This document is an excerpt from the EUR-Lex website
Document 32025R0847
Commission Implementing Regulation (EU) 2025/847 of 6 May 2025 laying down rules for the application of Regulation (EU) No 910/2014 of the European Parliament and of the Council as regards reactions to security breaches of European Digital Identity Wallets
Regolament ta’ Implimentazzjoni tal-Kummissjoni (UE) 2025/847 tas-6 ta’ Mejju 2025 li jistabbilixxi r-regoli għall-applikazzjoni tar-Regolament (UE) Nru 910/2014 tal-Parlament Ewropew u tal-Kunsill fir-rigward tar-reazzjonijiet għal ksur tas-sigurtà tal-Kartieri Ewropej tal-Identità Diġitali
Regolament ta’ Implimentazzjoni tal-Kummissjoni (UE) 2025/847 tas-6 ta’ Mejju 2025 li jistabbilixxi r-regoli għall-applikazzjoni tar-Regolament (UE) Nru 910/2014 tal-Parlament Ewropew u tal-Kunsill fir-rigward tar-reazzjonijiet għal ksur tas-sigurtà tal-Kartieri Ewropej tal-Identità Diġitali
C/2025/2620
ĠU L, 2025/847, 7.5.2025, ELI: http://data.europa.eu/eli/reg_impl/2025/847/oj (BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force
|
Il-Ġurnal Uffiċjali |
MT Is-serje L |
|
2025/847 |
7.5.2025 |
REGOLAMENT TA’ IMPLIMENTAZZJONI TAL-KUMMISSJONI (UE) 2025/847
tas-6 ta’ Mejju 2025
li jistabbilixxi r-regoli għall-applikazzjoni tar-Regolament (UE) Nru 910/2014 tal-Parlament Ewropew u tal-Kunsill fir-rigward tar-reazzjonijiet għal ksur tas-sigurtà tal-Kartieri Ewropej tal-Identità Diġitali
IL-KUMMISSJONI EWROPEA,
Wara li kkunsidrat it-Trattat dwar il-Funzjonament tal-Unjoni Ewropea,
Wara li kkunsidrat ir-Regolament (UE) Nru 910/2014 tal-Parlament Ewropew u tal-Kunsill tat-23 ta’ Lulju 2014 dwar l-identifikazzjoni elettronika u s-servizzi fiduċjarji għal tranżazzjonijiet elettroniċi fis-suq intern u li jħassar id-Direttiva 1999/93/KE (1), u b’mod partikolari l-Artikolu 5e(5) tiegħu,
Billi:
|
(1) |
Il-Qafas Ewropew għall-Identità Diġitali (“qafas”) stabbilit fir-Regolament (UE) Nru 910/2014 hu komponent kruċjali fl-istabbiliment ta’ ekosistema tal-identità diġitali sigura u interoperabbli madwar l-Unjoni kollha. Bil-Kartieri Ewropej tal-Identità Diġitali (“kartieri”) bħala l-pedament tiegħu, il-qafas għandu l-għan li jiffaċilita l-aċċess għas-servizzi fl-Istati Membri kollha, filwaqt li jiżgura l-protezzjoni tad-data personali u tal-privatezza. |
|
(2) |
Ir-Regolamenti (UE) 2016/679 (2) u (UE) 2018/1725 (3) tal-Parlament Ewropew u tal-Kunsill, u, meta rilevanti, id-Direttiva 2002/58/KE tal-Parlament Ewropew u tal-Kunsill (4) japplikaw għall-attivitajiet tal-ipproċessar tad-data personali skont dan ir-Regolament. Ir-regoli dwar il-valutazzjoni u l-għoti tal-informazzjoni stabbiliti skont dan ir-Regolament huma mingħajr preġudizzju għall-obbligu li jiġi notifikat il-ksur tad-data personali lill-awtorità superviżorja kompetenti fejn applikabbli skont ir-Regolament (UE) 2016/679 jew ir-Regolament (UE) 2018/1725, u għall-obbligu li l-ksur tad-data personali jiġi kkomunikat lis-suġġetti tad-data meta applikabbli skont dawn ir-Regolamenti. |
|
(3) |
Il-Kummissjoni tivvaluta teknoloġiji, prattiki, standards u speċifikazzjonijiet tekniċi ġodda b’mod regolari. Biex ikun żgurat l-aqwa livell ta’ armonizzazzjoni fost l-Istati Membri għall-iżvilupp u ċ-ċertifikazzjoni tal-kartieri, l-ispeċifikazzjonijiet tekniċi stabbiliti f’dan ir-Regolament jistrieħu fuq il-ħidma mwettqa skont ir-Rakkomandazzjoni tal-Kummissjoni (UE) 2021/946 (5) u b’mod partikolari l-Arkitettura u l-Qafas ta’ Referenza li hu parti minnha. F’konformità mal-premessa 75 tar-Regolament (UE) 2024/1183 tal-Parlament Ewropew u tal-Kunsill (6), il-Kummissjoni jenħtieġ li tirrieżamina u, jekk ikun meħtieġ, taġġorna dan ir-Regolament biex iżżommu konformi mal-iżviluppi dinjin u mal-Arkitettura u mal-Qafas ta’ Referenza, u biex timxi mal-aqwa prattiki fis-suq intern. |
|
(4) |
Fil-każ ta’ ksur tas-sigurtà jew kompromess tas-soluzzjonijiet tal-kartiera jew tal-mekkaniżmi tal-validazzjoni msemmija fl-Artikolu 5a(8) tar-Regolament (UE) Nru 910/2014, jew tal-iskema tal-identifikazzjoni elettronika li skontha jiġu pprovduti s-soluzzjonijiet tal-kartiera, ir-reazzjonijiet għal tali ksur tas-sigurtà u kompromessi jeħtieġ jiskattaw malajr, b’mod ikkoordinat u b’mod sigur madwar l-Istati Membri kollha biex jiġu protetti l-utenti u tinżamm il-fiduċja fl-ekosistema tal-identità diġitali. Dan hu mingħajr preġudizzju għad-Direttiva (UE) 2022/2555 tal-Parlament Ewropew u tal-Kunsill (7) u r-Regolamenti (UE) 2019/881 (8) u (UE) 2024/2847 (9) tal-Parlament Ewropew u tal-Kunsill, u b’mod partikolari fir-rigward tat-trattament tal-inċidenti jew tal-vulnerabbiltajiet u l-kunsiderazzjoni tagħhom bħala ksur tas-sigurtà. Għalhekk, l-Istati Membri jenħtieġ li jiżguraw is-sospensjoni fil-ħin fil-forniment u l-użu tal-kartieri affettwati minn ksur tas-sigurtà jew kompromess, jew meta xieraq, l-irtirar tagħhom. |
|
(5) |
Biex ikunu żgurati reazzjonijiet xierqa għal ksur tas-sigurtà jew kompromess, l-Istati Membri jenħtieġ li jivvalutaw jekk ksur tas-sigurtà jew kompromess ta’ soluzzjoni tal-kartiera, tal-mekkaniżmi tal-validazzjoni msemmija fl-Artikolu 5a(8) tar-Regolament (UE) Nru 910/2014, jew tal-iskema tal-identifikazzjoni elettronika li skontha tiġi pprovduta soluzzjoni tal-kartiera, ikunux jaffettwaw l-affidabbiltà ta’ dik is-soluzzjoni tal-kartiera jew ta’ soluzzjonijiet tal-kartiera oħrajn. Dik il-valutazzjoni jenħtieġ li tissejjes fuq kriterji uniformi, bħall-għadd u l-kategorija tal-utenti tal-kartiera, tal-persuni fiżiċi, u tal-partijiet dipendenti fuq kartiera affettwati, in-natura tad-data affettwata, it-tul taż-żmien tal-kompromess jew tal-ksur tas-sigurtà, id-disponibbiltà limitata ta’ servizz u t-telf finanzjarju, u l-kompromess potenzjali tad-data personali. Dawn il-kriterji jenħtieġ li jipprovdu l-flessibbiltà u d-diskrezzjoni lill-Istati Membri biex jistabbilixxu b’mod proporzjonat jekk hix affettwata l-affidabbiltà ta’ soluzzjoni tal-kartiera, u jekk hemmx bżonn is-sospensjoni jew, meta ġustifikat mis-severità tal-ksur tas-sigurtà jew tal-kompromess, l-irtirar tas-soluzzjoni tal-kartiera. Dawn il-kriterji jenħtieġ li ma jiskattawx l-irtirar awtomatiku ta’ soluzzjoni tal-kartiera jew is-sospensjoni awtomatika tal-forniment u l-użu ta’ soluzzjoni tal-kartiera, iżda jenħtieġ li jitqiesu kif xieraq mill-Istati Membri meta jiddeċiedu jekk hemmx bżonn l-irtirar jew is-sospensjoni tal-forniment u l-użu ta’ soluzzjoni tal-kartiera. |
|
(6) |
Minħabba l-impatt u l-inkonvenjenza kkawżati mis-sospensjoni tal-użu ta’ soluzzjonijiet tal-kartiera, l-Istati Membri jeħtieġ jevalwaw jekk hemmx bżonn ir-revoka tal-attestazzjonijiet tal-unità tal-kartiera jew xi miżuri addizzjonali biex jirreaġixxu b’mod adegwat għall-ksur tas-sigurtà jew għall-kompromess. |
|
(7) |
Biex l-utenti tal-kartiera jinżammu infurmati dwar l-istatus tal-kartiera tagħhom, dawn jenħtieġ li jingħataw informazzjoni adegwata dwar ksur tas-sigurtà jew kompromessi li jkunu jaffettwaw il-kartieri tagħhom. Peress li anki l-partijiet dipendenti fuq kartiera rreġistrati fl-Unjoni jistgħu jiġu affettwati minn ksur tas-sigurtà u kompromessi, l-informazzjoni rilevanti dwar il-ksur tas-sigurtà u l-kompromessi jenħtieġ li tingħata lilhom ukoll. |
|
(8) |
Biex ikun hemm aktar trasparenza u tinbena l-fiduċja fl-ekosistema tal-identità diġitali, l-informazzjoni dwar il-ksur tas-sigurtà jew il-kompromess u dwar il-konsegwenzi tagħhom jenħtieġ li tkun tinkludi mqar l-informazzjoni meħtieġa skont dan ir-Regolament. Madankollu, l-informazzjoni dwar ksur tas-sigurtà jew kompromessi kondiviża mal-utenti tal-kartiera u mal-partijiet dipendenti fuq kartiera jenħtieġ li tiġi vvalutata bir-reqqa biex ikun evitat u jitnaqqas kemm jista’ jkun ir-riskju li dawn jiġu sfruttati minn xi aggressuri. |
|
(9) |
Biex l-utenti jkunu jistgħu jerġgħu jaċċessaw l-unitajiet tal-kartiera tagħhom wara li jkun ġie rimedjat ksur tas-sigurtà jew kompromess, l-Istat Membru li jkun ipprovda s-soluzzjonijiet tal-kartiera jeħtieġ jistabbilixxi mill-ġdid il-forniment u l-użu ta’ dawk is-soluzzjonijiet tal-kartiera mingħajr dewmien żejjed. Dan jista’ jsir billi jiġu stabbiliti mill-ġdid l-unitajiet tal-kartiera, billi tinħareġ unità tal-kartiera pprovduta skont verżjoni ġdida tas-soluzzjonijiet tal-kartiera jew billi jinħarġu mill-ġdid attestazzjonijiet validi ġodda tal-unità tal-kartiera. L-utenti tal-kartiera affettwati, il-partijiet dipendenti fuq kartiera, il-punti uniċi tal-kuntatt maħturin skont l-Artikolu 46c(1) tar-Regolament (UE) Nru 910/2014 u l-Kummissjoni jenħtieġ li jiġu infurmati kif xieraq. |
|
(10) |
Biex ikun żgurat l-irtirar tal-kartieri meta ksur tas-sigurtà jew kompromess ma jkunux ġie rimedjat fi żmien tliet xhur mis-sospensjoni, jew meta dan ikun iġġustifikat mis-severità tal-ksur tas-sigurtà jew tal-kompromess, l-Istat Membru jenħtieġ li jiżgura li jitħassru l-attestazzjonijiet rilevanti tal-unità tal-kartiera u li la jkunu jistgħu jitreġġgħu lura għal stat validu u lanqas jinħarġu jew jingħataw lil unitajiet tal-kartiera eżistenti. Barra minn hekk, jenħtieġ li l-ebda unità ġdida tal-kartiera ma tingħata bis-soluzzjoni tal-kartiera affettwata. Għall-finijiet tat-trasparenza, l-utenti, il-partijiet dipendenti, il-punti uniċi tal-kuntatt maħtura skont l-Artikolu 46c(1) tar-Regolament (UE) Nru 910/2014 u l-Kummissjoni jeħtieġ jiġu infurmati bl-irtirar. Dan jinkludi deskrizzjoni tal-impatti potenzjali fuq l-utenti tal-kartiera u b’mod partikolari l-ġestjoni tal-attestazzjonijiet maħruġa, jew fuq il-partijiet dipendenti fuq il-kartiera. |
|
(11) |
Il-perjodu ta’ tliet xhur wara s-sospensjoni tal-forniment u tal-użu ta’ soluzzjoni tal-kartiera, u li matulu jrid jiġi rimedjat il-ksur tas-sigurtà jew il-kompromess li jkun wassal għal dik is-sospensjoni, jenħtieġ li jipprovdi limitu taż-żmien li malli jinqabeż trid tiġi rtirata s-soluzzjoni tal-kartiera sakemm ma jkunx ġie implimentat rimedju xieraq. Madankollu, l-Istati Membri huma liberi biex jitolbu li l-ksur tas-sigurtà jew il-kompromess jiġi rimedjat sa limitu taż-żmien iqsar minn tliet xhur, filwaqt li jitqiesu, b’mod partikolari u meta rilevanti, il-firxa, it-tul u l-konsegwenzi ta’ dak il-ksur tas-sigurtà jew il-kompromess. Meta l-ksur tas-sigurtà jew il-kompromess ma jiġix rimedjat jew ma jkunx jista’ jiġi rimedjat sal-limitu taż-żmien stabbilit mill-Istat Membru, l-Istat Membru jista’ jitlob li s-soluzzjoni tal-kartiera tiġi rtirata qabel ma jiskadi l-perjodu ta’ tliet xhur. L-Istati Membri jenħtieġ li jużaw dan il-perjodu taż-żmien li matulu ksur tas-sigurtà jew kompromess li wassal għas-sospensjoni tal-forniment u l-użu ta’ soluzzjoni tal-kartiera jrid jiġi rimedjat, biex jitħejjew l-irtirar potenzjali ta’ dik is-soluzzjoni tal-kartiera u l-komunikazzjonijiet li jirriżultaw. |
|
(12) |
Biex jonqos il-piż amministrattiv għall-Istati Membri rigward l-informazzjoni li trid tingħata, f’konformità ma’ dan ir-Regolament, lill-Kummissjoni u lil Stati Membri oħra, l-Istati Membri jenħtieġ li jużaw għodod tan-notifiki eżistenti bħas-Sistema tar-Rapportar u l-Analiżi tal-Inċidenti Ċibernetiċi (CIRAS) li tħaddem l-Aġenzija tal-Unjoni Ewropea għaċ-Ċibersigurtà (ENISA). Fir-rigward ta’ kanali jew mezzi alternattivi li jridu jintużaw biex jinfurmaw lill-utenti tal-kartiera affettwati minn ksur tas-sigurtà jew kompromess u lil l-partijiet dipendenti fuq il-kartiera, l-Istati Membri jenħtieġ li jiżguraw li l-informazzjoni rilevanti tingħata b’mod ċar, komprensiv u aċċessibbli faċilment. Il-mezzi biex jipprovdu din l-informazzjoni lill-utenti tal-kartieri affettwati u lill-partijiet dipendenti fuq kartiera jenħtieġ li jinkludu soluzzjonijiet xierqa għal xandir fuq sit web, traċċar fil-ħin reali tal-aġġornamenti fuq is-sit web, u aggregazzjoni tal-aħbarijiet. |
|
(13) |
Il-Kontrollur Ewropew għall-Protezzjoni tad-Data ġie kkonsultat f’konformità mal-Artikolu 42(1) tar-Regolament (UE) 2018/1725 u ta l-opinjoni tiegħu fil-31 ta’ Jannar 2025. |
|
(14) |
Il-miżuri previsti f’dan ir-Regolament huma f’konformità mal-opinjoni tal-kumitat stabbilit bl-Artikolu 48 tar-Regolament (UE) Nru 910/2014, |
ADOTTAT DAN IR-REGOLAMENT:
Artikolu 1
Suġġett
Dan ir-Regolament jistabbilixxi regoli għar-reazzjonijiet għal ksur tas-sigurtà tal-kartieri, tal-mekkaniżmi tal-validazzjoni msemmija fl-Artikolu 5a(8) tar-Regolament (UE) Nru 910/2014, u tal-iskema tal-identifikazzjoni elettronika li skontha jingħataw il-kartieri.
Artikolu 2
Definizzjonijiet
Għall-fini ta’ dan ir-Regolament, japplikaw id-definizzjonijiet li ġejjin:
|
(1) |
“soluzzjoni tal-kartiera” tfisser taħlita ta’ software, hardware, servizzi, settings, u konfigurazzjonijiet, inkluż istanzi tal-kartiera, applikazzjoni kriptografika sigura tal-kartieri waħda jew aktar, u apparat kriptografiku sigur tal-kartieri wieħed jew aktar; |
|
(2) |
“utent tal-kartiera” tfisser utent li jkollu l-kontroll tal-unità tal-kartiera; |
|
(3) |
“parti dipendenti fuq kartiera” tfisser parti dipendenti li jkollha l-ħsieb tistrieħ fuq unitajiet tal-kartiera għall-forniment ta’ servizzi pubbliċi jew privati permezz ta’ interazzjoni diġitali; |
|
(4) |
“istanza tal-kartiera” tfisser l-applikazzjoni installata u kkonfigurata fuq apparat jew ambjent ta’ utent tal-kartiera, li jkun parti minn unità tal-kartiera, u li l-utent tal-kartiera juża biex jinteraġixxi mal-unità tal-kartiera; |
|
(5) |
“applikazzjoni kriptografika sigura tal-kartieri” tfisser applikazzjoni li timmaniġġja assijiet kritiċi billi tkun marbuta mal-funzjonijiet kriptografiċi u mhux kriptografiċi pprovduti mill-apparat kriptografiku sigur tal-kartieri, u billi tużahom; |
|
(6) |
“apparat kriptografiku sigur tal-kartieri” tfisser apparat reżistenti għat-tbagħbis li jipprovdi ambjent marbut mal-applikazzjoni kriptografika sigura tal-kartieri, u li jintuża minnha, biex jipproteġi l-assijiet kritiċi u jipprovdi funzjonijiet kriptografiċi għall-eżekuzzjoni sigura tal-operazzjonijiet kritiċi; |
|
(7) |
“fornitur tal-kartieri” tfisser persuna fiżika jew ġuridika li tipprovdi soluzzjonijiet tal-kartiera; |
|
(8) |
“unità tal-kartiera” tfisser konfigurazzjoni unika ta’ soluzzjoni tal-kartiera li tinkludi istanzi tal-kartiera, applikazzjonijiet kriptografiċi siguri tal-kartieri u apparati kriptografiċi siguri tal-kartieri pprovduti minn fornitur tal-kartieri lil utent individwali tal-kartiera; |
|
(9) |
“assi kritiċi” tfisser assi fi ħdan jew b’rabta ma’ unità tal-kartiera li għandhom importanza straordinarja tant li meta jiġu kompromessi d-disponibbiltà, il-kunfidenzjalità jew l-integrità tagħhom, dan ikollu effett debilitanti serju ħafna fuq l-abbiltà li jistrieħu fuq l-unità tal-kartiera; |
|
(10) |
“attestazzjoni tal-unità tal-kartiera” tfisser oġġett tad-data li jiddeskrivi l-komponenti tal-unità tal-kartiera jew li jippermetti l-awtentikazzjoni u l-validazzjoni ta’ dawk il-komponenti. |
Artikolu 3
Stabbiliment ta’ ksur tas-sigurtà jew kompromess
1. Mingħajr preġudizzju għad-Direttiva (UE) 2022/2555 u r-Regolament (UE) 2019/881 u (UE) 2024/2847, l-Istati Membri għandhom jikkunsidraw kif xieraq il-kriterji stabbiliti fl-Anness I ta’ dan ir-Regolament biex jivvalutaw jekk ksur tas-sigurtà jew kompromess ta’ soluzzjoni tal-kartiera, tal-mekkaniżmi tal-validazzjoni msemmija fl-Artikolu 5a(8) tar-Regolament (UE) Nru 910/2014, jew tal-iskema tal-identifikazzjoni elettronika li skontha tingħata s-soluzzjoni tal-kartiera, humiex qed jaffettwaw l-affidabbiltà tagħhom jew l-affidabbiltà ta’ soluzzjonijiet oħra tal-kartiera.
2. Meta Stat Membru jistabbilixxi, abbażi tal-valutazzjoni stabbilita fil-paragrafu 1, li ksur tas-sigurtà jew kompromess qed jaffettwaw l-affidabbiltà ta’ soluzzjoni tal-kartiera u jissospendi l-forniment u l-użu ta’ dik is-soluzzjoni tal-kartiera, dak l-Istat Membru għandu jieħu l-miżuri stabbiliti fl-Artikoli 4 u 5. Meta Stat Membru jirtira s-soluzzjoni tal-kartiera, dak l-Istat Membru għandu jieħu l-miżuri stabbiliti fl-Artikoli 8 u 9.
3. Meta Stat Membru jsir jaf b’informazzjoni relatata ma’ ksur tas-sigurtà jew kompromess possibbli li jistgħu jaffettwaw l-affidabbiltà ta’ soluzzjoni waħda jew aktar tal-kartiera pprovduti minn Stat Membru ieħor, dak l-Istat Membru għandu, mingħajr dewmien żejjed, jgħarraf lill-Kummissjoni u lill-punti uniċi tal-kuntatt tal-Istati Membri affettwati ddeżinjati skont l-Artikolu 46c(1) tar-Regolament (UE) Nru 910/2014 dwar dak il-fatt. Dik il-komunikazzjoni għandha tinkludi l-informazzjoni stabbilita fl-Artikolu 5(2).
4. L-Istat Membru li jirċievi informazzjoni skont il-paragrafu 3 għandu jieħu l-miżuri stabbiliti fil-paragrafi 1 u 2 mingħajr dewmien żejjed.
Artikolu 4
Sospensjoni tal-forniment u tal-użu tal-kartieri u rimedji oħra
1. L-Istati Membri għandhom jiżguraw li l-ebda unità tal-kartiera ma tingħata, tintuża jew tiġi attivata bis-soluzzjoni tal-kartiera sospiża.
2. L-Istati Membri għandhom jevalwaw jekk hemmx bżonn it-tħassir ta’ attestazzjonijiet tal-unità tal-kartiera ta’ dawk l-unitajiet tal-kartiera affettwati mis-sospensjoni ta’ soluzzjoni tal-kartiera, jew xi rimedju addizzjonali ieħor, biex jirreaġixxu kif xieraq għall-ksur tas-sigurtà jew għall-kompromess.
3. Il-miżuri stabbiliti fil-paragrafi 1 u 2 għandhom jittieħdu mingħajr dewmien żejjed, u fi kwalunkwe każ mhux aktar tard minn 24 siegħa wara s-sospensjoni tal-forniment u l-użu tas-soluzzjoni tal-kartiera affettwata mill-ksur tas-sigurtà jew mill-kompromess.
4. Il-miżuri stabbiliti fil-paragrafi 1 u 2 ma għandhomx ifixklu lill-utenti tal-kartiera affettwati milli jeżerċitaw id-dritt tagħhom tal-portabbiltà tad-data stabbilit fl-Artikolu 5a(4), il-punt (g) tar-Regolament (UE) Nru 910/2014. Dan hu bil-kundizzjoni li dak id-dritt ikun jista’ jiġi eżerċitat mill-utenti tal-kartiera mingħajr ma tiddgħajjef is-sigurtà tal-assi kritiċi tal-unitajiet tal-kartiera affettwati, b’mod partikolari meta jitqiesu r-raġunijiet għas-sospensjoni u l-bżonn li tkun żgurata protezzjoni effettiva ta’ dawk l-assi mill-użu ħażin.
Artikolu 5
Informazzjoni dwar sospensjonijiet u rimedji
1. Għandha tingħata informazzjoni b’mod ċar, komprensiv u aċċessibbli faċilment dwar is-sospensjoni tal-forniment u l-użu ta’ soluzzjoni tal-kartiera, mingħajr dewmien żejjed u fi żmien 24 siegħa mis-sospensjoni tal-forniment u l-użu tas-soluzzjoni tal-kartiera, lil:
|
(a) |
il-punti uniċi tal-kuntatt iddeżinjati skont l-Artikolu 46c(1) tar-Regolament (UE) Nru 910/2014; |
|
(b) |
il-Kummissjoni; |
|
(c) |
l-utenti tal-kartiera affettwati; |
|
(d) |
il-partijiet dipendenti fuq il-kartiera rreġistrati f’konformità mal-Artikolu 5b tar-Regolament (UE) Nru 910/2014. |
2. L-informazzjoni mogħtija f’konformità mal-paragrafu 1 għandha tinkludi mqar dan li ġej:
|
(a) |
l-isem tal-fornitur tal-kartiera tas-soluzzjoni tal-kartiera li l-forniment u l-użu tagħha jkun ġie sospiż; |
|
(b) |
l-isem u l-identifikatur ta’ referenza ta’ dik is-soluzzjoni tal-kartiera, kif indikat fil-lista tal-kartieri ċċertifikati mfassla skont l-Artikolu 5d tar-Regolament (UE) Nru 910/2014, u meta applikabbli l-verżjonijiet ikkonċernati; |
|
(c) |
id-data u l-ħin meta ġie identifikat il-ksur tas-sigurtà jew il-kompromess; |
|
(d) |
jekk magħrufa, id-data u l-ħin meta sar effettiv il-ksur tas-sigurtà jew il-kompromess, abbażi ta’ reġistri tan-network jew tas-sistema jew sorsi oħra tad-data; |
|
(e) |
id-data u l-ħin tas-sospensjoni tas-soluzzjoni tal-kartiera; |
|
(f) |
dettalji tal-kuntatt, inkluż imqar indirizz tal-email u numru tat-telefown għall-Istat Membru notifikanti, u meta differenti, għall-fornitur tal-kartieri msemmi fil-punt (a); |
|
(g) |
deskrizzjoni tal-ksur tas-sigurtà jew tal-kompromess; |
|
(h) |
deskrizzjoni tad-data kompromessa, inkluż meta applikabbli l-kategoriji tad-data personali kif definiti fl-Artikolu 9(1) u l-Artikolu 10 tar-Regolament (UE) 2016/679; |
|
(i) |
meta possibbli, stima tan-numru approssimattiv ta’ utenti tal-kartiera affettwati u ta’ persuni fiżiċi oħra affettwati; |
|
(j) |
deskrizzjoni tal-impatti potenzjali fuq il-partijiet dipendenti fuq kartiera jew fuq l-utenti tal-kartieri, u fil-każ tal-aħħar, meta rilevanti, kwalunkwe indikazzjoni ta’ miżuri li l-utenti tal-kartieri jistgħu jieħdu biex itaffu dawk l-impatti potenzjali; |
|
(k) |
deskrizzjoni tal-miżuri meħuda jew ippjanati biex jipprovdu jimedju għall-ksur tas-sigurtà jew il-kompromess, flimkien ma’ ppjanar u skadenza għal dan ir-rimedju; |
|
(l) |
meta applikabbli u xieraq, deskrizzjoni tal-miżuri meħuda jew ippjanati għat-tranżizzjoni tal-utenti tal-kartiera affettwati lejn soluzzjonijiet jew servizzi tal-kartiera alternattivi. |
Artikolu 6
Stabbiliment mill-ġdid tal-forniment u tal-użu tal-kartieri
Meta meħtieġ biex jiżguraw l-istabbiliment mill-ġdid tal-forniment, tal-attivazzjoni u tal-użu ta’ soluzzjoni tal-kartiera, l-Istati Membri għandhom mingħajr dewmien żejjed:
|
(1) |
jistabbilixxu mill-ġdid il-forniment u l-użu tal-unitajiet tal-kartiera pprovduti b’dik is-soluzzjoni tal-kartiera billi joħorġu unità tal-kartiera pprovduta b’verżjoni ġdida tas-soluzzjoni tal-kartiera lill-utenti affettwati kollha; |
|
(2) |
joħorġu attestazzjonijiet ġodda tal-unità tal-kartiera lil unitajiet tal-kartiera ġodda jew, meta applikabbli, lil unitajiet tal-kartiera maħruġa qabel, dment li dawk l-unitajiet ikunu jissodisfaw ir-rekwiżiti tas-sigurtà fis-seħħ wara li jkun ġie rimedjat il-ksur tas-sigurtà jew il-kompromess; |
|
(3) |
iħassru kull miżura implimentata skont l-Artikolu 4 u li xxekkel il-forniment ta’ unitajiet tal-kartiera ġodda bis-soluzzjoni tal-kartiera affettwata, meta dik il-miżura tkun marbuta biss mal-ksur tas-sigurtà jew mal-kompromess li issa jkun ġie rimedjat. |
Artikolu 7
Informazzjoni dwar l-istabbiliment mill-ġdid
Meta Stat Membru jistabbilixxi mill-ġdid soluzzjoni tal-kartiera, dak l-Istat Membru għandu jiżgura li:
|
(1) |
tingħata informazzjoni dwar dak il-fatt mingħajr dewmien żejjed lill-partijiet kollha li jkunu rċevew informazzjoni dwar is-sospensjoni tal-forniment u l-użu ta’ dik is-soluzzjoni tal-kartiera f’konformità mal-Artikolu 5(1). |
|
(2) |
l-informazzjoni mogħtija skont il-punt (1) għandha tinkludi mqar l-elementi msemmija fl-Artikolu 5(2), il-punti (a), (b) u (f) sa (h) u dawn li ġejjin:
|
Artikolu 8
Irtirar tal-kartieri
1. Jekk ksur tas-sigurtà jew kompromess li jkun wassal għas-sospensjoni tal-forniment u l-użu ta’ soluzzjoni tal-kartiera ma jiġix rimedjat fi żmien tliet xhur mid-data tas-sospensjoni tal-forniment u l-użu ta’ dik is-soluzzjoni tal-kartiera, l-Istat Membru li jipprovdi dik is-soluzzjoni tal-kartiera għandu jiżgura li s-soluzzjoni tal-kartiera affettwata tiġi rtirata u l-validità tagħha titħassar, mingħajr dewmien żejjed u fi kwalunkwe każ fi żmien 72 siegħa minn meta jiskadi l-perjodu ta’ tliet xhur.
2. Meta Stat Membru jirtira soluzzjoni tal-kartiera, dan għandu jiżgura li:
|
(a) |
jitħassru l-attestazzjonijiet tal-unità tal-kartiera ta’ dik l-unità tal-kartiera tas-soluzzjoni tal-kartiera affettwata; |
|
(b) |
l-attestazzjonijiet tal-unità tal-kartiera ma jkunux jistgħu jerġgħu lura għal status “valida”; |
|
(c) |
ma tkun tista’ tinħareġ l-ebda attestazzjoni ġdida tal-unità tal-kartiera lill-unitajiet tal-kartiera eżistenti pprovduti bis-soluzzjoni tal-kartiera affettwata; |
|
(d) |
ma tkun tista’ tingħata l-ebda unità ġdida tal-kartiera bis-soluzzjoni tal-kartiera effettwa. |
3. Il-miżuri stabbiliti fil-paragrafi 1 u 2 ma għandhomx ifixklu lill-utenti tal-kartiera affettwati milli jeżerċitaw id-dritt tagħhom tal-portabbiltà tad-data stabbilit fl-Artikolu 5a(4), il-punt (g) tar-Regolament (UE) Nru 910/2014. Dan hu bil-kundizzjoni li dak id-dritt ikun jista’ jiġi eżerċitat mill-utenti tal-kartiera mingħajr ma tiddgħajjef is-sigurtà tal-assi kritiċi tal-unitajiet tal-kartiera affettwati, b’mod partikolari meta jitqiesu r-raġunijiet għall-irtirar u l-bżonn li tkun żgurata protezzjoni effettiva ta’ dawk l-assi mill-użu ħażin.
Artikolu 9
Informazzjoni dwar l-irtirar
1. Għandha tingħata informazzjoni ċara, komprensiva u aċċessibbli faċilment dwar l-irtirar ta’ soluzzjoni tal-kartiera, mingħajr dewmien żejjed u fi żmien 24 siegħa mill-irtirar tas-soluzzjoni tal-kartiera, lil:
|
(a) |
il-punti uniċi tal-kuntatt iddeżinjati skont l-Artikolu 46c(1) tar-Regolament (UE) Nru 910/2014; |
|
(b) |
il-Kummissjoni; |
|
(c) |
l-utenti tal-kartiera affettwati; |
|
(d) |
il-partijiet dipendenti fuq il-kartiera rreġistrati f’konformità mal-Artikolu 5b tar-Regolament (UE) Nru 910/2014. |
2. L-informazzjoni mogħtija f’konformità mal-paragrafu 1 għandha tinkludi mqar dan li ġej:
|
(a) |
l-isem tal-fornitur tal-kartiera tas-soluzzjoni tal-kartiera li tkun ġiet irtirata; |
|
(b) |
l-isem u l-identifikatur ta’ referenza ta’ dik is-soluzzjoni tal-kartiera, kif indikat fil-lista tal-kartieri ċċertifikati mfassla skont l-Artikolu 5d tar-Regolament (UE) Nru 910/2014, u meta applikabbli l-verżjonijiet ikkonċernati; |
|
(c) |
id-data u l-ħin tad-detezzjoni tal-ksur tas-sigurtà jew tal-kompromess li wasslu għall-irtirar tas-soluzzjoni tal-kartiera affettwata minħabba s-severità tagħha jew għax ma ġietx rimedjata fi żmien tliet xhur; |
|
(d) |
jekk magħrufa, id-data u l-ħin meta sar effettiv il-ksur tas-sigurtà jew il-kompromess, abbażi ta’ reġistri tan-network jew tas-sistema jew sorsi oħra tad-data; |
|
(e) |
id-data u l-ħin tal-irtirar tas-soluzzjoni tal-kartiera u tat-tħassir effettiv tal-attestazzjonijiet tal-unità tal-kartiera tal-unitajiet tal-kartiera pprovduti bis-soluzzjoni tal-kartiera; |
|
(f) |
jekk l-irtirar ikun minħabba s-severità tal-ksur tas-sigurtà jew tal-kompromess jew għax il-ksur tas-sigurtà jew il-kompromess ma ġiex rimedjat; |
|
(g) |
dettalji tal-kuntatt, inkluż imqar indirizz tal-email u numru tat-telefown għall-Istat Membru notifikanti, u meta differenti, għall-fornitur tal-kartieri msemmi fil-punt (a); |
|
(h) |
deskrizzjoni tal-ksur tas-sigurtà jew tal-kompromess; |
|
(i) |
deskrizzjoni tad-data kompromessa, inkluż meta applikabbli l-kategoriji tad-data personali kif speċifikat fl-Artikolu 9(1) u l-Artikolu 10 tar-Regolament (UE) 2016/679; |
|
(j) |
meta possibbli, stima tan-numru approssimattiv ta’ utenti tal-kartiera affettwati u ta’ persuni fiżiċi oħra affettwati; |
|
(k) |
deskrizzjoni tal-impatti potenzjali fuq il-partijiet dipendenti fuq kartiera jew fuq l-utenti tal-kartieri, u fil-każ tal-aħħar, meta rilevanti, kwalunkwe indikazzjoni ta’ miżuri li l-utenti tal-kartieri jistgħu jieħdu biex itaffu dawk l-impatti potenzjali; |
|
(l) |
deskrizzjoni tal-miżuri meħuda jew ippjanati għat-tranżizzjoni tal-utenti tal-kartiera affettwati lejn soluzzjonijiet alternattivi tal-kartiera jew, meta applikabbli u xieraq, servizzi alternattivi. |
Artikolu 10
Sistema tal-informazzjoni
L-Istati Membri għandhom jibagħtu l-informazzjoni stabbiliti fl-Artikoli 3, 5, 7 u 9 lill-Kummissjoni u lill-punti uniċi tal-kuntatt tal-Istati Membri maħtura skont l-Artikolu 46c(1) tar-Regolament (UE) Nru 910/2014, permezz tas-CIRAS imħaddma mill-ENISA, jew b’sistema ekwivalenti maqbula mill-Istati Membri u mill-Kummissjoni.
Artikolu 11
Dħul fis-seħħ
Dan ir-Regolament għandu jidħol fis-seħħ fl-għoxrin jum wara dak tal-pubblikazzjoni tiegħu f’Il-Ġurnal Uffiċjali tal-Unjoni Ewropea.
Dan ir-Regolament għandu jorbot fl-intier tiegħu u japplika direttament fl-Istati Membri kollha, ħlief l-Artikolu 10 li għandu japplika mis-7 ta’ Mejju 2026.
Magħmul fi Brussell, is-6 ta’ Mejju 2025.
Għall-Kummissjoni
Il-President
Ursula VON DER LEYEN
(1) ĠU L 257, 28.8.2014, p. 73, ELI: http://data.europa.eu/eli/reg/2014/910/oj.
(2) Ir-Regolament (UE) 2016/679 tal-Parlament Ewropew u tal-Kunsill tas-27 ta’ April 2016 dwar il-protezzjoni tal-persuni fiżiċi fir-rigward tal-ipproċessar ta’ data personali u dwar il-moviment liberu ta’ tali data, u li jħassar id-Direttiva 95/46/KE (Regolament Ġenerali dwar il-Protezzjoni tad-Data) (ĠU L 119, 4.5.2016, p. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).
(3) Ir-Regolament (UE) 2018/1725 tal-Parlament Ewropew u tal-Kunsill tat-23 ta’ Ottubru 2018 dwar il-protezzjoni ta’ persuni fiżiċi fir-rigward tal-ipproċessar ta’ data personali mill-istituzzjonijiet, korpi, uffiċċji u aġenziji tal-Unjoni u dwar il-moviment liberu ta’ tali data, u li jħassar ir-Regolament (KE) Nru 45/2001 u d-Deċiżjoni Nru 1247/2002/KE (ĠU L 295, 21.11.2018, p. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).
(4) Id-Direttiva 2002/58/KE tal-Parlament Ewropew u tal-Kunsill tat-12 ta’ Lulju 2002 dwar l-ipproċessar tad-data personali u l-protezzjoni tal-privatezza fis-settur tal-komunikazzjoni elettronika (Direttiva dwar il-privatezza u l-komunikazzjoni elettronika) (ĠU L 201, 31.7.2002, p. 37, ELI: http://data.europa.eu/eli/dir/2002/58/oj).
(5) Ir-Rakkomandazzjoni tal-Kummissjoni (UE) 2021/946 tat-3 ta’ Ġunju 2021 dwar Sett ta’ Għodod komuni tal-Unjoni għal approċċ koordinat lejn Qafas Ewropew għall-Identità Diġitali (ĠU L 210, 14.6.2021, p. 51, ELI: http://data.europa.eu/eli/reco/2021/946/oj).
(6) Ir-Regolament (UE) 2024/1183 tal-Parlament Ewropew u tal-Kunsill tal-11 ta’ April 2024 li jemenda r-Regolament (UE) Nru 910/2014 fir-rigward tal-istabbiliment tal-Qafas Ewropew għall-Identità Diġitali (ĠU L, 2024/1183, 30.4.2024, ELI: http://data.europa.eu/eli/reg/2024/1183/oj).
(7) Id-Direttiva (UE) 2022/2555 tal-Parlament Ewropew u tal-Kunsill tal-14 ta’ Diċembru 2022 dwar miżuri għal livell għoli komuni ta’ ċibersigurtà madwar l-Unjoni kollha, li temenda r-Regolament (UE) Nru 910/2014 u d-Direttiva (UE) 2018/1972, u li tħassar id-Direttiva (UE) 2016/1148 (Direttiva NIS 2) (ĠU L 333, 27.12.2022, p. 80, ELI: http://data.europa.eu/eli/dir/2022/2555/oj).
(8) Ir-Regolament (UE) 2019/881 tal-Parlament Ewropew u tal-Kunsill tas-17 ta’ April 2019 dwar l-ENISA (l-Aġenzija tal-Unjoni Ewropea għaċ-Ċibersigurtà) u dwar iċ-ċertifikazzjoni taċ-ċibersigurtà tat-teknoloġija tal-informazzjoni u tal-komunikazzjoni u li jħassar ir-Regolament (UE) Nru 526/2013 (l-Att dwar iċ-Ċibersigurtà) (ĠU L 151, 7.6.2019, p. 15, ELI: http://data.europa.eu/eli/reg/2019/881/oj).
(9) Ir-Regolament (UE) 2024/2847 tal-Parlament Ewropew u tal-Kunsill tat-23 ta’ Ottubru 2024 dwar ir-rekwiżiti orizzontali taċ-ċibersigurtà għall-prodotti b’elementi diġitali u li jemenda r-Regolamenti (UE) Nru 168/2013 u (UE) 2019/1020 u d-Direttiva (UE) 2020/1828 (l-Att dwar ir-Reżiljenza Ċibernetika) (ĠU L, 2024/2847, 20.11.2024, ELI: http://data.europa.eu/eli/reg/2024/2847/oj).
ANNESS
Kriterji għall-valutazzjoni ta’ ksur tas-sigurtà jew kompromess tas-sigurtà
|
1. |
L-Istati Membri għandhom jibbażaw il-valutazzjoni tagħhom ta’ ksur tas-sigurtà jew kompromess tas-sigurtà skont il-kriterji li ġejjin:
|
|
2. |
L-Istati Membri ma għandhomx jikkunsidraw il-konsegwenzi ppjanati ta’ operazzjoni tal-manutenzjoni mwettqa minn jew f’isem l-entitajiet ikkonċernati, diment li dik l-operazzjoni ta’ manutenzjoni:
|
|
3. |
Fir-rigward tal-punt (c) tal-paragrafu 1, it-tul tal-ħin ta’ inċident li jaffettwa d-disponibbiltà għandu jitkejjel mill-mument meta jiġi interrott effettivament il-forniment tas-servizz affettwat sal-mument meta s-servizz jitreġġa’ lura u jerġa’ jibda jopera. Meta entità kkonċernata ma tkunx tista’ tiddetermina l-mument meta beda t-tfixkil, it-tul tal-ħin tal-inċident għandu jitkejjel mill-mument meta jkun ġie identifikat l-inċident, jew mill-mument meta l-inċident ikun ġie rreġistrat fir-reġistri tan-network jew tas-sistema jew f’sorsi oħra tad-data, skont liema jseħħ l-ewwel. Il-waqfien totali ta’ servizz għandu jitkejjel mill-mument meta s-servizz ma jkunx disponibbli għalkollox għall-utenti, sal-mument meta l-attivitajiet jew l-operazzjonijiet regolari jitreġġgħu lura għal-livell tas-servizz ipprovdut qabel l-inċident. Meta entità kkonċernata ma tkunx tista’ tiddetermina l-ħin meta beda l-waqfien totali ta’ servizz, dan il-waqfien għandu jibda jitkejjel mill-mument meta jkun ġie identifikat minn dik l-entità. |
|
4. |
Fir-rigward tal-punt (d) tal-paragrafu 1, id-disponibbiltà limitata ta’ servizz titqies li ġrat b’mod partikolari meta servizz ikun konsiderevolment aktar bil-mod mill-ħin medju tar-rispons, jew meta ma jkunux disponibbli l-funzjonalitajiet kollha ta’ servizz. Meta possibbli, għandhom jintużaw kriterji oġġettivi bbażati fuq il-ħinijiet medji tar-rispons tas-servizzi biex jiġi vvalutat id-dewmien fil-ħin tar-rispons. |
|
5. |
Biex jiddeterminaw it-telf finanzjarju dirett minħabba xi ksur jew kompromess kif imsemmi fil-punt (h) tal-paragrafu 1, l-entitajiet ikkonċernati għandhom iqisu t-telf finanzjarju kollu mġarrab minħabba l-inċident, bħall-kostijiet għas-sostituzzjoni jew ir-rilokazzjoni ta’ software, hardware jew infrastruttura, il-kostijiet tal-persunal, inkluż il-kostijiet assoċjati mas-sostituzzjoni jew ir-rilokazzjoni tal-persunal, ir-reklutaġġ ta’ persunal addizzjonali, ir-remunerazzjoni għas-sahra u għall-irkupru tal-ħiliet mitlufa jew nieqsa, it-tariffi minħabba xi nonkonformità mal-obbligi kuntrattwali, il-kostijiet għal rimedju u kumpens lill-klijenti, id-dħul mitluf, il-kostijiet assoċjati mal-komunikazzjoni interna u esterna, u l-kostijiet tal-konsulenza, inkluż il-kostijiet assoċjati mal-konsulenza legali, servizzi forensiċi u servizzi ta’ rimedju. Il-kostijiet meħtieġa għall-operat ta’ kuljum tan-negozju, bħall-kostijiet tal-manutenzjoni ġenerali tal-infrastruttura, it-tagħmir, il-hardware u s-software, l-inizjattivi tat-titjib u tal-valutazzjoni tar-riskji, u l-primjums tal-assigurazzjoni ma għandhomx jitqiesu bħala telf finanzjarju li jirriżulta minn inċident. L-entitajiet ikkonċernati għandhom jikkalkulaw l-ammonti tat-telf finanzjarju abbażi tad-data disponibbli u, meta l-ammonti effettivi tat-telf finanzjarju ma jkunux jistgħu jiġu ddeterminati, dawk l-entitajiet għandhom jagħmlu stima tagħhom. |
(1) Ir-Regolament ta’ Implimentazzjoni tal-Kummissjoni (UE) 2024/2981 tat-28 ta’ Novembru 2024 li jistabbilixxi regoli għall-applikazzjoni tar-Regolament (UE) Nru 910/2014 tal-Parlament Ewropew u tal-Kunsill fir-rigward taċ-ċertifikazzjoni tal-Kartieri Ewropej tal-Identità Diġitali (ĠU L, 2024/2981, 4.12.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/2981/oj).
ELI: http://data.europa.eu/eli/reg_impl/2025/847/oj
ISSN 1977-074X (electronic edition)