Ċibersigurtà tan-netwerks u tas-sistemi tal-informazzjoni

PUNTI EWLENIN

Iċ-ċibersigurtà tirreferi għall-attivitajiet meħtieġa biex jiġu protetti s-sistemi tan-network u tal-informazzjoni, l-utenti ta’ tali sistemi u persuni oħra affettwati minn theddid ċibernetiku.

Setturi kritiċi

Id-direttiva tapplika prinċipalment għal entitajiet ta’ daqs medju u kbir li joperaw fis-setturi ta’ kritikalità għolja li ġejjin, kif definit fl-Anness I tiegħu.

• l-enerġija:
  • l-elettriku, inklużi s-sistemi ta’ produzzjoni, distribuzzjoni u trażmissjoni u stazzjonijiet ta’ ċċarġjar;
  • it-tisħin u t-tkessiħ distrettwali;
  • iż-żejt, inklużi l-produzzjoni, il-ħażna u l-pipelines tat-trażmissjoni;
  • il-gass, inklużi s-sistemi ta’ provvista, distribuzzjoni u trażmissjoni u l-ħżin; u
  • l-idroġenu;
• It-trasport bl-ajru, bil-ferrovija, bl-ilma u bit-triq;
• l-infrastrutturi bankarji u finanzjarji tas-suq, bħal istituzzjonijiet ta’ kreditu, operaturi ta’ ċentri tan-negozjar u kontropartijiet ċentrali;
• is-saħħa, inklużi l-fornituri tal-kura tas-saħħa, il-manifatturi ta’ prodotti farmaċewtiċi bażiċi u apparati mediċi kritiċi, u l-laboratorji ta’ referenza tal-UE;
• ilma tajjeb għax-xorb;
• l-ilma morm;
• l-infrastruttura diġitali, inklużi l-fornituri tas-servizzi taċ-ċentri tad-data, is-servizzi tal-cloud computing, in-netwerks pubbliċi tal-komunikazzjoni elettronika u s-servizzi tal-komunikazzjoni elettronika disponibbli pubblikament;
• servizzi ġestiti fl-ICT (negozji ma’ negozji);
• l-spazju;
• l-amministrazzjoni pubblika fil-livelli ċentrali u reġjunali, barra mill-ġudikatura, il-parlamenti u l-banek ċentrali, id-direttiva ma tapplikax għal entitajiet ta’ amministrazzjoni pubblika li jwettqu attivitajiet fl-oqsma tas-sigurtà nazzjonali, is-sigurtà pubblika, id-difiża jew l-infurzar tal-liġi.

Dan japplika wkoll għal setturi kritiċi oħra, kif definiti fl-Anness II:

• is-servizzi tal-posta u tal-kurrier;
• il-ġestjoni tal-iskart;
• il-manifattura, il-produzzjoni u d-distribuzzjoni kimika;
• il-produzzjoni, l-ipproċessar u d-distribuzzjoni tal-ikel;
• il-manifattura, speċifikament apparat mediku, kompjuters, prodotti elettroniċi u ottiċi, ċerti tipi ta’ tagħmir u makkinarju elettriku, vetturi bil-mutur u tagħmir ieħor tat-trasport;
• il-fornituri diġitali tas-swieq online, tal-magni tat-tiftix u tan-netwerks soċjali; u
• l-organizzazzjonijiet ta’ riċerka.

Strateġija nazzjonali għaċ-ċibersigurtà

Kull Stat Membru għandu jadotta strateġija nazzjonali biex jikseb u jżomm livell għoli ta’ ċibersigurtà fis-setturi kritiċi, inklużi:

• qafas ta’ governanza li jiċċara r-rwoli u r-responsabbiltajiet għall-partijiet interessati rilevanti fil-livell nazzjonali;
• politiki li jindirizzaw is-sigurtà tal-ktajjen tal-provvista;
• politiki dwar il-ġestjoni tal-vulnerabbiltajiet;
• politiki dwar il-promozzjoni u l-iżvilupp ta’ edukazzjoni u taħriġ dwar iċ-ċibersigurtà; u
• miżuri biex itejbu s-sensibilizzazzjoni taċ-ċibersigurtà fost iċ-ċittadini.

L-Istati Membri jridu jwaqqfu lista ta’ entitajiet essenzjali u importanti, flimkien ma’ entitajiet li jipprovdu servizzi tar-reġistrazzjoni tal-isem tad-dominju, sas-17 ta’ April 2025. Jridu jirrevedu u, fejn ikun xieraq, jaġġornaw dik il-lista regolarment, u tal-inqas kull sentejn wara. Il-Kummissjoni Ewropea adottat linjigwida li jirrigwardjaw l-informazzjoni li trid tinġabar meta jagħmlu dawn il-listi, flimkien ma’ mudell biex dawn isiru.

Il-Kummissjoni ħarġet ukoll linji gwida li jiċċaraw ir-regoli dwar ir-relazzjoni bejn id-Direttiva (UE) 2022/2555 u l-atti legali tal-UE speċifiċi għas-settur attwali u futur li jindirizzaw il-miżuri ta’ ġestjoni tar-riskju taċ-ċibersigurtà jew ir-rekwiżiti ta’ rapportar ta’ inċidenti. L-appendiċi għall-linji gwida tipprovdi lista mhux eżawrjenti tal-atti legali speċifiċi għas-settur li l-Kummissjoni tqis li jaqgħu fil-kamp ta’ applikazzjoni tal-Artikolu 4 tad-Direttiva (UE) 2022/2555.

Timijiet ta’ rispons għal inċidenti relatati mas-sigurtà tal-kompjuter

Timijiet ta’ rispons għal inċidenti relatati mas-sigurtà tal-kompjuters (CSIRTs) jipprovdu assistenza teknika lill-entitajiet, inkluż billi:

• jimmonitorjaw u janalizzaw it-theddid ċibernetiku, il-vulnerabbiltajiet, u l-inċidenti fil-livell nazzjonali;
• jipprovdu twissijiet bikrija, avviżi u informazzjoni lill-entitajiet ikkonċernati u lil partijiet ikkonċernati oħra dwar theddid ċibernetiku, vulnerabbiltajiet u inċidenti, jekk possibbli fi żmien kważi reali;
• iwieġbu għal inċidenti u jipprovdu assistenza fejn applikabbli;
• jiġbru u janalizzaw data forensika u jagħtu analiżi tar-riskju u tal-inċidenti u għarfien tas-sitwazzjoni dwar iċ-ċibersigurtà; u
• jipprovdu, fuq talba, skennjar ta’ networks u ta’ sistemi ta’ informazzjoni proattiv biex jikxfu l-vulnerabbiltajiet b’impatt potenzjali sinifikanti.

Network ta’ CSIRTs

Id-direttiva tistabbilixxi netwerk ta’ CSIRTs nazzjonali biex tippromwovi kooperazzjoni operattiva effikaċi.

Żvelar ikkoordinat tal-vulnerabilità

L-Istati Membri jeħtieġ li:

• jaħtru wieħed mis-CSIRTs tagħhom biex jikkoordinaw l-iżvelar tal-vulnerabbiltajiet skoperti fi prodotti jew servizzi tal-ICT; u
• jiżguraw li l-persuni fl-Istati Membri jkunu jistgħu jirrapportaw vulnerabbiltajiet, anonimiment jekk jintalbu.

L-Aġenzija tal-Unjoni Ewropea għaċ-Ċibersigurtà (ENISA) għandha tiżviluppa u żżomm bażi tad-data tal-vulnerabilità.

Grupp ta’ kooperazzjoni

Id-direttiva tistabbilixxi grupp ta’ kooperazzjoni biex jappoġġa u jiffaċilita l-kooperazzjoni strateġika u l-iskambju ta’ informazzjoni. Huwa magħmul minn rappreżentanti tal-Istati Membri, il-Kummissjoni Ewropea u l-ENISA. Fejn xieraq, il-grupp ta’ kooperazzjoni jista’ jistieden lill-Parlament Ewropew u lir-rappreżentanti ta’ partijiet interessati rilevanti jipparteċipaw fix-xogħol tiegħu.

Netwerk Ewropew tal-Organizzazzjoni ta’ Kollegament għall-Kriżi Ċibernetika

In-Netwerk Ewropew tal-Organizzazzjoni ta’ Kollegament għall-Kriżi Ċibernetika (EU-CyCLONe) huwa network li jinkludi rappreżentanti tal-awtoritajiet tal-immaniġġjar ta’ kriżijiet ċibernetiċi fl-Istati Membri, flimkien mal-Kummissjoni, f’każijiet fejn għandu inċident potenzjali jew li jkun għaddej fuq skala kbira jew fejn aktarx ikollu impatt sinifikanti fuq is-setturi koperti mid-direttiva. F’każijiet oħrajn, il-Kummissjoni għandha tipparteċipa fl-attivitajiet tan-netwerk bħala osservatur.

In-network jappoġġa l-ġestjoni kkoordinata ta’ inċidenti u kriżijiet taċ-ċibersigurtà fuq skala kbira fil-livell operazzjonali u jiżgura l-iskambju regolari ta’ informazzjoni fost l-Istati Membri u l-istituzzjonijiet, il-korpi u l-aġenziji tal-UE.

In-network huwa inkarigat, fost l-oħrajn, bi:

• il-koordinazzjoni tal-ġestjoni ta’ inċidenti u kriżijiet taċ-ċibersigurtà fuq skala kbira u l-appoġġ għat-teħid ta’ deċiżjonijiet fil-livell politiku;
• iż-żieda fit-tħejjija;
• l-iżvilupp ta’ għarfien tas-sitwazzjoni kondiviża; u
• il-valutazzjoni tal-konsegwenzi u l-impatt ta’ inċidenti u kriżijiet taċ-ċibersigurtà fuq skala kbira u l-proponiment ta’ miżuri ta’ mitigazzjoni possibbli.

Miżuri għall-ġestjoni tar-riskju taċ-ċibersigurtà

L-entitajiet għandhom jieħdu miżuri ta’ ġestjoni tar-riskju taċ-ċibersigurtà tekniċi, operazzjonali u organizzattivi u proporzjonati. Il-katalogu ta’ miżuri jinkludi, fost affarijiet oħra, l-analiżi tar-riskju u l-politiki tas-sigurtà tas-sistema tal-informazzjoni, il-ġestjoni ta’ inċidenti, il-kontinwità tan-negozju, l-irkupru u l-ġestjoni ta’ kriżijiet, is-sigurtà tal-katina tal-provvista, il-ġestjoni u d-divulgazzjoni tal-merkanzija, il-politiki u l-proċeduri bażiċi dwar l-użu tal-kriptografija (u kriptografija, fejn xieraq), is-sigurtà tar-riżorsi umani u l-użu ta’ awtentikazzjoni b’ħafna fattura jew soluzzjonijiet ta’ awtentikazzjoni kontinwi. Dawn il-miżuri jridu jkunu bbażati fuq approċċ tal-perikli kollha.

Il-korpi maniġerjali għandhom japprovaw dawn il-miżuri u jissorveljaw l-implimentazzjoni tagħhom u jistgħu jinżammu responsabbli għall-ksur.

Rapportar

L-entitajiet għandhom jinnotifikaw lis-CSIRT jew lill-awtorità rilevanti tagħhom bi kwalunkwe inċident li:

• jista’ jikkawża jew jista’ jikkawża tfixkil operattiv jew telf finanzjarju gravi għall-entità;
• affettwa jew jista’ jaffettwa lil oħrajn billi jikkawża ħsara materjali jew mhux materjali konsiderevoli.

Barra minn hekk, l-ENISA, se tipproduċi, f’kooperazzjoni mal-Kummissjoni u mal-grupp ta’ kooperazzjoni, rapport biennali dwar l-istat taċ-ċibersigurtà fl-UE li se jiġi sottomess ukoll lill-Parlament.

Limitazzjoni u infurzar

Id-direttiva tipprovdi għal rimedji u sanzjonijiet biex jiġi żgurat l-infurzar.

Evalwazzjonijiet bejn il-pari

Huma stabbiliti reviżjonijiet bejn il-pari bil-għan li jitgħallmu minn esperjenzi kondiviżi, tissaħħaħ il-fiduċja reċiproka, jinkiseb livell komuni għoli ta’ ċibersigurtà, u jittejbu l-kapaċitajiet u l-politiki taċ-ċibersigurtà tal-Istati Membri meħtieġa għall-implimentazzjoni ta’ din id-direttiva. Dawn ir-reviżjonijiet jinvolvu żjarat fiżiċi jew virtwali fuq il-post u skambji ta’ informazzjoni mhux fuq il-post. Il-parteċipazzjoni f’dawn l-evalwazzjonijiet bejn il-pari hija volontarja.

Att ta’ implimentazzjoni

Ir-Regolament ta’ Implimentazzjoni (UE) 2024/2690 jistabbilixxi r-regoli għall-applikazzjoni tad-Direttiva (UE) 2022/2555 fir-rigward tar-rekwiżiti tekniċi u metodoloġiċi ta’ miżuri għall-ġestjoni tar-riskju taċ-ċibersigurtà u jispeċifika ulterjorment il-każijiet li fihom inċident jitqies li huwa sinifikanti fir-rigward ta’:

• fornituri ta’ servizzi ta’ sistemi ta’ isem id-dominju,
• reġistri tal-ismijiet tad-dominji tal-ogħla livell,
• fornituri ta’ servizzi tal-kompjuter,
• fornituri ta’ servizzi ta’ rappurtar tad-data,
• fornituri ta’ network ta’ kunsinna tal-kontenut,
• fornituri ta’ servizzi ġestiti,
• fornituri ta’ servizzi tas-sigurtà ġestiti,
• il-fornituri diġitali tas-swieq online, tal-magni tat-tiftix u tan-networks soċjali, u pjattaformi tas-servizzi, u
• fornituri ta’ servizzi fiduċjarji.

Revoka

Id-Direttiva (UE) 2022/2555 ħassret id-Direttiva (UE) 2016/1148 (ara s-sommarju) mit-18 ta’ Ottubru 2024, u r-Regolament ta’ Implimentazzjoni (UE) 2024/2690 ħassar ir-Regolament ta’ Implimentazzjoni (UE) 2018/151, li stabbilixxa regoli għall-applikazzjoni tad-Direttiva (UE) 2016/1148.