INT/999
Att dwar ir-Reżiljenza Ċibernetika
OPINJONI
Sezzjoni għas-Suq Uniku, il-Produzzjoni u l-Konsum
Proposta għal Regolament tal-Parlament Ewropew u tal-Kunsill dwar ir-rekwiżiti orizzontali taċ-ċibersigurtà għall-prodotti b’elementi diġitali u li jemenda r-Regolament (UE) 2019/1020
[COM(2022) 454 final – 2022/0272 (COD)]
Relatur: Maurizio MENSI
Korelatur: Marinel Dănuț MUREȘAN
|
Konsultazzjoni
|
Parlament Ewropew, DD/MM/YYYY
Kunsill, 28/10/2022
|
|
Bażi ġuridika
|
Artikolu 114 tat-Trattat dwar il-Funzjonament tal-Unjoni Ewropa
|
|
|
|
|
Sezzjoni kompetenti
|
Sezzjoni għas-Suq Uniku, il-Produzzjoni u l-Konsum
|
|
Adozzjoni fis-sezzjoni
|
10/11/2022
|
|
Riżultat tal-votazzjoni
(favur/kontra/astensjonijiet)
|
35/0/0
|
|
Adozzjoni fil-plenarja
|
DD/MM/YYYY
|
|
Sessjoni plenarja Nru
|
…
|
|
Riżultat tal-votazzjoni
(favur/kontra/astensjonijiet)
|
…/…/…
|
1.Konklużjonjiet u rakkomandazzjonijiet
1.1Il-KESE jilqa' l-proposta tal-Kummissjoni għal Att dwar ir-Reżiljenza Ċibernetika li għandu l-għan li jistabbilixxi standards ogħla taċ-ċibersigurtà u b'hekk joħloq sistema affidabbli għall-operaturi ekonomiċi filwaqt li jiggarantixxi liċ-ċittadini tal-UE li l-prodotti kollha fis-suq ikunu jistgħu jintużaw b'mod sikur. Dan huwa parti mill-Istrateġija Ewropea għad-Data, li ssaħħaħ is-sigurtà tad-data, inkluża d-data personali, u d-drittijiet fundamentali, li huma rekwiżiti essenzjali għas-soċjetà diġitali tagħna.
1.2Il-KESE jqis li huwa essenzjali li jissaħħaħ ir-rispons kollettiv kontra l-attakki ċibernetiċi u li jiġi kkonsolidat il-proċess ta' armonizzazzjoni taċ-ċibersigurtà fil-livell nazzjonali f'termini ta' regoli u għodod operattivi, sabiex jiġi evitat li approċċi nazzjonali differenzjati jistgħu joħolqu inċertezzi u ostakli legali.
1.3Il-KESE jilqa' bi pjaċir l-inizjattiva tal-Kummissjoni, li mhux biss se tgħin biex jitnaqqsu l-ispejjeż sinifikanti għan-negozji kkawżati minn attakki ċibernetiċi, iżda se tippermetti wkoll liċ-ċittadini/lill-konsumaturi jibbenefikaw minn protezzjoni aħjar tad-drittijiet fundamentali tagħhom bħall-privatezza. B’mod partikolari, il-Kummissjoni turi li l-ħtiġijiet speċifiċi tal-SMEs jitqiesu meta jiġu pprovduti s-servizzi pprovduti mill-awtoritajiet taċ-ċertifikazzjoni; madankollu, il-KESE jenfasizza l-opportunità biex jiġu ċċarati l-kriterji ta’ applikazzjoni.
1.4Il-KESE jqis li huwa importanti li jiġi enfasizzat li, filwaqt li min-naħa waħda huwa apprezzabbli li l-Att dwar ir-Reżiljenza Ċibernetika jkopri kważi l-prodotti diġitali kollha, min-naħa l-oħra jista' jkun hemm problemi fl-applikazzjoni konkreta tiegħu minħabba l-verifika u l-kontroll konsiderevoli u kumplessi li jinvolvi. Għalhekk jeħtieġ li jissaħħu l-għodod ta' monitoraġġ u verifika.
1.5Il-KESE jinnota l-ħtieġa li jiġi ċċarat b'mod preċiż il-kamp ta' applikazzjoni materjali tal-Att dwar ir-Reżiljenza Ċibernetika, b'referenza partikolari għal prodotti b'elementi diġitali u software.
1.6Il-KESE jinnota li l-produtturi se jkunu obbligati jirrappurtaw kemm il-vulnerabbiltajiet fil-prodotti tagħhom kif ukoll kwalunkwe inċident ta’ sigurtà, filwaqt li jinfurmaw lill-Aġenzija tal-Unjoni Ewropea għaċ-Ċibersigurtà (ENISA). F'dan ir-rigward, huwa importanti li l-ENISA tingħata r-riżorsi meħtieġa biex twettaq il-kompiti importanti u sensittivi assenjati lilha fil-waqt u b'mod effettiv.
1.7Sabiex tiġi evitata kwalunkwe inċertezza ta' interpretazzjoni, il-KESE jissuġġerixxi li l-Kummissjoni tfassal linji gwida biex tiggwida lill-produtturi u lill-konsumaturi dwar ir-regoli u l-proċeduri speċifiċi applikabbli, peress li jidher li għadd ta' prodotti fil-kamp ta' applikazzjoni tal-proposta huma soġġetti wkoll għal leġiżlazzjoni oħra dwar iċ-ċibersigurtà.
1.8Il-KESE jinnota li r-relazzjoni bejn l-awtoritajiet ta' ċertifikazzjoni skont it-tifsira tal-Att dwar ir-Reżiljenza Ċibernetika u korpi oħra awtorizzat biex jiċċertifikaw iċ-ċibersigurtà skont leġiżlazzjoni oħra mhijiex kompletament ċara. L-istess problema ta' koordinazzjoni operattiva tista' tinqala' wkoll bejn l-awtoritajiet ta' sorveljanza previsti f'din il-proposta u dawk diġà attivi skont leġiżlazzjoni oħra applikabbli għall-istess prodotti.
1.9Il-KESE jirrimarka li, skont il-proposta, l-awtoritajiet taċ-ċertifikazzjoni se jkollhom jerfgħu ammont konsiderevoli ta’ xogħol u responsabbiltà. Għandu jiġi żgurat li dawn ikunu kompletament operattivi fil-prattika, mhux l-inqas sabiex jiġi evitat li l-Att dwar ir-Reżiljenza Ċibernetika jżid il-piż amministrattiv diġà previst, b’tali mod li jiġu ppenalizzati l-produtturi li se jkollhom jikkonformaw ma’ għadd ta’ rekwiżiti ta’ ċertifikazzjoni addizzjonali sabiex ikunu jistgħu jkomplu joperaw fis-suq.
2.Analiżi tal-proposta
2.1Bil-proposta għall-Att dwar ir-Reżiljenza Ċibernetika, il-Kummissjoni beħsiebha tirrazzjonalizza u tiddefinixxi mill-ġdid il-leġiżlazzjoni attwali dwar iċ-ċibersigurtà b'mod komprensiv u orizzontali filwaqt li taġġornaha fid-dawl tal-innovazzjonijiet teknoloġiċi.
2.2Essenzjalment, l-Att dwar ir-Reżiljenza Ċibernetika għandu erba' għanijiet: li jiżgura li l-produtturi jtejbu s-sigurtà tal-prodotti b'elementi diġitali fil-fażi tad-disinn u l-iżvilupp u matul iċ-ċiklu kollu tal-ħajja tagħhom; li jiżgura qafas konsistenti tal-istandards taċ-ċibersigurtà, li jiffaċilita l-konformità mill-produtturi tal-hardware u tas-software; li jtejjeb it-trasparenza tal-karatteristiċi tas-sigurtà tal-prodotti b'elementi diġitali; u li jippermetti lin-negozji u lill-konsumaturi jużaw dawn il-prodotti b'mod sikur. Essenzjalment, il-proposta tintroduċi markatura CE dwar iċ-ċibersigurtà filwaqt li tirrikjedi li tali markatura titwaħħal mal-prodotti kollha koperti mill-Att dwar ir-Reżiljenza Ċibernetika.
2.3Dan huwa intervent orizzontali, li bih il-Kummissjoni beħsiebha tirregola l-kwistjoni kollha b'mod organiku, peress li prattikament ikopri l-prodotti kollha li fihom komponenti diġitali. Huma esklużi biss dawk ta' natura medika u dawk relatati mal-avjazzjoni ċivili, mal-vetturi u dawk militari. Il-proposta teskludi wkoll is-servizzi SaaS (cloud), sakemm ma jintużawx għall-ipproċessar ta' prodotti b'elementi diġitali.
2.4Id-definizzjoni ta' “prodotti b'elementi diġitali” hija wiesgħa ħafna u tinkludi kwalunkwe prodott ta' software jew hardware, kif ukoll software jew hardware mhux inkorporat fil-prodott iżda mqiegħed fis-suq separatament.
2.5Il-leġiżlazzjoni tintroduċi rekwiżiti obbligatorji taċ-ċibersigurtà għall-prodotti li fihom komponenti diġitali matul iċ-ċiklu tal-ħajja tagħhom, iżda ma tissostitwixxix dawk li huma diġà fis-seħħ. Għall-kuntrarju, il-prodotti li diġà ġew iċċertifikati bħala konformi mal-istandards tal-UE preeżistenti se jitqiesu bħala “validi” wkoll skont ir-Regolament il-ġdid.
2.6Il-prinċipju ġenerali huwa li prodotti “sikuri” biss ikunu kkummerċjalizzati fl-Ewropa, li l-produtturi tagħhom jaġixxu b'tali mod li dawn il-prodotti jibqgħu sikuri matul iċ-ċiklu kollu tal-ħajja tagħhom.
2.7Prodott jitqies “sikur” jekk ikun iddisinjat u mmanifatturat b'tali mod li jkollu livell ta' sigurtà adegwat għar-riskji ċibernetiċi li joħloq meta jintuża, ma jkollux vulnerabbiltajiet magħrufa fil-mument li jinbiegħ, ikollu konfigurazzjoni prestabbilita sigura, ikun protett minn konnessjonijiet illegali, jipproteġi d-data li jiġbor, u l-ġbir ta' data jkun limitat biss għal dik id-data li se tintuża għall-funzjonament tiegħu.
2.8Produttur jitqies adegwat biex jikkummerċjalizza l-prodotti tiegħu jekk jagħmel identifikabbli l-lista tad-diversi komponenti tas-software tal-prodotti tiegħu, joħroġ b'mod rapidu rimedji mingħajr ħlas f'każ ta' vulnerabbiltajiet ġodda, jippubblika u jagħti dettalji dwar il-vulnerabbiltajiet li jidentifika u jsolvi, jivverifika regolarment ir-“robustezza” tal-prodotti li jbigħ. Dawn u attivitajiet oħra imposti mill-Att dwar ir-Reżiljenza Ċibernetika jridu jitwettqu matul il-ħajja ta' prodott, jew għal mill-inqas ħames snin wara li jkun tqiegħed fis-suq. Il-produttur huwa meħtieġ jiżgura li l-vulnerabbiltajiet jiġu eliminati permezz ta' aġġornamenti regolari tas-software.
2.9Skont prinċipju ġenerali applikat f'diversi setturi, l-obbligi huma imposti wkoll fuq l-importaturi u d-distributuri.
2.10L-Att dwar ir-Reżiljenza Ċibernetika jipprevedi makrokategorija tal-prodotti u software hekk imsejħa “normali” li fuqhom tista' ssir awtovalutazzjoni mill-produttur, kif diġà huwa l-każ għal tipi oħra ta' ċertifikazzjoni tal-markatura CE. Skont il-Kummissjoni, 90 % tal-prodotti fis-suq jaqgħu taħt din il-kategorija.
2.11Il-prodotti msemmija jistgħu jitqiegħdu fis-suq wara awtovalutazzjoni taċ-ċibersigurtà tagħhom mill-produttur li jippreżenta dokumentazzjoni adegwata stabbilita mil-linji gwida regolatorji. Il-produttur huwa meħtieġ jirrepeti l-valutazzjoni jekk il-prodott jiġi mmodifikat.
2.12L-10 % li jifdal tal-prodotti huma maqsuma f'żewġ kategoriji oħra (klassi I, inqas perikolużi, u klassi II, aktar perikolużi), li t-tqegħid tagħhom fis-suq jeħtieġ aktar attenzjoni. Dawn huma l-hekk imsejħa “prodotti kritiċi b'elementi diġitali”, li meta jkollhom difett, dan jista' jwassal għal ksur ta' sigurtà aktar perikoluż u ikbar.
2.13Għall-prodotti ta' dawn iż-żewġ klassijiet, l-awtodikjarazzjonijiet bażiċi huma eliġibbli biss jekk il-produttur juri li segwa standards speċifiċi tas-suq u speċifikazzjonijiet tas-sigurtà jew ċertifikazzjonijiet taċ-ċibersigurtà diġà previsti mill-UE. Jekk dan ma jkunx il-każ, jista' jikseb ċertifikazzjoni tal-prodott minn korp taċ-ċertifikazzjoni akkreditat li ċ-ċertifikazzjoni tiegħu hija obbligatorja għall-prodotti tal-klassi II.
2.14Is-sistema għall-klassifikazzjoni tal-prodotti f'kategoriji ta' riskju tinsab ukoll fil-Proposta għal Regolament dwar l-intelliġenza artifiċjali (IA). Biex jiġu evitati dubji dwar id-dispożizzjonijiet applikabbli, l-Att dwar ir-Reżiljenza Ċibernetika għandu jikkunsidra prodotti b'elementi diġitali li huma simultanjament ikklassifikati bħala “sistemi tal-IA ta' riskju kbir” f'konformità mal-Proposta dwar l-IA. Prodotti bħal dawn ġeneralment ikollhom jikkonformaw mal-proċedura ta’ valutazzjoni tal-konformità stabbilita fir-Regolament dwar l-IA, ħlief għal “prodotti diġitali kritiċi”, li għalihom se japplikaw ir-regoli tal-valutazzjoni tal-konformità tal-Att dwar ir-Reżiljenza Ċibernetika flimkien mar-“rekwiżiti essenzjali” tal-Att dwar ir-Reżiljenza Ċibernetika.
2.15Sabiex tiġi żgurata l-konformità mal-Att dwar ir-Reżiljenza Ċibernetika, hemm attività superviżorja li kull Stat Membru se jkollu jafda f'idejn awtorità nazzjonali. F'konformità mal-leġiżlazzjoni b'rabta mas-sigurtà ta' prodotti oħrajn, jekk awtorità nazzjonali ssib li l-karatteristiċi taċ-ċibersigurtà ta' prodott ma għadhomx jeżistu, il-kummerċjalizzazzjoni tiegħu tista' tiġi sospiża fl-Istat inkwistjoni. L-Aġenzija tal-Unjoni Ewropea għaċ-Ċibersigurtà (ENISA) għandha l-kompetenza li tivvaluta fid-dettall prodott irrappurtat u l-valutazzjonijiet tiegħu, u f'każ ta' nuqqas ta' sigurtà identifikata ta' prodott, jistgħu jwasslu għas-sospensjoni tal-kummerċjalizzazzjoni tiegħu fl-UE.
2.16Is-sistema ta' sanzjonijiet tal-Att dwar ir-Reżiljenza Ċibernetika hija garantita minn sensiela ta' sanzjonijiet – relatati mal-gravità tal-ksur – li, fil-każ ta' ksur tar-rekwiżiti essenzjali għaċ-ċibersigurtà tal-prodotti, jistgħu jammontaw għal EUR 15-il miljun jew 2,5 % tal-fatturat tas-sena tat-taxxa preċedenti.
3.Kummenti
3.1Il-KESE jilqa' l-inizjattiva tal-Kummissjoni li għandha l-għan li tinkludi element ewlieni fil-frammentazzjoni usa' tar-regolamentazzjoni dwar iċ-ċibersigurtà, f'koordinazzjoni u flimkien mad-Direttiva NIS u flimkien mal-Att dwar iċ-Ċibersigurtà. L-istandards għoljin taċ-ċibersigurtà għandhom rwol ewlieni fil-ħolqien ta' sistema robusta taċ-ċibersigurtà tal-UE għall-operaturi ekonomiċi kollha, utli biex jiżguraw li ċ-ċittadini tal-UE jkunu jistgħu jużaw il-prodotti kollha fis-suq b'mod sikur u jżidu l-fiduċja tagħhom fid-dinja diġitali.
3.2Għalhekk, ir-regolament jindirizza żewġ kwistjonijiet: il-livell baxx ta' ċibersigurtà ta' ħafna mill-prodotti u, l-aktar importanti, il-fatt li ħafna produtturi ma jipprovdux aġġornamenti biex jindirizzaw il-vulnerabbiltajiet. Filwaqt li l-produtturi ta' prodotti b'elementi diġitali xi kultant isofru dannu għar-reputazzjoni meta l-prodotti tagħhom jonqsu fis-sigurtà, il-kost tal-vulnerabbiltajiet jiġġarrab prinċipalment mill-utenti professjonali u mill-konsumaturi. Dan jillimita l-inċentivi tal-produtturi biex jinvestu fid-disinn u l-iżvilupp ta' prodotti sikuri u biex jipprovdu aġġornamenti dwar is-sigurtà. Barra minn hekk, in-negozji u l-konsumaturi spiss ma jkollhomx informazzjoni suffiċjenti u preċiża meta jiġu biex jagħżlu prodotti sikuri u ħafna drabi ma jkunux jafu kif jiżguraw li l-prodotti li jixtru jkunu konfigurati b'mod sikur. Ir-regoli l-ġodda jindirizzaw dawn iż-żewġ aspetti billi jindirizzaw il-kwistjoni tal-aġġornamenti u l-għoti ta' informazzjoni aġġornata lill-klijenti. F'dan is-sens, il-KESE jemmen li, fejn jiġi applikat kif suppost, ir-regolament propost jista' jsir punt ta' riferiment u mudell internazzjonali fejn tidħol iċ-ċibersigurtà.
3.3Il-KESE jilqa' l-proposta li jiġu introdotti rekwiżiti taċ-ċibersigurtà għal prodotti b'elementi diġitali. Madankollu, se jkun importanti li jiġu evitati duplikazzjonijiet ma' dispożizzjonijiet regolatorji oħra fis-seħħ dwar din il-kwistjoni, bħad-Direttiva l-ġdida NIS 2 u r-regolament dwar l-IA.
3.4Il-KESE jqis li huwa importanti li jiġi enfasizzat li, filwaqt li min-naħa waħda huwa apprezzabbli li l-Att dwar ir-Reżiljenza Ċibernetika jkopri kważi l-prodotti diġitali kollha, min-naħa l-oħra jista' jkun hemm problemi fl-applikazzjoni konkreta tiegħu minħabba l-verifika u l-kontroll konsiderevoli li jinvolvi.
3.5Il-kamp ta' applikazzjoni materjali tal-Att dwar ir-Reżiljenza Ċibernetika huwa wiesa' u jkopri l-prodotti kollha b'elementi diġitali. Skont id-definizzjoni proposta, il-prodotti tas-software u tal-hardware u l-operazzjonijiet tal-ipproċessar tad-data relatati kollha huma koperti. Il-KESE jissuġġerixxi li l-Kummissjoni tiċċara jekk is-software kollu jaqax fil-kamp ta' applikazzjoni tar-regolament propost.
3.6Il-produtturi se jkollhom l-obbligu li jirrappurtaw vulnerabbiltajiet sfruttati b'mod attiv min-naħa, u inċidenti ta' sigurtà min-naħa l-oħra. Huma se jkunu meħtieġa jinfurmaw lill-ENISA dwar kwalunkwe vulnerabbiltà sfruttata b'mod attiv li tinsab fil-prodott u (separatament) dwar kwalunkwe inċident li għandu impatt fuq is-sigurtà tal-prodott, fi kwalunkwe każ fi żmien 24 siegħa minn meta jsiru jafu bih. F'dan ir-rigward, il-KESE jinnota l-ħtieġa li l-ENISA tingħata biżżejjed riżorsi, kemm f'termini ta' numri kif ukoll f'termini ta' taħriġ professjonali, biex tkun tista' twettaq b'mod effettiv il-kompiti importanti u sensittivi fdati lilha skont ir-Regolament.
3.7Il-fatt li għadd ta' prodotti li jaqgħu fil-kamp ta' tal-proposta huma soġġetti wkoll għal dispożizzjonijiet leġiżlattivi oħra dwar iċ-ċibersigurtà jista' jwassal għal inċertezza dwar il-leġiżlazzjoni applikabbli. Għalkemm l-Att dwar ir-Reżiljenza Ċibernetika huwa mfassal biex ikun konsistenti mal-qafas regolatorju attwali tal-UE dwar il-prodotti u proposti oħra li għaddejjin bħalissa fil-kuntest tal-Istrateġija Diġitali tal-UE, regoli bħal dawk għal prodotti tal-intelliġenza artifiċjali ta' riskju kbir, pereżempju, jikkoinċidu ma' dawk fir-Regolament dwar l-ipproċessar tad-data personali. F'dan ir-rigward, il-KESE jissuġġerixxi li l-Kummissjoni tfassal linji gwida għall-produtturi u l-konsumaturi dwar l-applikazzjoni korretta tiegħu.
3.8Il-KESE jinnota li r-relazzjoni bejn l-awtoritajiet ta' ċertifikazzjoni skont it-tifsira tal-Att dwar ir-Reżiljenza Ċibernetika u kwalunkwe korp ieħor awtorizzat li jiċċertifika ċ-ċibersigurtà f'konformità mar-regolamenti oħra applikabbli bl-istess mod ma tidhirx ċara għalkollox.
3.9Barra minn hekk, dawk l-awtoritajiet ta’ ċertifikazzjoni se jkollhom piż konsiderevoli ta’ xogħol u responsabbiltà. Għandu jiġi vverifikat u żgurat li jkunu kompletament operattivi fil-prattika, sabiex jiġi evitat li l-Att dwar ir-Reżiljenza Ċibernetika jwassal għal żieda fil-piż amministrattiv diġà impost fuq il-produtturi li joperaw fis-suq.
3.10L-Att dwar ir-Reżiljenza Ċibernetika jipprevedi li l-awtoritajiet taċ-ċertifikazzjoni jqisu l-ħtiġijiet speċifiċi tal-SMEs meta jwettqu s-servizzi tagħhom; madankollu, il-KESE jenfasizza l-opportunità biex jiġu ċċarati l-kriterji ta' applikazzjoni.
3.11Barra minn hekk, tista' tinqala' problema ta' koordinazzjoni bejn l-awtoritajiet ta' sorveljanza previsti f'dan ir-Regolament u dawk diġà attivi f'konformità ma' regoli oħra applikabbli għall-istess prodotti. Għalhekk, il-KESE jissuġġerixxi li l-Kummissjoni tistieden lill-Istati Membri jimmonitorjaw is-sitwazzjoni u, fejn adegwat, jieħdu azzjoni biex jipprevjenu li dan iseħħ.
Brussell, 10 ta’ Novembru 2022
Alain COHEUR
Il-President tas-Sezzjoni għas-Suq Uniku, il-Produzzjoni u l-Konsum
_____________
