IL-KUMMISSJONI EWROPEA

Brussell, 22.3.2022

COM(2022) 122 final

2022/0085(COD)

Proposta għal

REGOLAMENT TAL-PARLAMENT EWROPEW U TAL-KUNSILL

li jistabbilixxi miżuri għal livell għoli komuni ta’ ċibersigurtà fl-istituzzjonijiet, fil-korpi, fl-uffiċċji u fl-aġenziji tal-Unjoni

{SWD(2022) 67 final} - {SWD(2022) 68 final}

MEMORANDUM TA’ SPJEGAZZJONI

1.KUNTEST TAL-PROPOSTA

•Raġunijiet u għanijiet tal-proposta

•Konsistenza mad-dispożizzjonijiet eżistenti fil-qasam ta’ politika

·Id-Direttiva (UE) 2016/1148 dwar miżuri għal livell għoli komuni ta’ sigurtà tan-networks u tas-sistemi tal-informazzjoni madwar l-Unjoni. Hija tallinja wkoll mal-proposta għal Direttiva (UE) XXXX/XXXX dwar miżuri għal livell għoli komuni ta’ ċibersigurtà madwar l-Unjoni kollha, li tħassar id-Direttiva (UE) 2016/1148 [il-proposta NIS 2].

·Ir-Regolament (UE) 2019/881 dwar l-ENISA (l-Aġenzija tal-Unjoni Ewropea għaċ-Ċibersigurtà) u dwar iċ-ċertifikazzjoni taċ-ċibersigurtà tat-teknoloġija tal-informazzjoni u tal-komunikazzjoni (l-Att dwar iċ-Ċibersigurtà).

·Proposta għal Regolament (UE) XXXX/XXXX dwar is-sigurtà tal-informazzjoni fl-istituzzjonijiet, fil-korpi, fl-uffiċċji u fl-aġenziji tal-Unjoni.

·Ir-Rakkomandazzjoni tal-Kummissjoni tat-23 ta’ Ġunju 2021 dwar il-bini ta’ Ċiberunità Konġunta.

·Ir-Rakkomandazzjoni tal-Kummissjoni (UE) 2017/1584 tat-13 ta’ Settembru 2017 dwar Rispons Koordinat għal Inċidenti u Kriżijiet taċ-Ċibersigurtà fuq Skala Kbira.

2.BAŻI ĠURIDIKA, SUSSIDJARJETÀ U PROPORZJONALITÀ

•Bażi ġuridika

•Sussidjarjetà

•Proporzjonalità

•Għażla tal-istrument

3.RIŻULTATI TAL-EVALWAZZJONIJIET EX ANTE, TAL-KONSULTAZZJONIJIET MAL-PARTIJIET IKKONĊERNATI U TAL-VALUTAZZJONIJIET TAL-IMPATT

•Evalwazzjonijiet ex ante

·Tentattivi ta’ ksur tal-infrastruttura tal-IT tal-istituzzjonijiet, tal-korpi u tal-aġenziji tal-Unjoni (meta jirnexxu, jiġu ttrattati bħala inċidenti, fil-każijiet l-oħrajn għadhom jiġu rreġistrati bħala tentattivi identifikati).

·Theddid identifikat fil-prossimità tal-istituzzjonijiet, tal-korpi u tal-aġenziji tal-Unjoni (eż. fis-setturi relatati tagħhom, fil-komunitajiet tal-partijiet ikkonċernati tagħhom jew fl-Ewropa).

·Xejriet ewlenin ta’ theddid osservati globalment.

·Żieda fit-telexogħol.

·Migrazzjoni tas-sistemi lejn il-cloud.

·Esternalizzazzjoni akbar tas-servizzi tal-IT.

·Il-maturità taċ-ċibersigurtà, id-daqs tal-infrastruttura tal-IT u l-livelli ta’ kapaċità jvarjaw sostanzjalment fost l-istituzzjonijiet, il-korpi u l-aġenziji tal-Unjoni evalwati.

·Filwaqt li hemm kapaċitajiet maturi ta’ detezzjoni u ta’ rispons fost ħafna istituzzjonijiet, korpi u aġenziji tal-Unjoni b’mod ġenerali, hemm livelli differenti ta’ ġestjoni integrata tar-riskju fil-kapaċitajiet ta’ governanza taċ-ċibersigurtà tagħhom.

·Filwaqt li b’mod ġenerali l-oqfsa taċ-ċibersigurtà (strateġija, politika u bażi ta’ regoli) tal-istituzzjonijiet, tal-korpi u tal-aġenziji tal-Unjoni evalwati huma stabbiliti sew fl-oqsma ewlenin taċ-ċibersigurtà, elenkati fl-Anness I tar-Regolament, xi istituzzjonijiet, korpi u aġenziji tal-Unjoni ma għandhomx ġestjoni tal-kontinwità tan-negozju matura, konformità, awditjar u titjib kontinwu.

·Il-miżuri tekniċi meqjusa bħala l-aħjar prattiki nstabu li huma applikati b’mod mhux uniformi mill-istituzzjonijiet, mill-korpi u mill-aġenziji tal-Unjoni evalwati.

S’issa, l-ebda leġiżlazzjoni tal-Unjoni ma ffokat fuq iċ-ċibersigurtà tal-istituzzjonijiet, tal-korpi u tal-aġenziji tal-Unjoni u indirizzat b’mod komprensiv ix-xenarju tat-theddid taċ-ċibersigurtà u r-riskji emerġenti tal-IT xprunati mid-diġitalizzazzjoni.

•Konsultazzjonijiet mal-partijiet ikkonċernati

 •Valutazzjoni tal-impatt

•Drittijiet fundamentali

4.IMPLIKAZZJONIJIET BAĠITARJI

5.ELEMENTI OĦRA

·Arranġamenti dwar l-implimentazzjoni, il-monitoraġġ, l-evalwazzjoni u r-rapportar

Il-Bord Interistituzzjonali taċ-Ċibersigurtà (IICB), bl-għajnuna tas-CERT-UE, għandu jirrieżamina l-funzjonament ta’ dan ir-Regolament, iwettaq evalwazzjonijiet, u jippreżenta rapport bis-sejbiet tiegħu lill-Kummissjoni. Il-Kummissjoni għandha tiżgura rapportar regolari lill-Parlament Ewropew, il-Kunsill, il-Kumitat Ekonomiku u Soċjali Ewropew u l-Kumitat tar-Reġjuni.

Is-CERT-UE tista’ tfassal proposta għal dokument ta’ gwida jew rakkomandazzjoni, li l-IICB jista’ jagħżel li jadotta. Dokument ta’ gwida huwa konsulenza diretta lejn l-istituzzjonijiet, il-korpi u l-aġenziji kollha tal-Unjoni jew subsett tagħhom, filwaqt li rakkomandazzjoni hija diretta lejn istituzzjonijiet, korpi u aġenziji individwali tal-Unjoni. Sejħa għal azzjoni hija konsulenza tas-CERT-UE li tiddeskrivi miżuri ta’ sigurtà urġenti li l-istituzzjonijiet, il-korpi u l-aġenziji tal-Unjoni huma mħeġġa jieħdu f’perjodu ta’ żmien stabbilit.

·Spjegazzjoni fid-dettall tad-dispożizzjonijiet speċifiċi tal-proposta

Dispożizzjonijiet ġenerali

Ir-Regolament jistabbilixxi miżuri bil-għan li jiġi żgurat livell komuni għoli ta’ ċibersigurtà u japplika għall-istituzzjonijiet, għall-korpi u għall-aġenziji tal-Unjoni sabiex ikunu jistgħu jwettqu l-missjonijiet rispettivi tagħhom b’mod miftuħ, effiċjenti u indipendenti. (l-Artikoli 1-3, 23-25)

Miżuri għal livell komuni għoli ta’ ċibersigurtà

L-istituzzjonijiet, il-korpi u l-aġenziji tal-Unjoni huma obbligati jistabbilixxu qafas intern ta’ ġestjoni, governanza u kontroll tar-riskju taċ-ċibersigurtà li jiżgura ġestjoni effettiva u prudenti tar-riskji kollha taċ-ċibersigurtà. Barra minn hekk, l-istituzzjonijiet, il-korpi u l-aġenziji għandhom jadottaw linja bażi taċ-ċibersigurtà sabiex jindirizzaw ir-riskji identifikati fil-qafas, iwettqu valutazzjonijiet regolari tal-maturità taċ-ċibersigurtà u jadottaw pjan taċ-ċibersigurtà. (Artikoli 4-8)

Bord Interistituzzjonali taċ-Ċibersigurtà

Il-Bord Interistituzzjonali taċ-Ċibersigurtà huwa stabbilit u għandu jkun responsabbli għall-monitoraġġ tal-implimentazzjoni ta’ dan ir-Regolament mill-istituzzjonijiet, mill-korpi u mill-aġenziji tal-Unjoni kif ukoll għas-superviżjoni tal-implimentazzjoni tal-prijoritajiet u l-objettivi ġenerali mis-CERT-UE u għall-għoti ta’ direzzjoni strateġika lis-CERT-UE. (Artikoli 9-11).

CERT-UE

Is-CERT-UE għandha tikkontribwixxi għas-sigurtà tal-ambjent tal-IT tal-istituzzjonijiet, tal-korpi u tal-aġenziji kollha tal-Unjoni billi tagħtihom pariri, billi tgħin fil-prevenzjoni, fl-identifikazzjoni, fil-mitigazzjoni u fir-rispons għall-inċidenti u billi taġixxi bħala ċ-ċentru ta’ koordinazzjoni tal-iskambju tal-informazzjoni u tar-rispons għall-inċidenti taċ-ċibersigurtà. (Artikoli 12-17)

Obbligi ta’ kooperazzjoni u ta’ rapportar

Ir-Regolament jiżgura l-kooperazzjoni u l-iskambju ta’ informazzjoni fost is-CERT-UE, u l-istituzzjonijiet, il-korpi u l-aġenziji tal-Unjoni sabiex jiżviluppaw il-fiduċja u l-kunfidenza. Għal dan il-għan, is-CERT-UE tista’ titlob lill-istituzzjonijiet, lill-korpi u lill-aġenziji tal-Unjoni sabiex jipprovdulha l-informazzjoni rilevanti u s-CERT-UE tista’ tiskambja informazzjoni speċifika għall-inċidenti mal-istituzzjonijiet, mal-korpi u mal-aġenziji tal-Unjoni sabiex tiffaċilita l-identifikazzjoni ta’ theddid jew inċidenti ċibernetiċi simili mingħajr il-kunsens tal-kostitwent affettwat. Is-CERT-UE tista’ tiskambja biss informazzjoni speċifika għall-inċidenti li tiżvela l-identità tal-mira tal-inċident taċ-ċibersigurtà bil-kunsens tal-kostitwent affettwat.

B’mod partikolari, l-istituzzjonijiet, il-korpi u l-aġenziji kollha tal-Unjoni għandhom jinnotifikaw lis-CERT-UE b’theddid ċibernetiku sinifikanti, b’vulnerabbiltajiet sinifikanti u b’inċidenti sinifikanti mingħajr dewmien żejjed u fi kwalunkwe każ mhux aktar tard minn 24 siegħa wara li jsiru konxji minnhom. (Artikoli 18-22)

2022/0085 (COD)

Proposta għal

REGOLAMENT TAL-PARLAMENT EWROPEW U TAL-KUNSILL

li jistabbilixxi miżuri għal livell għoli komuni ta’ ċibersigurtà fl-istituzzjonijiet, fil-korpi, fl-uffiċċji u fl-aġenziji tal-Unjoni

IL-PARLAMENT EWROPEW U L-KUNSILL TAL-UNJONI EWROPEA,

Wara li kkunsidraw it-Trattat dwar il-Funzjonament tal-Unjoni Ewropea, u b’mod partikolari l-Artikolu 298 tiegħu,

Wara li kkunsidraw it-Trattat li jistabbilixxi l-Komunità Ewropea tal-Enerġija Atomika, u b’mod partikolari l-Artikolu 106a tiegħu,

Wara li kkunsidraw il-proposta tal-Kummissjoni Ewropea,

Wara li l-abbozz tal-att leġiżlattiv intbagħat lill-parlamenti nazzjonali,

Filwaqt li jaġixxu skont il-proċedura leġiżlattiva ordinarja,

Billi:

(1)Fl-era diġitali, it-teknoloġija tal-informazzjoni u tal-komunikazzjoni hija pedament f’amministrazzjoni tal-Unjoni miftuħa, effiċjenti u indipendenti. It-teknoloġija li qiegħda tevolvi u ż-żieda fil-kumplessità u fl-interkonnettività tas-sistemi diġitali jamplifikaw ir-riskji taċ-ċibersigurtà li jagħmlu l-amministrazzjoni tal-Unjoni aktar vulnerabbli għat-theddid u l-inċidenti ċibernetiċi, li fl-aħħar mill-aħħar toħloq theddid għall-kontinwità tan-negozju u għall-kapaċità tal-amministrazzjoni li żżomm id-data sigura. Filwaqt li l-użu akbar tas-servizzi tal-cloud, l-użu kullimkien tal-IT, id-diġitalizzazzjoni għolja, ix-xogħol mill-bogħod u t-teknoloġija u l-konnettività li qegħdin jevolvu llum huma karatteristiċi ewlenin tal-attivitajiet kollha tal-entitajiet amministrattivi tal-Unjoni, ir-reżiljenza diġitali għadha ma hijiex inkorporata biżżejjed.

(2)Ix-xenarju tat-theddid ċibernetiku li qegħdin jiffaċċjaw l-istituzzjonijiet, il-korpi u l-aġenziji tal-Unjoni jinsab f’evoluzzjoni kostanti. It-tattiċi, it-tekniki u l-proċeduri użati mill-awturi ta’ theddid qed jevolvu b’mod kostanti, mentri l-motivi prominenti għal attakki bħal dawn ftit jinbidlu; mis-serq ta’ informazzjoni mhux żvelata ta’ valur, sal-akkwist ta’ flus, sal-manipulazzjoni tal-opinjoni pubblika jew li tkun imminata l-infrastruttura diġitali. Il-pass li bih iwettqu l-attakki ċibernetiċi tagħhom qiegħed ikompli jiżdied, filwaqt li l-kampanji tagħhom huma dejjem aktar sofistikati u awtomatizzati, u jimmiraw lejn uċuħ ta’ attakk esposti li jkomplu jespandu u jisfruttaw malajr il-vulnerabbiltajiet.

(3)L-ambjenti tal-IT tal-istituzzjonijiet, tal-korpi u tal-aġenziji tal-Unjoni għandhom interdipendenzi, flussi integrati tad-data u l-utenti tagħhom jikkollaboraw mill-qrib. Din l-interkonnessjoni tfisser li kwalunkwe tfixkil, anke meta inizjalment ikun limitat għal istituzzjoni, korp jew aġenzija waħda tal-Unjoni, jista’ jkollu effetti kaskata b’mod aktar wiesa’, li potenzjalment jirriżulta f’impatti negattivi estensivi u fit-tul fuq l-oħrajn. Minbarra dan, l-ambjenti tal-IT ta’ ċerti istituzzjonijiet, korpi u aġenziji huma konnessi mal-ambjenti tal-IT tal-Istati Membri, li jfisser li inċident f’entità waħda tal-Unjoni joħloq riskju għaċ-ċibersigurtà tal-ambjenti tal-IT tal-Istati Membri u viċi versa.

(4)L-istituzzjonijiet, il-korpi u l-aġenziji tal-Unjoni huma miri attraenti li jiffaċċjaw awturi ta’ theddid b’ħiliet għolja u b’riżorsi tajbin kif ukoll theddid ieħor. Fl-istess ħin, il-livell u l-maturità tar-reżiljenza ċibernetika u l-kapaċità ta’ detezzjoni u ta’ rispons għal attivitajiet ċibernetiċi malizzjużi jvarjaw b’mod sinifikanti fost dawn l-entitajiet. Għaldaqstant, għall-funzjonament tal-amministrazzjoni Ewropea huwa meħtieġ li l-istituzzjonijiet, il-korpi u l-aġenziji tal-Unjoni jiksbu livell għoli komuni ta’ ċibersigurtà permezz ta’ linja bażi taċ-ċibersigurtà (ġabra ta’ regoli taċ-ċibersigurtà li n-networks u s-sistemi ta’ informazzjoni, kif ukoll l-operaturi u l-utenti tagħhom, iridu jkunu konformi magħhom biex jimminimizzaw ir-riskji taċ-ċibersigurtà), l-iskambju tal-informazzjoni u l-kollaborazzjoni.

(5)Id-Direttiva [il-proposta NIS 2] dwar miżuri għal livell għoli komuni ta’ ċibersigurtà madwar l-Unjoni għandha l-għan li ttejjeb aktar ir-reżiljenza taċ-ċibersigurtà u l-kapaċitajiet ta’ rispons għall-inċidenti tal-entitajiet pubbliċi u privati, tal-awtoritajiet u tal-korpi kompetenti nazzjonali kif ukoll tal-Unjoni kollha. Għalhekk huwa meħtieġ li l-istituzzjonijiet, il-korpi u l-aġenziji tal-Unjoni jagħmlu l-istess billi jiżguraw regoli li jkunu konsistenti mad-Direttiva [il-proposta NIS 2] u jirriflettu l-livell ta’ ambizzjoni tagħha.

(6)Sabiex jintlaħaq livell għoli komuni ta’ ċibersigurtà, huwa meħtieġ li kull istituzzjoni, korp u aġenzija tal-Unjoni tistabbilixxi qafas intern ta’ ġestjoni, governanza u kontroll tar-riskju taċ-ċibersigurtà li jiżgura ġestjoni effettiva u prudenti tar-riskji kollha taċ-ċibersigurtà, u li jqis il-kontinwità tal-operat u l-ġestjoni ta’ kriżijiet.

(7)Id-differenzi bejn l-istituzzjonijiet, il-korpi u l-aġenziji tal-Unjoni jirrikjedu flessibbiltà fl-implimentazzjoni, peress li soluzzjoni waħda ma tkunx ideali għal kollha. Il-miżuri għal livell għoli komuni ta’ ċibersigurtà ma għandhomx jinkludu xi obbligu li jinterferixxi direttament fl-eżerċizzju tal-missjonijiet tal-istituzzjonijiet, tal-korpi u tal-aġenziji tal-Unjoni jew li jindaħal fl-awtonomija istituzzjonali tagħhom. Għalhekk, dawn l-istituzzjonijiet, il-korpi u l-aġenziji jenħtieġ li jistabbilixxu l-oqfsa tagħhom stess għall-ġestjoni, għall-governanza u għall-kontroll tar-riskji taċ-ċibersigurtà, u jadottaw il-linji bażi u l-pjanijiet taċ-ċibersigurtà tagħhom stess.

(8)Sabiex tiġi evitata l-impożizzjoni ta’ piż finanzjarju u amministrattiv sproporzjonat fuq l-istituzzjonijiet, il-korpi u l-aġenziji tal-Unjoni, ir-rekwiżiti tal-ġestjoni tar-riskji taċ-ċibersigurtà għandhom ikunu proporzjonati għar-riskju ppreżentat min-network u s-sistema ta’ informazzjoni kkonċernata, filwaqt li jiġi kkunsidrat l-ogħla livell ta’ żvilupp tekniku ta’ dawn il-miżuri. Kull istituzzjoni, korp u aġenzija tal-Unjoni għandha timmira li talloka perċentwal adegwat tal-baġit tal-IT tagħha biex ittejjeb il-livell tagħha ta’ ċibersigurtà; fit-tul, jenħtieġ li tintlaħaq mira ta’ madwar 10 %.

(9)Livell għoli komuni ta’ ċibersigurtà jirrikjedi li ċ-ċibersigurtà tiġi sorveljata fl-ogħla livell ta’ maniġment ta’ kull istituzzjoni, korp u aġenzija tal-Unjoni, li għandhom japprovaw linja bażi taċ-ċibersigurtà li tindirizza r-riskji identifikati fil-qafas li għandu jiġi stabbilit minn kull istituzzjoni, korp u aġenzija. Parti integrali minn linja bażi taċ-ċibersigurtà fl-istituzzjonijiet, fil-korpi u fl-aġenziji kollha tal-Unjoni hija li tiġi indirizzata l-kultura taċ-ċibersigurtà, jiġifieri l-prattika ta’ kuljum taċ-ċibersigurtà.

(10)L-istituzzjonijiet, il-korpi u l-aġenziji tal-Unjoni għandhom jivvalutaw ir-riskji relatati mar-relazzjonijiet mal-fornituri u mal-fornituri tas-servizzi, inklużi l-fornituri ta’ servizzi ta’ ħżin u pproċessar ta’ data jew servizzi tas-sigurtà ġestiti, u jieħdu miżuri xierqa biex jindirizzawhom. Dawn il-miżuri għandhom jifformaw parti mil-linja bażi taċ-ċibersigurtà u jiġu speċifikati aktar fid-dokumenti ta’ gwida jew fir-rakkomandazzjonijiet maħruġa mis-CERT-UE. Meta jiġu definiti l-miżuri u l-linji gwida, għandhom jitqiesu kif xieraq il-leġiżlazzjoni u l-politiki tal-UE, inklużi l-valutazzjonijiet tar-riskju u r-rakkomandazzjonijiet maħruġa mill-Grupp ta’ Kooperazzjoni tal-NIS, bħall-valutazzjoni tar-riskju kkoordinata tal-UE u s-sett ta’ għodod tal-UE dwar iċ-ċibersigurtà tal-5G. Barra minn hekk, tista’ tkun meħtieġa ċertifikazzjoni ta’ prodotti, servizzi u proċessi tal-ICT rilevanti, fil-qafas ta’ skemi speċifiċi tal-UE taċ-ċertifikazzjoni taċ-ċibersigurtà adottati skont l-Artikolu 49 tar-Regolament (UE) 2019/881.

(11)F’Mejju 2011, is-Segretarji Ġenerali tal-istituzzjonijiet u l-korpi tal-Unjoni ddeċidew li jistabbilixxu skwadra ta’ prekonfigurazzjoni għal skwadra ta’ rispons f’emerġenza relatata mal-kompjuters għall-istituzzjonijiet, il-korpi u l-aġenziji tal-Unjoni (CERT-UE) sorveljata minn Bord ta’ Tmexxija interistituzzjonali. F’Lulju 2012, is-Segretarji Ġenerali kkonfermaw l-arranġamenti prattiċi u qablu li s-CERT-UE tinżamm bħala entità permanenti biex tkompli tgħin fit-titjib tal-livell ġenerali tas-sigurtà tat-teknoloġija tal-informazzjoni tal-istituzzjonijiet, tal-korpi u tal-aġenziji tal-Unjoni bħala eżempju ta’ kooperazzjoni interistituzzjonali viżibbli fiċ-ċibersigurtà. F’Settembru 2012, CERT-UE ġiet stabbilita bħala task force tal-Kummissjoni Ewropea b’mandat interistituzzjonali. F’Diċembru 2017, l-istituzzjonijiet u l-korpi tal-Unjoni kkonkludew arranġament interistituzzjonali dwar l-organizzazzjoni u l-operat tas-CERT-UE 3 . Jenħtieġ li dan l-arranġament ikompli jevolvi insostenn tal-implimentazzjoni ta’ dan ir-Regolament.

(12)L-isem tas-CERT-UE għandu jinbidel minn “Skwadra ta’ Rispons f’Emerġenza relatata mal-Kompjuters” għal “Ċentru taċ-Ċibersigurtà” għall-istituzzjonijiet, għall-korpi u l-aġenziji tal-Unjoni, b’mod konformi mal-iżviluppi fl-Istati Membri u globalment, fejn ħafna CERTs qed jissemmew mill-ġdid bħala Ċentri taċ-Ċibersigurtà, imma għandha żżomm l-isem qasir “CERT-UE” minħabba r-rikonoxximent tal-isem.

(13)Ħafna attakki ċibernetiċi huma parti minn kampanji estensivi li jimmiraw fuq gruppi ta’ istituzzjonijiet, korpi u aġenziji tal-Unjoni jew komunitajiet ta’ interess li jinkludu istituzzjonijiet, korpi u aġenziji tal-Unjoni. Sabiex tkun possibbli d-detezzjoni proattiva, ir-rispons għal inċidenti jew miżuri ta’ mitigazzjoni, l-istituzzjonijiet, il-korpi u l-aġenziji tal-Unjoni għandhom jinnotifikaw lis-CERT-UE dwar theddid ċibernetiku, vulnerabbiltajiet sinifikanti u inċidenti sinifikanti u jaqsmu d-dettalji tekniċi xierqa li jippermettu d-detezzjoni jew il-mitigazzjoni ta’ theddid ċibernetiku, vulnerabbiltajiet u inċidenti simili f’istituzzjonijiet, korpi u aġenziji oħra tal-Unjoni, kif ukoll ir-rispons għalihom. Fuq il-bażi tal-istess approċċ bħal dak previst fid-Direttiva [il-proposta NIS 2], jekk l-entitajiet isiru jafu b’inċident sinifikanti, dawn għandhom ikunu meħtieġa jippreżentaw notifika inizjali lis-CERT-UE fi żmien 24 siegħa. Dan l-iskambju ta’ informazzjoni għandu jippermetti lis-CERT-UE taqsam l-informazzjoni ma’ istituzzjonijiet, korpi u aġenziji oħra tal-Unjoni, kif ukoll mal-kontropartijiet xierqa, biex l-ambjenti tal-IT tal-Unjoni u l-ambjenti tal-IT tal-kontropartijiet ikunu protetti kontra inċidenti, theddid u vulnerabbiltajiet simili.

(14)Minbarra li s-CERT-UE tingħata aktar kompiti u rwol estiż, għandu jiġi stabbilit Bord Interistituzzjonali taċ-Ċibersigurtà (IICB), li għandu jiffaċilita livell għoli komuni ta’ ċibersigurtà fost l-istituzzjonijiet, il-korpi u l-aġenziji tal-Unjoni billi jimmonitorja l-implimentazzjoni ta’ dan ir-Regolament mill-istituzzjonijiet, il-korpi u l-aġenziji tal-Unjoni u billi jissorvelja l-implimentazzjoni tal-prijoritajiet u l-objettivi ġenerali mis-CERT-UE u jipprovdi direzzjoni strateġika lis-CERT-UE. L-IICB għandu jiżgura r-rappreżentanza tal-istituzzjonijiet u jinkludi rappreżentanti ta’ aġenziji u korpi permezz tan-Network tal-Aġenziji tal-Unjoni.

(15)Is-CERT-UE għandha tappoġġa l-implimentazzjoni ta’ miżuri għal livell għoli komuni ta’ ċibersigurtà permezz ta’ proposti għal dokumenti ta’ gwida u rakkomandazzjonijiet lill-IICB jew billi toħroġ sejħiet għal azzjoni. Dawn id-dokumenti ta’ gwida u rakkomandazzjonijiet għandhom jiġu approvati mill-IICB. Meta jkun hemm bżonn, is-CERT-UE għandha toħroġ sejħiet għal azzjoni li tiddeskrivi miżuri ta’ sigurtà urġenti li l-istituzzjonijiet, il-korpi u l-aġenziji tal-Unjoni huma mħeġġa jieħdu f’perjodu ta’ żmien stabbilit.

(16)L-IICB għandu jimmonitorja l-konformità ma’ dan ir-Regolament, kif ukoll is-segwitu tad-dokumenti ta’ gwida u tar-rakkomandazzjonijiet, u tas-sejħiet għal azzjoni maħruġa mis-CERT-UE. Fi kwistjonijiet tekniċi, l-IICB għandu jingħata għajnuna minn gruppi konsultattivi tekniċi magħmula kif jidhirlu l-IICB, li għandhom jaħdmu mill-qrib mas-CERT-UE, mal-istituzzjonijiet, mal-korpi u mal-aġenziji tal-Unjoni u mal-partijiet ikkonċernati l-oħra kif meħtieġ. Fejn ikun meħtieġ, l-IICB għandu joħroġ twissijiet mhux vinkolanti u jirrakkomanda awditi.

(17)Is-CERT-UE għandu jkollha l-missjoni li tikkontribwixxi għas-sigurtà tal-ambjent tal-IT tal-istituzzjonijiet, tal-korpi u tal-aġenziji kollha tal-Unjoni. Is-CERT-UE għandha taġixxi bħala l-ekwivalenti tal-koordinatur deżinjat għall-istituzzjonijiet, għall-korpi u l-aġenziji tal-Unjoni, għall-finijiet tad-divulgazzjoni koordinata tal-vulnerabbiltajiet lir-reġistru Ewropew tal-vulnerabbiltajiet kif imsemmi fl-Artikolu 6 tad-Direttiva [il-proposta NIS 2].

(18)Fl-2020, il-Bord ta’ Tmexxija tas-CERT-UE stabbilixxa għan strateġiku ġdid għas-CERT-UE sabiex jiggarantixxi livell komprensiv ta’ difiża ċibernetika għall-istituzzjonijiet, għall-korpi u għall-aġenziji kollha tal-Unjoni b’wisa’ u profondità xierqa u adattament kontinwu għat-theddid attwali jew imminenti, inklużi attakki kontra apparati mobbli, ambjenti tal-cloud u apparati tal-internet tal-oġġetti. L-għan strateġiku jinkludi wkoll Ċentri tal-Operazzjonijiet tas-Sigurtà b’firxa wiesgħa (SOCs) li jimmonitorjaw in-networks, u monitoraġġ 24/7 għal theddid ta’ severità għolja. Għall-istituzzjonijiet, għall-korpi u l-aġenziji l-kbar tal-Unjoni, is-CERT-UE għandha tappoġġa l-iskwadri tas-sigurtà tal-IT tagħhom, inkluż b’monitoraġġ tal-ewwel linja 24/7. Fir-rigward ta’ istituzzjonijiet, korpi u aġenziji żgħar u ta’ daqs medju tal-Unjoni, is-CERT-UE għandha tipprovdi s-servizzi kollha.

(19)Is-CERT-UE għandha taqdi wkoll ir-rwol previst għaliha fid-Direttiva [il-proposta NIS 2] dwar il-kooperazzjoni u l-iskambju ta’ informazzjoni man-network ta’ skwadri ta’ rispons għal inċidenti relatati mas-sigurtà tal-kompjuters (computer security incident response teams, CSIRTs). Barra minn hekk, b’mod konformi mar-Rakkomandazzjoni tal-Kummissjoni (UE) 2017/1584 4 , is-CERT-UE għandha tikkoopera u tikkoordina dwar ir-rispons mal-partijiet ikkonċernati rilevanti. Sabiex tikkontribwixxi għal livell għoli ta’ ċibersigurtà fl-Unjoni kollha, is-CERT-UE għandha taqsam informazzjoni speċifika għall-inċidenti mal-kontropartijiet nazzjonali. Is-CERT-UE jenħtieġ li tikkollabora wkoll ma’ kontropartijiet pubbliċi kif ukoll privati oħrajn, inkluż fin-NATO, soġġett għall-approvazzjoni minn qabel mill-IICB.

(20)Waqt li tappoġġa ċ-ċibersigurtà operattiva, is-CERT-UE għandha tuża l-għarfien espert disponibbli tal-Aġenzija tal-Unjoni Ewropea għaċ-Ċibersigurtà permezz ta’ kooperazzjoni strutturata kif previst fir-Regolament (UE) 2019/881 tal-Parlament Ewropew u tal-Kunsill 5 . Fejn ikun xieraq, jenħtieġ li jiġu stabbiliti arranġamenti dedikati bejn iż-żewġ entitajiet sabiex tiġi ddefinita l-implimentazzjoni prattika ta’ kooperazzjoni bħal din u sabiex tkun evitata d-duplikazzjoni tal-attivitajiet. Jenħtieġ li s-CERT-UE tikkoopera mal-Aġenzija tal-Unjoni Ewropea għaċ-Ċibersigurtà dwar l-analiżi tat-theddid u taqsam ir-rapport tagħha dwar ix-xenarju tat-theddid mal-Aġenzija fuq bażi regolari.

(21)Insostenn taċ-Ċiberunità Konġunta mibnija f’konformità mar-Rakkomandazzjoni tal-Kummissjoni tat-23 ta’ Ġunju 2021 6 , is-CERT-UE għandha tikkoopera u tiskambja informazzjoni mal-partijiet ikkonċernati biex titrawwem il-kooperazzjoni operattiva u biex in-networks eżistenti jkunu jistgħu jilħqu l-potenzjal sħiħ tagħhom fil-protezzjoni tal-Unjoni.

(22)Id-data personali kollha li tiġi pproċessata fil-qafas ta’ dan ir-Regolament għandha tiġi pproċessata f’konformità mal-leġiżlazzjoni tal-protezzjoni tad-data, inkluż ir-Regolament (UE) 2018/1725 tal-Parlament Ewropew u tal-Kunsill 7 .

(23)It-trattament tal-informazzjoni mis-CERT-UE u mill-istituzzjonijiet, mill-korpi u mill-aġenziji tal-Unjoni għandu jkun konformi mar-regoli stabbiliti fir-Regolament [ir-Regolament propost dwar is-sigurtà tal-informazzjoni]. Sabiex tiġi żgurata l-koordinazzjoni dwar kwistjonijiet ta’ sigurtà, kull kuntatt mas-CERT-UE mibdi jew imfittex mis-servizzi tas-sigurtà u tal-intelligence nazzjonali għandu jiġi kkomunikat lid-Direttorat tas-Sigurtà tal-Kummissjoni u lill-president tal-IICB mingħajr dewmien żejjed.

(24)Peress li s-servizzi u l-kompiti tas-CERT-UE huma fl-interess tal-istituzzjonijiet, tal-korpi u l-aġenziji kollha tal-Unjoni, kull istituzzjoni, korp u aġenzija tal-Unjoni b’nefqa tal-IT għandha tikkontribwixxi sehem ġust għal dawk is-servizzi u l-kompiti. Dawn il-kontribuzzjonijiet huma mingħajr preġudizzju għall-awtonomija baġitarja tal-istituzzjonijiet, tal-korpi u l-aġenziji tal-Unjoni.

(25)L-IICB, bl-għajnuna tas-CERT-UE, għandu jirrieżamina u jevalwa l-implimentazzjoni ta’ dan ir-Regolament u għandu jirrapporta s-sejbiet tiegħu lill-Kummissjoni. Fuq il-bażi ta’ dan l-input, il-Kummissjoni għandha tirrapporta lill-Parlament Ewropew, lill-Kunsill, lill-Kumitat Ekonomiku u Soċjali Ewropew u lill-Kumitat tar-Reġjuni.

ADOTTAW DAN IR-REGOLAMENT:

Kapitolu I 
DISPOŻIZZJONIJIET ĠENERALI

Artikolu 1
Suġġett

Dan ir-Regolament jistipula:

(a)obbligi fuq l-istituzzjonijiet, il-korpi u l-aġenziji tal-Unjoni biex jistabbilixxu qafas intern ta’ ġestjoni, governanza u kontroll tar-riskji taċ-ċibersigurtà;

(b)obbligi ta’ ġestjoni u ta’ rapportar tar-riskji taċ-ċibersigurtà għall-istituzzjonijiet, għall-korpi u għall-aġenziji tal-Unjoni;

(c)regoli dwar l-organizzazzjoni u l-operat taċ-Ċentru taċ-Ċibersigurtà għall-istituzzjonijiet, għall-korpi u għall-aġenziji tal-Unjoni (CERT-UE) u dwar l-organizzazzjoni u l-operat tal-Bord Interistituzzjonali taċ-Ċibersigurtà.

Artikolu 2
Ambitu

Dan ir-Regolament japplika għall-ġestjoni, għall-governanza u għall-kontroll tar-riskji taċ-ċibersigurtà mill-istituzzjonijiet, mill-korpi u mill-aġenziji kollha tal-Unjoni u għall-organizzazzjoni u għall-operat tas-CERT-UE u tal-Bord Interistituzzjonali taċ-Ċibersigurtà.

Artikolu 3
Definizzjonijiet

Għall-iskop ta’ dan ir-Regolament, japplikaw id-definizzjonijiet li ġejjin:

(1)“istituzzjonijiet, korpi u aġenziji tal-Unjoni” tfisser l-istituzzjonijiet, il-korpi u l-aġenziji tal-Unjoni stabbiliti mit-Trattat dwar l-Unjoni Ewropea, mit-Trattat dwar il-Funzjonament tal-Unjoni Ewropea jew mit-Trattat li jistabbilixxi l-Komunità Ewropea dwar l-Enerġija Atomika, jew fuq il-bażi tagħhom;

(2)“network u sistema ta’ informazzjoni” tfisser network u sistema ta’ informazzjoni skont it-tifsira tal-Artikolu 4(1) tad-Direttiva [Proposta NIS 2];

(3)“sigurtà tan-network u tas-sistemi ta’ informazzjoni” tfisser is-sigurtà tan-network u tas-sistemi ta’ informazzjoni skont it-tifsira tal-Artikolu 4(2) tad-Direttiva [Proposta NIS 2];

(4)“ċibersigurtà” tfisser iċ-ċibersigurtà skont it-tifsira tal-Artikolu 4(3) tad-Direttiva [Proposta NIS 2];

(5)“l-ogħla livell ta’ maniġment” tfisser maniġer, maniġment jew korp ta’ koordinazzjoni u sorveljanza fl-aktar livell amministrattiv għoli, filwaqt li jitqiesu l-arranġamenti ta’ governanza ta’ livell għoli f’kull istituzzjoni, korp jew aġenzija tal-Unjoni;

(6)“inċident” tfisser inċident skont it-tifsira tal-Artikolu 4(5) tad-Direttiva [Proposta NIS 2];

(7)“inċident sinifikanti” tfisser kwalunkwe inċident sakemm ma jkollux impatt limitat u x’aktarx li jkun diġà mifhum sew f’termini ta’ metodu jew teknoloġija;

(8)“attakk kbir” tfisser kwalunkwe inċident li jeħtieġ aktar riżorsi milli jkunu disponibbli fl-istituzzjoni, fil-korp jew fl-aġenzija tal-Unjoni affettwata u fis-CERT-UE;

(9)“indirizzar ta’ inċident” tfisser indirizzar ta’ inċident skont it-tifsira tal-Artikolu 4(6) tad-Direttiva [Proposta NIS 2];

(10)“theddida ċibernetika” tfisser theddida ċibernetika skont it-tifsira tal-Artikolu 2(8) tar-Regolament (UE) 2019/881;

(11)“theddid ċibernetiku sinifikanti” tfisser theddid ċibernetiku bl-intenzjoni, bl-opportunità u bil-kapaċità li jikkawża inċident sinifikanti;

(12)“vulnerabbiltà” tfisser vulnerabbiltà skont it-tifsira tal-Artikolu 4(8) tad-Direttiva [Proposta NIS 2];

(13)“vulnerabbiltà sinifikanti” tfisser vulnerabbiltà li x’aktarx twassal għal inċident sinifikanti jekk tiġi sfruttata;

(14)“riskju taċ-ċibersigurtà” tfisser kwalunkwe ċirkostanza jew avveniment raġonevolment identifikabbli li jista’ jkollu effett negattiv fuq is-sigurtà tan-network u s-sistemi ta’ informazzjoni;

(15)“Ċiberunità Konġunta” tfisser pjattaforma virtwali u fiżika għall-kooperazzjoni tal-komunitajiet differenti taċ-ċibersigurtà fl-Unjoni, b’enfasi fuq il-koordinazzjoni operazzjonali u teknika kontra t-theddid u l-inċidenti ċibernetiċi transfruntieri ewlenin skont it-tifsira tar-Rakkomandazzjoni tal-Kummissjoni tat-23 ta’ Ġunju 2021;

(16)“il-linja bażi taċ-ċibersigurtà” tfisser ġabra ta’ regoli minimi taċ-ċibersigurtà li n-networks u s-sistemi ta’ informazzjoni, kif ukoll l-operaturi u l-utenti tagħhom, iridu jkunu konformi magħhom, biex jiġu minimizzati r-riskji taċ-ċibersigurtà.

Kapitolu II 
MIŻURI GĦAL LIVELL KOMUNI GĦOLI TA’ ĊIBERSIGURTÀ

Artikolu 4
Il-ġestjoni, il-governanza u l-kontroll tar-riskju

1.Kull istituzzjoni, korp u aġenzija tal-Unjoni għandha tistabbilixxi l-qafas intern tagħha stess għall-ġestjoni, għall-governanza u għall-kontroll tar-riskji taċ-ċibersigurtà (“il-qafas”) insostenn tal-missjoni tal-entità u fl-eżerċitar tal-awtonomija istituzzjonali tagħha. Din il-ħidma għandha tkun sorveljata mill-ogħla livell ta’ maniġment tal-entità biex tkun żgurata ġestjoni effettiva u prudenti tar-riskji kollha taċ-ċibersigurtà. Il-qafas għandu jkun fis-seħħ sa mhux aktar tard minn .... [15-il xahar wara d-dħul fis-seħħ ta’ dan ir-Regolament].

2.Il-qafas għandu jkopri l-ambjent tal-IT kollu tal-istituzzjoni, tal-korp jew tal-aġenzija kkonċernata, inkluż kwalunkwe ambjent tal-IT fuq il-post, assijiet u servizzi esternalizzati f’ambjenti tal-cloud jew ospitati minn partijiet terzi, apparati mobbli, networks korporattivi, networks tan-negozju mhux konnessi mal-internet u kwalunkwe apparat konness mal-ambjent tal-IT. Il-qafas għandu jqis il-kontinwità tal-operat u l-ġestjoni ta’ kriżijiet u għandu jqis is-sigurtà tal-katina tal-provvista kif ukoll il-ġestjoni tar-riskji umani li jista’ jkollhom impatt fuq iċ-ċibersigurtà tal-istituzzjoni, tal-korp jew tal-aġenzija kkonċernata tal-Unjoni.

3.L-ogħla livell ta’ maniġment ta’ kull istituzzjoni, korp u aġenzija tal-Unjoni għandu jipprovdi sorveljanza fuq il-konformità tal-organizzazzjoni mal-obbligi relatati mal-ġestjoni, mal-governanza u mal-kontroll tar-riskji taċ-ċibersigurtà, bla ħsara għar-responsabbiltajiet formali ta’ livelli oħra tal-maniġment fir-rigward tal-konformità u tal-ġestjoni tar-riskju fl-oqsma rispettivi tagħhom ta’ responsabbiltà.

4.Kull istituzzjoni, korp u aġenzija tal-Unjoni għandu jkollha mekkaniżmi effettivi fis-seħħ biex jiżguraw li perċentwal adegwat tal-baġit tal-IT jintefaq fuq iċ-ċibersigurtà.

5.Kull istituzzjoni, korp u aġenzija tal-Unjoni għandha taħtar Uffiċjal Lokali taċ-Ċibersigurtà jew funzjoni ekwivalenti, li għandu jaġixxi bħala l-punt uniku ta’ kuntatt tagħha fir-rigward tal-aspetti kollha taċ-ċibersigurtà.

Artikolu 5
Linja bażi taċ-ċibersigurtà

1.L-ogħla livell ta’ maniġment ta’ kull istituzzjoni, korp u aġenzija tal-Unjoni għandu japprova l-linja bażi taċ-ċibersigurtà tal-entità stess biex jiġu indirizzati r-riskji identifikati fil-qafas imsemmi fl-Artikolu 4(1). Huwa għandu jagħmel dan insostenn tal-missjoni tiegħu u fl-eżerċitar tal-awtonomija istituzzjonali tiegħu. Il-linja bażi taċ-ċibersigurtà għandha tkun fis-seħħ sa .... mhux aktar tard minn [18-il xahar wara d-dħul fis-seħħ ta’ dan ir-Regolament] u għandha tindirizza l-oqsma elenkati fl-Anness I u l-miżuri elenkati fl-Anness II.

2.Il-maniġment superjuri ta’ kull istituzzjoni, korp u aġenzija tal-Unjoni għandu jsegwi taħriġ speċifiku fuq bażi regolari biex jikseb għarfien u ħiliet suffiċjenti sabiex jifhem u jivvaluta r-riskji taċ-ċibersigurtà u l-prattiki ta’ ġestjoni u l-impatt tagħhom fuq l-operazzjonijiet tal-organizzazzjoni.

Artikolu 6
Valutazzjonijiet tal-maturità

Kull istituzzjoni, korp u aġenzija tal-Unjoni għandha twettaq valutazzjoni tal-maturità taċ-ċibersigurtà mill-inqas kull tliet snin, li tinkorpora l-elementi kollha tal-ambjent tal-IT kif deskritt fl-Artikolu 4, b’kont meħud tad-dokumenti ta’ gwida u r-rakkomandazzjonijiet rilevanti adottati f’konformità mal-Artikolu 13.

Artikolu 7
Pjanijiet taċ-ċibersigurtà

1.Fuq il-bażi tal-konklużjonijiet derivati mill-valutazzjoni tal-maturità u waqt li jitqiesu l-assijiet u r-riskji identifikati skont l-Artikolu 4, l-ogħla livell ta’ maniġment ta’ kull istituzzjoni, korp u aġenzija tal-Unjoni għandu japprova pjan taċ-ċibersigurtà mingħajr dewmien żejjed wara l-istabbiliment tal-qafas tal-ġestjoni, tal-governanza u tal-kontroll tar-riskji u l-linja bażi taċ-ċibersigurtà. Il-pjan għandu jkollu l-għan li jżid iċ-ċibersigurtà kumplessiva tal-entità kkonċernata u b’hekk għandu jikkontribwixxi għall-kisba jew it-titjib ta’ livell għoli komuni ta’ ċibersigurtà fost l-istituzzjonijiet, il-korpi u l-aġenziji kollha tal-Unjoni. Insostenn tal-missjoni tal-entità fuq il-bażi tal-awtonomija istituzzjonali tagħha, il-pjan għandu mill-inqas jinkludi l-oqsma elenkati fl-Anness I, il-miżuri elenkati fl-Anness II, kif ukoll miżuri relatati mat-tħejjija, mar-rispons u l-irkupru tal-inċidenti, bħall-monitoraġġ tas-sigurtà u r-reġistrazzjoni. Il-pjan għandu jiġi rrivedut tal-anqas kull tliet snin, wara l-valutazzjonijiet tal-maturità mwettqa skont l-Artikolu 6.

2.Il-pjan taċ-ċibersigurtà għandu jinkludi r-rwoli u r-responsabbiltajiet tal-membri tal-persunal għall-implimentazzjoni.

3.Il-pjan taċ-ċibersigurtà għandu jikkunsidra kwalunkwe dokument ta’ gwida u rakkomandazzjoni applikabbli maħruġa mis-CERT-UE.

Artikolu 8
Implimentazzjoni

1.Wara t-tlestija tal-valutazzjonijiet tal-maturità, l-istituzzjonijiet, il-korpi u l-aġenziji tal-Unjoni għandhom jippreżentawhom lill-Bord Interistituzzjonali taċ-Ċibersigurtà. Wara t-tlestija tal-pjanijiet ta’ sigurtà, l-istituzzjonijiet, il-korpi u l-aġenziji tal-Unjoni għandhom jinnotifikaw lill-Bord Interistituzzjonali taċ-Ċibersigurtà bit-tlestija. Wara talba tal-Bord, dawn għandhom jirrapportaw dwar aspetti speċifiċi ta’ dan il-Kapitolu.

2.Id-dokumenti ta’ gwida u r-rakkomandazzjonijiet, maħruġa f’konformità mal-Artikolu 13, għandhom jappoġġaw l-implimentazzjoni tad-dispożizzjonijiet stipulati f’dan il-Kapitolu.

Kapitolu III 
BORD INTERISTITUZZJONALI TAĊ-ĊIBERSIGURTÀ

Artikolu 9
Bord Interistituzzjonali taċ-Ċibersigurtà

1.Qed jiġi stabbilit Bord Interistituzzjonali taċ-Ċibersigurtà (IICB).

2.L-IICB għandu jkun responsabbli għal:

(a)il-monitoraġġ tal-implimentazzjoni ta’ dan ir-Regolament mill-istituzzjonijiet, mill-korpi u mill-aġenziji tal-Unjoni;

(b)superviżjoni tal-implimentazzjoni tal-prijoritajiet u l-objettivi ġenerali mis-CERT-UE u l-għoti ta’ direzzjoni strateġika lis-CERT-UE.

3.L-IICB għandu jikkonsisti minn tliet rappreżentanti nnominati min-Network tal-Aġenziji tal-Unjoni (EUAN) fuq proposta tal-Kumitat Konsultattiv tal-ICT tiegħu sabiex jirrappreżentaw l-interessi tal-aġenziji u tal-korpi li jmexxu l-ambjent tal-IT tagħhom stess u rappreżentant wieħed maħtur minn kull wieħed minn dawn li ġejjin:

(a)il-Parlament Ewropew;

(b)il-Kunsill tal-Unjoni Ewropea;

(c)il-Kummissjoni Ewropea;

(d)il-Qorti tal-Ġustizzja tal-Unjoni Ewropea;

(e)il-Bank Ċentrali Ewropew;

(f)il-Qorti Ewropea tal-Awdituri;

(g)is-Servizz Ewropew għall-Azzjoni Esterna;

(h)il-Kumitat Ekonomiku u Soċjali Ewropew;

(i)il-Kumitat Ewropew tar-Reġjuni;

(j)il-Bank Ewropew tal-Investiment;

(k)l-Aġenzija tal-Unjoni Ewropea għaċ-Ċibersigurtà.

Il-membri jistgħu jiġu megħjuna minn sostitut. Rappreżentanti oħra tal-organizzazzjonijiet elenkati hawn fuq jew ta’ istituzzjonijiet, korpi u aġenziji oħra tal-Unjoni jistgħu jiġu mistiedna mill-president biex jattendu laqgħat tal-IICB mingħajr id-dritt tal-vot.

4.L-IICB għandu jadotta r-regoli ta’ proċedura interni tiegħu.

5.L-IICB għandu jaħtar president, f’konformità mar-regoli ta’ proċedura interni tiegħu, minn fost il-membri tiegħu għal perjodu ta’ erba’ snin. Is-sostitut tiegħu jew tagħha għandu jsir membru sħiħ tal-IICB għall-istess durata.

6.L-IICB għandu jiltaqa’ fuq inizjattiva tal-President tiegħu, fuq talba tas-CERT-UE jew fuq talba ta’ xi wieħed mill-membri tiegħu.

7.Kull membru tal-IICB għandu jkollu vot wieħed. Id-deċiżjonijiet tal-IICB għandhom jittieħdu b’maġġoranza sempliċi ħlief fejn previst mod ieħor f’dan ir-Regolament. Il-President ma għandux jivvota ħlief fil-każ ta’ voti ndaqs fejn huwa jew hija jista’ jitfa’ vot ta’ deċiżjoni.

8.L-IICB jista’ jaġixxi permezz ta’ proċedura bil-miktub simplifikata mibdija skont ir-regoli ta’ proċedura interni tal-IICB. Fil-qafas ta’ dik il-proċedura, id-deċiżjoni rilevanti għandha titqies approvata fil-perjodu ta’ żmien stabbilit mill-president, ħlief fejn membru joġġezzjona.

9.Il-Kap tas-CERT-UE, jew is-sostitut tiegħu jew tagħha, għandu jipparteċipa fil-laqgħat tal-IICB ħlief fejn jiġi deċiż mod ieħor mill-IICB.

10.Is-Segretarjat tal-IICB għandu jiġi pprovdut mill-Kummissjoni.

11.Ir-rappreżentanti nnominati mill-EUAN fuq proposta tal-Kumitat Konsultattiv tal-ICT għandhom jgħaddu d-deċiżjonijiet tal-IICB lill-aġenziji u lill-impriżi konġunti tal-Unjoni. Kull aġenzija u korp tal-Unjoni għandu jkun intitolat li jqajjem kwalunkwe kwistjoni li jqis li jenħtieġ li tiġi indirizzata mill-IICB mar-rappreżentanti jew il-president tal-IICB.

12.L-IICB jista’ jaġixxi permezz ta’ proċedura bil-miktub simplifikata mibdija mill-president li taħtha d-deċiżjoni rilevanti għandha titqies approvata fil-perjodu ta’ żmien stabbilit mill-president, ħlief fejn membru joġġezzjona.

13.L-IICB jista’ jinnomina Kumitat Eżekuttiv biex jassistih fil-ħidma tiegħu, u jiddelegalu xi wħud mill-kompiti u s-setgħat. L-IICB għandu jistabbilixxi r-regoli ta’ proċedura tal-Kumitat Eżekuttiv, inklużi l-kompiti u s-setgħat tiegħu, u l-mandati tal-membri tiegħu.

Artikolu 10
Kompiti tal-IICB

Meta jeżerċita r-responsabbiltajiet tiegħu, l-IICB għandu b’mod partikolari:

(a)jirrieżamina kwalunkwe rapport mitlub mis-CERT-UE dwar l-istat ta’ implimentazzjoni ta’ dan ir-Regolament mill-istituzzjonijiet, mill-korpi u l-aġenziji tal-Unjoni;

(b)japprova, abbażi ta’ proposta mill-Kap tas-CERT-UE, il-programm ta’ ħidma annwali għas-CERT-UE u jimmonitorja l-implimentazzjoni tiegħu;

(c)japprova, abbażi ta’ proposta mill-Kap tas-CERT-UE, il-katalgu tas-servizzi tas-CERT-UE;

(d)japprova, abbażi ta’ proposta ppreżentata mill-Kap tas-CERT-UE, l-ippjanar finanzjarju annwali tad-dħul u tan-nefqa, inkluż tal-persunal, għall-attivitajiet tas-CERT-UE;

(e)japprova, abbażi ta’ proposta mill-Kap tas-CERT-UE, il-modalitajiet għall-ftehimiet dwar il-livell ta’ servizz;

(f)jeżamina u japprova r-rapport annwali mfassal mill-Kap tas-CERT-UE li jkopri l-attivitajiet tas-CERT-UE u l-ġestjoni tal-fondi mis-CERT-UE;

(g)japprova u jimmonitorja indikaturi ewlenin tal-prestazzjoni għas-CERT-UE definiti fuq proposta mill-Kap tas-CERT-UE;

(h)japprova l-arranġamenti ta’ kooperazzjoni, il-ftehimiet dwar il-livell ta’ servizz jew il-kuntratti bejn is-CERT-UE u entitajiet oħrajn skont l-Artikolu 17;

(i)jistabbilixxi kemm hemm bżonn gruppi konsultattivi tekniċi sabiex jassistu l-ħidma tal-IICB, japprova t-termini ta’ referenza tagħhom u jaħtar il-presidenti rispettivi tagħhom.

Artikolu 11
Konformità

L-IICB għandu jimmonitorja l-implimentazzjoni ta’ dan ir-Regolament u tad-dokumenti ta’ gwida, tar-rakkomandazzjonijiet u sejħiet għal azzjoni adottati mill-istituzzjonijiet, mill-korpi u mill-aġenziji tal-Unjoni. Jekk l-IICB jikkonstata li l-istituzzjonijiet, il-korpi jew l-aġenziji tal-Unjoni ma applikawx jew ma implimentawx effettivament dan ir-Regolament jew id-dokumenti ta’ gwida, rakkomandazzjonijiet u sejħiet għal azzjoni maħruġa skont dan ir-Regolament, hu jista’, mingħajr preġudizzju għall-proċeduri interni tal-istituzzjonijiet, tal-korpi jew tal-aġenziji rilevanti tal-Unjoni:

(a)joħroġ twissija; fejn meħtieġ fid-dawl ta’ riskju ċibernetiku konvinċenti, l-udjenza tat-twissija għandha tiġi ristretta b’mod xieraq;

(b)jirrakkomanda servizz tal-awditjar rilevanti biex iwettaq awditu.

Kapitolu IV 
CERT-UE

Artikolu 12
Missjoni u kompiti tas-CERT-UE

1.Il-missjoni tas-CERT-UE, iċ-Ċentru Interistituzzjonali taċ-Ċibersigurtà awtonomu għall-istituzzjonijiet, għall-korpi u għall-aġenziji kollha tal-Unjoni, għandha tkun li tikkontribwixxi għas-sigurtà tal-ambjent tal-IT mhux klassifikat tal-istituzzjonijiet, tal-korpi u tal-aġenziji kollha tal-Unjoni billi tagħtihom pariri dwar iċ-ċibersigurtà, billi tgħinhom fil-prevenzjoni, fl-identifikazzjoni, fil-mitigazzjoni u fir-rispons għall-inċidenti u billi taġixxi bħala ċ-ċentru ta’ koordinazzjoni tal-iskambju tal-informazzjoni u tar-rispons għall-inċidenti taċ-ċibersigurtà.

2.Is-CERT-UE għandha twettaq il-kompiti li ġejjin għall-istituzzjonijiet, għall-korpi u l-aġenziji tal-Unjoni:

(a)tgħinhom fl-implimentazzjoni ta’ dan ir-Regolament u tikkontribwixxi għall-koordinazzjoni tal-applikazzjoni ta’ dan ir-Regolament permezz tal-miżuri elenkati fl-Artikolu 13(1) jew permezz ta’ rapporti ad hoc mitluba mill-IICB;

(b)tgħinhom b’pakkett ta’ servizzi taċ-ċibersigurtà deskritti fil-katalgu tas-servizzi tagħha (“servizzi tal-linja bażi”);

(c)iżżomm network ta’ pari u sħab sabiex jappoġġaw is-servizzi kif deskritti fl-Artikoli 16 u 17;

(d)tiġbed l-attenzjoni tal-IICB għal kwalunkwe kwistjoni relatata mal-implimentazzjoni ta’ dan ir-Regolament u mal-implimentazzjoni tad-dokumenti ta’ gwida, tar-rakkomandazzjonijiet u sejħiet għal azzjoni;

(e)tirrapporta dwar it-theddid ċibernetiku li jiffaċċjaw l-istituzzjonijiet, il-korpi u l-aġenziji tal-Unjoni u tikkontribwixxi għall-għarfien tas-sitwazzjoni ċibernetika tal-UE.

3.Is-CERT-UE għandha tikkontribwixxi għaċ-Ċiberunità Konġunta, imwaqqfa f’konformità mar-Rakkomandazzjoni tal-Kummissjoni tat-23 ta’ Ġunju 2021, inkluż fl-oqsma li ġejjin:

(a)it-tħejjija, il-koordinazzjoni tal-inċidenti, l-iskambju ta’ informazzjoni u r-rispons għall-kriżijiet fil-livell tekniku dwar każijiet marbuta mal-istituzzjonijiet, mal-korpi u mal-aġenziji tal-Unjoni;

(b)il-kooperazzjoni operattiva rigward in-network ta’ skwadri ta’ rispons għal inċidenti relatati mas-sigurtà tal-kompjuters (CSIRTs), inkluż dwar l-assistenza reċiproka, u l-komunità usa’ taċ-ċibersigurtà;

(c)intelligence dwar it-theddid ċibernetiku, inkluż l-għarfien tas-sitwazzjoni;

(d)dwar kwalunkwe suġġett li jeħtieġ l-għarfien espert tekniku dwar iċ-ċibersigurtà tas-CERT-UE.

4.Is-CERT-UE għandha tinvolvi ruħha f’kooperazzjoni strutturata mal-Aġenzija tal-Unjoni Ewropea għaċ-Ċibersigurtà dwar il-bini tal-kapaċitajiet, il-kooperazzjoni operattiva u l-analiżi strateġika fit-tul tat-theddid ċibernetiku f’konformità mar-Regolament (UE) 2019/881 tal-Parlament Ewropew u tal-Kunsill.

5.Is-CERT-UE tista’ tipprovdi s-servizzi li ġejjin mhux deskritti fil-katalgu tas-servizzi tagħha (“servizzi bi ħlas”):

(a)servizzi li jappoġġaw iċ-ċibersigurtà tal-ambjent tal-IT tal-istituzzjonijiet, tal-korpi u tal-aġenziji tal-Unjoni, għajr dawk imsemmija fil-paragrafu 2, fuq il-bażi tal-ftehimiet dwar il-livell ta’ servizz u skont ir-riżorsi disponibbli;

(b)servizzi li jappoġġaw operazzjonijiet jew proġetti taċ-ċibersigurtà ta’ istituzzjonijiet, korpi u aġenziji tal-Unjoni, għajr dawk li jipproteġu l-ambjent tal-IT tagħhom, fuq il-bażi ta’ ftehimiet bil-miktub u bl-approvazzjoni minn qabel tal-IICB;

(c)servizzi li jappoġġaw is-sigurtà tal-ambjent tal-IT ta’ organizzazzjonijiet għajr l-istituzzjonijiet, il-korpi u l-aġenziji tal-Unjoni li jikkooperaw mill-qrib mal-istituzzjonijiet, mal-korpi u mal-aġenziji tal-Unjoni, pereżempju bl-assenjar ta’ kompiti jew responsabbiltajiet skont il-liġi tal-Unjoni, fuq il-bażi ta’ ftehimiet bil-miktub u bl-approvazzjoni minn qabel tal-IICB.

6.Is-CERT-UE tista’ torganizza eżerċizzji taċ-ċibersigurtà jew tirrakkomanda l-parteċipazzjoni f’eżerċizzji eżistenti, f’kooperazzjoni mill-qrib mal-Aġenzija tal-Unjoni Ewropea għaċ-Ċibersigurtà meta jkun applikabbli, biex tittestja l-livell ta’ ċibersigurtà tal-istituzzjonijiet, tal-korpi u tal-aġenziji tal-Unjoni.

7.Is-CERT-UE tista’ tipprovdi assistenza lill-istituzzjonijiet, lill-korpi u lill-aġenziji tal-Unjoni rigward inċidenti f’ambjenti tal-IT ikklassifikati jekk tkun espliċitament mitluba tagħmel dan mill-kostitwent ikkonċernat.

Artikolu 13
Dokumenti ta’ gwida, rakkomandazzjonijiet u sejħiet għal azzjoni

1.Is-CERT-UE għandha tappoġġa l-implimentazzjoni ta’ dan ir-Regolament billi toħroġ:

(a)sejħiet għal azzjoni li jiddeskrivu miżuri ta’ sigurtà urġenti li l-istituzzjonijiet, il-korpi u l-aġenziji tal-Unjoni huma mħeġġa jieħdu f’perjodu ta’ żmien stabbilit;

(b)proposti lill-IICB għal dokumenti ta’ gwida indirizzati lill-istituzzjonijiet, lill-korpi u lill-aġenziji kollha tal-Unjoni jew lil subsett tagħhom;

(c)proposti lill-IICB għal rakkomandazzjonijiet indirizzati lil istituzzjonijiet, korpi u aġenziji individwali tal-Unjoni.

2.Id-dokumenti ta’ gwida u r-rakkomandazzjonijiet jistgħu jinkludu:

(a)modalitajiet għall-ġestjoni tar-riskju taċ-ċibersigurtà jew it-titjib tagħha u l-linja bażi taċ-ċibersigurtà;

(b)modalitajiet għall-valutazzjonijiet tal-maturità u l-pjanijiet taċ-ċibersigurtà; u

(c)fejn xieraq, l-użu ta’ teknoloġija komuni, arkitettura u l-aħjar prattiki assoċjati bil-għan li jinkisbu l-interoperabbiltà u l-istandards komuni fis-sens tal-Artikolu 4(10) tad-Direttiva [Proposta NIS 2].

3.L-IICB jista’ jadotta dokumenti ta’ gwida jew rakkomandazzjonijiet wara proposta mis-CERT-UE.

4.L-IICB jista’ jagħti struzzjonijiet lis-CERT-UE biex toħroġ, tirtira jew timmodifika proposta għal dokumenti ta’ gwida jew rakkomandazzjonijiet, jew sejħa għal azzjoni.

Artikolu 14
Il-Kap tas-CERT-UE

Il-Kap tas-CERT-UE għandu jissottometti regolarment rapporti lill-IICB u lill-President tal-IICB dwar il-prestazzjoni tas-CERT-UE, l-ippjanar finanzjarju, id-dħul, l-implimentazzjoni tal-baġit, il-ftehimiet dwar il-livell ta’ servizz u l-ftehimiet bil-miktub konklużi, il-kooperazzjoni mal-kontropartijiet u s-sħab, u l-missjonijiet imwettqa mill-persunal, inklużi r-rapporti msemmija fl-Artikolu 10(1).

Artikolu 15
Kwistjonijiet finanzjarji u ta’ persunal

1.Il-Kummissjoni, wara li tkun kisbet l-approvazzjoni unanima tal-IICB, għandha taħtar il-Kap tas-CERT-UE. L-IICB għandu jiġi kkonsultat fl-istadji kollha tal-proċedura qabel il-ħatra tal-Kap tas-CERT-UE, b’mod partikolari fl-abbozzar ta’ avviżi dwar postijiet vakanti, fl-eżami ta’ applikazzjonijiet u fil-ħatra ta’ bordijiet tal-għażla fir-rigward ta’ din il-kariga.

2.Għall-applikazzjoni tal-proċeduri amministrattivi u finanzjarji, il-Kap tas-CERT-UE għandu jaġixxi skont l-awtorità tal-Kummissjoni.

3.Il-kompiti u l-attivitajiet tas-CERT-UE, inklużi s-servizzi pprovduti mis-CERT-UE skont l-Artikolu 12(2), (3), (4), (6) u l-Artikolu 13(1) lill-istituzzjonijiet, lill-korpi u lill-aġenziji tal-Unjoni, iffinanzjati mill-intestatura tal-qafas finanzjarju pluriennali ddedikata għall-amministrazzjoni pubblika Ewropea, għandhom jiġu ffinanzjati permezz ta’ linja baġitarja distinta tal-baġit tal-Kummissjoni. Il-karigi assenjati lis-CERT-UE għandhom jiġu spjegati f’nota f’qiegħ il-paġna għall-pjan ta’ stabbiliment tal-Kummissjoni.

4.L-istituzzjonijiet, il-korpi u l-aġenziji tal-Unjoni, għajr dawk imsemmija fil-paragrafu 3, għandhom jagħmlu kontribuzzjoni finanzjarja annwali lis-CERT-UE biex ikopru s-servizzi pprovduti mis-CERT-UE skont dak il-paragrafu 3. Il-kontribuzzjonijiet rispettivi għandhom ikunu bbażati fuq l-orjentazzjonijiet mogħtija mill-IICB u miftiehma bejn kull entità u s-CERT-UE fi ftehimiet dwar il-livell ta’ servizz. Il-kontribuzzjonijiet għandhom jirrappreżentaw sehem ġust u proporzjonat tal-kostijiet totali tas-servizzi pprovduti. Dawn għandhom jiġu riċevuti mil-linja baġitarja distinta msemmija fil-paragrafu 3 bħala dħul assenjat kif previst fl-Artikolu 21(3)(c) tar-Regolament (UE, Euratom) 2018/1046 tal-Parlament Ewropew u tal-Kunsill 8 .

5.Il-kostijiet tal-kompiti definiti fl-Artikolu 12(5) għandhom jiġu rkuprati mill-istituzzjonijiet, mill-korpi u mill-aġenziji tal-Unjoni li jirċievu s-servizzi tas-CERT-UE. Id-dħul għandu jiġi assenjat għal-linji baġitarji li jappoġġaw il-kostijiet.

Artikolu 16
Kooperazzjoni tas-CERT-UE mal-kontropartijiet tal-Istati Membri

1.Is-CERT-UE għandha tikkoopera u tiskambja informazzjoni mal-kontropartijiet nazzjonali fl-Istati Membri, inklużi s-CERTs, iċ-Ċentri Nazzjonali taċ-Ċibersigurtà, is-CSIRTs, u l-punti uniċi ta’ kuntatt imsemmija fl-Artikolu 8 tad-Direttiva [Proposta NIS 2], dwar theddid ċibernetiku, vulnerabbiltajiet u inċidenti, dwar kontromiżuri possibbli u dwar il-kwistjonijiet kollha rilevanti għat-titjib tal-protezzjoni tal-ambjenti tal-IT tal-istituzzjonijiet, tal-korpi u tal-aġenziji tal-Unjoni, inkluż permezz tan-network ta’ CSIRTs imsemmi fl-Artikolu 13 tad-Direttiva [Proposta NIS 2].

2.Is-CERT-UE jista’ jiskambja informazzjoni speċifika għall-inċidenti mal-kontropartijiet nazzjonali fl-Istati Membri għall-faċilitazzjoni tad-detezzjoni ta’ theddid ċibernetiku jew inċidenti simili mingħajr il-kunsens tal-kostitwent affettwat. Is-CERT-UE tista’ tiskambja biss informazzjoni speċifika għall-inċidenti li tiżvela l-identità tal-mira tal-inċident taċ-ċibersigurtà bil-kunsens tal-kostitwent affettwat.

Artikolu 17
Kooperazzjoni tas-CERT-UE mal-kontropartijiet mhux tal-Istati Membri

1.Is-CERT-UE tista’ tikkoopera ma’ kontropartijiet li mhumiex Stati Membri, inklużi kontropartijiet speċifiċi għas-settur, dwar għodod u metodi, bħal tekniki, tattiki, proċeduri u l-aħjar prattiki, u dwar it-theddid ċibernetiku u l-vulnerabbiltajiet. Għall-kooperazzjoni kollha ma’ tali kontropartijiet, inkluż f’oqfsa fejn kontropartijiet mhux tal-UE jikkooperaw mal-kontropartijiet nazzjonali tal-Istati Membri, is-CERT-UE għandha tfittex approvazzjoni minn qabel mill-IICB.

2.Is-CERT-UE tista’ tikkoopera ma’ sħab oħrajn, bħal entitajiet kummerċjali, organizzazzjonijiet internazzjonali, entitajiet nazzjonali mhux tal-Unjoni Ewropea jew esperti individwali, sabiex tiġbor informazzjoni dwar theddid ċibernetiku ġenerali u speċifiku, vulnerabbiltajiet u kontromiżuri possibbli. Għal kooperazzjoni usa’ ma’ sħab bħal dawn, is-CERT-UE għandha tfittex approvazzjoni minn qabel mill-IICB.

3.Is-CERT-UE tista’, bil-kunsens tal-kostitwent affettwat minn inċident, tipprovdi informazzjoni relatata mal-inċident mas-sħab li jistgħu jikkontribwixxu għall-analiżi tiegħu.

Kapitolu V 
OBBLIGI TA’ KOOPERAZZJONI U TA’ RAPPORTAR

Artikolu 18
Immaniġġar tal-informazzjoni

1.Is-CERT-UE u l-istituzzjonijiet, il-korpi u l-aġenziji tal-Unjoni għandhom jirrispettaw l-obbligu tas-segretezza professjonali f’konformità mal-Artikolu 339 tat-Trattat dwar il-Funzjonament tal-Unjoni Ewropea jew oqfsa applikabbli ekwivalenti.

2.Id-dispożizzjonijiet tar-Regolament (KE) Nru 1049/2001 tal-Parlament Ewropew u tal-Kunsill 9 għandhom japplikaw fir-rigward ta’ talbiet għal aċċess pubbliku għal dokumenti miżmuma mis-CERT-UE, inkluż l-obbligu skont dak ir-Regolament li jiġu kkonsultati istituzzjonijiet, korpi u aġenziji oħra tal-Unjoni kull meta talba tikkonċerna d-dokumenti tagħhom.

3.L-ipproċessar ta’ data personali mwettaq skont dan ir-Regolament għandu jkun soġġett għar-Regolament (UE) 2018/1725 tal-Parlament Ewropew u tal-Kunsill.

4.It-trattament tal-informazzjoni mis-CERT-UE u mill-istituzzjonijiet, mill-korpi u mill-aġenziji tal-Unjoni għandu jkun konformi mar-regoli stabbiliti fir-[Regolament propost dwar is-sigurtà tal-informazzjoni].

5.Kull kuntatt mas-CERT-UE mibdi jew imfittex mis-servizzi tas-sigurtà u tal-intelligence nazzjonali għandu jiġi kkomunikat lid-Direttorat tas-Sigurtà tal-Kummissjoni u lill-president tal-IICB mingħajr dewmien żejjed.

Artikolu 19
Obbligi tal-kondiviżjoni

1.Sabiex is-CERT-UE tkun tista’ tikkoordina l-ġestjoni tal-vulnerabbiltajiet u r-rispons għall-inċidenti, hija tista’ titlob lill-istituzzjonijiet, lill-korpi u lill-aġenziji tal-Unjoni biex jipprovdulha informazzjoni mill-inventarji tas-sistemi tal-IT rispettivi tagħhom li tkun rilevanti għall-appoġġ tas-CERT-UE. L-istituzzjoni, il-korp jew l-aġenzija mitluba għandha tibgħat l-informazzjoni mitluba, u kwalunkwe aġġornament sussegwenti tagħha, mingħajr dewmien żejjed.

2.Wara talba mis-CERT-UE, l-istituzzjonijiet, il-korpi u l-aġenziji tal-Unjoni għandhom, mingħajr dewmien żejjed, jipprovdulha informazzjoni diġitali maħluqa bl-użu ta’ apparati elettroniċi involuti fl-inċidenti rispettivi tagħhom. Is-CERT-UE tista’ tiċċara aktar liema tipi ta’ informazzjoni diġitali bħal din teħtieġ għall-għarfien tas-sitwazzjoni u għar-rispons għall-inċidenti.

3.Is-CERT-UE tista’ tiskambja biss informazzjoni speċifika għall-inċident li tiżvela l-identità tal-istituzzjoni, tal-korp jew tal-aġenzija tal-Unjoni affettwati mill-inċident bil-kunsens ta’ dik l-entità. Is-CERT-UE tista’ tiskambja biss informazzjoni speċifika għall-inċidenti li tiżvela l-identità tal-mira tal-inċident taċ-ċibersigurtà bil-kunsens tal-entità affettwata mill-inċident.

4.L-obbligi tal-kondiviżjoni ma għandhomx jestendu għal informazzjoni klassifikata tal-UE (IKUE) u għal informazzjoni li istituzzjoni, korp jew aġenzija tal-Unjoni tkun irċeviet minn Servizz tas-Sigurtà jew tal-Intelligence ta’ Stat Membru jew mingħand aġenzija tal-infurzar tal-liġi bil-kundizzjoni espliċita li ma tiġix kondiviża mas-CERT-UE.

Artikolu 20
Obbligi ta’ notifika

1.L-istituzzjonijiet, il-korpi u l-aġenziji kollha tal-Unjoni għandhom iwettqu notifika inizjali lis-CERT-UE dwar theddid ċibernetiku sinifikanti, vulnerabbiltajiet sinifikanti u inċidenti sinifikanti mingħajr dewmien żejjed u fi kwalunkwe każ mhux aktar tard minn 24 siegħa wara li jsiru konxji minnhom.

F’każijiet debitament ġustifikati u bi qbil mas-CERT-UE, l-istituzzjoni, il-korp jew l-aġenzija tal-Unjoni kkonċernati jistgħu jiddevjaw mill-iskadenza stabbilita fil-paragrafu preċedenti.

2.L-istituzzjonijiet, il-korpi u l-aġenziji tal-Unjoni għandhom, mingħajr dewmien żejjed, jinnotifikaw ukoll lis-CERT-UE d-dettalji tekniċi xierqa dwar it-theddid ċibernetiku, il-vulnerabbiltajiet u l-inċidenti li jippermettu d-detezzjoni, ir-rispons għall-inċidenti jew il-miżuri ta’ mitigazzjoni. Jekk disponibbli, in-notifika għandha tinkludi:

(a)indikaturi rilevanti ta’ kompromess;

(b)mekkaniżmi ta’ detezzjoni rilevanti;

(c)impatt potenzjali;

(d)miżuri ta’ mitigazzjoni rilevanti.

3.Kull xahar, is-CERT-UE għandha tippreżenta rapport lill-ENISA li jinkludi data anonimizzata u aggregata dwar theddid ċibernetiku sinifikanti, vulnerabbiltajiet sinifikanti u inċidenti sinifikanti notifikati f’konformità mal-paragrafu 1.

4.L-IICB jista’ joħroġ dokumenti ta’ gwida jew rakkomandazzjonijiet dwar il-modalitajiet u l-kontenut tan-notifika. Is-CERT-UE għandha xxerred id-dettalji tekniċi xierqa biex tippermetti d-detezzjoni proattiva, ir-rispons għall-inċidenti jew il-miżuri ta’ mitigazzjoni mill-istituzzjonijiet, mill-korpi u mill-aġenziji tal-Unjoni.

5.L-obbligi tan-notifika ma għandhomx jestendu għall-IKUE u għal informazzjoni li istituzzjoni, korp jew aġenzija tal-Unjoni tkun irċeviet minn Servizz tas-Sigurtà jew tal-Intelligence ta’ Stat Membru jew mingħand aġenzija tal-infurzar tal-liġi bil-kundizzjoni espliċita li ma tiġix kondiviża mas-CERT-UE.

Artikolu 21
Koordinazzjoni tar-rispons għall-inċidenti u kooperazzjoni dwar inċidenti sinifikanti

1.Meta taġixxi bħala ċentru ta’ koordinazzjoni tal-iskambju ta’ informazzjoni dwar iċ-ċibersigurtà u tar-rispons għall-inċidenti ċibernetiċi, is-CERT-UE għandha tiffaċilita l-iskambju ta’ informazzjoni fir-rigward tat-theddid ċibernetiku, il-vulnerabbiltajiet u l-inċidenti bejn:

(a)l-istituzzjonijiet, il-korpi u l-aġenziji tal-Unjoni;

(b)l-kontropartijiet imsemmija fl-Artikoli 16 u 17.

2.Is-CERT-UE għandha tiffaċilita l-koordinazzjoni fost l-istituzzjonijiet, il-korpi u l-aġenziji tal-Unjoni dwar ir-rispons għall-inċidenti, inkluż:

(a)kontribuzzjoni għall-komunikazzjoni esterna konsistenti;

(b)assistenza reċiproka;

(c)l-aħjar użu tar-riżorsi operazzjonali;

(d)koordinazzjoni ma’ mekkaniżmi oħrajn ta’ rispons għall-kriżijiet fil-livell tal-Unjoni.

3.Is-CERT-UE għandha tappoġġa lill-istituzzjonijiet, lill-korpi u lill-aġenziji tal-Unjoni rigward l-għarfien tas-sitwazzjoni ta’ theddid ċibernetiku, vulnerabbiltajiet u inċidenti.

4.L-IICB għandu joħroġ gwida dwar il-koordinazzjoni u l-kooperazzjoni tar-rispons għal inċidenti sinifikanti. Jekk ikun hemm suspett ta’ natura kriminali b’rabta ma’ inċident, is-CERT-UE għandha tagħti pariri dwar kif għandu jiġi rrappurtat l-inċident lill-awtoritajiet tal-infurzar tal-liġi.

Artikolu 22
Attakki kbar

1.Is-CERT-UE għandha tikkoordina r-risponsi għal attakki kbar fost l-istituzzjonijiet, il-korpi u l-aġenziji tal-Unjoni. Hija għandha żżomm inventarju ta’ għarfien espert tekniku li jkun meħtieġ għar-rispons għal inċidenti fil-każ ta’ attakki bħal dawn.

2.L-istituzzjonijiet, il-korpi u l-aġenziji tal-Unjoni għandhom jikkontribwixxu għall-inventarju ta’ għarfien espert tekniku billi jipprovdu lista aġġornata kull sena ta’ esperti disponibbli fl-organizzazzjonijiet rispettivi tagħhom bid-dettalji tal-ħiliet tekniċi speċifiċi tagħhom.

3.Bl-approvazzjoni tal-istituzzjonijiet, tal-korpi u tal-aġenziji kkonċernati tal-Unjoni, is-CERT-UE tista’ wkoll titlob esperti mil-lista msemmija fil-paragrafu 2 biex jikkontribwixxu għar-rispons għal attakk kbir fi Stat Membru, b’mod konformi mal-proċeduri operattivi taċ-Ċiberunità Konġunta.

Kapitolu VI 
DISPOŻIZZJONIJIET FINALI

Artikolu 23
Riallokazzjoni baġitarja inizjali

Il-Kummissjoni għandha tipproponi r-riallokazzjoni ta’ persunal u riżorsi finanzjarji mill-istituzzjonijiet, mill-korpi u mill-aġenziji tal-Unjoni għall-baġit tal-Kummissjoni. Ir-riallokazzjoni għandha tkun effettiva fl-istess ħin bħall-ewwel baġit adottat wara d-dħul fis-seħħ ta’ dan ir-Regolament.

Artikolu 24
Rieżami

1.L-IICB, bl-assistenza tas-CERT-UE, għandu jirrapporta perjodikament l-implimentazzjoni ta’ dan ir-Regolament lill-Kummissjoni. L-IICB jista’ jagħmel ukoll rakkomandazzjonijiet lill-Kummissjoni sabiex tipproponi emendi għal dan ir-Regolament.

2.Il-Kummissjoni għandha tirrapporta lill-Parlament Ewropew u lill-Kunsill dwar ir-rapport tal-implimentazzjoni ta’ dan ir-Regolament mhux aktar tard minn 48 xahar wara d-dħul fis-seħħ ta’ dan ir-Regolament u kull tliet snin wara dan.

3.Il-Kummissjoni għandha tevalwa l-funzjonament ta’ dan ir-Regolament u tirrapporta lill-Parlament Ewropew, lill-Kunsill, lill-Kumitat Ekonomiku u Soċjali Ewropew u lill-Kumitat tar-Reġjuni mhux qabel ħames snin wara d-dħul fis-seħħ.

Artikolu 25
Dħul fis-seħħ

Dan ir-Regolament għandu jidħol fis-seħħ fl-għoxrin jum wara dak tal-pubblikazzjoni tiegħu f’Il-Ġurnal Uffiċjali tal-Unjoni Ewropea.

Dan ir-Regolament għandu jorbot fl-intier tiegħu u japplika direttament fl-Istati Membri kollha.

Magħmul fi Brussell,

DIKJARAZZJONI FINANZJARJA LEĠIŻLATTIVA

1.QAFAS TAL-PROPOSTA/TAL-INIZJATTIVA

1.1.Titolu tal-proposta/tal-inizjattiva

1.2.Qasam/Oqsma ta’ politika kkonċernat(i)

1.3.Il-proposta/l-inizjattiva hija relatata ma’:

1.4.Objettiv(i)

1.4.1.Objettiv(i) ġenerali

1.4.2.Objettiv(i) speċifiku/speċifiċi

1.4.3.Riżultat(i) u impatt mistennija

1.4.4.Indikaturi tal-prestazzjoni

1.5.Raġunijiet għall-proposta/għall-inizjattiva

1.5.1.Rekwiżit(i) li għandhom jiġu ssodisfati fuq terminu qasir jew twil, inkluża skeda ta’ żmien dettaljata għat-tnedija tal-implimentazzjoni tal-inizjattiva.

1.5.2.Valur miżjud tal-involviment tal-Unjoni (dan jista’ jirriżulta minn fatturi differenti, eż. il-gwadanji mill-koordinazzjoni, iċ-ċertezza legali, effettività akbar jew il-komplementarjetajiet). Għall-finijiet ta’ dan il-punt, il-“valur miżjud tal-involviment tal-Unjoni” huwa l-valur li jirriżulta mill-intervent tal-Unjoni li jkun addizzjonali għall-valur illi kieku kien jinħoloq mill-Istati Membri waħedhom.

1.5.3.Tagħlimiet meħuda minn esperjenzi simili fl-imgħoddi

1.5.4.Kompatibbiltà mal-Qafas Finanzjarju Pluriennali u sinerġiji possibbli ma’ strumenti xierqa oħra

1.5.5.Valutazzjoni tal-għażliet differenti ta’ finanzjament disponibbli, inkluż l-ambitu għar-riallokazzjoni

1.6.Durata u impatt finanzjarju tal-proposta/tal-inizjattiva

1.7.Mod(i) ta’ ġestjoni ppjanat(i)

2.MIŻURI TA’ ĠESTJONI

2.1.Regoli ta’ monitoraġġ u ta’ rapportar

2.2.Sistema/i ta’ ġestjoni u ta’ kontroll

2.2.1.Ġustifikazzjoni tal-mod(i) ta’ ġestjoni, tal-mekkaniżmu/i għall-implimentazzjoni tal-finanzjament, tal-modalitajiet ta’ pagament u tal-istrateġija ta’ kontroll proposta

2.2.2.Informazzjoni dwar ir-riskji identifikati u s-sistema/i ta’ kontroll intern stabbilita/i għall-mitigazzjoni tagħhom

2.2.3.Stima u ġustifikazzjoni tal-kosteffettività tal-kontrolli (proporzjon tal-“kostijiet tal-kontroll ÷ il-valur tal-fondi relatati ġestiti”), u valutazzjoni tal-livelli mistennija tar-riskju ta’ errur (mal-ħlas u fl-għeluq)

2.3.Miżuri għall-prevenzjoni ta’ frodi u ta’ irregolaritajiet

3.IMPATT FINANZJARJU STMAT TAL-PROPOSTA/TAL-INIZJATTIVA

3.1.Intestatura/i tal-qafas finanzjarju pluriennali u l-linja/i baġitarja/i tan-nefqa affettwata/i

3.2.Impatt finanzjarju stmat tal-proposta fuq l-approprjazzjonijiet

3.2.1.Sommarju tal-impatt stmat fuq l-approprjazzjonijiet operazzjonali

3.2.2.Output stmat iffinanzjat bl-approprjazzjonijiet operazzjonali

3.2.3.Sommarju tal-impatt stmat fuq l-approprjazzjonijiet amministrattivi

3.2.4.Kompatibbiltà mal-qafas finanzjarju pluriennali attwali

3.2.5.Kontribuzzjonijiet ta’ partijiet terzi

3.3.Impatt stmat fuq id-dħul

DIKJARAZZJONI FINANZJARJA LEĠIŻLATTIVA

1.QAFAS TAL-PROPOSTA/TAL-INIZJATTIVA 

1.1.Titolu tal-proposta/tal-inizjattiva

1.2.Qasam/Oqsma ta’ politika kkonċernat(i) 

1.3.Il-proposta/l-inizjattiva hija relatata ma’: 

azzjoni ġdida 

 azzjoni ġdida segwita minn proġett pilota/azzjoni preparatorja 10  

 l-estensjoni ta’ azzjoni eżistenti 

 fużjoni jew ridirezzjonar ta’ azzjoni waħda jew aktar lejn azzjoni oħra/ġdida 

1.4.Objettiv(i)

1.4.1.Objettiv(i) ġenerali

1.4.2.Objettiv(i) speċifiku/speċifiċi

(1)Li jiġu stabbiliti obbligi fuq l-istituzzjonijiet, il-korpi u l-aġenziji tal-Unjoni biex jistabbilixxu qafas intern ta’ ġestjoni, governanza u kontroll tar-riskji taċ-ċibersigurtà 

(2)Li jiġu stabbiliti obbligi fuq l-istituzzjonijiet, il-korpi u l-aġenziji tal-Unjoni biex jirrapportaw dwar il-qafas intern tagħhom ta’ ġestjoni, governanza u kontroll tar-riskji taċ-ċibersigurtà kif ukoll dwar l-inċidenti taċ-ċibersigurtà

(3)Li jiġu stabbiliti regoli dwar l-organizzazzjoni u l-operat taċ-Ċentru taċ-Ċibersigurtà għall-istituzzjonijiet, għall-korpi u għall-aġenziji tal-Unjoni (CERT-UE) u dwar l-organizzazzjoni u l-operat tal-Bord Interistituzzjonali taċ-Ċibersigurtà (IICB)

(4)Li tikkontribwixxi għaċ-Ċiberunità Konġunta

1.4.3.Riżultat(i) u impatt mistennija

Speċifika l-effetti li l-proposta/l-inizjattiva jenħtieġ li jkollha fuq il-benefiċjarji/il-gruppi fil-mira.

1.4.4.Indikaturi tal-prestazzjoni

Speċifika l-indikaturi għall-monitoraġġ tal-progress u tal-kisbiet.

1.5.Raġunijiet għall-proposta/għall-inizjattiva 

1.5.1.Rekwiżit(i) li għandhom jiġu ssodisfati fuq terminu qasir jew twil, inkluża skeda ta’ żmien dettaljata għat-tnedija tal-implimentazzjoni tal-inizjattiva.

1.5.2.Valur miżjud tal-involviment tal-Unjoni (dan jista’ jirriżulta minn fatturi differenti, eż. il-gwadanji mill-koordinazzjoni, iċ-ċertezza legali, effettività akbar jew il-komplementarjetajiet). Għall-finijiet ta’ dan il-punt, il-“valur miżjud tal-involviment tal-Unjoni” huwa l-valur li jirriżulta mill-intervent tal-Unjoni li jkun addizzjonali għall-valur illi kieku kien jinħoloq mill-Istati Membri waħedhom.

1.5.3.Tagħlimiet meħuda minn esperjenzi simili fl-imgħoddi

1.5.4.Kompatibbiltà mal-Qafas Finanzjarju Pluriennali u sinerġiji possibbli ma’ strumenti xierqa oħra

1.5.5.Valutazzjoni tal-għażliet differenti ta’ finanzjament disponibbli, inkluż l-ambitu għar-riallokazzjoni

1.6.Durata u impatt finanzjarju tal-proposta/tal-inizjattiva

 durata limitata

–    fis-seħħ minn [JJ/XX]SSSS sa [JJ/XX]SSSS

–    Impatt finanzjarju minn SSSS sa SSSS għall-approprjazzjonijiet ta’ impenn u minn SSSS sa SSSS għall-approprjazzjonijiet ta’ pagament.

 durata mhux limitata

–Jenħtieġ li l-impatt finanzjarju jibda bl-ewwel baġit adottat wara d-dħul fis-seħħ tar-Regolament. Riallokazzjoni tar-riżorsi mill-istituzzjonijiet u mill-korpi ewlenin tal-Unjoni lill-Kummissjoni sseħħ fl-ewwel sena, meqjusa bħala sena ta’ tranżizzjoni; din u allokazzjoni(riallokazzjoni) oħra tar-riżorsi se jseħħu fil-qafas tal-baġits annwali. Jekk ir-Regolament jiġi adottat fl-2022, is-sena finanzjarja 2023 se tkun il-perjodu tranżizzjonali, u l-2024 se topera fuq skala sħiħa.

1.7.Mod(i) ta’ ġestjoni ppjanat(i) 12   

 Ġestjoni diretta mill-Kummissjoni u minn kull istituzzjoni, korp u aġenzija tal-Unjoni

– mid-dipartimenti tagħha, inkluż mill-persunal tagħha fid-delegazzjonijiet tal-Unjoni;

–    mill-aġenziji eżekuttivi

 Ġestjoni kondiviża mal-Istati Membri

 Ġestjoni indiretta billi jiġu fdati kompiti ta’ implimentazzjoni baġitarja:

– lill-pajjiżi terzi jew lill-korpi nnominati minnhom;

– lill-organizzazzjonijiet internazzjonali u lill-aġenziji tagħhom (iridu jiġu speċifikati);

– lill-BEI u lill-Fond Ewropew tal-Investiment;

– lill-korpi msemmija fl-Artikoli 70 u 71 tar-Regolament Finanzjarju;

– lill-korpi tal-liġi pubblika;

– lill-korpi regolati bil-liġi privata b’missjoni ta’ servizz pubbliku diment li jipprovdu garanziji finanzjarji adegwati;

– lill-korpi regolati bil-liġi privata ta’ Stat Membru li huma fdati bl-implimentazzjoni ta’ sħubija pubblika-privata u li jipprovdu garanziji finanzjarji adegwati;

– lill-persuni fdati bl-implimentazzjoni ta’ azzjonijiet speċifiċi fil-PESK skont it-Titolu V tat-TUE, u identifikati fl-att bażiku rilevanti.

–Jekk jiġi indikat iżjed minn mod ta’ ġestjoni wieħed, jekk jogħġbok ipprovdi d-dettalji fit-taqsima "Kummenti".

Kummenti

(a)Għat-twettiq ta’ kompiti għall-istituzzjonijiet, għall-korpi u għall-aġenziji tal-Unjoni deskritti fl-Artikolu 12(2)(a), (b), (c) u (e): 13,75 FTE u EUR 11,275 miljun;

(b)Għat-twettiq tal-kompiti deskritti fl-Artikolu 12.3 (kontribuzzjoni għaċ-Ċiberunità Konġunta): 2 FTE u EUR 381 000;

(c)Għat-twettiq tal-kompiti deskritti fl-Artikolu 12.4 (kooperazzjoni strutturata mal-ENISA): 0.25 FTE u EUR 236 000;

(d)Għat-twettiq tal-kompiti deskritti fl-Artikolu 12.6 (eżerċizzji taċ-ċibersigurtà): 0.25 FTE u EUR 79 000;

(e)Għat-twettiq tal-kompiti deskritti fl-Artikolu 12.2(d) u fl-Artikolu 13 (analiżi u rapportar dwar l-implimentazzjoni tar-Regolament, tħejjija ta’ dokumenti ta’ gwida, rakkomandazzjonijiet u sejħiet għal azzjoni): 3.75 FTE u EUR 2,079 miljun.

(f)Għat-twettiq tal-kompiti sabiex jiġi appoġġat is-segretarjat tal-Bord Interistituzzjonali taċ-Ċibersigurtà (IICB): 1 FTE.

2.MIŻURI TA’ ĠESTJONI 

2.1.Regoli ta’ monitoraġġ u ta’ rapportar 

Speċifika l-frekwenza u l-kundizzjonijiet.

2.2.Sistema/i ta’ ġestjoni u ta’ kontroll 

2.2.1.Ġustifikazzjoni tal-mod(i) ta’ ġestjoni, tal-mekkaniżmu/i għall-implimentazzjoni tal-finanzjament, tal-modalitajiet ta’ pagament u tal-istrateġija ta’ kontroll proposta

2.2.2.Informazzjoni dwar ir-riskji identifikati u s-sistema/i ta’ kontroll intern stabbilita/i għall-mitigazzjoni tagħhom

2.2.3.Stima u ġustifikazzjoni tal-kosteffettività tal-kontrolli (proporzjon tal-“kostijiet tal-kontroll ÷ il-valur tal-fondi relatati ġestiti”), u valutazzjoni tal-livelli mistennija tar-riskju ta’ errur (mal-ħlas u fl-għeluq) 

2.3.Miżuri għall-prevenzjoni ta’ frodi u ta’ irregolaritajiet 

Speċifika l-miżuri ta’ prevenzjoni u ta’ protezzjoni eżistenti jew previsti, eż. mill-Istrateġija Kontra l-Frodi.

3.IMPATT FINANZJARJU STMAT TAL-PROPOSTA/TAL-INIZJATTIVA 

3.1.Intestatura/i tal-qafas finanzjarju pluriennali u l-linja/i baġitarja/i tan-nefqa affettwata/i 

·Linji baġitarji eżistenti

Skont l-ordni tal-intestaturi tal-qafas finanzjarju pluriennali u tal-linji baġitarji.

·Linji baġitarji ġodda mitluba

Skont l-ordni tal-intestaturi tal-qafas finanzjarju pluriennali u tal-linji baġitarji.

3.2.Impatt finanzjarju stmat tal-proposta fuq l-approprjazzjonijiet 

3.2.1.Sommarju tal-impatt stmat fuq l-approprjazzjonijiet operazzjonali 

–    Il-proposta/l-inizjattiva ma teħtieġx l-użu ta’ approprjazzjonijiet operazzjonali

–    Il-proposta/l-inizjattiva teħtieġ l-użu ta’ approprjazzjonijiet operazzjonali, kif spjegat hawn taħt:

miljuni ta’ EUR (għal tliet pożizzjonijiet deċimali)

DĠ: Diversi				Sena  2023	Sena  2024	Sena  2025	Sena  2026	Sena  2027	TOTAL
□ Approprjazzjonijiet operazzjonali
Linji baġitarji li jkopru l-kontribuzzjonijiet tal-Unjoni għal aġenziji deċentralizzati (xx 10 xx xx) 16	Impenji	(1a)		2.459	2.459	2.459	2.459	2.459	12.293
	Pagamenti	(2a)		2.459	2.459	2.459	2.459	2.459	12.293
Approprjazzjonijiet ta’ natura amministrattiva ffinanzjati mill-pakkett ta’ programmi speċifiċi 17
Linja baġitarja		(3)
TOTAL tal-approprjazzjonijiet  għad-DĠ: Diversi	Impenji	=1a+1b +3		2.459	2.459	2.459	2.459	2.459	12.293
	Pagamenti	=2a+2b +3		2.459	2.459	2.459	2.459	2.459	12.293

Jekk il-proposta/l-inizjattiva taffettwa iżjed minn intestatura operazzjonali waħda, irrepeti t-taqsima ta’ hawn fuq:

Din it-taqsima jenħtieġ li timtela bl-użu tad-“data baġitarja ta’ natura amministrattiva” li l-ewwel trid tiddaħħal fl- Anness tad-Dikjarazzjoni Finanzjarja Leġiżlattiva (l-Anness V tar-regoli interni), li jittella’ fuq DECIDE għal finijiet ta’ konsultazzjoni bejn is-servizzi.

miljuni ta’ EUR (għal tliet pożizzjonijiet deċimali)

TOTAL tal-approprjazzjonijiet  skont l-INTESTATURA 7  tal-qafas finanzjarju pluriennali

(Total ta’ impenji = Total ta’ pagamenti)

9.122

11.047

11.675

12.146

12.146

56.136

miljuni ta’ EUR (għal tliet pożizzjonijiet deċimali)

(*) Il-kontribuzzjonijiet minn istituzzjonijiet, korpi u aġenziji awtofinanzjati tal-Unjoni huma stmati għal EUR 2,670 miljun fis-sena (total għall-ħames snin, EUR 13,350-il miljun). Il-kontribuzzjonijiet se jikkostitwixxu dħul assenjat għas-CERT-UE. It-tabelli ta’ hawn fuq jinkludu biss l-impatt totali stmat fuq il-baġit tal-Unjoni u ma jinkludux dawk il-kontribuzzjonijiet.

3.2.2.Output stmat iffinanzjat bl-approprjazzjonijiet operazzjonali 

Approprjazzjonijiet ta’ impenn f’miljuni ta’ EUR (aġġustati ’l fuq għal tliet pożizzjonijiet deċimali)

3.2.3.Sommarju tal-impatt stmat fuq l-approprjazzjonijiet amministrattivi 

–    Il-proposta/l-inizjattiva ma teħtieġx l-użu ta’ approprjazzjonijiet ta’ natura amministrattiva

–    Il-proposta/l-inizjattiva teħtieġ l-użu ta’ approprjazzjonijiet ta’ natura amministrattiva, kif spjegat hawn taħt:

miljuni ta’ EUR (għal tliet pożizzjonijiet deċimali)

INTESTATURA 7  tal-qafas finanzjarju pluriennali
Riżorsi umani
Persunal permanenti (Gradi AD)	1,099	2,041	2,669	3,14	3,14	12,089
Aġenti kuntrattwali	0,085	0,085	0,085	0,085	0,085	0,425
Nefqa amministrattiva oħra	7,938	8,921	8,921	8,921	8,921	43,622
Subtotal tal-INTESTATURA 7  tal-qafas finanzjarju pluriennali	9,122	11,047	11,675	12,146	12,146	56,136

TOTAL

9,122

11,047

11,675

12,146

12,146

56,136

L-approprjazzjonijiet meħtieġa għar-riżorsi umani u għal nefqa oħra ta’ natura amministrattiva se jiġu koperti mill-approprjazzjonijiet tad-DĠ li diġà jkunu assenjati għall-ġestjoni tal-azzjoni u/jew li diġà jkunu ġew riassenjati fid-DĠ, flimkien, jekk ikun meħtieġ, ma’ kwalunkwe allokazzjoni addizzjonali li tista’ tingħata lid-DĠ tal-ġestjoni skont il-proċedura annwali ta’ allokazzjoni u fid-dawl tal-limitazzjonijiet baġitarji.

3.2.3.1.Rekwiżiti stmati ta’ riżorsi umani

–    Il-proposta/l-inizjattiva ma teħtieġx l-użu ta’ riżorsi umani.

–    Il-proposta/l-inizjattiva teħtieġ l-użu ta’ riżorsi umani, kif spjegat hawn taħt:

L-istima trid tiġi espressa f’unitajiet ekwivalenti għall-full-time

XX huwa l-qasam ta’ politika jew it-titolu baġitarju kkonċernat.

Ir-riżorsi umani meħtieġa se jiġu koperti mill-persunal tad-DĠ li diġà jkun assenjat għall-ġestjoni tal-azzjoni u/jew li diġà jkun ġie riassenjat fid-DĠ, flimkien, jekk ikun meħtieġ, ma’ kwalunkwe allokazzjoni addizzjonali li tista’ tingħata lid-DĠ tal-ġestjoni skont il-proċedura annwali ta’ allokazzjoni u fid-dawl tal-limitazzjonijiet baġitarji.

Deskrizzjoni tal-kompiti li jridu jitwettqu:

3.2.4.Kompatibbiltà mal-qafas finanzjarju pluriennali attwali 

Il-proposta/l-inizjattiva:

–    tista’ tiġi ffinanzjata kompletament permezz ta’ riallokazzjoni fl-intestatura rilevanti tal-Qafas Finanzjarju Pluriennali (QFP).

–     teħtieġ l-użu tal-marġni mhux allokat taħt l-intestatura rilevanti tal-QFP u/jew l-użu tal-istrumenti speċjali ddefiniti fir-Regolament dwar il-QFP.

–    teħtieġ reviżjoni tal-QFP.

3.2.5.Kontribuzzjonijiet ta’ partijiet terzi 

Il-proposta/l-inizjattiva:

–    ma tipprevedix kofinanzjament minn partijiet terzi 23

–    tipprevedi l-kofinanzjament minn partijiet terzi kif stmat hawn taħt:

Approprjazzjonijiet f’miljuni ta’ EUR (aġġustati ’l fuq għal tliet pożizzjonijiet deċimali)

3.3.Impatt stmat fuq id-dħul 

–    Il-proposta/l-inizjattiva ma għandha l-ebda impatt finanzjarju fuq id-dħul.

–    Il-proposta/l-inizjattiva għandha l-impatt finanzjarju li ġej:

–    fuq ir-riżorsi proprji

–    fuq dħul ieħor

–jekk jogħġbok indika, jekk id-dħul hux assenjat għal-linji tan-nefqa     

miljuni ta’ EUR (għal tliet pożizzjonijiet deċimali)

Għal dħul assenjat, speċifika l-linja/i baġitarja/i tan-nefqa affettwata/i.

Rimarki oħra (eż. il-metodu/il-formula li ntużaw biex jiġi kkalkolat l-impatt fuq id-dħul jew kwalunkwe informazzjoni oħra).

(1)    “Inċident sinifikanti” tfisser kwalunkwe inċident sakemm ma jkollux impatt limitat u x’aktarx li jkun diġà mifhum sew f’termini ta’ metodu jew teknoloġija.

(2)    Sors: Gartner, Identifying the Real Information Security Budget (2016). Dan minbarra l-infiq indirett tas-sigurtà tal-IT bħal fuq is-sigurtà tan-network bħall-firewalls, l-antivirus u r-responsabbiltajiet tas-sid tas-sistema bħall-valutazzjoni tar-riskju u l-implimentazzjoni tal-kontrolli tas-sigurtà. Studju tal-2020 jistma li l-infiq taċ-ċibersigurtà fl-istituzzjonijiet finanzjarji jammonta għal 10-11 % tal-infiq tal-IT, sors: DI_2020-FS-ISAC-Cybersecurity.pdf (deloitte.com) .

(3)    ĠU C 12, 13.1.2018, p. 1-11.

(4)    Ir-Rakkomandazzjoni tal-Kummissjoni (UE) 2017/1584 tat-13 ta’ Settembru 2017 dwar Rispons Koordinat għal Inċidenti u Kriżijiet taċ-Ċibersigurtà fuq Skala Kbira (ĠU L 239, 19.9.2017, p. 36).

(5)    Ir-Regolament (UE) 2019/881 tal-Parlament Ewropew u tal-Kunsill tas-17 ta’ April 2019 dwar l-ENISA (l-Aġenzija tal-Unjoni Ewropea għaċ-Ċibersigurtà) u dwar iċ-ċertifikazzjoni taċ-ċibersigurtà tat-teknoloġija tal-informazzjoni u tal-komunikazzjoni u li jħassar ir-Regolament (UE) Nru 526/2013 (l-Att dwar iċ-Ċibersigurtà) (ĠU L 151, 7.6.2019, p. 15).

(6)    Ir-Rakkomandazzjoni tal-Kummissjoni C(2021) 4520 tat-23.6.2021 dwar il-bini ta’ Ċiberunità Konġunta.

(7)    Ir-Regolament (UE) 2018/1725 tal-Parlament Ewropew u tal-Kunsill tat-23 ta’ Ottubru 2018 dwar il-protezzjoni ta’ persuni fiżiċi fir-rigward tal-ipproċessar ta’ data personali mill‐istituzzjonijiet, korpi, uffiċċji u aġenziji tal-Unjoni u dwar il-moviment liberu ta’ tali data, u li jħassar ir-Regolament (KE) Nru 45/2001 u d-Deċiżjoni Nru 1247/2002/KE (ĠU L 295, 21.11.2018, p. 39).

(8)    Ir-Regolament (UE, Euratom) 2018/1046 tal-Parlament Ewropew u tal-Kunsill tat-18 ta’ Lulju 2018 dwar ir-regoli finanzjarji applikabbli għall-baġit ġenerali tal-Unjoni, li jemenda r-Regolamenti (UE) Nru 1296/2013, (UE) Nru 1301/2013, (UE) Nru 1303/2013, (UE) Nru 1304/2013, (UE) Nru 1309/2013, (UE) Nru 1316/2013, (UE) Nru 223/2014, (UE) Nru 283/2014, u d-Deċiżjoni Nru 541/2014/UE u li jħassar ir-Regolament (UE, Euratom) Nru 966/2012 (ĠU L 193, 30.7.2018, p. 1).

(9)    Ir-Regolament (KE) Nru 1049/2001 tal-Parlament Ewropew u l-Kunsill tat-30 ta’ Mejju 2001 dwar l-aċċess pubbliku għad-dokumenti tal-Parlament Ewropew, tal-Kunsill u tal-Kummissjoni (ĠU L 145, 31.5.2001, p. 43).

(10)    Kif imsemmi fl-Artikolu 58(2)(a) jew (b) tar-Regolament Finanzjarju.

(11)    Referenza: [Rapport Speċjali tal-QEA dwar iċ-ċibersigurtà fl-istituzzjonijiet, fil-korpi u fl-aġenziji tal-Unjoni].

(12)    Id-dettalji tal-modi ta’ ġestjoni u r-referenzi għar-Regolament Finanzjarju jinsabu fuq is-sit BudgWeb: https://myintracomm.ec.europa.eu/budgweb/EN/man/budgmanag/Pages/budgmanag.aspx  

(13)    Diff. = Approprjazzjonijiet differenzjati/Mhux diff. = Approprjazzjonijiet mhux differenzjati.

(14)    EFTA: Assoċjazzjoni Ewropea tal-Kummerċ Ħieles.

(15)    Pajjiżi kandidati u, meta applikabbli, kandidati potenzjali mill-Balkani tal-Punent.

(16)    Skont in-nomenklatura uffiċjali tal-baġit.

(17)    Assistenza u nefqa teknika u / jew amministrattiva li jappoġġaw l-implimentazzjoni ta’ programmi u / jew ta’ azzjonijiet tal-UE (li qabel kienu l-linji "BA"), riċerka indiretta u riċerka diretta.

(18)    L-outputs huma prodotti u servizzi li jridu jiġu pprovduti (pereżempju: l-għadd ta’ skambji ta’ studenti ffinanzjati, l-għadd ta’ km ta’ toroq mibnija, eċċ.).

(19)    Kif deskritt fil-punt 1.4.2. “Objettiv(i) speċifiku/speċifiċi …”

(20)    Assistenza u nefqa teknika u / jew amministrattiva li jappoġġaw l-implimentazzjoni ta’ programmi u / jew ta’ azzjonijiet tal-UE (li qabel kienu l-linji "BA"), riċerka indiretta u riċerka diretta.

(21)    AC= Persunal bil-kuntratt; AL = Persunal Lokali; END = Espert Nazzjonali Sekondat; INT = persunal tal-aġenziji; JPD = Professjonisti Subalterni f’Delegazzjonijiet.

(22)    Sottolimitu għall-persunal estern kopert minn approprjazzjonijiet operazzjonali (li qabel kienu l-linji “BA”).

(23)    Id-dħul assenjat li ġej mill-forniment sporadiku ta’ servizzi lil organizzazzjonijiet mhux kostitwenti previst fl-Artikolu 12(5)(c) ma ġiex stmat għax mistenni jkun marġinali.

(24)    Is-Sena N hija s-sena li fiha tibda l-implimentazzjoni tal-proposta / tal-inizjattiva. Issostitwixxi l-“N” bl-ewwel sena ta’ implimentazzjoni prevista (pereżempju: 2021). Agħmel l-istess għas-snin ta’ wara.

(25)    Fir-rigward tar-riżorsi proprji tradizzjonali (id-dazji doganali, l-imposti fuq iz-zokkor), l-ammonti indikati jridu jkunu ammonti netti, jiġifieri ammonti grossi wara t-tnaqqis ta’ 20 % tal-kostijiet tal-ġbir.

IL-KUMMISSJONI EWROPEA

Brussell, 22.3.2022

COM(2022) 122 final

ANNESSI

tal-

Proposta għal REGOLAMENT TAL-PARLAMENT EWROPEW U TAL-KUNSILL

li jistabbilixxi miżuri għal livell għoli komuni ta’ ċibersigurtà fl-istituzzjonijiet, fil-korpi, fl-uffiċċji u fl-aġenziji tal-Unjoni

{SWD(2022) 67 final} - {SWD(2022) 68 final}

ANNESS I

Id-dominji li ġejjin għandhom jiġu indirizzati fil-linja bażi taċ-ċibersigurtà:

(1)il-politika dwar iċ-ċibersigurtà, inklużi l-objettivi u l-prijoritajiet għas-sigurtà tan-networks u tas-sistemi tal-informazzjoni, b’mod partikolari fir-rigward tal-użu tas-servizzi ta’ cloud computing (skont it-tifsira tal-Artikolu 4(19) tad-Direttiva [il-proposta NIS 2]) u l-arranġamenti tekniċi li jippermettu t-telexogħol;

(2)l-organizzazzjoni taċ-ċibersigurtà, inkluża d-definizzjoni tar-rwoli u r-responsabbiltajiet;

(3)immaniġġjar ta’ assi, inkluż l-inventarju tal-assi tal-IT u l-kartografija tan-network tal-IT;

(4)kontroll tal-aċċess;

(5)sigurtà operazzjonali tan-network;

(6)Sigurtà tal-komunikazzjoni;

(7)Akkwiżizzjoni, żvilupp u manutenzjoni tas-sistema;

(8)Relazzjonijiet mal-fornituri;

(9)immaniġġjar ta’ inċidenti, inklużi approċċi biex jittejbu t-tħejjija, ir-rispons għall-inċidenti u l-irkupru minnhom u l-kooperazzjoni mas-CERT-UE, bħall-manutenzjoni tal-monitoraġġ u r-reġistrazzjoni tas-sigurtà;

(10)ġestjoni tal-kontinwità tal-operat u ġestjoni ta’ kriżijiet; u

(11)edukazzjoni dwar iċ-ċibersigurtà, programmi ta’ sensibilizzazzjoni u taħriġ.

ANNESS II

L-istituzzjonijiet, il-korpi u l-aġenziji tal-Unjoni għandhom jindirizzaw mill-inqas il-miżuri speċifiċi taċ-ċibersigurtà li ġejjin fl-implimentazzjoni tax-xenarju bażi taċ-ċibersigurtà u fil-pjanijiet taċ-ċibersigurtà tagħhom, b’mod konformi mad-dokumenti ta’ gwida u r-rakkomandazzjonijiet mill-IICB:

(1)passi konkreti biex nimxu lejn Arkitettura ta’ Fiduċja Żero (jiġifieri mudell ta’ sigurtà, sett ta’ prinċipji tad-disinn tas-sistema, u strateġija kkoordinata taċ-ċibersigurtà u tal-ġestjoni tas-sistema bbażata fuq rikonoxximent li jeżisti t-theddid kemm ġewwa kif ukoll barra l-konfini tradizzjonali tan-network);

(2)l-adozzjoni tal-awtentikazzjoni b’diversi fatturi bħala norma fin-network u s-sistema ta’ informazzjoni;

(3)l-istabbiliment ta’ sigurtà tal-katina tal-provvista tas-software permezz ta’ kriterji għall-iżvilupp u l-evalwazzjoni ta’ software sigur;

(4)it-titjib tar-regoli dwar l-akkwist pubbliku għall-faċilitazzjoni ta’ livell komuni għoli ta’ ċibersigurtà permezz:

(a)tat-tneħħija tal-ostakli kuntrattwali li jillimitaw il-kondiviżjoni tal-informazzjoni mill-fornituri tas-servizzi tal-IT dwar inċidenti, vulnerabbiltajiet u theddid ċibernetiku mas-CERT-UE;

(b)tal-obbligu kuntrattwali li jiġu rrappurtati inċidenti, vulnerabbiltajiet u theddid ċibernetiku kif ukoll li jkun hemm fis-seħħ rispons u monitoraġġ xierqa għall-inċidenti.