ċertifikazzjoni taċ-ċibersigurtà waħda jew aktar b’riżorsi u setgħat suffiċjenti biex timmonitorja, tissorvelja u tinforza r-regoli tal-iskemi ta’ ċertifikazzjoni Ewropea taċ-ċibersigurtà.
Il-Kummissjoni:
- tivvaluta regolarment l-effiċjenza u l-użu tal-iskemi adottati ta’ ċertifikazzjoni u tqis jekk kwalunkwe skema għandhiex issir obbligatorja;
- kellha tspiċċa l-ewwel valutazzjoni dettaljata sal-31 ta’ Diċembru 2023, b’oħrajn kull sentejn minn dak iż-żmien;
- kellha tevalwa l-impatt, l-effettività u effiċjenza ta’ ENISA sat-28 ta’ Ġunju 2024, u kull 5 snin minn dak iż-żmien.
L-individwi u l-entitajiet legali għandhom id-dritt li jressqu lment quddiem l-emittent ta’ ċertifikat Ewropew taċ-ċibersigurtà u li jfittxu rimedju ġudizzjarju effettiv.
Att ta’ implimentazzjoni
F’Jannar 2024, il-Kummissjoni adottat ir-Regolament ta’ Implimentazzjoni (UE) 2024/482 (ara s-sommarju). Dan l-att jissettja regoli għall-applikazzjoni ta’ Regolament (UE) 2019/881 fir-rigward tal-adozzjoni tal-iskema ta’ ċertifikazzjoni Ewropea taċ-ċibersigurtà abbażi ta’ kriterja komuni (EUCC) volontarja. Din hi l-ewwel skema fil-livell tal-UE u tirrigward ċertifikati fil-livelli ta’ assikurazzjoni “sostanzjali” jew “għolja” għal prodotti tal-ICT bħal hardware u software inklużi komponenti bħal ċipep jew kards intelliġenti. Ir-regolament jinkludi regoli dettaljati fuq aspetti li jinkludu:
- standards u rekwiżiti għall-evalwazzjoni u l-ħruġ, tiġdid u tneħħija ta’ ċertifikati ta’ EUCC għal prodotti u profili ta’ protezzjoni;
- korpi ta’ valutazzjoni ta’ konformità akkreditati biex joħorġu ċertifikati jew jagħmlu attivitajiet ta’ valutazzjoni;
- monitoraġġ ta’ konformità, nuqqas ta’ konformità u nonkonformiżmu;
- maniġment ta’ vulnerabbiltà u proċeduri ta’ kxif;
- żamma ta’ rekords, divulgazzjoni u protezzjoniżmu ta’ informazzjoni;
- ftehimiet ta’ rikonoxximent reċiproku ma’ pajjiżi mhux tal-UE;
- valutazzjoni tal-pari ta’ korpi taċ-ċertifikazzjoni;
- żamma tal-iskema; u
- skemi nazzjonali ta’ ċertifikazzjoni taċ-ċibersigurtà koperti mill-EUCC.
Ir-Regolament ta’ Implimentazzjoni tal-EUCC ser japplika mis-27 ta’ Frar 2025
Regolament (UE) 2019/881 u r-regolament ta’ implimentazzjoni relatat ma jaffettwax ir-responsabbiltajiet tal-Istati Membri għal sigurtà pubblika, difiża, sigurtà nazzjonali u liġi kriminali
Ir-regolament iħassar ir-Regolament (UE) Nru. 526/2013 mis-27 ta’ Ġunju 2019.
MINN META BEDA JAPPLIKA R-REGOLAMENT?
Ir-Regolament ilu japplika mis-27 ta’ Ġunju 2019.
Artikoli fuq id-deżinjazzjoni ta’ awtoritajiet nazzjonali taċ-ċibersigurtà u notifikazzjoni ta’ korpi ta’ valutazzjoni ta’ konformità, dwar id-dritt li jressqu ilmenti lil emittenti ta’ ċertifikati Ewropej taċ-ċibersigurtà, dwar id-dritt għal rimedju ġudizzjarju u dwar pieni japplikaw mit-28 ta’ Ġunju 2021
SFOND
L-ENISA, ibbażata f’Ateni b’fergħa f’Heraklion, ilha tikkontribwixxi għas-sigurtà tan-netwerk u l-informazzjoni tal-UE mill-2004. Għal aktar informazzjoni, ara:
TERMINI EWLENIN
Theddid ċibernetiku. Ċirkostanza, avveniment jew azzjoni potenzjali li tista’ tkun ta’ ħsara għal, tfixkel jew ikollha impatt negattiv fuq is-sistemi tan-network u tal-informazzjoni, l-utenti tagħhom u persuni oħra.
DOKUMENT PRINĊIPALI
Ir-Regolament (UE) 2019/881 tal-Parlament Ewropew u tal-Kunsill tas-17 ta’ April 2019 dwar l-ENISA (l-Aġenzija tal-Unjoni Ewropea għaċ-Ċibersigurtà) u dwar iċ-ċertifikazzjoni taċ-ċibersigurtà tat-teknoloġija tal-informazzjoni u tal-komunikazzjoni u li jħassar ir-Regolament (UE) Nru 526/2013 (l-Att dwar iċ-Ċibersigurtà) (ĠU L 151, 7.6.2019, pp. 15-69).
DOKUMENTI RELATATI
Ir-Regolament ta’ Implimentazzjoni tal-Kummissjoni (UE) 2024/482 tal-31 ta’ Jannar 2024 li jistabbilixxi r-regoli għall-applikazzjoni tar-Regolament (UE) 2019/881 tal-Parlament Ewropew u tal-Kunsill fir-rigward tal-adozzjoni tal-iskema Ewropea taċ-ċertifikazzjoni taċ-ċibersigurtà bbażata fuq il-Kriterji Komuni (EUCC) (ĠU L., 2024/482, 7.2.2024).
Ir-Regolament (UE) 2018/1725 tal-Parlament Ewropew u tal-Kunsill tat-23 ta’ Ottubru 2018 dwar il-protezzjoni ta’ persuni fiżiċi fir-rigward tal-ipproċessar ta’ data personali mill-istituzzjonijiet, korpi, uffiċċji u aġenziji tal-Unjoni u dwar il-moviment liberu ta’ tali data, u li jħassar ir-Regolament (KE) Nru 45/2001 u d-Deċiżjoni Nru 1247/2002/KE (ĠU L 295, 21.11.2018, pp. 39–98).
Id-Direttiva (UE) 2016/1148 tal-Parlament Ewropew u tal-Kunsill tas-6 ta’ Lulju 2016 dwar miżuri għal livell għoli komuni ta’ sigurtà tan-networks u tas-sistemi tal-informazzjoni madwar l-Unjoni (ĠU L 194, 19.7.2016, pp. 1-30).
Ir-Regolament (UE) 2016/679 tal-Parlament Ewropew u tal-Kunsill tas-27 ta’ April 2016 dwar il-protezzjoni tal-persuni fiżiċi fir-rigward tal-ipproċessar ta’ data personali u dwar il-moviment liberu ta’ tali data, u li jħassar id-Direttiva 95/46/KE (Regolament Ġenerali dwar il-Protezzjoni tad-Data) (ĠU L 119, 4.5.2016, pp. 1–88).
Korrezzjonijiet suċċessivi għal Regolament (UE) 2016/679 ġew inkorporati fit-test oriġinali. Din il-verżjoni konsolidata għandha valur dokumentarju biss.
l-aħħar aġġornament 18.06.2024