This document is an excerpt from the EUR-Lex website
Document 32018R0151
Commission Implementing Regulation (EU) 2018/151 of 30 January 2018 laying down rules for application of Directive (EU) 2016/1148 of the European Parliament and of the Council as regards further specification of the elements to be taken into account by digital service providers for managing the risks posed to the security of network and information systems and of the parameters for determining whether an incident has a substantial impact
Regolament ta' Implimentazzjoni tal-Kummissjoni (UE) 2018/151 tat-30 ta' Jannar 2018 li jistabbilixxi r-regoli għall-applikazzjoni tad-Direttiva (UE) 2016/1148 tal-Parlament Ewropew u tal-Kunsill fir-rigward ta' speċifikazzjoni ulterjuri tal-elementi li għandhom iqisu l-fornituri tas-servizzi diġitali għall-ġestjoni tar-riskji għas-sigurtà tan-netwerks u tas-sistemi tal-informazzjoni u tal-parametri għad-determinazzjoni dwar jekk inċident għandux impatt sostanzjali
Regolament ta' Implimentazzjoni tal-Kummissjoni (UE) 2018/151 tat-30 ta' Jannar 2018 li jistabbilixxi r-regoli għall-applikazzjoni tad-Direttiva (UE) 2016/1148 tal-Parlament Ewropew u tal-Kunsill fir-rigward ta' speċifikazzjoni ulterjuri tal-elementi li għandhom iqisu l-fornituri tas-servizzi diġitali għall-ġestjoni tar-riskji għas-sigurtà tan-netwerks u tas-sistemi tal-informazzjoni u tal-parametri għad-determinazzjoni dwar jekk inċident għandux impatt sostanzjali
C/2018/0471
ĠU L 26, 31.1.2018, p. 48–51
(BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force
31.1.2018 |
MT |
Il-Ġurnal Uffiċjali tal-Unjoni Ewropea |
L 26/48 |
REGOLAMENT TA' IMPLIMENTAZZJONI TAL-KUMMISSJONI (UE) 2018/151
tat-30 ta' Jannar 2018
li jistabbilixxi r-regoli għall-applikazzjoni tad-Direttiva (UE) 2016/1148 tal-Parlament Ewropew u tal-Kunsill fir-rigward ta' speċifikazzjoni ulterjuri tal-elementi li għandhom iqisu l-fornituri tas-servizzi diġitali għall-ġestjoni tar-riskji għas-sigurtà tan-netwerks u tas-sistemi tal-informazzjoni u tal-parametri għad-determinazzjoni dwar jekk inċident għandux impatt sostanzjali
IL-KUMMISSJONI EWROPEA,
Wara li kkunsidrat it-Trattat dwar il-Funzjonament tal-Unjoni Ewropea,
Wara li kkunsidrat id-Direttiva (UE) 2016/1148 tal-Parlament Ewropew u tal-Kunsill tas-6 ta' Lulju 2016 dwar miżuri għal livell għoli komuni ta' sigurtà tan-netwerks u tas-sistemi tal-informazzjoni madwar l-Unjoni (1), u b'mod partikolari l-Artikolu 16(8) tagħha,
Billi:
(1) |
Skont id-Direttiva (UE) 2016/1148, il-fornituri tas-servizzi diġitali jibqgħu liberi li jieħdu miżuri tekniċi u organizzattivi li huma jikkunsidraw xierqa u proporzjonati biex iġestixxu r-riskju għas-sigurtà tan-netwerks u tas-sistemi tal-informazzjoni tagħhom, sakemm dawk il-miżuri jiżguraw livell adegwat ta' sigurtà u jqisu l-elementi previsti f'dik id-Direttiva. |
(2) |
Meta jidentifikaw il-miżuri tekniċi u organizzattivi li huma xierqa u proporzjonati, il-fornituri tas-servizzi diġitali jenħtieġ jindirizzaw is-sigurtà tal-informazzjoni b'mod sistematiku billi jużaw approċċ ibbażat fuq ir-riskju. |
(3) |
Sabiex jiżguraw is-sigurtà tas-sistemi u tal-faċilitajiet, il-fornituri tas-servizzi diġitali jenħtieġ li jwettqu proċeduri ta' valutazzjoni u analiżi. Dawn l-attivitajiet jenħtieġ li jikkonċernaw il-ġestjoni sistematika tan-network u tas-sistemi tal-informazzjoni, is-sigurtà fiżika u ambjentali, is-sigurtà tal-provvisti u l-kontrolli tal-aċċess. |
(4) |
Meta l-fornituri tas-servizzi diġitali jwettqu analiżi tar-riskju fi ħdan il-ġestjoni sistematika tan-network u tas-sistemi tal-informazzjoni, dawn jenħtieġ li jiġu mħeġġa jidentifikaw riskji speċifiċi u jikkwantifikaw is-sinifikat tagħhom, pereżempju billi jidentifikaw it-theddid għall-assi kritiċi u kif dawn jistgħu jaffettwaw l-operazzjonijiet, u jiddeterminaw l-aħjar mod kif jimmitigaw dak it-theddid abbażi tal-kapaċitajiet attwali u tal-ħtiġijiet tar-riżorsi. |
(5) |
Il-politiki dwar ir-riżorsi umani jistgħu jirreferu għall-ġestjoni tal-ħiliet, inkluż aspetti marbuta mal-iżvilupp tal-ħiliet marbuta mas-sigurtà u mas-sensibilizzazzjoni. Meta jiddeċiedu dwar sett ta' politiki xierqa dwar is-sigurtà tal-operazzjoni, il-fornituri tas-servizzi diġitali jenħtieġ jiġu mħeġġa jqisu l-aspetti tal-ġestjoni tal-bidla, il-ġestjoni tal-vulnerabbiltà, il-formalizzazzjoni tal-operat u tal-prattiċi amministrattivi u l-immappjar tas-servizz. |
(6) |
Il-politiki dwar l-arkitettura tas-sigurtà jistgħu jikkompromettu b'mod partikolari s-segregazzjoni tan-netwerks u tas-sistemi kif ukoll miżuri speċifiċi tas-sigurtà għall-operazzjonijiet kritiċi bħall-operazzjonijiet ta' amministrazzjoni. Is-segregazzjoni tan-netwerks u tas-sistemi tista' tgħin lil fornitur tas-servizzi diġitali biex jiddistingwi bejn elementi bħall-flussi tad-dejta u r-riżorsi komputazzjonali li jappartjenu għal klijent, grupp ta' klijenti, il-fornitur tas-servizzi diġitali jew partijiet terzi. |
(7) |
Il-miżuri li jittieħdu fir-rigward tas-sigurtà fiżika u ambjentali jenħtieġ li jiżguraw is-sigurtà tan-network u tas-sistemi tal-informazzjoni tal-organizzazzjoni kontra l-ħsara kkawżata minn inċidenti bħal serq, nirien, għargħar jew effetti oħra tat-temp, telf tat-telekomunikazzjonijiet jew tal-elettriku. |
(8) |
Is-sigurtà tal-provvista bħall-elettriku, il-fjuwil jew it-tkessiħ jenħtieġ tinkludi s-sigurtà tal-katina tal-provvista li tinkludi b'mod partikolari s-sigurtà tal-kuntratturi u tas-sottokuntratturi tal-parti terza u l-ġestjoni tagħhom. It-traċċabbiltà tal-provvisti kritiċi tirreferi għall-abbiltà tal-fornitur tas-servizz diġitali li jidentifika u jirreġistra sorsi ta' dawk il-provvisti. |
(9) |
L-utenti tas-servizzi diġitali jenħtieġ jinkludu persuni fiżiċi u ġuridiċi li huma klijenti jew abbonati ta' suq online jew ta' servizz tal-cloud computing, jew iżuru sit web ta' magna tat-tiftix online sabiex ifittxu ċertu kliem ewlieni. |
(10) |
Meta tiġi definita s-sostanzjalità tal-impatt ta' inċident, il-każijiet deskritti f'dan ir-Regolament jenħtieġ jiġu kkunsidrati bħala lista mhux eżawrjenti ta' inċidenti sostanzjali. Jenħtieġ li jingħarfu l-lezzjonijiet miksuba mill-implimentazzjoni ta' dan ir-Regolament u mill-ħidma tal-Grupp ta' Kooperazzjoni fejn jidħol il-ġbir ta' informazzjoni fuq l-aħjar prattika marbuta mar-riskji u mal-inċidenti u fejn jidħlu d-diskussjonijiet dwar il-modalitajiet għar-rappurtar tan-notifiki tal-inċidenti kif jissemma fil-punti (i) u (m) tal-Artikolu 11(3) tad-Direttiva (UE) 2016/1148. L-eżitu jista' jkun linji gwida komprensivi dwar il-livelli limiti kwantitattivi tal-parametri tan-notifika li jistgħu jiskattaw l-obbligu tan-notifika għall-fornituri tas-servizzi diġitali skont l-Artikolu 16(3) tad-Direttiva (UE) 2016/1148. Meta jkun jixraq, il-Kummissjoni tista' tikkunsidra wkoll li terġa' teżamina l-livelli limiti li bħalissa huma stabbiliti f'dan ir-Regolament. |
(11) |
Sabiex l-awtoritajiet kompetenti jkunu jistgħu jiġu informati dwar riskji ġodda potenzjali, il-fornituri tas-servizzi diġitali jenħtieġ li jitħeġġu biex minn jeddhom jirrapportaw kwalunkwe inċident li l-karatteristiċi tiegħu ma jkunux għadhom saru midħla tagħhom bħal sfruttamenti, attakki vettorjali jew atturi ta' theddid, vulnerabbiltajiet u perikli ġodda. |
(12) |
Dan ir-Regolament jenħtieġ li japplika fil-jum ta' wara t-tmiem tal-iskadenza għat-traspożizzjoni tad-Direttiva (UE) 2016/1148. |
(13) |
Il-miżuri previsti f'dan ir-Regolament huma skont l-opinjoni tal-Kumitat għas-Sigurtà tan-Networks u tas-Sistemi tal-Informazzjoni msemmi fl-Artikolu 22 tad-Direttiva (UE) 2016/1148, |
ADOTTAT DAN IR-REGOLAMENT:
Artikolu 1
Suġġett
Dan ir-Regolament jispeċifika aktar l-elementi li jridu jqisu l-fornituri tas-servizzi diġitali meta jkunu qed jidentifikaw u jieħdu l-miżuri biex jiżguraw ċertu livell ta' sigurtà tan-netwerks u tas-sistemi tal-informazzjoni li jkunu qed jużaw fil-kuntest tas-servizzi li qed joffru kif imsemmi fl-Anness III tad-Direttiva (UE) 2016/1148 u jispeċifika aktar il-parametri li jridu jitqisu biex jiġi ddeterminat jekk inċident għandux impatt sostanzjali fuq il-forniment ta' dawk is-servizzi.
Artikolu 2
Elementi tas-sigurtà
1. Is-sigurtà tas-sistemi u tal-faċilitajiet kif imsemmi fil-punt (a) tal-Artikolu 16(1) tad-Direttiva (UE) 2016/1148 tfisser is-sigurtà tan-network u tas-sistemi tal-informazzjoni u tal-ambjent fiżiku tagħhom u għandha tinkludi dawn l-elementi li ġejjin:
(a) |
il-ġestjoni sistematika tan-netwerks u tas-sistemi tal-informazzjoni li tfisser l-immappjar tas-sistemi tal-informazzjoni u l-istabbiliment ta' sett ta' politiki xierqa għall-ġestjoni tas-sigurtà tal-informazzjoni, inkluż analiżi tar-riskju, ir-riżorsi umani, is-sigurtà tal-operazzjonijiet, arkitettura tas-sigurtà, dejta sigura u ġestjoni taċ-ċiklu tal-ħajja tas-sistema u fejn applikabbli, kriptaġġ u l-ġestjoni tiegħu. |
(b) |
is-sigurtà fiżika u ambjentali li tfisser id-disponibbiltà ta' sett ta' miżuri għall-protezzjoni tas-sigurtà tan-network u tas-sistemi tal-informazzjoni tal-fornituri tas-servizzi diġitali kontra l-ħsara permezz tal-użu ta' approċċ ibbażat fuq ir-riskju tal-perikli kollha, li jindirizza pereżempju falliment tas-sistema, żball uman, azzjoni malizzjuża jew fenomenu naturali |
(c) |
is-sigurtà tal-provvisti li tfisser l-istabbiliment u ż-żamma ta' politiki xierqa li jiżguraw l-aċċessibbiltà u, fejn applikabbli, it-traċċabbiltà tal-provvisti kritiċi użati fil-forniment tas-servizzi; |
(d) |
il-kontrolli tal-aċċess għan-network u għas-sistemi tal-informazzjoni li tfisser id-disponibbiltà ta' sett ta' miżuri sabiex jiżguraw li l-aċċess fiżiku u loġiku għan-network u għas-sistemi tal-informazzjoni, inkluż is-sigurtà amministrattiva tan-network u tas-sistemi tal-informazzjoni, tkun awtorizzata u ristretta abbażi tar-rekwiżiti tan-negozju u tas-sigurtà. |
2. Fir-rigward tat-trattament tal-inċidenti msemmi fil-punt (b) tal-Artikolu 16(1) tad-Direttiva (UE) 2016/1148, il-miżuri li jieħu l-fornitur tas-servizzi diġitali għandhom jinkludu:
(a) |
iż-żamma u l-ittestjar tal-proċessi u tal-proċeduri ta' detezzjoni biex tkun żgurata sensibilizzazzjoni f'waqtha u adegwata tal-avvenimenti anomali; |
(b) |
proċessi u politiki dwar ir-rapportar tal-inċidenti u l-identifikazzjoni tad-dgħufiji u tal-vulnerabbiltajiet fis-sistemi tal-informazzjoni tagħhom; |
(c) |
reazzjoni skont il-proċeduri stabbiliti u rapportar tar-riżultati tal-miżura meħuda; |
(d) |
valutazzjoni tal-gravità tal-inċident, dokumentar tat-tagħrif mill-analiżi tal-inċident, u ġbir ta' informazzjoni rilevanti li jistgħu jservu ta' evidenza u appoġġ għal proċess ta' titjib kontinwu. |
3. Il-ġestjoni tal-kontinwità tan-negozju kif imsemmi fil-punt (c) tal-Artikolu 16(1) tad-Direttiva (UE) 2016/1148 tfisser il-kapaċità ta' organizzazzjoni li żżomm jew treġġa' lura kif xieraq l-għoti ta' servizzi skont il-livelli predefiniti aċċettabbli wara inċident ta' tfixkil, u dan għandha tinkludi:
(a) |
l-istabbiliment u l-użu ta' pjanijiet ta' kontinġenza bbażati fuq analiżi tal-impatt tan-negozju biex tkun żgurata l-kontinwità tas-servizzi min-naħa tal-fornituri tas-servizzi diġitali li għandhom jiġu vvalutati u ttestjati b'mod regolari, pereżempju permezz ta' eżerċizzji; |
(b) |
il-kapaċitajiet tal-irkupru minn diżastru li għandhom jiġu vvalutati u ttestjati b'mod regolari, pereżempju permezz ta' eżerċizzji. |
4. Il-monitoraġġ, l-awditjar u l-ittestjar kif imsemmi fil-punt (d) tal-Artikolu 16(1) tad-Direttiva (UE) 2016/1148 għandhom jinkludu l-istabbiliment u ż-żamma ta' politiki dwar:
(a) |
it-twettiq ta' sekwenza ppjanata ta' osservazzjonijiet jew ta' miżuri biex jiġi valutat jekk in-netwerks u s-sistemi tal-informazzjoni humiex jaħdmu kif suppost; |
(b) |
spezzjoni u verifika biex jiġu verifikat jekk hux qed jiġi segwit xi standard jew xi sett ta' linji gwida, li r-rekords huma preċiżi, u li l-miri tal-effiċjenza u tal-effettività qed jintlaħqu; |
(c) |
proċess maħsub biex jiżvela n-nuqqasijiet fil-mekkaniżmi tas-sigurtà tan-netwerk u tas-sistema tal-informazzjoni li jipproteġu d-dejta u jżommu l-funzjonalità kif suppost. Dan il-proċess għandu jinkludi proċessi tekniċi u lill-persunal involut fil-fluss tal-operazzjoni. |
5. L-istandards internazzjonali msemmija fil-punt (e) tal-Artikolu 16(1) tad-Direttiva (UE) 2016/1148 tfisser standards li jadotta korp internazzjonali tal-istandardizzazzjoni kif imsemmi fil-punt (a) tal-Artikolu 2(1) tar-Regolament (UE) Nru 1025/2012 tal-Parlament Ewropew u tal-Kunsill (2). Skont l-Artikolu 19 tad-Direttiva (UE) 2016/1148, jistgħu jintużaw ukoll standards u speċifikazzjonijiet aċċettati fil-livell Ewropew jew f'dak internazzjonali li jkunu rilevanti għas-sigurtà tan-network u tas-sistemi tal-informazzjoni, inkluż standards nazzjonali eżistenti.
6. Il-fornituri tas-servizzi diġitali għandhom jiżguraw li għandhom dokumentazzjoni adegwata disponibbli biex iħeġġu lill-awtorità kompetenti tivverifika l-konformità mal-elementi tas-sigurtà stabbiliti fil-paragrafi 1, 2, 3, 4 u 5.
Artikolu 3
Parametri li għandhom jitqiesu għad-determinazzjoni dwar jekk l-impatt ta' inċident huwiex sostanzjali
1. Fir-rigward tal-għadd ta' utenti affettwati minn inċident, b'mod partikolari l-utenti li jiddependu mis-servizz għall-forniment tas-servizzi tagħhom stess kif imsemmi fil-punt (a) tal-Artikolu 16(4) tad-Direttiva (UE) 2016/1148, il-fornitur tas-servizzi diġitali għandu jkun f'pożizzjoni li jistima kwalunkwe minn dawn li ġejjin:
(a) |
l-għadd ta' persuni fiżiċi u ġuridiċi affettwati li magħhom ġie konkluż kuntratt għall-forniment tas-servizz; jew |
(b) |
l-għadd ta' utenti effettwati li jkunu użaw is-servizz, b'mod partikolari abbażi ta' dejta tat-traffiku preċedenti. |
2. Id-durata ta' inċident imsemmija fil-punt (b) tal-Artikolu 16(4) tfisser il-perjodu ta' żmien mill-mument meta jitfixkel il-forniment sew tas-servizzi mil-lat ta' disponibbiltà, awtentiċità, integrità jew kunfidenzjalità sal-mument tal-irkupru.
3. F'dak li jikkonċerna t-tifrix ġeografiku fir-rigward taż-żona affettwata mill-inċident imsemmi fil-punt (c) tal-Artikolu 16(4) tad-Direttiva (UE) 2016/1148, il-fornitur tas-servizzi diġitali għandu jkun f'pożizzjoni li jidentifika jekk l-inċident jaffettwax il-forniment tas-servizzi tiegħu fi Stati Membri speċifiċi.
4. L-estent tat-tfixkil tal-funzjonament tas-servizz imsemmi fil-punt (d) tal-Artikolu 16(4) tad-Direttiva (UE) 2016/1148 għandu jitkejjel fir-rigward ta' waħda jew aktar mill-karatteristiċi milquta ħażin bl-inċident li ġejjin: id-disponibbiltà, l-awtentiċità, l-integrità jew il-kunfidenzjalità tad-dejta jew ta' servizzi relatati.
5. Fir-rigward tal-estent tal-impatt fuq l-attivitajiet ekonomiċi u tas-soċjetà msemmija fil-punt (e) tal-Artikolu 16(4) tad-Direttiva (UE) 2016/1148, il-fornitur tas-servizzi diġitali għandu jkun jista' jikkonkludi, abbażi tal-indikazzjonijiet bħan-natura tar-relazzjonijiet kuntrattwali tiegħu mal-klijent jew, fejn xieraq, l-għadd potenzjali ta' utenti affettwati, jekk l-inċident ikkawżax telf materjali jew mhux materjali sinifikanti għall-utenti bħal b'rabta mas-saħħa, is-sikurezza jew xi ħsara lill-proprjetà.
6. Għal fini tal-paragrafi 1, 2, 3, 4 u 5, il-fornituri tas-servizz diġitali ma għandhomx ikunu meħtieġa jiġbru informazzjoni addizzjonali li ma għandhomx aċċess għaliha.
Artikolu 4
Impatt sostanzjali ta' inċident
1. Inċident għandu jiġi kkunsidrat li għandu impatt sostanzjali meta sseħħ mill-inqas waħda mis-sitwazzjonijiet li ġejjin:
(a) |
Is-servizz fornut minn fornitur tas-servizzi diġitali ma kienx disponibbli għal aktar minn 5 000 000 siegħa tal-utent meta t-terminu “siegħa tal-utent” ikun jirreferi għall-għadd ta' utenti affettwati fl-Unjoni għal durata ta' sittin minuta; |
(b) |
L-inċident wassal għal telf tal-integrità, tal-awtentiċità jew tal-kunfidenzjalità ta' dejta maħżuna jew trażmessa jew proċessata jew tas-servizzi relatati offruti minn netwerk jew sistema tal-informazzjoni tal-fornitur tas-servizzi diġitali, jew li huma aċċessibbli permezz tagħhom, li jaffettwa aktar minn 100 000 utent fl-Unjoni; |
(c) |
L-inċident ħoloq riskju għas-sikurezza pubblika, għas-sigurtà pubblika jew telf ta' ħajjiet; |
(d) |
L-inċident ikkawża ħsara materjali għal mill-inqas utent wieħed fl-Unjoni u l-ħsara kkawżata lil dak l-utent tkun aktar minn EUR 1 000 000. |
2. Il-Kummissjoni tista' terġa' teżamina l-livelli limiti stabbiliti fil-paragrafu 1 wara li tqis l-aħjar prattiki miġbura mill-Grupp ta' Kooperazzjoni waqt l-eżerċizzju tal-kompiti tagħha skont l-Artikolu 11(3) tad-Direttiva (UE) 2016/1148 u mid-diskussjonijiet skont il-punt (m) tal-Artikolu 11(3) tagħha.
Artikolu 5
Dħul fis-seħħ
(1) Dan ir-Regolament għandu jidħol fis-seħħ fl-għoxrin jum wara dak tal-pubblikazzjoni tiegħu f'Il-Ġurnal Uffiċjali tal-Unjoni Ewropea.
(2) Għandu japplika mill-10 ta' Mejju 2018.
Dan ir-Regolament għandu jorbot fl-intier tiegħu u japplika direttament fl-Istati Membri kollha.
Magħmul fi Brussell, it-30 ta' Jannar 2018.
Għall-Kummissjoni
Il-President
Jean-Claude JUNCKER
(1) ĠU L 194, 19.7.2016, p. 1.
(2) Ir-Regolament (UE) Nru 1025/2012 tal-Parlament Ewropew u tal-Kunsill tal-25 ta' Ottubru 2012 dwar l-Istandardizzazzjoni Ewropea, li jemenda d-Direttivi tal-Kunsill 89/686/KEE u 93/15/KEE u d-Direttivi 94/9/KE, 94/25/KE, 95/16/KE, 97/23/KE, 98/34/KE, 2004/22/KE, 2007/23/KE, 2009/23/KE u 2009/105/KE tal-Parlament Ewropew u tal-Kunsill u li jħassar id-Deċiżjoni tal-Kunsill 87/95/KEE u d-Deċiżjoni Nru 1673/2006/KE tal-Parlament Ewropew u tal-Kunsill (ĠU L 316, 14.11.2012, p. 12).