Iċ-ċibersigurtà ta’ sistemi tan-netwerk u tal-informazzjoni (2022)

 

SOMMARJU TA’:

Id-Direttiva (UE) 2022/2555 dwar miżuri għal livell komuni għoli ta’ ċibersigurtà madwar l-UE

X’INHU L-GĦAN TAD-DIRETTIVA?

Id-direttiva, magħrufa bħala NIS2, tistabbilixxi qafas regolatorju komuni dwar iċ-ċibersigurtà bil-għan li ttejjeb il-livell taċ-ċibersigurtà fl-Unjoni Ewropea (UE), li tirrikjedi lill-Istati Membri tal-UE jsaħħu l-kapaċitajiet taċ-ċibersigurtà, u jintroduċu miżuri ta’ ġestjoni tar-riskju taċ-ċibersigurtà u rappurtar f’setturi kritiċi, flimkien ma’ regoli dwar kooperazzjoni, qsim ta’ informazzjoni, superviżjoni u infurzar.

PUNTI EWLENIN

Iċ-ċibersigurtà tirreferi għall-attivitajiet meħtieġa biex jiġu protetti s-sistemi tan-netwerk u tal-informazzjoni, l-utenti ta’ tali sistemi u persuni oħra affettwati minn theddid ċibernetiku.

Setturi kritiċi

Id-Direttiva tapplika prinċipalment għal entitajiet ta’ daqs medju u kbir li joperaw fis-setturi li ġejjin ta’ kritikalità għolja kif definit fl-Anness I.

• l-enerġija
  • l-elettriku, inklużi s-sistemi ta’ produzzjoni, distribuzzjoni u trażmissjoni u stazzjonijiet ta’ ċċarġjar;
  • it-tisħin u t-tkessiħ distrettwali;
  • iż-żejt, inklużi l-produzzjoni, il-ħażna u l-pipelines tat-trażmissjoni;
  • il-gass, inklużi s-sistemi ta’ provvista, distribuzzjoni u trażmissjoni u l-ħżin; u
  • l-idroġenu;
• It-trasport bl-ajru, bil-ferrovija, bl-ilma u bit-triq.
• l-infrastrutturi bankarji u finanzjarji tas-suq, bħal istituzzjonijiet ta’ kreditu, operaturi ta’ ċentri tan-negozjar u kontropartijiet ċentrali.
• is-saħħa, inklużi l-fornituri tal-kura tas-saħħa, il-manifatturi ta’ prodotti farmaċewtiċi bażiċi u apparati mediċi kritiċi, u l-laboratorji ta’ referenza tal-UE.
• ilma tajjeb għax-xorb;
• ilma mormi
• l-infrastruttura diġitali, inklużi l-fornituri tas-servizzi taċ-ċentri tad-data, is-servizzi tal-cloud computing, in-netwerks pubbliċi tal-komunikazzjoni elettronika u s-servizzi tal-komunikazzjoni elettronika disponibbli pubblikament.
• servizzi ġestiti fl-ICT (negozji ma’ negozji).
• l-spazju;
• l-amministrazzjoni pubblika fil-livelli ċentrali u reġjonali, barra mill-ġudikatura, il-parlamenti u l-banek ċentrali, għalkemm dan ma japplikax għal entitajiet ta’ amministrazzjoni pubblika li jwettqu attivitajiet fl-oqsma tas-sigurtà nazzjonali, sigurtà pubblika jew infurzar tal-liġi.

Dan japplika wkoll għal setturi kritiċi oħra, kif definiti fl-Anness II:

• is-servizzi tal-posta u tal-kurrier;
• il-ġestjoni tal-iskart;
• il-manifattura, il-produzzjoni u d-distribuzzjoni kimika;
• il-produzzjoni, l-ipproċessar u d-distribuzzjoni tal-ikel;
• il-manifattura, speċifikament apparat mediku, kompjuters, prodotti elettroniċi u ottiċi, ċerti tipi ta’ tagħmir u makkinarju elettriku, vetturi bil-mutur u tagħmir ieħor tat-trasport;
• il-fornituri diġitali tas-swieq online, tal-magni tat-tiftix u tan-netwerks soċjali; u
• l-organizzazzjonijiet ta’ riċerka

Strateġija nazzjonali għaċ-ċibersigurtà

Kull Stat Membru għandu jadotta strateġija nazzjonali biex jikseb u jżomm livell għoli ta’ ċibersigurtà fis-setturi kritiċi, inklużi:

• qafas ta’ governanza li jiċċara r-rwoli u r-responsabbiltajiet għall-partijiet interessati rilevanti fil-livell nazzjonali;
• politiki li jindirizzaw is-sigurtà tal-ktajjen tal-provvista;
• politiki dwar il-ġestjoni tal-vulnerabbiltajiet;
• politiki dwar il-promozzjoni u l-iżvilupp ta’ edukazzjoni u taħriġ dwar iċ-ċibersigurtà; u
• miżuri biex itejbu s-sensibilizzazzjoni taċ-ċibersigurtà fost iċ-ċittadini.

L-Istati Membri jridu jistabbilixxu lista ta’ entitajiet essenzjali u importanti, flimkien ma’ entitajiet li jipprovdu servizzi tar-reġistrazzjoni tal-isem tad-dominju, sas-17 ta’ April 2025. Huma jridu jirrevedu u, fejn ikun xieraq, jaġġornaw dik il-lista regolarment, u tal-inqas kull sentejn wara. Il-Kummissjoni Ewropea adottat linji gwida fir-rigward tal-informazzjoni li trid tinġabar meta jagħmlu dawn il-listi, flimkien ma’ mudell biex dawn isiru.

Il-Kummissjoni ħarġet ukoll linji gwida li jiċċaraw ir-regoli dwar ir-relazzjoni bejn id-Direttiva (UE) 2022/2555 u atti legali tal-UE dwar setturi speċifiċi kurrenti u futuri li jindirizzaw il-miżuri tal-ġestjoni tar-riskju taċ-ċibersigurtà jew rekwiżiti dwar rappurtar dwar inċidenti L-appendiċi għal-linji gwida jipprovdu lista mhux eżawrjenti tal-atti legali speċifiċi għas-settur li l-Kummissjoni tqis li jaqgħu taħt l-iskop tad-Direttiva (UE) 2022/2555.

Timijiet tar-rispons ta’ inċidenti fuq is-sigurtà tal-komputer

Timijiet ta’ rispons għal inċidenti relatati mas-sigurtà tal-kompjuters (CSIRTs) jipprovdu assistenza teknika lill-entitajiet, inkluż billi:

• monitoraġġ u analiżi ta’ theddid ċiber, vulnerabbiltajiet u inċidenti fil-livell nazzjonali.
• jipprovdu twissijiet bikrija, avviżi u informazzjoni lill-entitajiet ikkonċernati u lil partijiet ikkonċernati oħra dwar theddid ċibernetiku, vulnerabbiltajiet u inċidenti, jekk possibbli fi żmien kważi reali;
• iwieġbu għal inċidenti u jipprovdu assistenza fejn applikabbli;
• jiġbru u janalizzaw data forensika u jagħtu analiżi tar-riskju u tal-inċidenti u għarfien tas-sitwazzjoni dwar iċ-ċibersigurtà; u
• jipprovdu, fuq talba, network proattiv u skennjar tas-sistema tal-informazzjoni biex jikxfu vulnerabbiltajiet ta’ impatt potenzjali sinifikanti

In-networks CSIRTs

Id-direttiva tistabbilixxi netwerk ta’ CSIRTs nazzjonali biex tippromwovi kooperazzjoni operattiva effikaċi.

Kxif ta’ vulnerabbiltajiet ikkoordinati

L-Istati Membri jeħtieġ li:

• jaħtru wieħed mis-CSIRTs tagħhom biex jikkoordinaw l-iżvelar tal-vulnerabbiltajiet skoperti fi prodotti jew servizzi tal-ICT; u
• jiżguraw li l-persuni fl-Istati Membri jkunu jistgħu jirrapportaw vulnerabbiltajiet, anonimiment jekk jintalbu.

L-Aġenzija tal-Unjoni Ewropea għaċ-Ċibersigurtà (ENISA) ser tiżviluppa u żżomm bażi ta’ data ta’ vulnerabbiltà

Gruppi ta’ kooperazzjoni

Id-direttiva tistabbilixxi grupp ta’ kooperazzjoni biex jappoġġa u jiffaċilita l-kooperazzjoni strateġika u l-iskambju ta’ informazzjoni. Dan hu magħmul minn rappreżentanti tal-Istati Membri, il-Kummissjoni u ENISA. Fejn ikun xieraq, il-grupp ta’ kooperazzjoni jista’ jistieden lill-Parlament Ewropew u rappreżentanti ta’ partijiet ikkonċernati biex jipparteċipaw fix-xogħol tiegħu.

In-network Ewropew tal-organizzazzjoni għal kooperazzjoni fuq il-kriżi ċiber

in-network Ewropew tal-organizzazzjoni għal kooperazzjoni fuq il-kriżi ċiber (EU-CyCLONe) hu network li fih rappreżentanti tal-awtoritajiet tal-ġestjoni tal-kriżi ċiber ta’ Stati Membri, flimkien mal-Kummissjoni f’każijiet fejn inċident potenzjali jew kontinwu taċ-ċibersigurtà għandu jew x’aktarx ikollu impatt sinifikanti fuq is-setturi koperti mid-direttiva. F’każijiet oħra, il-Kummissjoni ser tipparteċipa fl-attivitajiet tan-network bħala osservatur.

In-network jappoġġja l-ġestjoni kkoordinata ta’ inċidenti taċ-ċibersigurtà u kriżijiet fil-livell operattiv u tassikura l-iskambju regolari ta’ informazzjoni fost l-Istati Membri u l-istituzzjonijiet tal-UE, entitajiet u aġenziji tal-UE.

In-network huwa inkarigat, fost l-oħrajn, bi:

• il-koordinazzjoni tal-ġestjoni ta’ inċidenti u kriżijiet taċ-ċibersigurtà fuq skala kbira u l-appoġġ għat-teħid ta’ deċiżjonijiet fil-livell politiku;
• iż-żieda fit-tħejjija;
• l-iżvilupp ta’ għarfien tas-sitwazzjoni kondiviża; u
• il-valutazzjoni tal-konsegwenzi u l-impatt ta’ inċidenti u kriżijiet taċ-ċibersigurtà fuq skala kbira u l-proponiment ta’ miżuri ta’ mitigazzjoni possibbli.

Rapportar

L-entitajiet għandhom jinnotifikaw lis-CSIRT jew lill-awtorità rilevanti tagħhom bi kwalunkwe inċident li:

• jista’ jikkawża jew ikun kapaċi jikkawża tfixkil operattiv jew telf finanzjarju gravi għall-entità;
• affettwat jew jista’ jaffettwa lil oħrajn għax jikkawża dannu kunsiderevoli materjali jew mhux materjali.

Barra minn dan, ENISA ser tipproduċi, f’kooperazzjoni mal-Kummissjoni u l-grupp ta’ kooperazzjoni, rapport biennali fuq l-istat taċ-ċibersigurtà fl-UE, li ser ikun sottomess ukoll lil Parlament.

Superviżjoni u infurzar

Id-direttiva tipprovdi għal rimedji u sanzjonijiet biex jiġi żgurat l-infurzar.

Evalwazzjonijiet bejn il-pari

Evalwazzjonijiet bejn il-pari jitwaqqfu bil-għan li jitgħallmu minn esperjenzi kondiviżi, it-tisħiħ ta’ fiduċja reċiproka, il-kisba ta’ livell għoli komuni taċ-ċibersigurtà u t-tisħiħ tal-kapaċitajiet taċ-ċibersigurtà u l-politiki bżonnjużi għall-implimentazzjoni ta’ din id-direttiva. Dawn ir-reviżjonijiet jinvolvu żjarat fiżiċi jew virtwali fuq il-post u skambji ta’ informazzjoni mhux fuq il-post. Il-parteċipazzjoni f’dawn l-evalwazzjonijiet bejn il-pari hija volontarja.

MINN META JAPPLIKAW IR-REGOLI?

Id-direttiva għandha tiġi trasposta f’liġi nazzjonali sas-17 ta’ Ottubru 2024. Ir-regoli ser japplikaw mit-18 ta’ Ottubru 2024.

SFOND

Id-direttiva tħassar id-Direttiva (UE) 2016/1148 (ara sommarju) mit-18 ta’ Ottubru 2024.

Għal aktar informazzjoni, ara:

• Ċibersigurtà (il-Kummissjoni Ewropea).
• Ċibersigurtà: Kif l-UE tindirizza theddid ċiber (il-Kunsill tal-Unjoni Ewropea).
• Kif l-UE twieġeb għall-kriżijiet u tibni r-reżiljenza (il-Kunsill Ewropew, il-Kunsill tal-Unjoni Ewropea)
• Futur diġitali għall-Ewropa (il-Kunsill Ewropew, il-Kunsill tal-Unjoni Ewropea).

DOKUMENT PRINĊIPALI

Id-Direttiva (UE) 2022/2555 tal-Parlament Ewropew u tal-Kunsill tal-14 ta’ Diċembru 2022 dwar miżuri għal livell għoli komuni ta’ ċibersigurtà madwar l-Unjoni, li temenda r-Regolament (UE) Nru 910/2014 u d-Direttiva (UE) 2018/1972, u li tħassar id-Direttiva (UE) 2016/1148 (NIS 2 Direttiva) (ĠU L 333, 27.12.2022, pp. 80–152).

Emendi suċċessivi għad-Direttiva (UE) 2022/2555 ġew inkorporati fil-verżjoni oriġinali. Din il-verżjoni konsolidata għandha valur dokumentarju biss.

DOKUMENTI RELATATI

Il-Komunikazzjoni tal-Kummissjoni — Linji Gwida tal- Kummissjoni dwar l-applikazzjoni tal-Artikolu 3(4) tad-Direttiva (UE) 2022/2555 (Direttiva NIS 2) 2023/C 324/02 (ĠU L 324, 14.9.2023, pp. 2–7).

Il-Komunikazzjoni tal-Kummissjoni — Linji Gwida tal- Kummissjoni dwar l-applikazzjoni tal-Artikolu 4(1) u (2) tad-Direttiva (UE) 2022/2555 (Direttiva NIS 2) 2023/C 328/02 (ĠU L 328, 18.9.2023, pp. 2–10).

Ir-Regolament (UE) 2022/2554 tal-Parlament Ewropew u tal-Kunsill tal-14 ta’ Diċembru 2022 dwar ir-reżiljenza operazzjonali diġitali għas-settur finanzjarju u li jemenda r-Regolamenti (KE) Nru 1060/2009, (UE) Nru 648/2012, (UE) Nru 600/2014, (UE) Nru 909/2014 u (UE) 2016/1011 (ĠU L 333, 27.12.2022, pp. 1–79).

Id-Direttiva (UE) 2022/2557 tal-Parlament Ewropew u tal-Kunsill tal-14 ta’ Diċembru 2022 dwar ir-reżiljenza tal-entitajiet kritiċi u li tħassar id-Direttiva tal-Kunsill 2008/114/KE (Test b’rilevanza għaż-ŻEE) (ĠU L 333, 27.12.2022, pp. 164–198).

Ir-Regolament (UE) 2021/696 tal-Parlament Ewropew u tal-Kunsill tat-28 ta’ April 2021 li jistabbilixxi l-Programm Spazjali tal-Unjoni u l-Aġenzija tal-Unjoni Ewropea għall-Programm Spazjali u li jħassar ir-Regolamenti (UE) Nru 912/2010, (UE) Nru 1285/2013 u, (UE) Nru 377/2014 u d-Deċiżjoni Nru 541/2014/UE (ĠU L 170, 12.5.2021, pp. 69–148).

Ir-Regolament (UE) 2021/694 tal-Parlament Ewropew u tal-Kunsill tad-29 ta’ April 2021 li jistabbilixxi l-Programm Ewropa Diġitali u li jħassar id-Deċiżjoni (UE) 2015/2240 (ĠU L 166, 11.5.2021, pp. 1–34).

Ara l-verżjoni konsolidata.

Ir-Regolament (UE) 2019/881 tal-Parlament Ewropew u tal-Kunsill tas-17 ta’ April 2019 dwar l-ENISA (l-Aġenzija tal-Unjoni Ewropea għaċ-Ċibersigurtà) u dwar iċ-ċertifikazzjoni taċ-ċibersigurtà tat-teknoloġija tal-informazzjoni u tal-komunikazzjoni u li jħassar ir-Regolament (UE) Nru 526/2013 (l-Att dwar iċ-Ċibersigurtà) (ĠU L 151, 7.6.2019, pp. 15–69).

Rakkomandazzjoni tal-Kummissjoni (UE) 2019/534 tas-26 ta’ Marzu 2019 Ċibersigurtà ta’ netwerks 5G (ĠU L 88, 29.3.2019, pp. 42–47).

Ir-Regolament (UE) 2018/1139 tal-Parlament Ewropew u tal-Kunsill tal-4 ta’ Lulju 2018 dwar regoli komuni fil-qasam tal-avjazzjoni ċivili u li jistabbilixxi Aġenzija tas-Sikurezza tal-Avjazzjoni tal-Unjoni Ewropea, u li jemenda r-Regolamenti (KE) Nru 2111/2005, (KE) Nru 1008/2008, (UE) Nru 996/2010, (UE) Nru 376/2014 u d-Direttivi 2014/30/UE u 2014/53/UE tal-Parlament Ewropew u tal-Kunsill, u li jħassar ir-Regolamenti (KE) Nru 552/2004 u (KE) Nru 216/2008 tal-Parlament Ewropew u tal-Kunsill u r-Regolament tal-Kunsill (KEE) Nru 3922/91 (ĠU L 212, 22.8.2018, pp. 1–122).

Ara l-verżjoni konsolidata.

Id-Deċiżjoni ta’ Implimentazzjoni tal-Kunsill (UE) 2018/1993 tal-11 ta’ Diċembru 2018 dwar l-Arranġamenti Integrati tal-UE għal Rispons Politiku f’Sitwazzjonijiet ta’ Kriżi (ĠUJ L 320, 17.12.2018, pp. 28–34).

Id-Direttiva (UE) 2018/1972 tal-Parlament Ewropew u tal-Kunsill tal-11 ta’ Diċembru 2018 li tistabbilixxi l-Kodiċi Ewropew għall-Komunikazzjonijiet Elettroniċi (Riformulazzjoni) (ĠU L 321, 17.12.2018, pp. 36–214).

Ara l-verżjoni konsolidata.

Rakkomandazzjoni tal-Kummissjoni (UE) 2017/1584 tat-13 ta’ Settembru 2017 dwar rispons ikoordinat għal inċidenti u kriżijiet taċ-ċibersigurtà fuq skala kbira (ĠU L 239, 19.9.2017, pp. 36–58).

Ir-Regolament (UE) 2016/679 tal-Parlament Ewropew u tal-Kunsill tas-27 ta’ April 2016 dwar il-protezzjoni tal-persuni fiżiċi fir-rigward tal-ipproċessar ta’ data personali u dwar il-moviment liberu ta’ tali data, u li jħassar id-Direttiva 95/46/KE (Regolament Ġenerali dwar il-Protezzjoni tad-Data) (ĠU L 119, 4.5.2016, pp. 1–88).

Ara l-verżjoni konsolidata.

Ir-Regolament (UE) Nru 910/2014 tal-Parlament Ewropew u tal-Kunsill tat-23 ta’ Lulju 2014 dwar l-identifikazzjoni elettronika u s-servizzi fiduċjarji għal transazzjonijiet elettroniċi fis-suq intern u li jħassar id-Direttiva 1999/93/KE (ĠU L 257, 28.8.2014, pp. 73–114).

Id-Direttiva 2013/40/UE tal-Parlament Ewropew u tal-Kunsill tat-12 ta’ Awwissu 2013 dwar attakki kontra s-sistemi tal-informazzjoni u li tissostitwixxi d-Deċiżjoni Qafas tal-Kunsill 2005/222/ĠAI (ĠU L 218, 14.8.2013, pp. 8–14).

Id-Deċiżjoni Nru 1313/2013/UE tal-Parlament Ewropew u tal-Kunsill tas-17 ta’ Diċembru 2013 dwar Mekkaniżmu tal-Unjoni għall-Protezzjoni Ċivili (ĠU L 347, 20.12.2013, pp. 924–947).

Ara l-verżjoni konsolidata.

Id-Direttiva 2011/93/UE tal-Parlament Ewropew u tal-Kunsill tat-13 ta’ Diċembru 2011 dwar il-ġlieda kontra l-abbuż sesswali u l-isfruttament sesswali tat-tfal u l-pedopornografija, u li tissostitwixxi d-Deċiżjoni Kwadru tal-Kunsill 2004/68/ĠAI (ĠU L 335, 17.12.2011, pp. 1–14).

Ara l-verżjoni konsolidata.

Ir-Regolament (KE) Nru 300/2008 tal-Parlament Ewropew u tal-Kunsill tal-11 ta’ Marzu 2008 dwar regoli komuni fil-qasam tas-sigurtà tal-avjazzjoni ċivili u li jħassar ir-Regolament (KE) Nru 2320/2002 (ĠU L 97, 9.4.2008, pp. 72–84).

Ara l-verżjoni konsolidata.

Id-Direttiva 2002/58/KE tal-Parlament Ewropew u tal-Kunsill tat-12 ta’ Lulju 2002 dwar l-ipproċessar tad-data personali u l-protezzjoni tal-privatezza fis-settur tal-komunikazzjoni elettronika (Direttiva dwar il-privatezza u l-komunikazzjonijiet elettroniċi) (ĠU L 201, 31.7.2002, pp. 37–47).

Ara l-verżjoni konsolidata.

l-aħħar aġġornament 03.05.2024