Ċibersigurtà tan-netwerks u tas-sistemi tal-informazzjoni

 

SOMMARJU TA’:

Id-Direttiva (UE) 2016/1148 — ċibersigurtà tan-netwerks u tas-sistemi tal-informazzjoni

X’INHU L-GĦAN TAD-DIRETTIVA?

Hija tipproponi sett wiesa’ ta’ miżuri biex tagħti spinta lil-livell ta’ sigurtà tan-netwerks u tas-sistemi tal-informazzjoni (ċibersigurtà*) biex tiżgura servizzi li jaqdu rwol importanti ħafna fl-ekonomija tal-UE u fis-soċjetà. Hija għandha l-għan li tiżgura li l-pajjiżi tal-UE jkunu mħejjijin sew u jkunu lesti biex jindirizzaw u jirrispondu għall-attakki ċibernetiċi permezz:

• tal-ħatra ta’ awtoritajiet kompetenti,
• tal-istabbiliment ta’ skwadri ta’ rispons għal inċidenti relatati mas-sigurtà tal-kompjuters (CSIRTs), u
• tal-adozzjoni ta’ strateġiji nazzjonali għaċ-ċibersigurtà.

Hija tistabbilixxi wkoll kooperazzjoni fil-livell tal-UE kemm fil-livell strateġiku kif ukoll f’dak tekniku.

Fl-aħħar nett, hija tintroduċi l-obbligu fuq il-fornituri ta’ servizzi essenzjali u l-fornituri ta’ servizzi diġitali li jieħdu miżuri ta’ sigurtà xierqa u li jinnotifikaw lill-awtoritajiet nazzjonali rilevanti dwar inċidenti serji.

PUNTI EWLENIN

Titjib tal-kapaċitajiet nazzjonali taċ-ċibersigurtà

Il-pajjiżi tal-UE jridu:

• jaħtru awtorità nazzjonali kompetenti waħda jew aktar, kif ukoll CSIRTs, u jidentifikaw punt uniku ta’ kuntatt (f’każ li jkun hemm aktar minn awtorità kompetenti waħda);
• jidentifikaw fornituri ta’ servizzi essenzjali f’setturi kritiċi bħall-enerġija, it-trasport, il-finanzi, is-settur bankarju, is-saħħa, l-ilma u l-infrastruttura diġitali fejn attakk ċibernetiku jista’ jfixkel servizz essenzjali.

Il-pajjiżi tal-UE jridu jistabbilixxu wkoll strateġija nazzjonali għaċ-ċibersigurtà għan-netwerks u s-sistemi tal-informazzjoni*li tkopri l-kwistjonijiet li ġejjin:

• it-tħejjija u l-prontezza għall-indirizzar u r-rispons għal attakki ċibernetiċi;
• ir-rwoli, ir-responsabbiltajiet u l-kooperazzjoni tal-gvern u ta’ partijiet oħrajn;
• l-edukazzjoni, is-sensibilizzazzjoni u l-programmi ta’ taħriġ;
• l-ippjanar tar-riċerka u l-iżvilupp;
• l-ippjanar għall-identifikazzjoni tar-riskji.

L-awtoritajiet nazzjonali kompetenti jimmonitorjaw l-applikazzjoni tad-direttiva billi:

• jivvalutaw il-politiki ta’ ċibersigurtà u ta’ sigurtà tal-fornituri ta’ servizzi essenzjali;
• jissorveljaw il-fornituri ta’ servizzi diġitali;
• jipparteċipaw fix-xogħol tal-grupp ta’ kooperazzjoni (li jinkludi l-awtoritajiet kompetenti għas-sigurtà tan-netwerks u l-informazzjoni (NIS) minn kull wieħed mill-pajjiżi tal-UE, il-Kummissjoni Ewropea u l-Aġenzija tal-Unjoni Ewropea dwar is-Sigurtà tan-Netwerks u l-Informazzjoni (ENISA));
• jinfurmaw lill-pubbliku, fejn meħtieġ, biex jevitaw inċident jew jindirizzaw inċident li jkun għadu għaddej, filwaqt li jirrispettaw il-kunfidenzjalità;
• joħorġu struzzjonijiet vinkolanti biex jirrimedjaw xi defiċjenzi fiċ-ċibersigurtà.

Il-CSIRTs huma responsabbli biex:

• jimmonitorjaw u jirrispondu għal inċidenti ta’ ċibersigurtà;
• jipprovdu analiżi tar-riskju, analiżi tal-inċidenti u għarfien tas-sitwazzjoni;
• jipparteċipaw fin-netwerk tas-CSIRTs;
• jikkooperaw mas-settur privat;
• jippromwovu l-użu ta’ prattiki standardizzati għall-indirizzar ta’ inċidenti u riskji, u għall-klassifikazzjoni ta’ informazzjoni.

Rekwiżiti ta’ sigurtà u ta’ notifika

Id-direttiva għandha l-għan li tippromwovi kultura ta’ ġestjoni tar-riskju. Negozji li joperaw f’setturi ewlenin iridu jevalwaw ir-riskji għalihom u jadottaw miżuri biex jiżguraw iċ-ċibersigurtà. Dawn il-kumpaniji jridu jinnotifikaw lill-awtoritajiet kompetenti jew lis-CSIRTs dwar kwalunkwe inċident, bħal hacking jew serq ta’ data, li jikkomprometti ċ-ċibersigurtà b’mod serju u jkollu effett ta’ tfixkil fuq il-kontinwità ta’ servizzi kritiċi u l-forniment ta’ oġġetti.

Biex jiddeterminaw liema inċidenti jridu jiġu nnotifikati mill-fornituri ta’ servizzi essenzjali*, il-pajjiżi tal-UE għandhom jieħdu inkunsiderazzjoni t-tul u l-firxa ġeografika ta’ inċident, kif ukoll fatturi oħra, bħall-għadd ta’ utenti li jiddependu minn dak is-servizz.

Fornituri ta’ servizzi diġitali (magni tat-tiftix, servizzi tal-cloud computing u swieq online) ikollhom jikkonformaw ukoll mar-rekwiżiti ta’ sigurtà u ta’ notifika.

Titjib tal-kooperazzjoni fil-livell tal-UE

Id-direttiva tistabbilixxi l-grupp ta’ kooperazzjoni li l-kompiti tiegħu jinkludu li:

• jagħti gwida lin-netwerk tas-CSIRTs;
• jiskambja l-aħjar prattika dwar l-identifikazzjoni tal-fornituri ta’ servizzi essenzjali;
• jassisti lill-pajjiżi tal-UE biex jibnu kapaċitajiet taċ-ċibersigurtà;
• jikkondividi informazzjoni u l-aħjar prattika dwar sensibilizzazzjoni u taħriġ, riċerka u żvilupp;
• jikkondividi informazzjoni u jiġbor l-aħjar prattika dwar riskji u inċidenti;
• jiddiskuti modalitajiet ta’ notifika ta’ inċidenti.

Huwa jistabbilixxi wkoll in-netwerk tas-CSIRTs li jinkludi rappreżentanti tas-CSIRTs tal-pajjiżi tal-UE u l-Iskwadra ta’ Rispons f’Emerġenza relatata mal-Kompjuters (CERT-UE). Il-kompiti tiegħu jinkludu:

• li jikkondividi informazzjoni dwar is-servizzi tal-CSIRTs;
• li jikkondividi informazzjoni dwar inċidenti ta’ ċibersigurtà;
• li jagħti appoġġ lill-pajjiżi tal-UE fir-rispons għal inċidenti transfruntiera;
• li jiddiskuti u jidentifika rispons ikkoordinat għal inċident irrappurtat minn pajjiż tal-UE;
• jiddiskuti, jesplora u jidentifika aktar forom ta’ kooperazzjoni operazzjonali, inklużi:
  • kategoriji ta’ riskji u inċidenti;
  • twissijiet bikrin;
  • assistenza reċiproka;
  • koordinazzjoni bejn pajjiżi li jirrispondu għal riskji u inċidenti li jaffettwaw aktar minn pajjiż wieħed tal-UE;
• jinforma lill-grupp ta’ kooperazzjoni dwar l-attivitajiet tiegħu u jitlob gwida;
• jiddiskuti t-tagħlimiet mitgħallma minn eżerċizzji ta’ ċibersigurtà;
• fuq it-talba ta’ CSIRTs individwali, jiddiskuti l-kapaċitajiet tagħhom;
• joħroġ linji gwida dwar il-kooperazzjoni operazzjonali.

Penali

Il-pajjiżi tal-UE jridu japplikaw penali effettivi, proporzjonati u dissważivi biex jiżguraw l-applikazzjoni tat-termini ta’ din id-direttiva.

MINN META TAPPLIKA DIN ID-DIRETTIVA?

Hija tapplika mit-8 ta’ Awwissu 2016. Il-pajjiżi tal-UE jridu jinkorporawha fil-liġi nazzjonali sad-9 ta’ Mejju 2018, u jidentifikaw il-fornituri ta’ servizzi essenzjali sad-9 ta’ Novembru 2018.

SFOND

• Ċibersigurtà (il-Kummissjoni Ewropea)
• Ċibersigurtà: Il-Kummissjoni tespandi r-rispons tagħha għall-attakki ċibernetiċi — stqarrija għall-istampa (il-Kummissjoni Ewropea)
• Direttiva dwar is-Sigurtà tan-Netwerks u tas-Sistemi tal-Informazzjoni — stqarrija għall-istampa (il-Kummissjoni Ewropea)
• Reżiljenza, Deterrenza u Difiża: Il-bini ta’ ċibersigurtà b’saħħitha fl-Ewropa — skeda informattiva (il-Kummissjoni Ewropea).

TERMINI EWLENIN

DOKUMENT PRINĊIPALI

Id-Direttiva (UE) 2016/1148 tal-Parlament Ewropew u tal-Kunsill tas-6 ta’ Lulju 2016 dwar miżuri għal livell għoli komuni ta’ sigurtà tan-netwerks u tas-sistemi tal-informazzjoni madwar l-Unjoni (ĠU L 194, 19.7.2016, pp. 1-30)

DOKUMENTI RELATATI

Ir-Regolament ta’ Implimentazzjoni tal-Kummissjoni (UE) 2018/151 tat-30 ta’ Jannar 2018 li jistabbilixxi r-regoli għall-applikazzjoni tad-Direttiva (UE) 2016/1148 tal-Parlament Ewropew u tal-Kunsill fir-rigward ta’ speċifikazzjoni ulterjuri tal-elementi li għandhom iqisu l-fornituri tas-servizzi diġitali għall-ġestjoni tar-riskji għas-sigurtà tan-netwerks u tas-sistemi tal-informazzjoni u tal-parametri għad-determinazzjoni dwar jekk inċident għandux impatt sostanzjali (ĠU L 26, 31.1.2018, pp. 48-51)

Id-Deċiżjoni ta’ Implimentazzjoni tal-Kummissjoni (UE) 2017/179 tal-1 ta’ Frar 2017 li tistabbilixxi l-arranġamenti proċedurali meħtieġa għall-funzjonament tal-Grupp ta’ Kooperazzjoni skont l-Artikolu 11(5) tad-Direttiva (UE) 2016/1148 tal-Parlament Ewropew u tal-Kunsill dwar miżuri għal livell għoli komuni ta’ sigurtà tan-netwerks u tas-sistemi tal-informazzjoni madwar l-Unjoni (ĠU L 28, 2.2.2017, pp. 73-77)

Komunikazzjoni tal-Kummissjoni lill-Parlament Ewropew u lill-Kunsill: Nagħmlu l-aħjar użu min-NIS – lejn l-implimentazzjoni effettiva tad-Direttiva (UE) 2016/1148 dwar miżuri għal livell għoli komuni ta’ sigurtà tan-netwerks u tas-sistemi tal-informazzjoni madwar l-Unjoni (COM(2017) 476 final 2, 4.10.2017)

Ir-Rakkomandazzjoni tal-Kummissjoni (UE) 2017/1584 tat-13 ta’ Settembru 2017 dwar rispons koordinat għal inċidenti u kriżijiet taċ-ċibersigurtà fuq skala kbira (ĠU L 239, 19.9.2017, pp. 36-58)

Komunikazzjoni konġunta lill-Parlament Ewropew u lill-Kunsill — Reżiljenza, Deterrenza u Difiża: Il-Bini ta’ ċibersigurtà b’saħħitha għall-UE (JOIN(2017) 450 final, 13.9.2017)

Dokument ta’ ħidma tal-persunal tal-Kummissjoni — Valutazzjoni tal-istrateġija 2013 tal-UE għaċ-ċibersigurtà (SWD(2017) 295 final, 13.9.2017)

Ir-Regolament (UE) Nru 910/2014 tal-Parlament Ewropew u tal-Kunsill tat-23 ta’ Lulju 2014 dwar l-identifikazzjoni elettronika u s-servizzi fiduċjarji għal transazzjonijiet elettroniċi fis-suq intern u li jħassar id-Direttiva 1999/93/KE (ĠU L 257, 28.8.2014, pp. 73-114)

Id-Deċiżjoni tal-Kunsill 2013/488/UE tat-23 ta’ Settembru 2013 dwar ir-regoli tas-sigurtà għall-protezzjoni ta’ informazzjoni klassifikata tal-UE (ĠU L 274, 15.10.2013, pp. 1-50).

Emendi suċċessivi għad-Deċiżjoni 2013/488/UE ġew inkorporati fid-dokument oriġinali. Din il-verżjoni konsolidata għandha valur dokumentarju biss.

Id-Direttiva 2013/40/UE tal-Parlament Ewropew u tal-Kunsill tat-12 ta’ Awwissu 2013 dwar attakki kontra s-sistemi tal-informazzjoni u li tissostitwixxi d-Deċiżjoni Qafas tal-Kunsill 2005/222/ĠAI (ĠU L 218, 14.8.2013, pp. 8-14)

Ir-Regolament (UE) Nru 526/2013 tal-Parlament Ewropew u tal-Kunsill tal-21 ta’ Mejju 2013 dwar l-Aġenzija Ewropea dwar is-Sigurtà tan-Netwerks u l-Informazzjoni (ENISA) u li jħassar ir-Regolament (KE) Nru 460/2004 (ĠU L 165, 18.6.2013, pp. 41-58)

Komunikazzjoni konġunta lill-Parlament Ewropew, lill-Kunsill, lill-Kumitat Ekonomiku u Soċjali Ewropew u lill-Kumitat tar-Reġjuni — L-Istrateġija ta’ Ċibersigurtà tal-Unjoni Ewropea: Ċiberspazju Miftuħ, Sikur u Sigur (JOIN(2013) 1 final, 7.2.2013)

l-aħħar aġġornament 01.03.2018