Brussell, 16.12.2020

SWD(2020) 344 final

DOKUMENT TA’ ĦIDMA TAL-PERSUNAL TAL-KUMMISSJONI

SOMMARJU EŻEKUTTIV TAR-RAPPORT TAL-VALUTAZZJONI TAL-IMPATT

Li jakkumpanja d-dokument

Proposta għal Direttiva tal-Parlament Ewropew u tal-Kunsill

dwar miżuri għal livell komuni għoli ta' ċibersigurtà madwar l-Unjoni, li tirrevoka d-Direttiva (UE) 2016/1148

{COM(2020) 823 final} - {SEC(2020) 430 final} - {SWD(2020) 345 final}


Skeda tas-Sommarju Eżekuttiv

Valutazzjoni tal-impatt dwar ir-Rieżami tad-Direttiva (UE) 2016/1148 tas-6 ta' Lulju 2016 dwar miżuri għal livell għoli komuni ta' sigurtà tan-netwerks u tas-sistemi tal-informazzjoni madwar l-Unjoni (minn hawn ’il quddiem “id-Direttiva NIS”)

A. Il-ħtieġa għal azzjoni

X’inhi l-problema u għaliex hija problema fil-livell tal-UE?

Minkejja l-kisbiet notevoli tagħha, id-Direttiva NIS, li wittiet it-triq għal bidla sinifikanti fl-approċċ attitudinali, istituzzjonali u regolatorju għaċ-ċibersigurtà f’bosta Stati Membri, issa wriet ukoll li għandha l-limitazzjonijiet tagħha. It-trasformazzjoni diġitali tas-soċjetà (li ġiet intensifikata bil-kriżi tal-COVID-19) espandiet il-panorama tat-thedid u ġabet magħha sfidi ġodda, li jirrikjedu risponsi adattati u innovattivi. L-għadd ta’ ċiberattakki kompla jikber, b’attakki li kull ma jmur dejjem isiru aktar sofistikati minn firxa wiesgħa ta’ sorsi fl-UE u lil hinn minnha.

Abbazi tal-valutazzjoni tal-funzjonament tad-Direttiva NIS, il-Valutazzjoni tal-Impatt identifikat il-problemi li ġejjin: il-livell baxx tar-reżiljenza ċibernetika tan-negozji li joperaw fl-UE; ir-reżiljenza inkonsistenti madwar l-Istati Membri u s-setturi u l-livell baxx ta’ għarfien sitwazzjonali konġunt u n-nuqqas ta’ rispons konġunt għall-kriżijiet. Pereżempju, minħabba xi wħud minn dawn il-problemi u punti li jwasslu għalihom, hemm sitwazzjonijiet fejn sptarijiet ewlenin fi Stat Membru ma jaqgħux taħt il-kamp ta' applikazzjoni tad-Direttiva NIS u għalhekk m’humiex obbligati jimplimentaw il-miżuri ta’ sigurtà, filwaqt li fi Stat Membru ieħor kważi kull sptar fil-pajjiż huwa kopert mir-rekwiżiti tas-sigurtà tal-NIS.

Xi jeħtieġ li jinkiseb?

Tliet objettivi ġenerali huma fil-mira tar-rieżami tal-NIS.

1.Iż-żieda tal-livell tar-reżiljenza ċibernetika ta’ sett komprensiv ta’ negozji li joperaw fl-Unjoni Ewropea fis-setturi rilevanti kollha, billi jiddaħħlu fis-seħħ regoli li jiżguraw li l-entitajiet pubbliċi u privati kollha fis-suq intern, li jissodisfaw funzjonijiet importanti għall-ekonomija u s-soċjetà kollha kemm hi, ikunu mitluba jieħdu miżuri ta’ ċibersigurtà adegwati.

2.It-tnaqqis tal-inkonsistenzi fir-reżiljenza fis-suq intern fis-setturi li diġà huma koperti mid-Direttiva, billi jkun hemm aktar allinjament ta’ (1) il-kamp ta' applikazzjoni de-facto, (2) ir-rekwiżiti ta’ rapportar tas-sigurtà u tal-inċidenti, (3) id-dispożizzjonijiet li jigvernaw l-infurzar u s-superviżjoni nazzjonali u (4) il-kapaċitajiet tal-awtoritajiet kompetenti fl-Istati Membri.

3.It-titjib tal-livell tal-għarfien sitwazzjonali konġunt u l-kapaċità kollettiva tat-tħejjija u r-rispons, billi jittieħdu miżuri li jżidu l-livell ta’ fiduċja bejn l-awtoritajiet kompetenti, tiġi kondiviża aktar informazzjoni u jiġu ffissati regoli u proċeduri fil-każ ta’ kriżi jew inċident fuq skala kbira.

X’inhu l-valur miżjud tal-azzjoni fil-livell tal-UE (sussidjarjetà)? 

Ir-reżiljenza taċ-ċibersigurtà fl-Unjoni ma tistax tkun effettiva jekk naslu għaliha b’manjieri differenti permezz ta’ sistemi iżolati nazzjonali jew reġjonali. Id-Direttiva NIS ddaħħlet biex tindirizza dan in-nuqqas, billi tifformula qafas għal network u sistemi tal-informazzjoni dwar is-sigurtà fil-livell tal-Unjoni u f’dak nazzjonli. Madankollu, it-trażpożizzjoni u l-implimentazzjoni tagħha żvelaw ukoll difetti inerenti ta’ ċerti dispożizzjonijiet u approċċi, bħad-delimitazzjoni vaga tal-kamp ta' applikazzjoni tad-Direttiva NIS. Barra minn hekk, mindu nqalgħet il-kriżi tal-COVID-19, l-ekonomija Ewropea kompliet isserraħ aktar minn qatt qabel fuq in-networks u s-sistemi tal-informazzjoni u s-setturi u s-servizzi qed kull ma jmur isiru aktar interkonnessi. L-ewwel rieżami sperjodiku tad-Direttiva NIS, għaldaqstant, ħoloq l-opportunità għal aktar azzjoni tal-UE. L-intervent tal-UE li jmur 'lil hinn mill-miżuri attwali tad-Direttiva NIS huwa ġustifikat l-aktar permezz ta’: (i) in-natura transfruntiera tal-problema; (ii) il-potenzjal tal-azzjoni tal-UE li ttejjeb u tiffaċilita politiki nazzjonali effettivi; (iii) il-kontribut ta’ azzjonijiet flimkien u kollaborattivi sabiex il-politika tal-NSI tipproteġi b’mod effettiv il-protezzjoni tad-data u l-privatezza.

B. Soluzzjonijiet

X’inhuma d-diversi għażliet biex jinkisbu l-objettivi tagħha? Hemm jew le xi għażla preferuta? Jekk le, għaliex?

Il-Valutazzjoni tal-Impatt analizzat erba’ għażliet ta’ politika: (0) kollox jibqa’ kif inhu; (1) miżuri mhux leġiżlattivi biex jallinjaw it-traspożizzjoni; (2) bidliet limitati għad-Direttiva NIS għal aktar armonizzazzjoni; (3) bidliet sistemiċi u strutturali għad-Direttiva NIS. L-għażla 1 twarrbet minn kmieni għax ma tantx hi differenti minn li kollox jibqa’ kif inhu. Il-Valutazzjoni tal-Impatt ikkonkludiet li l-għażla preferuta hija l-għażla 3, (jiġifieri bidliet sistemiċi u strutturali għall-qafas tal-NIS), peress li tipprevedi bidla aktar fundamentali tal-approċċ lejn kopertura ta’ segment usa’ tal-ekonomija fl-UE, filwaqt li twassal għal superviżjoni aktar iffukata li timmira b’mod proporzjonali kumpaniji kbar u ewlenin u tiddetermina b’mod ċar il-kamp ta' applikazzjoni. Din twassal ukoll biex l-obbligi relatati mas-sigurtà tal-kumpaniji jiġu armonizzati aktar u b’mod standardizzat, jinħoloq sfond aktar effettiv għall-aspetti operazzjonali, kif ukoll tiġi stabbilita bażi għal responsabbiltajiet u akkontabbilità tal-atturi rilevanti u tiġi inċentivizzata l-kondiviżjoni tal-informazzjoni.

X’inhuma l-fehmiet tal-partijiet ikkonċernati differenti? Min jappoġġja liema għażla?

Il-maġġoranza tal-awtoritajiet kompetenti u n-negozji appoġġaw ir-reviżjoni tad-Direttiva NIS. Permezz ta’ għadd ta’ konsultazzjonijiet, huma wrew li Direttiva NIS rieżaminata tkun tkopri (sotto)setturi oħra, tallinja jew tistandardizza aktar miżuri ta’ sigurtà u obbligi ta’ rapportar. Il-partijiet ikkonċernati taw ukoll appoġġ għal kunċetti ġodda jew miżuri relatati mal-politika li huma biss parti mill-għażla preferuta (eż. politiki ta’ sigurtà għall-ktajjen ta’ provvista, l-istituzzjonalizzazzjoni ta’ qafas operattiv għall-ġestjoni tal-kriżijiet tal-UE).

C. L-impatti tal-għażla preferuta

X’inhuma l-benefiċċji tal-għażla preferuta (jekk hemm, jew inkella dawk ewlenin)?

L-għażla preferuta ġġib magħha benefiċċji sinifikanti: l-istimi li saru abbażi tal-immudellar ekonomiku msawra minn studju ta’ sostenn għar-rieżami tan-NIS indikaw li l-għażla preferuta jaf twassal għal tnaqqis fil-kost tal-inċidenti taċ-ċibersigurtà b’EUR 11.3 biljun.

Il-kamp ta' applikazzjoni settorjali se jitkabbar konsiderevolment taħt il-qafas tal-NIS, imma biswit il-benefiċċji msemmija hawn fuq, il-piż li jaf jinħoloq mir-rekwiżiti tal-NIS, l-aktar mill-perspettiva tas-superviżjoni, se jkun ukoll ibbilanċjat kemm għall-entitajiet il-ġodda li se jkunu koperti kif ukoll għall-awtoritajiet kompetenti. Dan għax il-qafas tal-NIS Il-ġdid se jistabbilixxi approċċ b’żewġ saffi, b’fokus fuq l-entitajiet il-kbar u ewlenin u differenzazzjoni tas-sistema superviżorja li tippermetti biss superviżjoni ex post (jiġifieri reattiva u bla obbligu ġenerali ta’ konformità dokumentattiva sistematika) għal bosta minnhom, speċjalment dawk meqjusa “importanti” imma mhux “essenzjali”.

Kollox ma’ kollox, l-għażla ta’ politika preferuta se twassal għal sinerġiji u kompromessi effiċjenti, bl-aqwa potenzjal minn fost l-għażliet ta’ politika kollha analizzati biex jiġi żgurat livell konsistenti u mtejjeb ta' reżiljenza ċibernetika tal-entitajiet fl-Unjoni kollha li eventwalment twassal għal tnaqqis fil-kostijiet kemm għan-negozji kif ukoll għas-soċjetà.

X’inhuma l-kostijeit tal-għażla preferuta (jekk hemm, inkella dawk ewlenin)? 

L-għażla ta’ politika preferuta tkun twassal għal ċerti kostijiet ta’ konformità u infurzar għall-awtoritajiet rilevanti tal-Istati Membri (ġiet stmata żieda kumplessiva ta’ madwar 20-30 % tar-riżorsi). Madankollu, il-qafas il-ġdid se jwassal ukoll għal benefiċċji sostanzjali permezz ta’ ħarsa ġenerali aħjar u aktar interazzjoni man-negozji ewlenin, kooperazzjoni operattiva transfruntiera mtejba, kif ukoll mekkaniżmi aħjar għall-assistenza reċiproka u r-rieżami bejn il-pari. Dan ikun iwassal għal żieda kumplessiva fil-kapaċitajiet taċ-ċibersigurtà fl-Istati Membri kollha.

Għall-kumpaniji li jkunu jaqgħu taħt il-kamp ta' applikazzjoni tal-qafas tal-NIS, huwa stmat li se jkunu jeħtieġu żieda massima ta’ 22 % tan-nefqa attwali tagħhom fuq is-sigurtà tal-ICT tul l-ewwel snin wara li jiddaħħal il-qafas il-ġdid tal-NSI (dan ikun ta’ 12 % għall-kumpaniji li diġà huma taħt il-kamp ta' applikazzjoni tad-Direttiva NSI attwali). Madankollu, din iż-żieda medja fin-nefqa għas-sigurtà tal-ICT tkun twassal għal benefiċċju proporzjonali ta’ tali investimenti, speċjalment minħabba t-tnaqqis konsiderevoli fil-kost ta’ inċidenti taċ-ċibersigurtà (stmati li jlaħħqu EUR 11.3 biljun f’għaxar snin).

X’inhuma l-impatti fuq l-SMEs u l-kompetittività?

In-negozji żgħar u mikro se jkunu eżentati mill-kamp ta' applikazzjoni tal-qafas tal-NIS taħt l-għażla preferuta. Fil-każ ta’ intrapriżi ta’ daqs medju, jista’ jkun mistenni li jkun hemm żieda fil-livell tan-nefqa fuq is-sigurtà tal-ICT fl-ewwel snin wara li jiddaħħal il-qafas il-ġdid tal-NIS. Fl-istess waqt, iż-żieda tal-livell fir-rekwiżit tas-sigurtà għal dawn l-entitajiet se tkun ta inċentiv ukoll għall-kapaċitajiet taċ-ċibersigurtà tagħhom u jgħinhom itejbu l-ġestjoni tar-riskji tal-ICT tagħhom.

Se jkun hemm xi impatti sinifikanti fuq il-baġits nazzjonali u fuq l-amministrazzjonijiet? 

Se jkun hemm impatt fuq il-baġits nazzjonali u fuq l-amministrazzjonijiet: żieda stmata għal madwar 20-30 % tar-riżorsi se tkun mistennija fuq medda qasira u twila ta’ żmien.

Se jkun hemm xi impatti sinifikanti oħrajn? 

L-ebda impatti negattivi oħrajn sinifikanti ma huma mistennija. L-għażla ta’ politika preferuta mistennija li twassal għal kapaċitajiet taċ-ċibersigurtà aktar robusti u għaldaqstant se tħalli impatt ta’ mitigazzjoni sostanzjali fuq l-għadd u s-severità tal-inċidenti, inklużi ksur tad-data. Aktarx ukoll li jkollha impatt pożittiv fuq l-iżgurar ta’ ekwità fl-Istati Membri kollha ta’ kull entità koperta mill-kamp ta' applikazzjoni tal-NIS u tnaqqas l-assimetriji fl-informazzjoni dwar iċ-ċibersigurtà.

Il-proporzjonalità? 

L-għażla preferuta ma tmurx 'lil hinn minn dak li huwa meħtieġ biex l-objettivi speċifiċi jintlaħqu b’mod sodisfaċenti. L-allinjament u l-istandardizzazzjoni tal-miżuri ta’ sigurtà u l-obbligi tar-rappurtar huma marbuta mar-rikjesti tal-Istati Membri u n-negozji biex jittejjeb il-qafas attwali.

D. Segwitu

Meta se tiġi rieżaminata l-politika?

L-ewwel rieżami se jseħħ 54 xahar wara d-dħul fis-seħħ tal-istrument ġuridiku. Il-Kummissjoni se tipprovdi rapport lill-Parlament Ewropew u lill-Kunsill dwar ir-rieżami tagħha. Ir-rieżami se jitħejja bl-appoġġ tal-ENISA u l-Grupp ta’ Kooperazzjoni.