Accept Refuse

EUR-Lex Access to European Union law

This document is an excerpt from the EUR-Lex website

Document 32018R0151

Regolament ta' Implimentazzjoni tal-Kummissjoni (UE) 2018/151 tat-30 ta' Jannar 2018 li jistabbilixxi r-regoli għall-applikazzjoni tad-Direttiva (UE) 2016/1148 tal-Parlament Ewropew u tal-Kunsill fir-rigward ta' speċifikazzjoni ulterjuri tal-elementi li għandhom iqisu l-fornituri tas-servizzi diġitali għall-ġestjoni tar-riskji għas-sigurtà tan-netwerks u tas-sistemi tal-informazzjoni u tal-parametri għad-determinazzjoni dwar jekk inċident għandux impatt sostanzjali

C/2018/0471

OJ L 26, 31.1.2018, p. 48–51 (BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

In force

ELI: http://data.europa.eu/eli/reg_impl/2018/151/oj

31.1.2018   

MT

Il-Ġurnal Uffiċjali tal-Unjoni Ewropea

L 26/48


REGOLAMENT TA' IMPLIMENTAZZJONI TAL-KUMMISSJONI (UE) 2018/151

tat-30 ta' Jannar 2018

li jistabbilixxi r-regoli għall-applikazzjoni tad-Direttiva (UE) 2016/1148 tal-Parlament Ewropew u tal-Kunsill fir-rigward ta' speċifikazzjoni ulterjuri tal-elementi li għandhom iqisu l-fornituri tas-servizzi diġitali għall-ġestjoni tar-riskji għas-sigurtà tan-netwerks u tas-sistemi tal-informazzjoni u tal-parametri għad-determinazzjoni dwar jekk inċident għandux impatt sostanzjali

IL-KUMMISSJONI EWROPEA,

Wara li kkunsidrat it-Trattat dwar il-Funzjonament tal-Unjoni Ewropea,

Wara li kkunsidrat id-Direttiva (UE) 2016/1148 tal-Parlament Ewropew u tal-Kunsill tas-6 ta' Lulju 2016 dwar miżuri għal livell għoli komuni ta' sigurtà tan-netwerks u tas-sistemi tal-informazzjoni madwar l-Unjoni (1), u b'mod partikolari l-Artikolu 16(8) tagħha,

Billi:

(1)

Skont id-Direttiva (UE) 2016/1148, il-fornituri tas-servizzi diġitali jibqgħu liberi li jieħdu miżuri tekniċi u organizzattivi li huma jikkunsidraw xierqa u proporzjonati biex iġestixxu r-riskju għas-sigurtà tan-netwerks u tas-sistemi tal-informazzjoni tagħhom, sakemm dawk il-miżuri jiżguraw livell adegwat ta' sigurtà u jqisu l-elementi previsti f'dik id-Direttiva.

(2)

Meta jidentifikaw il-miżuri tekniċi u organizzattivi li huma xierqa u proporzjonati, il-fornituri tas-servizzi diġitali jenħtieġ jindirizzaw is-sigurtà tal-informazzjoni b'mod sistematiku billi jużaw approċċ ibbażat fuq ir-riskju.

(3)

Sabiex jiżguraw is-sigurtà tas-sistemi u tal-faċilitajiet, il-fornituri tas-servizzi diġitali jenħtieġ li jwettqu proċeduri ta' valutazzjoni u analiżi. Dawn l-attivitajiet jenħtieġ li jikkonċernaw il-ġestjoni sistematika tan-network u tas-sistemi tal-informazzjoni, is-sigurtà fiżika u ambjentali, is-sigurtà tal-provvisti u l-kontrolli tal-aċċess.

(4)

Meta l-fornituri tas-servizzi diġitali jwettqu analiżi tar-riskju fi ħdan il-ġestjoni sistematika tan-network u tas-sistemi tal-informazzjoni, dawn jenħtieġ li jiġu mħeġġa jidentifikaw riskji speċifiċi u jikkwantifikaw is-sinifikat tagħhom, pereżempju billi jidentifikaw it-theddid għall-assi kritiċi u kif dawn jistgħu jaffettwaw l-operazzjonijiet, u jiddeterminaw l-aħjar mod kif jimmitigaw dak it-theddid abbażi tal-kapaċitajiet attwali u tal-ħtiġijiet tar-riżorsi.

(5)

Il-politiki dwar ir-riżorsi umani jistgħu jirreferu għall-ġestjoni tal-ħiliet, inkluż aspetti marbuta mal-iżvilupp tal-ħiliet marbuta mas-sigurtà u mas-sensibilizzazzjoni. Meta jiddeċiedu dwar sett ta' politiki xierqa dwar is-sigurtà tal-operazzjoni, il-fornituri tas-servizzi diġitali jenħtieġ jiġu mħeġġa jqisu l-aspetti tal-ġestjoni tal-bidla, il-ġestjoni tal-vulnerabbiltà, il-formalizzazzjoni tal-operat u tal-prattiċi amministrattivi u l-immappjar tas-servizz.

(6)

Il-politiki dwar l-arkitettura tas-sigurtà jistgħu jikkompromettu b'mod partikolari s-segregazzjoni tan-netwerks u tas-sistemi kif ukoll miżuri speċifiċi tas-sigurtà għall-operazzjonijiet kritiċi bħall-operazzjonijiet ta' amministrazzjoni. Is-segregazzjoni tan-netwerks u tas-sistemi tista' tgħin lil fornitur tas-servizzi diġitali biex jiddistingwi bejn elementi bħall-flussi tad-dejta u r-riżorsi komputazzjonali li jappartjenu għal klijent, grupp ta' klijenti, il-fornitur tas-servizzi diġitali jew partijiet terzi.

(7)

Il-miżuri li jittieħdu fir-rigward tas-sigurtà fiżika u ambjentali jenħtieġ li jiżguraw is-sigurtà tan-network u tas-sistemi tal-informazzjoni tal-organizzazzjoni kontra l-ħsara kkawżata minn inċidenti bħal serq, nirien, għargħar jew effetti oħra tat-temp, telf tat-telekomunikazzjonijiet jew tal-elettriku.

(8)

Is-sigurtà tal-provvista bħall-elettriku, il-fjuwil jew it-tkessiħ jenħtieġ tinkludi s-sigurtà tal-katina tal-provvista li tinkludi b'mod partikolari s-sigurtà tal-kuntratturi u tas-sottokuntratturi tal-parti terza u l-ġestjoni tagħhom. It-traċċabbiltà tal-provvisti kritiċi tirreferi għall-abbiltà tal-fornitur tas-servizz diġitali li jidentifika u jirreġistra sorsi ta' dawk il-provvisti.

(9)

L-utenti tas-servizzi diġitali jenħtieġ jinkludu persuni fiżiċi u ġuridiċi li huma klijenti jew abbonati ta' suq online jew ta' servizz tal-cloud computing, jew iżuru sit web ta' magna tat-tiftix online sabiex ifittxu ċertu kliem ewlieni.

(10)

Meta tiġi definita s-sostanzjalità tal-impatt ta' inċident, il-każijiet deskritti f'dan ir-Regolament jenħtieġ jiġu kkunsidrati bħala lista mhux eżawrjenti ta' inċidenti sostanzjali. Jenħtieġ li jingħarfu l-lezzjonijiet miksuba mill-implimentazzjoni ta' dan ir-Regolament u mill-ħidma tal-Grupp ta' Kooperazzjoni fejn jidħol il-ġbir ta' informazzjoni fuq l-aħjar prattika marbuta mar-riskji u mal-inċidenti u fejn jidħlu d-diskussjonijiet dwar il-modalitajiet għar-rappurtar tan-notifiki tal-inċidenti kif jissemma fil-punti (i) u (m) tal-Artikolu 11(3) tad-Direttiva (UE) 2016/1148. L-eżitu jista' jkun linji gwida komprensivi dwar il-livelli limiti kwantitattivi tal-parametri tan-notifika li jistgħu jiskattaw l-obbligu tan-notifika għall-fornituri tas-servizzi diġitali skont l-Artikolu 16(3) tad-Direttiva (UE) 2016/1148. Meta jkun jixraq, il-Kummissjoni tista' tikkunsidra wkoll li terġa' teżamina l-livelli limiti li bħalissa huma stabbiliti f'dan ir-Regolament.

(11)

Sabiex l-awtoritajiet kompetenti jkunu jistgħu jiġu informati dwar riskji ġodda potenzjali, il-fornituri tas-servizzi diġitali jenħtieġ li jitħeġġu biex minn jeddhom jirrapportaw kwalunkwe inċident li l-karatteristiċi tiegħu ma jkunux għadhom saru midħla tagħhom bħal sfruttamenti, attakki vettorjali jew atturi ta' theddid, vulnerabbiltajiet u perikli ġodda.

(12)

Dan ir-Regolament jenħtieġ li japplika fil-jum ta' wara t-tmiem tal-iskadenza għat-traspożizzjoni tad-Direttiva (UE) 2016/1148.

(13)

Il-miżuri previsti f'dan ir-Regolament huma skont l-opinjoni tal-Kumitat għas-Sigurtà tan-Networks u tas-Sistemi tal-Informazzjoni msemmi fl-Artikolu 22 tad-Direttiva (UE) 2016/1148,

ADOTTAT DAN IR-REGOLAMENT:

Artikolu 1

Suġġett

Dan ir-Regolament jispeċifika aktar l-elementi li jridu jqisu l-fornituri tas-servizzi diġitali meta jkunu qed jidentifikaw u jieħdu l-miżuri biex jiżguraw ċertu livell ta' sigurtà tan-netwerks u tas-sistemi tal-informazzjoni li jkunu qed jużaw fil-kuntest tas-servizzi li qed joffru kif imsemmi fl-Anness III tad-Direttiva (UE) 2016/1148 u jispeċifika aktar il-parametri li jridu jitqisu biex jiġi ddeterminat jekk inċident għandux impatt sostanzjali fuq il-forniment ta' dawk is-servizzi.

Artikolu 2

Elementi tas-sigurtà

1.   Is-sigurtà tas-sistemi u tal-faċilitajiet kif imsemmi fil-punt (a) tal-Artikolu 16(1) tad-Direttiva (UE) 2016/1148 tfisser is-sigurtà tan-network u tas-sistemi tal-informazzjoni u tal-ambjent fiżiku tagħhom u għandha tinkludi dawn l-elementi li ġejjin:

(a)

il-ġestjoni sistematika tan-netwerks u tas-sistemi tal-informazzjoni li tfisser l-immappjar tas-sistemi tal-informazzjoni u l-istabbiliment ta' sett ta' politiki xierqa għall-ġestjoni tas-sigurtà tal-informazzjoni, inkluż analiżi tar-riskju, ir-riżorsi umani, is-sigurtà tal-operazzjonijiet, arkitettura tas-sigurtà, dejta sigura u ġestjoni taċ-ċiklu tal-ħajja tas-sistema u fejn applikabbli, kriptaġġ u l-ġestjoni tiegħu.

(b)

is-sigurtà fiżika u ambjentali li tfisser id-disponibbiltà ta' sett ta' miżuri għall-protezzjoni tas-sigurtà tan-network u tas-sistemi tal-informazzjoni tal-fornituri tas-servizzi diġitali kontra l-ħsara permezz tal-użu ta' approċċ ibbażat fuq ir-riskju tal-perikli kollha, li jindirizza pereżempju falliment tas-sistema, żball uman, azzjoni malizzjuża jew fenomenu naturali

(c)

is-sigurtà tal-provvisti li tfisser l-istabbiliment u ż-żamma ta' politiki xierqa li jiżguraw l-aċċessibbiltà u, fejn applikabbli, it-traċċabbiltà tal-provvisti kritiċi użati fil-forniment tas-servizzi;

(d)

il-kontrolli tal-aċċess għan-network u għas-sistemi tal-informazzjoni li tfisser id-disponibbiltà ta' sett ta' miżuri sabiex jiżguraw li l-aċċess fiżiku u loġiku għan-network u għas-sistemi tal-informazzjoni, inkluż is-sigurtà amministrattiva tan-network u tas-sistemi tal-informazzjoni, tkun awtorizzata u ristretta abbażi tar-rekwiżiti tan-negozju u tas-sigurtà.

2.   Fir-rigward tat-trattament tal-inċidenti msemmi fil-punt (b) tal-Artikolu 16(1) tad-Direttiva (UE) 2016/1148, il-miżuri li jieħu l-fornitur tas-servizzi diġitali għandhom jinkludu:

(a)

iż-żamma u l-ittestjar tal-proċessi u tal-proċeduri ta' detezzjoni biex tkun żgurata sensibilizzazzjoni f'waqtha u adegwata tal-avvenimenti anomali;

(b)

proċessi u politiki dwar ir-rapportar tal-inċidenti u l-identifikazzjoni tad-dgħufiji u tal-vulnerabbiltajiet fis-sistemi tal-informazzjoni tagħhom;

(c)

reazzjoni skont il-proċeduri stabbiliti u rapportar tar-riżultati tal-miżura meħuda;

(d)

valutazzjoni tal-gravità tal-inċident, dokumentar tat-tagħrif mill-analiżi tal-inċident, u ġbir ta' informazzjoni rilevanti li jistgħu jservu ta' evidenza u appoġġ għal proċess ta' titjib kontinwu.

3.   Il-ġestjoni tal-kontinwità tan-negozju kif imsemmi fil-punt (c) tal-Artikolu 16(1) tad-Direttiva (UE) 2016/1148 tfisser il-kapaċità ta' organizzazzjoni li żżomm jew treġġa' lura kif xieraq l-għoti ta' servizzi skont il-livelli predefiniti aċċettabbli wara inċident ta' tfixkil, u dan għandha tinkludi:

(a)

l-istabbiliment u l-użu ta' pjanijiet ta' kontinġenza bbażati fuq analiżi tal-impatt tan-negozju biex tkun żgurata l-kontinwità tas-servizzi min-naħa tal-fornituri tas-servizzi diġitali li għandhom jiġu vvalutati u ttestjati b'mod regolari, pereżempju permezz ta' eżerċizzji;

(b)

il-kapaċitajiet tal-irkupru minn diżastru li għandhom jiġu vvalutati u ttestjati b'mod regolari, pereżempju permezz ta' eżerċizzji.

4.   Il-monitoraġġ, l-awditjar u l-ittestjar kif imsemmi fil-punt (d) tal-Artikolu 16(1) tad-Direttiva (UE) 2016/1148 għandhom jinkludu l-istabbiliment u ż-żamma ta' politiki dwar:

(a)

it-twettiq ta' sekwenza ppjanata ta' osservazzjonijiet jew ta' miżuri biex jiġi valutat jekk in-netwerks u s-sistemi tal-informazzjoni humiex jaħdmu kif suppost;

(b)

spezzjoni u verifika biex jiġu verifikat jekk hux qed jiġi segwit xi standard jew xi sett ta' linji gwida, li r-rekords huma preċiżi, u li l-miri tal-effiċjenza u tal-effettività qed jintlaħqu;

(c)

proċess maħsub biex jiżvela n-nuqqasijiet fil-mekkaniżmi tas-sigurtà tan-netwerk u tas-sistema tal-informazzjoni li jipproteġu d-dejta u jżommu l-funzjonalità kif suppost. Dan il-proċess għandu jinkludi proċessi tekniċi u lill-persunal involut fil-fluss tal-operazzjoni.

5.   L-istandards internazzjonali msemmija fil-punt (e) tal-Artikolu 16(1) tad-Direttiva (UE) 2016/1148 tfisser standards li jadotta korp internazzjonali tal-istandardizzazzjoni kif imsemmi fil-punt (a) tal-Artikolu 2(1) tar-Regolament (UE) Nru 1025/2012 tal-Parlament Ewropew u tal-Kunsill (2). Skont l-Artikolu 19 tad-Direttiva (UE) 2016/1148, jistgħu jintużaw ukoll standards u speċifikazzjonijiet aċċettati fil-livell Ewropew jew f'dak internazzjonali li jkunu rilevanti għas-sigurtà tan-network u tas-sistemi tal-informazzjoni, inkluż standards nazzjonali eżistenti.

6.   Il-fornituri tas-servizzi diġitali għandhom jiżguraw li għandhom dokumentazzjoni adegwata disponibbli biex iħeġġu lill-awtorità kompetenti tivverifika l-konformità mal-elementi tas-sigurtà stabbiliti fil-paragrafi 1, 2, 3, 4 u 5.

Artikolu 3

Parametri li għandhom jitqiesu għad-determinazzjoni dwar jekk l-impatt ta' inċident huwiex sostanzjali

1.   Fir-rigward tal-għadd ta' utenti affettwati minn inċident, b'mod partikolari l-utenti li jiddependu mis-servizz għall-forniment tas-servizzi tagħhom stess kif imsemmi fil-punt (a) tal-Artikolu 16(4) tad-Direttiva (UE) 2016/1148, il-fornitur tas-servizzi diġitali għandu jkun f'pożizzjoni li jistima kwalunkwe minn dawn li ġejjin:

(a)

l-għadd ta' persuni fiżiċi u ġuridiċi affettwati li magħhom ġie konkluż kuntratt għall-forniment tas-servizz; jew

(b)

l-għadd ta' utenti effettwati li jkunu użaw is-servizz, b'mod partikolari abbażi ta' dejta tat-traffiku preċedenti.

2.   Id-durata ta' inċident imsemmija fil-punt (b) tal-Artikolu 16(4) tfisser il-perjodu ta' żmien mill-mument meta jitfixkel il-forniment sew tas-servizzi mil-lat ta' disponibbiltà, awtentiċità, integrità jew kunfidenzjalità sal-mument tal-irkupru.

3.   F'dak li jikkonċerna t-tifrix ġeografiku fir-rigward taż-żona affettwata mill-inċident imsemmi fil-punt (c) tal-Artikolu 16(4) tad-Direttiva (UE) 2016/1148, il-fornitur tas-servizzi diġitali għandu jkun f'pożizzjoni li jidentifika jekk l-inċident jaffettwax il-forniment tas-servizzi tiegħu fi Stati Membri speċifiċi.

4.   L-estent tat-tfixkil tal-funzjonament tas-servizz imsemmi fil-punt (d) tal-Artikolu 16(4) tad-Direttiva (UE) 2016/1148 għandu jitkejjel fir-rigward ta' waħda jew aktar mill-karatteristiċi milquta ħażin bl-inċident li ġejjin: id-disponibbiltà, l-awtentiċità, l-integrità jew il-kunfidenzjalità tad-dejta jew ta' servizzi relatati.

5.   Fir-rigward tal-estent tal-impatt fuq l-attivitajiet ekonomiċi u tas-soċjetà msemmija fil-punt (e) tal-Artikolu 16(4) tad-Direttiva (UE) 2016/1148, il-fornitur tas-servizzi diġitali għandu jkun jista' jikkonkludi, abbażi tal-indikazzjonijiet bħan-natura tar-relazzjonijiet kuntrattwali tiegħu mal-klijent jew, fejn xieraq, l-għadd potenzjali ta' utenti affettwati, jekk l-inċident ikkawżax telf materjali jew mhux materjali sinifikanti għall-utenti bħal b'rabta mas-saħħa, is-sikurezza jew xi ħsara lill-proprjetà.

6.   Għal fini tal-paragrafi 1, 2, 3, 4 u 5, il-fornituri tas-servizz diġitali ma għandhomx ikunu meħtieġa jiġbru informazzjoni addizzjonali li ma għandhomx aċċess għaliha.

Artikolu 4

Impatt sostanzjali ta' inċident

1.   Inċident għandu jiġi kkunsidrat li għandu impatt sostanzjali meta sseħħ mill-inqas waħda mis-sitwazzjonijiet li ġejjin:

(a)

Is-servizz fornut minn fornitur tas-servizzi diġitali ma kienx disponibbli għal aktar minn 5 000 000 siegħa tal-utent meta t-terminu “siegħa tal-utent” ikun jirreferi għall-għadd ta' utenti affettwati fl-Unjoni għal durata ta' sittin minuta;

(b)

L-inċident wassal għal telf tal-integrità, tal-awtentiċità jew tal-kunfidenzjalità ta' dejta maħżuna jew trażmessa jew proċessata jew tas-servizzi relatati offruti minn netwerk jew sistema tal-informazzjoni tal-fornitur tas-servizzi diġitali, jew li huma aċċessibbli permezz tagħhom, li jaffettwa aktar minn 100 000 utent fl-Unjoni;

(c)

L-inċident ħoloq riskju għas-sikurezza pubblika, għas-sigurtà pubblika jew telf ta' ħajjiet;

(d)

L-inċident ikkawża ħsara materjali għal mill-inqas utent wieħed fl-Unjoni u l-ħsara kkawżata lil dak l-utent tkun aktar minn EUR 1 000 000.

2.   Il-Kummissjoni tista' terġa' teżamina l-livelli limiti stabbiliti fil-paragrafu 1 wara li tqis l-aħjar prattiki miġbura mill-Grupp ta' Kooperazzjoni waqt l-eżerċizzju tal-kompiti tagħha skont l-Artikolu 11(3) tad-Direttiva (UE) 2016/1148 u mid-diskussjonijiet skont il-punt (m) tal-Artikolu 11(3) tagħha.

Artikolu 5

Dħul fis-seħħ

(1)   Dan ir-Regolament għandu jidħol fis-seħħ fl-għoxrin jum wara dak tal-pubblikazzjoni tiegħu f'Il-Ġurnal Uffiċjali tal-Unjoni Ewropea.

(2)   Għandu japplika mill-10 ta' Mejju 2018.

Dan ir-Regolament għandu jorbot fl-intier tiegħu u japplika direttament fl-Istati Membri kollha.

Magħmul fi Brussell, it-30 ta' Jannar 2018.

Għall-Kummissjoni

Il-President

Jean-Claude JUNCKER


(1)  ĠU L 194, 19.7.2016, p. 1.

(2)  Ir-Regolament (UE) Nru 1025/2012 tal-Parlament Ewropew u tal-Kunsill tal-25 ta' Ottubru 2012 dwar l-Istandardizzazzjoni Ewropea, li jemenda d-Direttivi tal-Kunsill 89/686/KEE u 93/15/KEE u d-Direttivi 94/9/KE, 94/25/KE, 95/16/KE, 97/23/KE, 98/34/KE, 2004/22/KE, 2007/23/KE, 2009/23/KE u 2009/105/KE tal-Parlament Ewropew u tal-Kunsill u li jħassar id-Deċiżjoni tal-Kunsill 87/95/KEE u d-Deċiżjoni Nru 1673/2006/KE tal-Parlament Ewropew u tal-Kunsill (ĠU L 316, 14.11.2012, p. 12).


Top