IL-KUMMISSJONI EWROPEA
Brussell, 22.3.2022
COM(2022) 122 final
2022/0085(COD)
Proposta għal
REGOLAMENT TAL-PARLAMENT EWROPEW U TAL-KUNSILL
li jistabbilixxi miżuri għal livell għoli komuni ta’ ċibersigurtà fl-istituzzjonijiet, fil-korpi, fl-uffiċċji u fl-aġenziji tal-Unjoni
{SWD(2022) 67 final} - {SWD(2022) 68 final}
MEMORANDUM TA’ SPJEGAZZJONI
1.KUNTEST TAL-PROPOSTA
•Raġunijiet u għanijiet tal-proposta
Din il-proposta tistabbilixxi qafas għall-iżgurar ta’ regoli u miżuri komuni taċ-ċibersigurtà fost l-istituzzjonijiet, il-korpi u l-aġenziji tal-Unjoni. Dan għandu l-għan li jkompli jtejjeb ir-reżiljenza u l-kapaċitajiet ta’ rispons għall-inċidenti tal-entitajiet kollha. Huwa konformi mal-prijoritajiet tal-Kummissjoni li tlesti l-Ewropa għall-era diġitali u tibni ekonomija lesta għall-futur li taħdem għan-nies. Barra minn hekk, l-iżgurar ta’ amministrazzjoni pubblika sigura u reżiljenti huwa pedament fit-trasformazzjoni diġitali tas-soċjetà kollha kemm hi.
Din il-proposta tibni fuq l-Istrateġija tal-UE dwar l-Unjoni tas-Sigurtà (COM(2020) 605 final) u l-Istrateġija taċ-Ċibersigurtà tal-UE għad-Deċennju Diġitali (JOIN(2020) 18 final).
Il-proposta timmodernizza l-qafas legali tas-CERT-UE u tieħu kont tat-tibdil u ż-żieda fid-diġitalizzazzjoni tal-istituzzjonijiet, il-korpi u l-aġenziji f’dawn l-aħħar snin kif ukoll ix-xenarju tat-theddid ċibernetiku li qiegħed jevolvi. Iż-żewġ żviluppi ġew amplifikati ulterjorment mill-bidu tal-kriżi tal-COVID-19, filwaqt li n-numru ta’ inċidenti qiegħed ikompli jiżdied, b’attakki dejjem aktar sofistikati ġejjin minn firxa wiesgħa ta’ sorsi.
Il-proposta tibdel l-isem tas-CERT-UE minn “Skwadra ta’ Rispons f’Emerġenza relatata mal-Kompjuters” għal “Ċentru taċ-Ċibersigurtà” għall-istituzzjonijiet, għall-korpi u l-aġenziji tal-Unjoni, b’mod konformi mal-iżviluppi fl-Istati Membri u globalment, fejn ħafna CERTs qed jissemmew mill-ġdid bħala Ċentri taċ-Ċibersigurtà, imma se żżomm l-isem qasir “CERT-UE” minħabba r-rikonoxximent tal-isem.
•Konsistenza mad-dispożizzjonijiet eżistenti fil-qasam ta’ politika
Din il-proposta għandha l-għan li żżid ir-reżiljenza taċ-ċibersigurtà tal-istituzzjonijiet, tal-korpi u tal-aġenziji tal-Unjoni kontra t-theddid ċibernetiku, filwaqt li tallinja mal-leġiżlazzjoni eżistenti:
·Id-Direttiva (UE) 2016/1148 dwar miżuri għal livell għoli komuni ta’ sigurtà tan-networks u tas-sistemi tal-informazzjoni madwar l-Unjoni. Hija tallinja wkoll mal-proposta għal Direttiva (UE) XXXX/XXXX dwar miżuri għal livell għoli komuni ta’ ċibersigurtà madwar l-Unjoni kollha, li tħassar id-Direttiva (UE) 2016/1148 [il-proposta NIS 2].
·Ir-Regolament (UE) 2019/881 dwar l-ENISA (l-Aġenzija tal-Unjoni Ewropea għaċ-Ċibersigurtà) u dwar iċ-ċertifikazzjoni taċ-ċibersigurtà tat-teknoloġija tal-informazzjoni u tal-komunikazzjoni (l-Att dwar iċ-Ċibersigurtà).
·Proposta għal Regolament (UE) XXXX/XXXX dwar is-sigurtà tal-informazzjoni fl-istituzzjonijiet, fil-korpi, fl-uffiċċji u fl-aġenziji tal-Unjoni.
·Ir-Rakkomandazzjoni tal-Kummissjoni tat-23 ta’ Ġunju 2021 dwar il-bini ta’ Ċiberunità Konġunta.
·Ir-Rakkomandazzjoni tal-Kummissjoni (UE) 2017/1584 tat-13 ta’ Settembru 2017 dwar Rispons Koordinat għal Inċidenti u Kriżijiet taċ-Ċibersigurtà fuq Skala Kbira.
L-Anness tar-Rakkomandazzjoni tal-Kummissjoni (UE) 2017/1584 tat-13 ta’ Settembru 2017 dwar Rispons Koordinat għal Inċidenti u Kriżijiet taċ-Ċibersigurtà fuq Skala Kbira jistabbilixxi l-Pjan ta’ Azzjoni għal rispons koordinat għal inċidenti u għal kriżijiet taċ-ċibersigurtà transfruntiera fuq skala kbira.
Fir-riżoluzzjoni tiegħu tad-9 ta’ Marzu 2021, il-Kunsill tal-Unjoni Ewropea saħaq li ċ-ċibersigurtà hija vitali għall-funzjonament tal-amministrazzjoni pubblika kemm fil-livell nazzjonali kif ukoll f’dak tal-UE kif ukoll għas-soċjetà u għall-ekonomija kollha kemm hi, filwaqt li enfasizza l-importanza ta’ qafas ta’ sigurtà robust u konsistenti sabiex jipproteġi l-persunal, id-data, in-networks ta’ komunikazzjoni, is-sistemi ta’ informazzjoni u l-proċessi tat-teħid tad-deċiżjonijiet kollha tal-UE. B’mod partikolari, dan għandu jinkiseb permezz ta’ reżiljenza mtejba u kultura ta’ sigurtà mtejba tal-istituzzjonijiet, tal-korpi u tal-aġenziji tal-Unjoni. Għandu jkun hemm disponibbli riżorsi u kapaċitajiet suffiċjenti, inkluż fil-kuntest tat-tisħiħ tal-mandat tas-CERT-UE.
2.BAŻI ĠURIDIKA, SUSSIDJARJETÀ U PROPORZJONALITÀ
•Bażi ġuridika
Il-bażi ġuridika għal dan ir-Regolament hija l-Artikolu 298 tat-Trattat dwar il-Funzjonament tal-Unjoni Ewropea (TFUE) li jipprevedi li fit-twettiq tal-missjonijiet tagħhom, l-istituzzjonijiet, il-korpi, l-uffiċċji u l-aġenziji tal-Unjoni għandu jkollhom l-appoġġ ta’ amministrazzjoni Ewropea miftuħa, effiċjenti u indipendenti. Il-Parlament Ewropew u l-Kunsill, li jaġixxu permezz ta’ regolamenti f’konformità mal-proċedura leġiżlattiva ordinarja, għandhom jistabbilixxu dispożizzjonijiet għal dan il-għan, b’mod konformi mar-Regolamenti tal-Persunal u l-Kundizzjonijiet tal-Impjieg adottati abbażi tal-Artikolu 336.
It-teknoloġija tal-informazzjoni pprovdiet modi ġodda għall-istituzzjonijiet, għall-korpi u għall-aġenziji tal-Unjoni biex jaħdmu, jinteraġixxu maċ-ċittadini u jtejbu l-operazzjonijiet kumplessivi tagħhom. Hekk kif it-teknoloġija qed tkompli tevolvi, l-istess qed jevolvi x-xenarju ta’ theddid ċibernetiku. L-istituzzjonijiet, il-korpi u l-aġenziji tal-Unjoni saru miri attraenti ħafna ta’ attakki ċibernetiċi sofistikati. L-istabbiliment ta’ sistemi u rekwiżiti li jiżguraw iċ-ċibersigurtà jidher li qed jikkontribwixxi għall-effiċjenza u għall-indipendenza tal-amministrazzjoni Ewropea, biex l-istituzzjonijiet, il-korpi, l-uffiċċji u l-aġenziji tal-Unjoni jkunu jistgħu joperaw b’mod aktar effiċjenti f’dinja diġitali waqt it-twettiq tal-missjonijiet tagħhom.
Minbarra dan, id-disparitajiet attwali, kif spjegat fit-Taqsima 3 hawn taħt, fost il-qagħda taċ-ċibersigurtà u l-approċċ tal-istituzzjonijiet, tal-korpi u tal-aġenziji tal-Unjoni fil-qasam taċ-ċibersigurtà huma ostakli addizzjonali għal amministrazzjoni Ewropea miftuħa, effiċjenti u indipendenti. Mingħajr approċċ komuni, il-qagħda taċ-ċibersigurtà fost l-istituzzjonijiet, il-korpi u l-aġenziji tal-Unjoni tkompli tiżviluppa f’direzzjonijiet diverġenti. Għaldaqstant, il-bażi ġuridika hija xierqa peress li r-Regolament għandu l-għan li joħloq qafas legali komuni għaċ-ċibersigurtà fl-istituzzjonijiet, fil-korpi, fl-uffiċċji u l-aġenziji tal-Unjoni.
•Sussidjarjetà
Ir-Regolament li jistipula miżuri għal livell għoli komuni ta’ ċibersigurtà fl-istituzzjonijiet, fil-korpi, fl-uffiċċji u fl-aġenziji kollha tal-Unjoni huwa fil-kompetenza esklużiva tal-Unjoni.
•Proporzjonalità
Ir-regoli proposti f’dan ir-Regolament ma jmorrux lil hinn minn dak li huwa meħtieġ sabiex jintlaħqu l-objettivi speċifiċi b’mod sodisfaċenti. Il-miżuri previsti se jikkontribwixxu għall-kisba ta’ livell komuni għoli ta’ ċibersigurtà mingħajr ma jaqbżu dak li huwa meħtieġ sabiex jintlaħaq l-objettiv fid-dawl tar-riskji dejjem aktar għoljin li jiffaċċjaw.
•Għażla tal-istrument
L-għażla ta’ Regolament, direttament applikabbli, titqies l-istrument legali xieraq biex jiddefinixxi u jissimplifika l-obbligi imposti fuq l-istituzzjonijiet, il-korpi u l-aġenziji tal-Unjoni. Sabiex ikun jista’ jsir titjib immirat, regolament huwa l-aktar strument ġuridiku xieraq.
3.RIŻULTATI TAL-EVALWAZZJONIJIET EX ANTE, TAL-KONSULTAZZJONIJIET MAL-PARTIJIET IKKONĊERNATI U TAL-VALUTAZZJONIJIET TAL-IMPATT
•Evalwazzjonijiet ex ante
Is-CERT-UE wettqet valutazzjoni tat-theddid ċibernetiku prinċipali li għalih l-istituzzjonijiet, il-korpi u l-aġenziji tal-Unjoni huma attwalment esposti jew x’aktarx li jkunu esposti fil-futur prevedibbli.
Fl-analiżi ntużaw tliet kategoriji ta’ osservazzjonijiet:
·Tentattivi ta’ ksur tal-infrastruttura tal-IT tal-istituzzjonijiet, tal-korpi u tal-aġenziji tal-Unjoni (meta jirnexxu, jiġu ttrattati bħala inċidenti, fil-każijiet l-oħrajn għadhom jiġu rreġistrati bħala tentattivi identifikati).
·Theddid identifikat fil-prossimità tal-istituzzjonijiet, tal-korpi u tal-aġenziji tal-Unjoni (eż. fis-setturi relatati tagħhom, fil-komunitajiet tal-partijiet ikkonċernati tagħhom jew fl-Ewropa).
·Xejriet ewlenin ta’ theddid osservati globalment.
Barra minn hekk, l-analiżi qieset kif bidliet kbar kontinwi qegħdin jaffettwaw il-modi li bihom l-istituzzjonijiet tal-Unjoni jimmaniġġjaw u jużaw l-infrastruttura u s-servizzi tal-IT tagħhom. Dawn il-bidliet jinkludu:
·Żieda fit-telexogħol.
·Migrazzjoni tas-sistemi lejn il-cloud.
·Esternalizzazzjoni akbar tas-servizzi tal-IT.
Mill-2019 sal-2021, in-numru ta’ inċidenti sinifikanti li jaffettwaw lill-istituzzjonijiet, lill-korpi u lill-aġenziji tal-Unjoni, awtorizzati minn atturi ta’ theddid persistenti avvanzat (APT), żdied b’mod drammatiku. L-ewwel nofs tal-2021 ra l-ekwivalenti f’inċidenti sinifikanti tal-2020 kollha. Dan huwa rifless ukoll fin-numru ta’ immaġnijiet tal-forensika (stampi tal-kontenut ta’ sistemi jew apparati affettwati) analizzati mis-CERT-UE fl-2020, li ttriplika meta mqabbel mal-2019, filwaqt li n-numru ta’ inċidenti sinifikanti żdied b’aktar minn għaxar darbiet mill-2018.
Fl-2020, il-Bord ta’ Tmexxija tas-CERT-UE stabbilixxa għan strateġiku ġdid għas-CERT-UE sabiex jiggarantixxi livell komprensiv ta’ difiża ċibernetika għall-istituzzjonijiet, għall-korpi u għall-aġenziji kollha b’wisa’ u profondità xierqa u adattament kontinwu għat-theddid attwali jew imminenti, inklużi attakki kontra apparati mobbli, ambjenti tal-cloud u apparati tal-internet tal-oġġetti.
Minbarra l-analiżi tat-theddid mis-CERT-UE, il-Kummissjoni wettqet evalwazzjoni tal-funzjonament taċ-ċibersigurtà ta’ 20 istituzzjoni, korp u aġenzija tal-Unjoni. Dan ipprovda għarfien dwar prattiki stabbiliti taċ-ċibersigurtà, u kapaċitajiet ta’ ġestjoni taċ-ċibersigurtà b’parametraġġ referenzjarju estern ta’ xi kontrolli tekniċi tas-sigurtà.
Din l-evalwazzjoni kienet ibbażata fuq kwestjonarji li wieġbu dawn l-istituzzjonijiet, korpi u aġenziji, data disponibbli għall-pubbliku, u data pprovduta direttament mill-istituzzjonijiet, mill-korpi u mill-aġenziji tal-Unjoni nfushom. Dan jipprovdi biżżejjed għarfien dwar is-sitwazzjoni attwali sabiex jiġi konkluż li:
·Il-maturità taċ-ċibersigurtà, id-daqs tal-infrastruttura tal-IT u l-livelli ta’ kapaċità jvarjaw sostanzjalment fost l-istituzzjonijiet, il-korpi u l-aġenziji tal-Unjoni evalwati.
·Filwaqt li hemm kapaċitajiet maturi ta’ detezzjoni u ta’ rispons fost ħafna istituzzjonijiet, korpi u aġenziji tal-Unjoni b’mod ġenerali, hemm livelli differenti ta’ ġestjoni integrata tar-riskju fil-kapaċitajiet ta’ governanza taċ-ċibersigurtà tagħhom.
·Filwaqt li b’mod ġenerali l-oqfsa taċ-ċibersigurtà (strateġija, politika u bażi ta’ regoli) tal-istituzzjonijiet, tal-korpi u tal-aġenziji tal-Unjoni evalwati huma stabbiliti sew fl-oqsma ewlenin taċ-ċibersigurtà, elenkati fl-Anness I tar-Regolament, xi istituzzjonijiet, korpi u aġenziji tal-Unjoni ma għandhomx ġestjoni tal-kontinwità tan-negozju matura, konformità, awditjar u titjib kontinwu.
·Il-miżuri tekniċi meqjusa bħala l-aħjar prattiki nstabu li huma applikati b’mod mhux uniformi mill-istituzzjonijiet, mill-korpi u mill-aġenziji tal-Unjoni evalwati.
Fil-qosor, l-analiżi tal-20 istituzzjoni, korp u aġenzija tal-Unjoni turi li l-governanza, l-iġjene ċibernetika, il-kapaċità ġenerali u l-maturità tagħhom ivarjaw fuq firxa wiesgħa. Għaldaqstant, huwa strumentali li l-istituzzjonijiet, il-korpi u l-aġenziji kollha tal-Unjoni jkunu meħtieġa jimplimentaw linja bażi ta’ miżuri taċ-ċibersigurtà biex jindirizzaw din id-disparità fil-maturità u biex l-istituzzjonijiet, il-korpi u l-aġenziji kollha tal-Unjoni jimplimentaw livell komuni għoli ta’ ċibersigurtà.
S’issa, l-ebda leġiżlazzjoni tal-Unjoni ma ffokat fuq iċ-ċibersigurtà tal-istituzzjonijiet, tal-korpi u tal-aġenziji tal-Unjoni u indirizzat b’mod komprensiv ix-xenarju tat-theddid taċ-ċibersigurtà u r-riskji emerġenti tal-IT xprunati mid-diġitalizzazzjoni.
•Konsultazzjonijiet mal-partijiet ikkonċernati
Il-Kummissjoni kkonsultat mal-partijiet ikkonċernati fl-istituzzjonijiet, fil-korpi u fl-aġenziji kollha tal-Unjoni kif ukoll mar-rappreżentanti tal-Istati Membri fil-Kunsill u mal-partijiet ikkonċernati fil-Parlament Ewropew. Fil-25 ta’ Ġunju 2021, ir-rappreżentanti tal-Istati Membri u l-partijiet ikkonċernati rilevanti mill-istituzzjonijiet, mill-korpi u mill-aġenziji tal-Unjoni pparteċipaw f’workshop organizzat mill-Kummissjoni sabiex jiddiskutu l-kontenut tal-proposta futura għar-Regolament.
•Valutazzjoni tal-impatt
L-impatt tal-proposta attwali se jkun fuq l-istituzzjonijiet, il-korpi u l-aġenziji tal-Unjoni. Minħabba n-nuqqas ta’ applikabbiltà għall-Istati Membri, mhijiex neċessarja valutazzjoni tal-impatt speċifika.
•Drittijiet fundamentali
L-Unjoni Ewropea hija impenjata li tiżgura standards għoljin ta’ protezzjoni tad-drittijiet fundamentali. Il-kondiviżjoni kollha tal-informazzjoni bbażata fuq dan ir-Regolament titwettaq f’ambjenti fdati, b’rispett sħiħ tad-dritt għall-protezzjoni tad-data personali kif stabbilit fl-Artikolu 8 tal-Karta tad-Drittijiet Fundamentali tal-Unjoni Ewropea u l-leġiżlazzjoni rilevanti dwar il-protezzjoni tad-data, b’mod partikolari r-Regolament (UE) 2018/1725 tal-Parlament Ewropew u tal-Kunsill.
4.IMPLIKAZZJONIJIET BAĠITARJI
Il-parametri referenzjarji u l-istudji tas-suq juru li l-infiq dirett taċ-ċibersigurtà kellu tendenza li jvarja bejn 4 u 7 % tal-infiq aggregat tal-IT tal-organizzazzjonijiet. Madankollu, l-analiżi tat-theddid imwettqa mis-CERT-UE b’appoġġ għal din il-proposta leġiżlattiva tindika li l-korpi internazzjonali u l-organizzazzjonijiet politiċi jiffaċċjaw riskji akbar u għalhekk livell ta’ 10 % tal-infiq tal-IT fuq iċ-ċibersigurtà jidher li huwa mira aktar adegwata. Il-kost eżatt ta’ dawn l-isforzi ma jistax jiġi ddeterminat minħabba n-nuqqas ta’ informazzjoni dettaljata dwar in-nefqa tal-IT tal-istituzzjonijiet, tal-korpi u tal-aġenziji tal-Unjoni u s-sehem rilevanti tal-infiq taċ-ċibersigurtà.
Għaldaqstant, filwaqt li huwa probabbli li ħafna istituzzjonijiet, korpi u aġenziji tal-Unjoni jonfqu inqas fuq iċ-ċibersigurtà milli jmisshom, dan ir-Regolament mhux se jikkawża żieda f’dik in-nefqa kurrenti. Anki mingħajr ir-Regolament, kull entità xorta jkollha tiżgura livell adegwat ta’ ċibersigurtà. Ir-Regolament ikompli l-kooperazzjoni preċedenti fil-Bord ta’ Tmexxija tas-CERT-UE u jifformalizza saff ta’ skambju ta’ informazzjoni li diġà jeżisti parzjalment illum. Kif spjegat fid-dikjarazzjoni finanzjarja leġiżlattiva, is-CERT-UE se teħtieġ riżorsi addizzjonali biex tissodisfa r-rwol estiż tagħha u dawn ir-riżorsi għandhom ikunu riallokati mill-istituzzjonijiet, mill-korpi u mill-aġenziji tal-Unjoni li jibbenefikaw mis-servizzi tas-CERT-UE.
5.ELEMENTI OĦRA
·Arranġamenti dwar l-implimentazzjoni, il-monitoraġġ, l-evalwazzjoni u r-rapportar
Il-Bord Interistituzzjonali taċ-Ċibersigurtà (IICB), bl-għajnuna tas-CERT-UE, għandu jirrieżamina l-funzjonament ta’ dan ir-Regolament, iwettaq evalwazzjonijiet, u jippreżenta rapport bis-sejbiet tiegħu lill-Kummissjoni. Il-Kummissjoni għandha tiżgura rapportar regolari lill-Parlament Ewropew, il-Kunsill, il-Kumitat Ekonomiku u Soċjali Ewropew u l-Kumitat tar-Reġjuni.
Is-CERT-UE tista’ tfassal proposta għal dokument ta’ gwida jew rakkomandazzjoni, li l-IICB jista’ jagħżel li jadotta. Dokument ta’ gwida huwa konsulenza diretta lejn l-istituzzjonijiet, il-korpi u l-aġenziji kollha tal-Unjoni jew subsett tagħhom, filwaqt li rakkomandazzjoni hija diretta lejn istituzzjonijiet, korpi u aġenziji individwali tal-Unjoni. Sejħa għal azzjoni hija konsulenza tas-CERT-UE li tiddeskrivi miżuri ta’ sigurtà urġenti li l-istituzzjonijiet, il-korpi u l-aġenziji tal-Unjoni huma mħeġġa jieħdu f’perjodu ta’ żmien stabbilit.
·Spjegazzjoni fid-dettall tad-dispożizzjonijiet speċifiċi tal-proposta
Dispożizzjonijiet ġenerali
Ir-Regolament jistabbilixxi miżuri bil-għan li jiġi żgurat livell komuni għoli ta’ ċibersigurtà u japplika għall-istituzzjonijiet, għall-korpi u għall-aġenziji tal-Unjoni sabiex ikunu jistgħu jwettqu l-missjonijiet rispettivi tagħhom b’mod miftuħ, effiċjenti u indipendenti. (l-Artikoli 1-3, 23-25)
Miżuri għal livell komuni għoli ta’ ċibersigurtà
L-istituzzjonijiet, il-korpi u l-aġenziji tal-Unjoni huma obbligati jistabbilixxu qafas intern ta’ ġestjoni, governanza u kontroll tar-riskju taċ-ċibersigurtà li jiżgura ġestjoni effettiva u prudenti tar-riskji kollha taċ-ċibersigurtà. Barra minn hekk, l-istituzzjonijiet, il-korpi u l-aġenziji għandhom jadottaw linja bażi taċ-ċibersigurtà sabiex jindirizzaw ir-riskji identifikati fil-qafas, iwettqu valutazzjonijiet regolari tal-maturità taċ-ċibersigurtà u jadottaw pjan taċ-ċibersigurtà. (Artikoli 4-8)
Bord Interistituzzjonali taċ-Ċibersigurtà
Il-Bord Interistituzzjonali taċ-Ċibersigurtà huwa stabbilit u għandu jkun responsabbli għall-monitoraġġ tal-implimentazzjoni ta’ dan ir-Regolament mill-istituzzjonijiet, mill-korpi u mill-aġenziji tal-Unjoni kif ukoll għas-superviżjoni tal-implimentazzjoni tal-prijoritajiet u l-objettivi ġenerali mis-CERT-UE u għall-għoti ta’ direzzjoni strateġika lis-CERT-UE. (Artikoli 9-11).
CERT-UE
Is-CERT-UE għandha tikkontribwixxi għas-sigurtà tal-ambjent tal-IT tal-istituzzjonijiet, tal-korpi u tal-aġenziji kollha tal-Unjoni billi tagħtihom pariri, billi tgħin fil-prevenzjoni, fl-identifikazzjoni, fil-mitigazzjoni u fir-rispons għall-inċidenti u billi taġixxi bħala ċ-ċentru ta’ koordinazzjoni tal-iskambju tal-informazzjoni u tar-rispons għall-inċidenti taċ-ċibersigurtà. (Artikoli 12-17)
Obbligi ta’ kooperazzjoni u ta’ rapportar
Ir-Regolament jiżgura l-kooperazzjoni u l-iskambju ta’ informazzjoni fost is-CERT-UE, u l-istituzzjonijiet, il-korpi u l-aġenziji tal-Unjoni sabiex jiżviluppaw il-fiduċja u l-kunfidenza. Għal dan il-għan, is-CERT-UE tista’ titlob lill-istituzzjonijiet, lill-korpi u lill-aġenziji tal-Unjoni sabiex jipprovdulha l-informazzjoni rilevanti u s-CERT-UE tista’ tiskambja informazzjoni speċifika għall-inċidenti mal-istituzzjonijiet, mal-korpi u mal-aġenziji tal-Unjoni sabiex tiffaċilita l-identifikazzjoni ta’ theddid jew inċidenti ċibernetiċi simili mingħajr il-kunsens tal-kostitwent affettwat. Is-CERT-UE tista’ tiskambja biss informazzjoni speċifika għall-inċidenti li tiżvela l-identità tal-mira tal-inċident taċ-ċibersigurtà bil-kunsens tal-kostitwent affettwat.
B’mod partikolari, l-istituzzjonijiet, il-korpi u l-aġenziji kollha tal-Unjoni għandhom jinnotifikaw lis-CERT-UE b’theddid ċibernetiku sinifikanti, b’vulnerabbiltajiet sinifikanti u b’inċidenti sinifikanti mingħajr dewmien żejjed u fi kwalunkwe każ mhux aktar tard minn 24 siegħa wara li jsiru konxji minnhom. (Artikoli 18-22)
2022/0085 (COD)
Proposta għal
REGOLAMENT TAL-PARLAMENT EWROPEW U TAL-KUNSILL
li jistabbilixxi miżuri għal livell għoli komuni ta’ ċibersigurtà fl-istituzzjonijiet, fil-korpi, fl-uffiċċji u fl-aġenziji tal-Unjoni
IL-PARLAMENT EWROPEW U L-KUNSILL TAL-UNJONI EWROPEA,
Wara li kkunsidraw it-Trattat dwar il-Funzjonament tal-Unjoni Ewropea, u b’mod partikolari l-Artikolu 298 tiegħu,
Wara li kkunsidraw it-Trattat li jistabbilixxi l-Komunità Ewropea tal-Enerġija Atomika, u b’mod partikolari l-Artikolu 106a tiegħu,
Wara li kkunsidraw il-proposta tal-Kummissjoni Ewropea,
Wara li l-abbozz tal-att leġiżlattiv intbagħat lill-parlamenti nazzjonali,
Filwaqt li jaġixxu skont il-proċedura leġiżlattiva ordinarja,
Billi:
(1)Fl-era diġitali, it-teknoloġija tal-informazzjoni u tal-komunikazzjoni hija pedament f’amministrazzjoni tal-Unjoni miftuħa, effiċjenti u indipendenti. It-teknoloġija li qiegħda tevolvi u ż-żieda fil-kumplessità u fl-interkonnettività tas-sistemi diġitali jamplifikaw ir-riskji taċ-ċibersigurtà li jagħmlu l-amministrazzjoni tal-Unjoni aktar vulnerabbli għat-theddid u l-inċidenti ċibernetiċi, li fl-aħħar mill-aħħar toħloq theddid għall-kontinwità tan-negozju u għall-kapaċità tal-amministrazzjoni li żżomm id-data sigura. Filwaqt li l-użu akbar tas-servizzi tal-cloud, l-użu kullimkien tal-IT, id-diġitalizzazzjoni għolja, ix-xogħol mill-bogħod u t-teknoloġija u l-konnettività li qegħdin jevolvu llum huma karatteristiċi ewlenin tal-attivitajiet kollha tal-entitajiet amministrattivi tal-Unjoni, ir-reżiljenza diġitali għadha ma hijiex inkorporata biżżejjed.
(2)Ix-xenarju tat-theddid ċibernetiku li qegħdin jiffaċċjaw l-istituzzjonijiet, il-korpi u l-aġenziji tal-Unjoni jinsab f’evoluzzjoni kostanti. It-tattiċi, it-tekniki u l-proċeduri użati mill-awturi ta’ theddid qed jevolvu b’mod kostanti, mentri l-motivi prominenti għal attakki bħal dawn ftit jinbidlu; mis-serq ta’ informazzjoni mhux żvelata ta’ valur, sal-akkwist ta’ flus, sal-manipulazzjoni tal-opinjoni pubblika jew li tkun imminata l-infrastruttura diġitali. Il-pass li bih iwettqu l-attakki ċibernetiċi tagħhom qiegħed ikompli jiżdied, filwaqt li l-kampanji tagħhom huma dejjem aktar sofistikati u awtomatizzati, u jimmiraw lejn uċuħ ta’ attakk esposti li jkomplu jespandu u jisfruttaw malajr il-vulnerabbiltajiet.
(3)L-ambjenti tal-IT tal-istituzzjonijiet, tal-korpi u tal-aġenziji tal-Unjoni għandhom interdipendenzi, flussi integrati tad-data u l-utenti tagħhom jikkollaboraw mill-qrib. Din l-interkonnessjoni tfisser li kwalunkwe tfixkil, anke meta inizjalment ikun limitat għal istituzzjoni, korp jew aġenzija waħda tal-Unjoni, jista’ jkollu effetti kaskata b’mod aktar wiesa’, li potenzjalment jirriżulta f’impatti negattivi estensivi u fit-tul fuq l-oħrajn. Minbarra dan, l-ambjenti tal-IT ta’ ċerti istituzzjonijiet, korpi u aġenziji huma konnessi mal-ambjenti tal-IT tal-Istati Membri, li jfisser li inċident f’entità waħda tal-Unjoni joħloq riskju għaċ-ċibersigurtà tal-ambjenti tal-IT tal-Istati Membri u viċi versa.
(4)L-istituzzjonijiet, il-korpi u l-aġenziji tal-Unjoni huma miri attraenti li jiffaċċjaw awturi ta’ theddid b’ħiliet għolja u b’riżorsi tajbin kif ukoll theddid ieħor. Fl-istess ħin, il-livell u l-maturità tar-reżiljenza ċibernetika u l-kapaċità ta’ detezzjoni u ta’ rispons għal attivitajiet ċibernetiċi malizzjużi jvarjaw b’mod sinifikanti fost dawn l-entitajiet. Għaldaqstant, għall-funzjonament tal-amministrazzjoni Ewropea huwa meħtieġ li l-istituzzjonijiet, il-korpi u l-aġenziji tal-Unjoni jiksbu livell għoli komuni ta’ ċibersigurtà permezz ta’ linja bażi taċ-ċibersigurtà (ġabra ta’ regoli taċ-ċibersigurtà li n-networks u s-sistemi ta’ informazzjoni, kif ukoll l-operaturi u l-utenti tagħhom, iridu jkunu konformi magħhom biex jimminimizzaw ir-riskji taċ-ċibersigurtà), l-iskambju tal-informazzjoni u l-kollaborazzjoni.
(5)Id-Direttiva [il-proposta NIS 2] dwar miżuri għal livell għoli komuni ta’ ċibersigurtà madwar l-Unjoni għandha l-għan li ttejjeb aktar ir-reżiljenza taċ-ċibersigurtà u l-kapaċitajiet ta’ rispons għall-inċidenti tal-entitajiet pubbliċi u privati, tal-awtoritajiet u tal-korpi kompetenti nazzjonali kif ukoll tal-Unjoni kollha. Għalhekk huwa meħtieġ li l-istituzzjonijiet, il-korpi u l-aġenziji tal-Unjoni jagħmlu l-istess billi jiżguraw regoli li jkunu konsistenti mad-Direttiva [il-proposta NIS 2] u jirriflettu l-livell ta’ ambizzjoni tagħha.
(6)Sabiex jintlaħaq livell għoli komuni ta’ ċibersigurtà, huwa meħtieġ li kull istituzzjoni, korp u aġenzija tal-Unjoni tistabbilixxi qafas intern ta’ ġestjoni, governanza u kontroll tar-riskju taċ-ċibersigurtà li jiżgura ġestjoni effettiva u prudenti tar-riskji kollha taċ-ċibersigurtà, u li jqis il-kontinwità tal-operat u l-ġestjoni ta’ kriżijiet.
(7)Id-differenzi bejn l-istituzzjonijiet, il-korpi u l-aġenziji tal-Unjoni jirrikjedu flessibbiltà fl-implimentazzjoni, peress li soluzzjoni waħda ma tkunx ideali għal kollha. Il-miżuri għal livell għoli komuni ta’ ċibersigurtà ma għandhomx jinkludu xi obbligu li jinterferixxi direttament fl-eżerċizzju tal-missjonijiet tal-istituzzjonijiet, tal-korpi u tal-aġenziji tal-Unjoni jew li jindaħal fl-awtonomija istituzzjonali tagħhom. Għalhekk, dawn l-istituzzjonijiet, il-korpi u l-aġenziji jenħtieġ li jistabbilixxu l-oqfsa tagħhom stess għall-ġestjoni, għall-governanza u għall-kontroll tar-riskji taċ-ċibersigurtà, u jadottaw il-linji bażi u l-pjanijiet taċ-ċibersigurtà tagħhom stess.
(8)Sabiex tiġi evitata l-impożizzjoni ta’ piż finanzjarju u amministrattiv sproporzjonat fuq l-istituzzjonijiet, il-korpi u l-aġenziji tal-Unjoni, ir-rekwiżiti tal-ġestjoni tar-riskji taċ-ċibersigurtà għandhom ikunu proporzjonati għar-riskju ppreżentat min-network u s-sistema ta’ informazzjoni kkonċernata, filwaqt li jiġi kkunsidrat l-ogħla livell ta’ żvilupp tekniku ta’ dawn il-miżuri. Kull istituzzjoni, korp u aġenzija tal-Unjoni għandha timmira li talloka perċentwal adegwat tal-baġit tal-IT tagħha biex ittejjeb il-livell tagħha ta’ ċibersigurtà; fit-tul, jenħtieġ li tintlaħaq mira ta’ madwar 10 %.
(9)Livell għoli komuni ta’ ċibersigurtà jirrikjedi li ċ-ċibersigurtà tiġi sorveljata fl-ogħla livell ta’ maniġment ta’ kull istituzzjoni, korp u aġenzija tal-Unjoni, li għandhom japprovaw linja bażi taċ-ċibersigurtà li tindirizza r-riskji identifikati fil-qafas li għandu jiġi stabbilit minn kull istituzzjoni, korp u aġenzija. Parti integrali minn linja bażi taċ-ċibersigurtà fl-istituzzjonijiet, fil-korpi u fl-aġenziji kollha tal-Unjoni hija li tiġi indirizzata l-kultura taċ-ċibersigurtà, jiġifieri l-prattika ta’ kuljum taċ-ċibersigurtà.
(10)L-istituzzjonijiet, il-korpi u l-aġenziji tal-Unjoni għandhom jivvalutaw ir-riskji relatati mar-relazzjonijiet mal-fornituri u mal-fornituri tas-servizzi, inklużi l-fornituri ta’ servizzi ta’ ħżin u pproċessar ta’ data jew servizzi tas-sigurtà ġestiti, u jieħdu miżuri xierqa biex jindirizzawhom. Dawn il-miżuri għandhom jifformaw parti mil-linja bażi taċ-ċibersigurtà u jiġu speċifikati aktar fid-dokumenti ta’ gwida jew fir-rakkomandazzjonijiet maħruġa mis-CERT-UE. Meta jiġu definiti l-miżuri u l-linji gwida, għandhom jitqiesu kif xieraq il-leġiżlazzjoni u l-politiki tal-UE, inklużi l-valutazzjonijiet tar-riskju u r-rakkomandazzjonijiet maħruġa mill-Grupp ta’ Kooperazzjoni tal-NIS, bħall-valutazzjoni tar-riskju kkoordinata tal-UE u s-sett ta’ għodod tal-UE dwar iċ-ċibersigurtà tal-5G. Barra minn hekk, tista’ tkun meħtieġa ċertifikazzjoni ta’ prodotti, servizzi u proċessi tal-ICT rilevanti, fil-qafas ta’ skemi speċifiċi tal-UE taċ-ċertifikazzjoni taċ-ċibersigurtà adottati skont l-Artikolu 49 tar-Regolament (UE) 2019/881.
(11)F’Mejju 2011, is-Segretarji Ġenerali tal-istituzzjonijiet u l-korpi tal-Unjoni ddeċidew li jistabbilixxu skwadra ta’ prekonfigurazzjoni għal skwadra ta’ rispons f’emerġenza relatata mal-kompjuters għall-istituzzjonijiet, il-korpi u l-aġenziji tal-Unjoni (CERT-UE) sorveljata minn Bord ta’ Tmexxija interistituzzjonali. F’Lulju 2012, is-Segretarji Ġenerali kkonfermaw l-arranġamenti prattiċi u qablu li s-CERT-UE tinżamm bħala entità permanenti biex tkompli tgħin fit-titjib tal-livell ġenerali tas-sigurtà tat-teknoloġija tal-informazzjoni tal-istituzzjonijiet, tal-korpi u tal-aġenziji tal-Unjoni bħala eżempju ta’ kooperazzjoni interistituzzjonali viżibbli fiċ-ċibersigurtà. F’Settembru 2012, CERT-UE ġiet stabbilita bħala task force tal-Kummissjoni Ewropea b’mandat interistituzzjonali. F’Diċembru 2017, l-istituzzjonijiet u l-korpi tal-Unjoni kkonkludew arranġament interistituzzjonali dwar l-organizzazzjoni u l-operat tas-CERT-UE. Jenħtieġ li dan l-arranġament ikompli jevolvi insostenn tal-implimentazzjoni ta’ dan ir-Regolament.
(12)L-isem tas-CERT-UE għandu jinbidel minn “Skwadra ta’ Rispons f’Emerġenza relatata mal-Kompjuters” għal “Ċentru taċ-Ċibersigurtà” għall-istituzzjonijiet, għall-korpi u l-aġenziji tal-Unjoni, b’mod konformi mal-iżviluppi fl-Istati Membri u globalment, fejn ħafna CERTs qed jissemmew mill-ġdid bħala Ċentri taċ-Ċibersigurtà, imma għandha żżomm l-isem qasir “CERT-UE” minħabba r-rikonoxximent tal-isem.
(13)Ħafna attakki ċibernetiċi huma parti minn kampanji estensivi li jimmiraw fuq gruppi ta’ istituzzjonijiet, korpi u aġenziji tal-Unjoni jew komunitajiet ta’ interess li jinkludu istituzzjonijiet, korpi u aġenziji tal-Unjoni. Sabiex tkun possibbli d-detezzjoni proattiva, ir-rispons għal inċidenti jew miżuri ta’ mitigazzjoni, l-istituzzjonijiet, il-korpi u l-aġenziji tal-Unjoni għandhom jinnotifikaw lis-CERT-UE dwar theddid ċibernetiku, vulnerabbiltajiet sinifikanti u inċidenti sinifikanti u jaqsmu d-dettalji tekniċi xierqa li jippermettu d-detezzjoni jew il-mitigazzjoni ta’ theddid ċibernetiku, vulnerabbiltajiet u inċidenti simili f’istituzzjonijiet, korpi u aġenziji oħra tal-Unjoni, kif ukoll ir-rispons għalihom. Fuq il-bażi tal-istess approċċ bħal dak previst fid-Direttiva [il-proposta NIS 2], jekk l-entitajiet isiru jafu b’inċident sinifikanti, dawn għandhom ikunu meħtieġa jippreżentaw notifika inizjali lis-CERT-UE fi żmien 24 siegħa. Dan l-iskambju ta’ informazzjoni għandu jippermetti lis-CERT-UE taqsam l-informazzjoni ma’ istituzzjonijiet, korpi u aġenziji oħra tal-Unjoni, kif ukoll mal-kontropartijiet xierqa, biex l-ambjenti tal-IT tal-Unjoni u l-ambjenti tal-IT tal-kontropartijiet ikunu protetti kontra inċidenti, theddid u vulnerabbiltajiet simili.
(14)Minbarra li s-CERT-UE tingħata aktar kompiti u rwol estiż, għandu jiġi stabbilit Bord Interistituzzjonali taċ-Ċibersigurtà (IICB), li għandu jiffaċilita livell għoli komuni ta’ ċibersigurtà fost l-istituzzjonijiet, il-korpi u l-aġenziji tal-Unjoni billi jimmonitorja l-implimentazzjoni ta’ dan ir-Regolament mill-istituzzjonijiet, il-korpi u l-aġenziji tal-Unjoni u billi jissorvelja l-implimentazzjoni tal-prijoritajiet u l-objettivi ġenerali mis-CERT-UE u jipprovdi direzzjoni strateġika lis-CERT-UE. L-IICB għandu jiżgura r-rappreżentanza tal-istituzzjonijiet u jinkludi rappreżentanti ta’ aġenziji u korpi permezz tan-Network tal-Aġenziji tal-Unjoni.
(15)Is-CERT-UE għandha tappoġġa l-implimentazzjoni ta’ miżuri għal livell għoli komuni ta’ ċibersigurtà permezz ta’ proposti għal dokumenti ta’ gwida u rakkomandazzjonijiet lill-IICB jew billi toħroġ sejħiet għal azzjoni. Dawn id-dokumenti ta’ gwida u rakkomandazzjonijiet għandhom jiġu approvati mill-IICB. Meta jkun hemm bżonn, is-CERT-UE għandha toħroġ sejħiet għal azzjoni li tiddeskrivi miżuri ta’ sigurtà urġenti li l-istituzzjonijiet, il-korpi u l-aġenziji tal-Unjoni huma mħeġġa jieħdu f’perjodu ta’ żmien stabbilit.
(16)L-IICB għandu jimmonitorja l-konformità ma’ dan ir-Regolament, kif ukoll is-segwitu tad-dokumenti ta’ gwida u tar-rakkomandazzjonijiet, u tas-sejħiet għal azzjoni maħruġa mis-CERT-UE. Fi kwistjonijiet tekniċi, l-IICB għandu jingħata għajnuna minn gruppi konsultattivi tekniċi magħmula kif jidhirlu l-IICB, li għandhom jaħdmu mill-qrib mas-CERT-UE, mal-istituzzjonijiet, mal-korpi u mal-aġenziji tal-Unjoni u mal-partijiet ikkonċernati l-oħra kif meħtieġ. Fejn ikun meħtieġ, l-IICB għandu joħroġ twissijiet mhux vinkolanti u jirrakkomanda awditi.
(17)Is-CERT-UE għandu jkollha l-missjoni li tikkontribwixxi għas-sigurtà tal-ambjent tal-IT tal-istituzzjonijiet, tal-korpi u tal-aġenziji kollha tal-Unjoni. Is-CERT-UE għandha taġixxi bħala l-ekwivalenti tal-koordinatur deżinjat għall-istituzzjonijiet, għall-korpi u l-aġenziji tal-Unjoni, għall-finijiet tad-divulgazzjoni koordinata tal-vulnerabbiltajiet lir-reġistru Ewropew tal-vulnerabbiltajiet kif imsemmi fl-Artikolu 6 tad-Direttiva [il-proposta NIS 2].
(18)Fl-2020, il-Bord ta’ Tmexxija tas-CERT-UE stabbilixxa għan strateġiku ġdid għas-CERT-UE sabiex jiggarantixxi livell komprensiv ta’ difiża ċibernetika għall-istituzzjonijiet, għall-korpi u għall-aġenziji kollha tal-Unjoni b’wisa’ u profondità xierqa u adattament kontinwu għat-theddid attwali jew imminenti, inklużi attakki kontra apparati mobbli, ambjenti tal-cloud u apparati tal-internet tal-oġġetti. L-għan strateġiku jinkludi wkoll Ċentri tal-Operazzjonijiet tas-Sigurtà b’firxa wiesgħa (SOCs) li jimmonitorjaw in-networks, u monitoraġġ 24/7 għal theddid ta’ severità għolja. Għall-istituzzjonijiet, għall-korpi u l-aġenziji l-kbar tal-Unjoni, is-CERT-UE għandha tappoġġa l-iskwadri tas-sigurtà tal-IT tagħhom, inkluż b’monitoraġġ tal-ewwel linja 24/7. Fir-rigward ta’ istituzzjonijiet, korpi u aġenziji żgħar u ta’ daqs medju tal-Unjoni, is-CERT-UE għandha tipprovdi s-servizzi kollha.
(19)Is-CERT-UE għandha taqdi wkoll ir-rwol previst għaliha fid-Direttiva [il-proposta NIS 2] dwar il-kooperazzjoni u l-iskambju ta’ informazzjoni man-network ta’ skwadri ta’ rispons għal inċidenti relatati mas-sigurtà tal-kompjuters (computer security incident response teams, CSIRTs). Barra minn hekk, b’mod konformi mar-Rakkomandazzjoni tal-Kummissjoni (UE) 2017/1584, is-CERT-UE għandha tikkoopera u tikkoordina dwar ir-rispons mal-partijiet ikkonċernati rilevanti. Sabiex tikkontribwixxi għal livell għoli ta’ ċibersigurtà fl-Unjoni kollha, is-CERT-UE għandha taqsam informazzjoni speċifika għall-inċidenti mal-kontropartijiet nazzjonali. Is-CERT-UE jenħtieġ li tikkollabora wkoll ma’ kontropartijiet pubbliċi kif ukoll privati oħrajn, inkluż fin-NATO, soġġett għall-approvazzjoni minn qabel mill-IICB.
(20)Waqt li tappoġġa ċ-ċibersigurtà operattiva, is-CERT-UE għandha tuża l-għarfien espert disponibbli tal-Aġenzija tal-Unjoni Ewropea għaċ-Ċibersigurtà permezz ta’ kooperazzjoni strutturata kif previst fir-Regolament (UE) 2019/881 tal-Parlament Ewropew u tal-Kunsill. Fejn ikun xieraq, jenħtieġ li jiġu stabbiliti arranġamenti dedikati bejn iż-żewġ entitajiet sabiex tiġi ddefinita l-implimentazzjoni prattika ta’ kooperazzjoni bħal din u sabiex tkun evitata d-duplikazzjoni tal-attivitajiet. Jenħtieġ li s-CERT-UE tikkoopera mal-Aġenzija tal-Unjoni Ewropea għaċ-Ċibersigurtà dwar l-analiżi tat-theddid u taqsam ir-rapport tagħha dwar ix-xenarju tat-theddid mal-Aġenzija fuq bażi regolari.
(21)Insostenn taċ-Ċiberunità Konġunta mibnija f’konformità mar-Rakkomandazzjoni tal-Kummissjoni tat-23 ta’ Ġunju 2021, is-CERT-UE għandha tikkoopera u tiskambja informazzjoni mal-partijiet ikkonċernati biex titrawwem il-kooperazzjoni operattiva u biex in-networks eżistenti jkunu jistgħu jilħqu l-potenzjal sħiħ tagħhom fil-protezzjoni tal-Unjoni.
(22)Id-data personali kollha li tiġi pproċessata fil-qafas ta’ dan ir-Regolament għandha tiġi pproċessata f’konformità mal-leġiżlazzjoni tal-protezzjoni tad-data, inkluż ir-Regolament (UE) 2018/1725 tal-Parlament Ewropew u tal-Kunsill.
(23)It-trattament tal-informazzjoni mis-CERT-UE u mill-istituzzjonijiet, mill-korpi u mill-aġenziji tal-Unjoni għandu jkun konformi mar-regoli stabbiliti fir-Regolament [ir-Regolament propost dwar is-sigurtà tal-informazzjoni]. Sabiex tiġi żgurata l-koordinazzjoni dwar kwistjonijiet ta’ sigurtà, kull kuntatt mas-CERT-UE mibdi jew imfittex mis-servizzi tas-sigurtà u tal-intelligence nazzjonali għandu jiġi kkomunikat lid-Direttorat tas-Sigurtà tal-Kummissjoni u lill-president tal-IICB mingħajr dewmien żejjed.
(24)Peress li s-servizzi u l-kompiti tas-CERT-UE huma fl-interess tal-istituzzjonijiet, tal-korpi u l-aġenziji kollha tal-Unjoni, kull istituzzjoni, korp u aġenzija tal-Unjoni b’nefqa tal-IT għandha tikkontribwixxi sehem ġust għal dawk is-servizzi u l-kompiti. Dawn il-kontribuzzjonijiet huma mingħajr preġudizzju għall-awtonomija baġitarja tal-istituzzjonijiet, tal-korpi u l-aġenziji tal-Unjoni.
(25)L-IICB, bl-għajnuna tas-CERT-UE, għandu jirrieżamina u jevalwa l-implimentazzjoni ta’ dan ir-Regolament u għandu jirrapporta s-sejbiet tiegħu lill-Kummissjoni. Fuq il-bażi ta’ dan l-input, il-Kummissjoni għandha tirrapporta lill-Parlament Ewropew, lill-Kunsill, lill-Kumitat Ekonomiku u Soċjali Ewropew u lill-Kumitat tar-Reġjuni.
ADOTTAW DAN IR-REGOLAMENT:
Kapitolu I
DISPOŻIZZJONIJIET ĠENERALI
Artikolu 1
Suġġett
Dan ir-Regolament jistipula:
(a)obbligi fuq l-istituzzjonijiet, il-korpi u l-aġenziji tal-Unjoni biex jistabbilixxu qafas intern ta’ ġestjoni, governanza u kontroll tar-riskji taċ-ċibersigurtà;
(b)obbligi ta’ ġestjoni u ta’ rapportar tar-riskji taċ-ċibersigurtà għall-istituzzjonijiet, għall-korpi u għall-aġenziji tal-Unjoni;
(c)regoli dwar l-organizzazzjoni u l-operat taċ-Ċentru taċ-Ċibersigurtà għall-istituzzjonijiet, għall-korpi u għall-aġenziji tal-Unjoni (CERT-UE) u dwar l-organizzazzjoni u l-operat tal-Bord Interistituzzjonali taċ-Ċibersigurtà.
Artikolu 2
Ambitu
Dan ir-Regolament japplika għall-ġestjoni, għall-governanza u għall-kontroll tar-riskji taċ-ċibersigurtà mill-istituzzjonijiet, mill-korpi u mill-aġenziji kollha tal-Unjoni u għall-organizzazzjoni u għall-operat tas-CERT-UE u tal-Bord Interistituzzjonali taċ-Ċibersigurtà.
Artikolu 3
Definizzjonijiet
Għall-iskop ta’ dan ir-Regolament, japplikaw id-definizzjonijiet li ġejjin:
(1)“istituzzjonijiet, korpi u aġenziji tal-Unjoni” tfisser l-istituzzjonijiet, il-korpi u l-aġenziji tal-Unjoni stabbiliti mit-Trattat dwar l-Unjoni Ewropea, mit-Trattat dwar il-Funzjonament tal-Unjoni Ewropea jew mit-Trattat li jistabbilixxi l-Komunità Ewropea dwar l-Enerġija Atomika, jew fuq il-bażi tagħhom;
(2)“network u sistema ta’ informazzjoni” tfisser network u sistema ta’ informazzjoni skont it-tifsira tal-Artikolu 4(1) tad-Direttiva [Proposta NIS 2];
(3)“sigurtà tan-network u tas-sistemi ta’ informazzjoni” tfisser is-sigurtà tan-network u tas-sistemi ta’ informazzjoni skont it-tifsira tal-Artikolu 4(2) tad-Direttiva [Proposta NIS 2];
(4)“ċibersigurtà” tfisser iċ-ċibersigurtà skont it-tifsira tal-Artikolu 4(3) tad-Direttiva [Proposta NIS 2];
(5)“l-ogħla livell ta’ maniġment” tfisser maniġer, maniġment jew korp ta’ koordinazzjoni u sorveljanza fl-aktar livell amministrattiv għoli, filwaqt li jitqiesu l-arranġamenti ta’ governanza ta’ livell għoli f’kull istituzzjoni, korp jew aġenzija tal-Unjoni;
(6)“inċident” tfisser inċident skont it-tifsira tal-Artikolu 4(5) tad-Direttiva [Proposta NIS 2];
(7)“inċident sinifikanti” tfisser kwalunkwe inċident sakemm ma jkollux impatt limitat u x’aktarx li jkun diġà mifhum sew f’termini ta’ metodu jew teknoloġija;
(8)“attakk kbir” tfisser kwalunkwe inċident li jeħtieġ aktar riżorsi milli jkunu disponibbli fl-istituzzjoni, fil-korp jew fl-aġenzija tal-Unjoni affettwata u fis-CERT-UE;
(9)“indirizzar ta’ inċident” tfisser indirizzar ta’ inċident skont it-tifsira tal-Artikolu 4(6) tad-Direttiva [Proposta NIS 2];
(10)“theddida ċibernetika” tfisser theddida ċibernetika skont it-tifsira tal-Artikolu 2(8) tar-Regolament (UE) 2019/881;
(11)“theddid ċibernetiku sinifikanti” tfisser theddid ċibernetiku bl-intenzjoni, bl-opportunità u bil-kapaċità li jikkawża inċident sinifikanti;
(12)“vulnerabbiltà” tfisser vulnerabbiltà skont it-tifsira tal-Artikolu 4(8) tad-Direttiva [Proposta NIS 2];
(13)“vulnerabbiltà sinifikanti” tfisser vulnerabbiltà li x’aktarx twassal għal inċident sinifikanti jekk tiġi sfruttata;
(14)“riskju taċ-ċibersigurtà” tfisser kwalunkwe ċirkostanza jew avveniment raġonevolment identifikabbli li jista’ jkollu effett negattiv fuq is-sigurtà tan-network u s-sistemi ta’ informazzjoni;
(15)“Ċiberunità Konġunta” tfisser pjattaforma virtwali u fiżika għall-kooperazzjoni tal-komunitajiet differenti taċ-ċibersigurtà fl-Unjoni, b’enfasi fuq il-koordinazzjoni operazzjonali u teknika kontra t-theddid u l-inċidenti ċibernetiċi transfruntieri ewlenin skont it-tifsira tar-Rakkomandazzjoni tal-Kummissjoni tat-23 ta’ Ġunju 2021;
(16)“il-linja bażi taċ-ċibersigurtà” tfisser ġabra ta’ regoli minimi taċ-ċibersigurtà li n-networks u s-sistemi ta’ informazzjoni, kif ukoll l-operaturi u l-utenti tagħhom, iridu jkunu konformi magħhom, biex jiġu minimizzati r-riskji taċ-ċibersigurtà.
Kapitolu II
MIŻURI GĦAL LIVELL KOMUNI GĦOLI TA’ ĊIBERSIGURTÀ
Artikolu 4
Il-ġestjoni, il-governanza u l-kontroll tar-riskju
1.Kull istituzzjoni, korp u aġenzija tal-Unjoni għandha tistabbilixxi l-qafas intern tagħha stess għall-ġestjoni, għall-governanza u għall-kontroll tar-riskji taċ-ċibersigurtà (“il-qafas”) insostenn tal-missjoni tal-entità u fl-eżerċitar tal-awtonomija istituzzjonali tagħha. Din il-ħidma għandha tkun sorveljata mill-ogħla livell ta’ maniġment tal-entità biex tkun żgurata ġestjoni effettiva u prudenti tar-riskji kollha taċ-ċibersigurtà. Il-qafas għandu jkun fis-seħħ sa mhux aktar tard minn .... [15-il xahar wara d-dħul fis-seħħ ta’ dan ir-Regolament].
2.Il-qafas għandu jkopri l-ambjent tal-IT kollu tal-istituzzjoni, tal-korp jew tal-aġenzija kkonċernata, inkluż kwalunkwe ambjent tal-IT fuq il-post, assijiet u servizzi esternalizzati f’ambjenti tal-cloud jew ospitati minn partijiet terzi, apparati mobbli, networks korporattivi, networks tan-negozju mhux konnessi mal-internet u kwalunkwe apparat konness mal-ambjent tal-IT. Il-qafas għandu jqis il-kontinwità tal-operat u l-ġestjoni ta’ kriżijiet u għandu jqis is-sigurtà tal-katina tal-provvista kif ukoll il-ġestjoni tar-riskji umani li jista’ jkollhom impatt fuq iċ-ċibersigurtà tal-istituzzjoni, tal-korp jew tal-aġenzija kkonċernata tal-Unjoni.
3.L-ogħla livell ta’ maniġment ta’ kull istituzzjoni, korp u aġenzija tal-Unjoni għandu jipprovdi sorveljanza fuq il-konformità tal-organizzazzjoni mal-obbligi relatati mal-ġestjoni, mal-governanza u mal-kontroll tar-riskji taċ-ċibersigurtà, bla ħsara għar-responsabbiltajiet formali ta’ livelli oħra tal-maniġment fir-rigward tal-konformità u tal-ġestjoni tar-riskju fl-oqsma rispettivi tagħhom ta’ responsabbiltà.
4.Kull istituzzjoni, korp u aġenzija tal-Unjoni għandu jkollha mekkaniżmi effettivi fis-seħħ biex jiżguraw li perċentwal adegwat tal-baġit tal-IT jintefaq fuq iċ-ċibersigurtà.
5.Kull istituzzjoni, korp u aġenzija tal-Unjoni għandha taħtar Uffiċjal Lokali taċ-Ċibersigurtà jew funzjoni ekwivalenti, li għandu jaġixxi bħala l-punt uniku ta’ kuntatt tagħha fir-rigward tal-aspetti kollha taċ-ċibersigurtà.
Artikolu 5
Linja bażi taċ-ċibersigurtà
1.L-ogħla livell ta’ maniġment ta’ kull istituzzjoni, korp u aġenzija tal-Unjoni għandu japprova l-linja bażi taċ-ċibersigurtà tal-entità stess biex jiġu indirizzati r-riskji identifikati fil-qafas imsemmi fl-Artikolu 4(1). Huwa għandu jagħmel dan insostenn tal-missjoni tiegħu u fl-eżerċitar tal-awtonomija istituzzjonali tiegħu. Il-linja bażi taċ-ċibersigurtà għandha tkun fis-seħħ sa .... mhux aktar tard minn [18-il xahar wara d-dħul fis-seħħ ta’ dan ir-Regolament] u għandha tindirizza l-oqsma elenkati fl-Anness I u l-miżuri elenkati fl-Anness II.
2.Il-maniġment superjuri ta’ kull istituzzjoni, korp u aġenzija tal-Unjoni għandu jsegwi taħriġ speċifiku fuq bażi regolari biex jikseb għarfien u ħiliet suffiċjenti sabiex jifhem u jivvaluta r-riskji taċ-ċibersigurtà u l-prattiki ta’ ġestjoni u l-impatt tagħhom fuq l-operazzjonijiet tal-organizzazzjoni.
Artikolu 6
Valutazzjonijiet tal-maturità
Kull istituzzjoni, korp u aġenzija tal-Unjoni għandha twettaq valutazzjoni tal-maturità taċ-ċibersigurtà mill-inqas kull tliet snin, li tinkorpora l-elementi kollha tal-ambjent tal-IT kif deskritt fl-Artikolu 4, b’kont meħud tad-dokumenti ta’ gwida u r-rakkomandazzjonijiet rilevanti adottati f’konformità mal-Artikolu 13.
Artikolu 7
Pjanijiet taċ-ċibersigurtà
1.Fuq il-bażi tal-konklużjonijiet derivati mill-valutazzjoni tal-maturità u waqt li jitqiesu l-assijiet u r-riskji identifikati skont l-Artikolu 4, l-ogħla livell ta’ maniġment ta’ kull istituzzjoni, korp u aġenzija tal-Unjoni għandu japprova pjan taċ-ċibersigurtà mingħajr dewmien żejjed wara l-istabbiliment tal-qafas tal-ġestjoni, tal-governanza u tal-kontroll tar-riskji u l-linja bażi taċ-ċibersigurtà. Il-pjan għandu jkollu l-għan li jżid iċ-ċibersigurtà kumplessiva tal-entità kkonċernata u b’hekk għandu jikkontribwixxi għall-kisba jew it-titjib ta’ livell għoli komuni ta’ ċibersigurtà fost l-istituzzjonijiet, il-korpi u l-aġenziji kollha tal-Unjoni. Insostenn tal-missjoni tal-entità fuq il-bażi tal-awtonomija istituzzjonali tagħha, il-pjan għandu mill-inqas jinkludi l-oqsma elenkati fl-Anness I, il-miżuri elenkati fl-Anness II, kif ukoll miżuri relatati mat-tħejjija, mar-rispons u l-irkupru tal-inċidenti, bħall-monitoraġġ tas-sigurtà u r-reġistrazzjoni. Il-pjan għandu jiġi rrivedut tal-anqas kull tliet snin, wara l-valutazzjonijiet tal-maturità mwettqa skont l-Artikolu 6.
2.Il-pjan taċ-ċibersigurtà għandu jinkludi r-rwoli u r-responsabbiltajiet tal-membri tal-persunal għall-implimentazzjoni.
3.Il-pjan taċ-ċibersigurtà għandu jikkunsidra kwalunkwe dokument ta’ gwida u rakkomandazzjoni applikabbli maħruġa mis-CERT-UE.
Artikolu 8
Implimentazzjoni
1.Wara t-tlestija tal-valutazzjonijiet tal-maturità, l-istituzzjonijiet, il-korpi u l-aġenziji tal-Unjoni għandhom jippreżentawhom lill-Bord Interistituzzjonali taċ-Ċibersigurtà. Wara t-tlestija tal-pjanijiet ta’ sigurtà, l-istituzzjonijiet, il-korpi u l-aġenziji tal-Unjoni għandhom jinnotifikaw lill-Bord Interistituzzjonali taċ-Ċibersigurtà bit-tlestija. Wara talba tal-Bord, dawn għandhom jirrapportaw dwar aspetti speċifiċi ta’ dan il-Kapitolu.
2.Id-dokumenti ta’ gwida u r-rakkomandazzjonijiet, maħruġa f’konformità mal-Artikolu 13, għandhom jappoġġaw l-implimentazzjoni tad-dispożizzjonijiet stipulati f’dan il-Kapitolu.
Kapitolu III
BORD INTERISTITUZZJONALI TAĊ-ĊIBERSIGURTÀ
Artikolu 9
Bord Interistituzzjonali taċ-Ċibersigurtà
1.Qed jiġi stabbilit Bord Interistituzzjonali taċ-Ċibersigurtà (IICB).
2.L-IICB għandu jkun responsabbli għal:
(a)il-monitoraġġ tal-implimentazzjoni ta’ dan ir-Regolament mill-istituzzjonijiet, mill-korpi u mill-aġenziji tal-Unjoni;
(b)superviżjoni tal-implimentazzjoni tal-prijoritajiet u l-objettivi ġenerali mis-CERT-UE u l-għoti ta’ direzzjoni strateġika lis-CERT-UE.
3.L-IICB għandu jikkonsisti minn tliet rappreżentanti nnominati min-Network tal-Aġenziji tal-Unjoni (EUAN) fuq proposta tal-Kumitat Konsultattiv tal-ICT tiegħu sabiex jirrappreżentaw l-interessi tal-aġenziji u tal-korpi li jmexxu l-ambjent tal-IT tagħhom stess u rappreżentant wieħed maħtur minn kull wieħed minn dawn li ġejjin:
(a)il-Parlament Ewropew;
(b)il-Kunsill tal-Unjoni Ewropea;
(c)il-Kummissjoni Ewropea;
(d)il-Qorti tal-Ġustizzja tal-Unjoni Ewropea;
(e)il-Bank Ċentrali Ewropew;
(f)il-Qorti Ewropea tal-Awdituri;
(g)is-Servizz Ewropew għall-Azzjoni Esterna;
(h)il-Kumitat Ekonomiku u Soċjali Ewropew;
(i)il-Kumitat Ewropew tar-Reġjuni;
(j)il-Bank Ewropew tal-Investiment;
(k)l-Aġenzija tal-Unjoni Ewropea għaċ-Ċibersigurtà.
Il-membri jistgħu jiġu megħjuna minn sostitut. Rappreżentanti oħra tal-organizzazzjonijiet elenkati hawn fuq jew ta’ istituzzjonijiet, korpi u aġenziji oħra tal-Unjoni jistgħu jiġu mistiedna mill-president biex jattendu laqgħat tal-IICB mingħajr id-dritt tal-vot.
4.L-IICB għandu jadotta r-regoli ta’ proċedura interni tiegħu.
5.L-IICB għandu jaħtar president, f’konformità mar-regoli ta’ proċedura interni tiegħu, minn fost il-membri tiegħu għal perjodu ta’ erba’ snin. Is-sostitut tiegħu jew tagħha għandu jsir membru sħiħ tal-IICB għall-istess durata.
6.L-IICB għandu jiltaqa’ fuq inizjattiva tal-President tiegħu, fuq talba tas-CERT-UE jew fuq talba ta’ xi wieħed mill-membri tiegħu.
7.Kull membru tal-IICB għandu jkollu vot wieħed. Id-deċiżjonijiet tal-IICB għandhom jittieħdu b’maġġoranza sempliċi ħlief fejn previst mod ieħor f’dan ir-Regolament. Il-President ma għandux jivvota ħlief fil-każ ta’ voti ndaqs fejn huwa jew hija jista’ jitfa’ vot ta’ deċiżjoni.
8.L-IICB jista’ jaġixxi permezz ta’ proċedura bil-miktub simplifikata mibdija skont ir-regoli ta’ proċedura interni tal-IICB. Fil-qafas ta’ dik il-proċedura, id-deċiżjoni rilevanti għandha titqies approvata fil-perjodu ta’ żmien stabbilit mill-president, ħlief fejn membru joġġezzjona.
9.Il-Kap tas-CERT-UE, jew is-sostitut tiegħu jew tagħha, għandu jipparteċipa fil-laqgħat tal-IICB ħlief fejn jiġi deċiż mod ieħor mill-IICB.
10.Is-Segretarjat tal-IICB għandu jiġi pprovdut mill-Kummissjoni.
11.Ir-rappreżentanti nnominati mill-EUAN fuq proposta tal-Kumitat Konsultattiv tal-ICT għandhom jgħaddu d-deċiżjonijiet tal-IICB lill-aġenziji u lill-impriżi konġunti tal-Unjoni. Kull aġenzija u korp tal-Unjoni għandu jkun intitolat li jqajjem kwalunkwe kwistjoni li jqis li jenħtieġ li tiġi indirizzata mill-IICB mar-rappreżentanti jew il-president tal-IICB.
12.L-IICB jista’ jaġixxi permezz ta’ proċedura bil-miktub simplifikata mibdija mill-president li taħtha d-deċiżjoni rilevanti għandha titqies approvata fil-perjodu ta’ żmien stabbilit mill-president, ħlief fejn membru joġġezzjona.
13.L-IICB jista’ jinnomina Kumitat Eżekuttiv biex jassistih fil-ħidma tiegħu, u jiddelegalu xi wħud mill-kompiti u s-setgħat. L-IICB għandu jistabbilixxi r-regoli ta’ proċedura tal-Kumitat Eżekuttiv, inklużi l-kompiti u s-setgħat tiegħu, u l-mandati tal-membri tiegħu.
Artikolu 10
Kompiti tal-IICB
Meta jeżerċita r-responsabbiltajiet tiegħu, l-IICB għandu b’mod partikolari:
(a)jirrieżamina kwalunkwe rapport mitlub mis-CERT-UE dwar l-istat ta’ implimentazzjoni ta’ dan ir-Regolament mill-istituzzjonijiet, mill-korpi u l-aġenziji tal-Unjoni;
(b)japprova, abbażi ta’ proposta mill-Kap tas-CERT-UE, il-programm ta’ ħidma annwali għas-CERT-UE u jimmonitorja l-implimentazzjoni tiegħu;
(c)japprova, abbażi ta’ proposta mill-Kap tas-CERT-UE, il-katalgu tas-servizzi tas-CERT-UE;
(d)japprova, abbażi ta’ proposta ppreżentata mill-Kap tas-CERT-UE, l-ippjanar finanzjarju annwali tad-dħul u tan-nefqa, inkluż tal-persunal, għall-attivitajiet tas-CERT-UE;
(e)japprova, abbażi ta’ proposta mill-Kap tas-CERT-UE, il-modalitajiet għall-ftehimiet dwar il-livell ta’ servizz;
(f)jeżamina u japprova r-rapport annwali mfassal mill-Kap tas-CERT-UE li jkopri l-attivitajiet tas-CERT-UE u l-ġestjoni tal-fondi mis-CERT-UE;
(g)japprova u jimmonitorja indikaturi ewlenin tal-prestazzjoni għas-CERT-UE definiti fuq proposta mill-Kap tas-CERT-UE;
(h)japprova l-arranġamenti ta’ kooperazzjoni, il-ftehimiet dwar il-livell ta’ servizz jew il-kuntratti bejn is-CERT-UE u entitajiet oħrajn skont l-Artikolu 17;
(i)jistabbilixxi kemm hemm bżonn gruppi konsultattivi tekniċi sabiex jassistu l-ħidma tal-IICB, japprova t-termini ta’ referenza tagħhom u jaħtar il-presidenti rispettivi tagħhom.
Artikolu 11
Konformità
L-IICB għandu jimmonitorja l-implimentazzjoni ta’ dan ir-Regolament u tad-dokumenti ta’ gwida, tar-rakkomandazzjonijiet u sejħiet għal azzjoni adottati mill-istituzzjonijiet, mill-korpi u mill-aġenziji tal-Unjoni. Jekk l-IICB jikkonstata li l-istituzzjonijiet, il-korpi jew l-aġenziji tal-Unjoni ma applikawx jew ma implimentawx effettivament dan ir-Regolament jew id-dokumenti ta’ gwida, rakkomandazzjonijiet u sejħiet għal azzjoni maħruġa skont dan ir-Regolament, hu jista’, mingħajr preġudizzju għall-proċeduri interni tal-istituzzjonijiet, tal-korpi jew tal-aġenziji rilevanti tal-Unjoni:
(a)joħroġ twissija; fejn meħtieġ fid-dawl ta’ riskju ċibernetiku konvinċenti, l-udjenza tat-twissija għandha tiġi ristretta b’mod xieraq;
(b)jirrakkomanda servizz tal-awditjar rilevanti biex iwettaq awditu.
Kapitolu IV
CERT-UE
Artikolu 12
Missjoni u kompiti tas-CERT-UE
1.Il-missjoni tas-CERT-UE, iċ-Ċentru Interistituzzjonali taċ-Ċibersigurtà awtonomu għall-istituzzjonijiet, għall-korpi u għall-aġenziji kollha tal-Unjoni, għandha tkun li tikkontribwixxi għas-sigurtà tal-ambjent tal-IT mhux klassifikat tal-istituzzjonijiet, tal-korpi u tal-aġenziji kollha tal-Unjoni billi tagħtihom pariri dwar iċ-ċibersigurtà, billi tgħinhom fil-prevenzjoni, fl-identifikazzjoni, fil-mitigazzjoni u fir-rispons għall-inċidenti u billi taġixxi bħala ċ-ċentru ta’ koordinazzjoni tal-iskambju tal-informazzjoni u tar-rispons għall-inċidenti taċ-ċibersigurtà.
2.Is-CERT-UE għandha twettaq il-kompiti li ġejjin għall-istituzzjonijiet, għall-korpi u l-aġenziji tal-Unjoni:
(a)tgħinhom fl-implimentazzjoni ta’ dan ir-Regolament u tikkontribwixxi għall-koordinazzjoni tal-applikazzjoni ta’ dan ir-Regolament permezz tal-miżuri elenkati fl-Artikolu 13(1) jew permezz ta’ rapporti ad hoc mitluba mill-IICB;
(b)tgħinhom b’pakkett ta’ servizzi taċ-ċibersigurtà deskritti fil-katalgu tas-servizzi tagħha (“servizzi tal-linja bażi”);
(c)iżżomm network ta’ pari u sħab sabiex jappoġġaw is-servizzi kif deskritti fl-Artikoli 16 u 17;
(d)tiġbed l-attenzjoni tal-IICB għal kwalunkwe kwistjoni relatata mal-implimentazzjoni ta’ dan ir-Regolament u mal-implimentazzjoni tad-dokumenti ta’ gwida, tar-rakkomandazzjonijiet u sejħiet għal azzjoni;
(e)tirrapporta dwar it-theddid ċibernetiku li jiffaċċjaw l-istituzzjonijiet, il-korpi u l-aġenziji tal-Unjoni u tikkontribwixxi għall-għarfien tas-sitwazzjoni ċibernetika tal-UE.
3.Is-CERT-UE għandha tikkontribwixxi għaċ-Ċiberunità Konġunta, imwaqqfa f’konformità mar-Rakkomandazzjoni tal-Kummissjoni tat-23 ta’ Ġunju 2021, inkluż fl-oqsma li ġejjin:
(a)it-tħejjija, il-koordinazzjoni tal-inċidenti, l-iskambju ta’ informazzjoni u r-rispons għall-kriżijiet fil-livell tekniku dwar każijiet marbuta mal-istituzzjonijiet, mal-korpi u mal-aġenziji tal-Unjoni;
(b)il-kooperazzjoni operattiva rigward in-network ta’ skwadri ta’ rispons għal inċidenti relatati mas-sigurtà tal-kompjuters (CSIRTs), inkluż dwar l-assistenza reċiproka, u l-komunità usa’ taċ-ċibersigurtà;
(c)intelligence dwar it-theddid ċibernetiku, inkluż l-għarfien tas-sitwazzjoni;
(d)dwar kwalunkwe suġġett li jeħtieġ l-għarfien espert tekniku dwar iċ-ċibersigurtà tas-CERT-UE.
4.Is-CERT-UE għandha tinvolvi ruħha f’kooperazzjoni strutturata mal-Aġenzija tal-Unjoni Ewropea għaċ-Ċibersigurtà dwar il-bini tal-kapaċitajiet, il-kooperazzjoni operattiva u l-analiżi strateġika fit-tul tat-theddid ċibernetiku f’konformità mar-Regolament (UE) 2019/881 tal-Parlament Ewropew u tal-Kunsill.
5.Is-CERT-UE tista’ tipprovdi s-servizzi li ġejjin mhux deskritti fil-katalgu tas-servizzi tagħha (“servizzi bi ħlas”):
(a)servizzi li jappoġġaw iċ-ċibersigurtà tal-ambjent tal-IT tal-istituzzjonijiet, tal-korpi u tal-aġenziji tal-Unjoni, għajr dawk imsemmija fil-paragrafu 2, fuq il-bażi tal-ftehimiet dwar il-livell ta’ servizz u skont ir-riżorsi disponibbli;
(b)servizzi li jappoġġaw operazzjonijiet jew proġetti taċ-ċibersigurtà ta’ istituzzjonijiet, korpi u aġenziji tal-Unjoni, għajr dawk li jipproteġu l-ambjent tal-IT tagħhom, fuq il-bażi ta’ ftehimiet bil-miktub u bl-approvazzjoni minn qabel tal-IICB;
(c)servizzi li jappoġġaw is-sigurtà tal-ambjent tal-IT ta’ organizzazzjonijiet għajr l-istituzzjonijiet, il-korpi u l-aġenziji tal-Unjoni li jikkooperaw mill-qrib mal-istituzzjonijiet, mal-korpi u mal-aġenziji tal-Unjoni, pereżempju bl-assenjar ta’ kompiti jew responsabbiltajiet skont il-liġi tal-Unjoni, fuq il-bażi ta’ ftehimiet bil-miktub u bl-approvazzjoni minn qabel tal-IICB.
6.Is-CERT-UE tista’ torganizza eżerċizzji taċ-ċibersigurtà jew tirrakkomanda l-parteċipazzjoni f’eżerċizzji eżistenti, f’kooperazzjoni mill-qrib mal-Aġenzija tal-Unjoni Ewropea għaċ-Ċibersigurtà meta jkun applikabbli, biex tittestja l-livell ta’ ċibersigurtà tal-istituzzjonijiet, tal-korpi u tal-aġenziji tal-Unjoni.
7.Is-CERT-UE tista’ tipprovdi assistenza lill-istituzzjonijiet, lill-korpi u lill-aġenziji tal-Unjoni rigward inċidenti f’ambjenti tal-IT ikklassifikati jekk tkun espliċitament mitluba tagħmel dan mill-kostitwent ikkonċernat.
Artikolu 13
Dokumenti ta’ gwida, rakkomandazzjonijiet u sejħiet għal azzjoni
1.Is-CERT-UE għandha tappoġġa l-implimentazzjoni ta’ dan ir-Regolament billi toħroġ:
(a)sejħiet għal azzjoni li jiddeskrivu miżuri ta’ sigurtà urġenti li l-istituzzjonijiet, il-korpi u l-aġenziji tal-Unjoni huma mħeġġa jieħdu f’perjodu ta’ żmien stabbilit;
(b)proposti lill-IICB għal dokumenti ta’ gwida indirizzati lill-istituzzjonijiet, lill-korpi u lill-aġenziji kollha tal-Unjoni jew lil subsett tagħhom;
(c)proposti lill-IICB għal rakkomandazzjonijiet indirizzati lil istituzzjonijiet, korpi u aġenziji individwali tal-Unjoni.
2.Id-dokumenti ta’ gwida u r-rakkomandazzjonijiet jistgħu jinkludu:
(a)modalitajiet għall-ġestjoni tar-riskju taċ-ċibersigurtà jew it-titjib tagħha u l-linja bażi taċ-ċibersigurtà;
(b)modalitajiet għall-valutazzjonijiet tal-maturità u l-pjanijiet taċ-ċibersigurtà; u
(c)fejn xieraq, l-użu ta’ teknoloġija komuni, arkitettura u l-aħjar prattiki assoċjati bil-għan li jinkisbu l-interoperabbiltà u l-istandards komuni fis-sens tal-Artikolu 4(10) tad-Direttiva [Proposta NIS 2].
3.L-IICB jista’ jadotta dokumenti ta’ gwida jew rakkomandazzjonijiet wara proposta mis-CERT-UE.
4.L-IICB jista’ jagħti struzzjonijiet lis-CERT-UE biex toħroġ, tirtira jew timmodifika proposta għal dokumenti ta’ gwida jew rakkomandazzjonijiet, jew sejħa għal azzjoni.
Artikolu 14
Il-Kap tas-CERT-UE
Il-Kap tas-CERT-UE għandu jissottometti regolarment rapporti lill-IICB u lill-President tal-IICB dwar il-prestazzjoni tas-CERT-UE, l-ippjanar finanzjarju, id-dħul, l-implimentazzjoni tal-baġit, il-ftehimiet dwar il-livell ta’ servizz u l-ftehimiet bil-miktub konklużi, il-kooperazzjoni mal-kontropartijiet u s-sħab, u l-missjonijiet imwettqa mill-persunal, inklużi r-rapporti msemmija fl-Artikolu 10(1).
Artikolu 15
Kwistjonijiet finanzjarji u ta’ persunal
1.Il-Kummissjoni, wara li tkun kisbet l-approvazzjoni unanima tal-IICB, għandha taħtar il-Kap tas-CERT-UE. L-IICB għandu jiġi kkonsultat fl-istadji kollha tal-proċedura qabel il-ħatra tal-Kap tas-CERT-UE, b’mod partikolari fl-abbozzar ta’ avviżi dwar postijiet vakanti, fl-eżami ta’ applikazzjonijiet u fil-ħatra ta’ bordijiet tal-għażla fir-rigward ta’ din il-kariga.
2.Għall-applikazzjoni tal-proċeduri amministrattivi u finanzjarji, il-Kap tas-CERT-UE għandu jaġixxi skont l-awtorità tal-Kummissjoni.
3.Il-kompiti u l-attivitajiet tas-CERT-UE, inklużi s-servizzi pprovduti mis-CERT-UE skont l-Artikolu 12(2), (3), (4), (6) u l-Artikolu 13(1) lill-istituzzjonijiet, lill-korpi u lill-aġenziji tal-Unjoni, iffinanzjati mill-intestatura tal-qafas finanzjarju pluriennali ddedikata għall-amministrazzjoni pubblika Ewropea, għandhom jiġu ffinanzjati permezz ta’ linja baġitarja distinta tal-baġit tal-Kummissjoni. Il-karigi assenjati lis-CERT-UE għandhom jiġu spjegati f’nota f’qiegħ il-paġna għall-pjan ta’ stabbiliment tal-Kummissjoni.
4.L-istituzzjonijiet, il-korpi u l-aġenziji tal-Unjoni, għajr dawk imsemmija fil-paragrafu 3, għandhom jagħmlu kontribuzzjoni finanzjarja annwali lis-CERT-UE biex ikopru s-servizzi pprovduti mis-CERT-UE skont dak il-paragrafu 3. Il-kontribuzzjonijiet rispettivi għandhom ikunu bbażati fuq l-orjentazzjonijiet mogħtija mill-IICB u miftiehma bejn kull entità u s-CERT-UE fi ftehimiet dwar il-livell ta’ servizz. Il-kontribuzzjonijiet għandhom jirrappreżentaw sehem ġust u proporzjonat tal-kostijiet totali tas-servizzi pprovduti. Dawn għandhom jiġu riċevuti mil-linja baġitarja distinta msemmija fil-paragrafu 3 bħala dħul assenjat kif previst fl-Artikolu 21(3)(c) tar-Regolament (UE, Euratom) 2018/1046 tal-Parlament Ewropew u tal-Kunsill.
5.Il-kostijiet tal-kompiti definiti fl-Artikolu 12(5) għandhom jiġu rkuprati mill-istituzzjonijiet, mill-korpi u mill-aġenziji tal-Unjoni li jirċievu s-servizzi tas-CERT-UE. Id-dħul għandu jiġi assenjat għal-linji baġitarji li jappoġġaw il-kostijiet.
Artikolu 16
Kooperazzjoni tas-CERT-UE mal-kontropartijiet tal-Istati Membri
1.Is-CERT-UE għandha tikkoopera u tiskambja informazzjoni mal-kontropartijiet nazzjonali fl-Istati Membri, inklużi s-CERTs, iċ-Ċentri Nazzjonali taċ-Ċibersigurtà, is-CSIRTs, u l-punti uniċi ta’ kuntatt imsemmija fl-Artikolu 8 tad-Direttiva [Proposta NIS 2], dwar theddid ċibernetiku, vulnerabbiltajiet u inċidenti, dwar kontromiżuri possibbli u dwar il-kwistjonijiet kollha rilevanti għat-titjib tal-protezzjoni tal-ambjenti tal-IT tal-istituzzjonijiet, tal-korpi u tal-aġenziji tal-Unjoni, inkluż permezz tan-network ta’ CSIRTs imsemmi fl-Artikolu 13 tad-Direttiva [Proposta NIS 2].
2.Is-CERT-UE jista’ jiskambja informazzjoni speċifika għall-inċidenti mal-kontropartijiet nazzjonali fl-Istati Membri għall-faċilitazzjoni tad-detezzjoni ta’ theddid ċibernetiku jew inċidenti simili mingħajr il-kunsens tal-kostitwent affettwat. Is-CERT-UE tista’ tiskambja biss informazzjoni speċifika għall-inċidenti li tiżvela l-identità tal-mira tal-inċident taċ-ċibersigurtà bil-kunsens tal-kostitwent affettwat.
Artikolu 17
Kooperazzjoni tas-CERT-UE mal-kontropartijiet mhux tal-Istati Membri
1.Is-CERT-UE tista’ tikkoopera ma’ kontropartijiet li mhumiex Stati Membri, inklużi kontropartijiet speċifiċi għas-settur, dwar għodod u metodi, bħal tekniki, tattiki, proċeduri u l-aħjar prattiki, u dwar it-theddid ċibernetiku u l-vulnerabbiltajiet. Għall-kooperazzjoni kollha ma’ tali kontropartijiet, inkluż f’oqfsa fejn kontropartijiet mhux tal-UE jikkooperaw mal-kontropartijiet nazzjonali tal-Istati Membri, is-CERT-UE għandha tfittex approvazzjoni minn qabel mill-IICB.
2.Is-CERT-UE tista’ tikkoopera ma’ sħab oħrajn, bħal entitajiet kummerċjali, organizzazzjonijiet internazzjonali, entitajiet nazzjonali mhux tal-Unjoni Ewropea jew esperti individwali, sabiex tiġbor informazzjoni dwar theddid ċibernetiku ġenerali u speċifiku, vulnerabbiltajiet u kontromiżuri possibbli. Għal kooperazzjoni usa’ ma’ sħab bħal dawn, is-CERT-UE għandha tfittex approvazzjoni minn qabel mill-IICB.
3.Is-CERT-UE tista’, bil-kunsens tal-kostitwent affettwat minn inċident, tipprovdi informazzjoni relatata mal-inċident mas-sħab li jistgħu jikkontribwixxu għall-analiżi tiegħu.
Kapitolu V
OBBLIGI TA’ KOOPERAZZJONI U TA’ RAPPORTAR
Artikolu 18
Immaniġġar tal-informazzjoni
1.Is-CERT-UE u l-istituzzjonijiet, il-korpi u l-aġenziji tal-Unjoni għandhom jirrispettaw l-obbligu tas-segretezza professjonali f’konformità mal-Artikolu 339 tat-Trattat dwar il-Funzjonament tal-Unjoni Ewropea jew oqfsa applikabbli ekwivalenti.
2.Id-dispożizzjonijiet tar-Regolament (KE) Nru 1049/2001 tal-Parlament Ewropew u tal-Kunsill għandhom japplikaw fir-rigward ta’ talbiet għal aċċess pubbliku għal dokumenti miżmuma mis-CERT-UE, inkluż l-obbligu skont dak ir-Regolament li jiġu kkonsultati istituzzjonijiet, korpi u aġenziji oħra tal-Unjoni kull meta talba tikkonċerna d-dokumenti tagħhom.
3.L-ipproċessar ta’ data personali mwettaq skont dan ir-Regolament għandu jkun soġġett għar-Regolament (UE) 2018/1725 tal-Parlament Ewropew u tal-Kunsill.
4.It-trattament tal-informazzjoni mis-CERT-UE u mill-istituzzjonijiet, mill-korpi u mill-aġenziji tal-Unjoni għandu jkun konformi mar-regoli stabbiliti fir-[Regolament propost dwar is-sigurtà tal-informazzjoni].
5.Kull kuntatt mas-CERT-UE mibdi jew imfittex mis-servizzi tas-sigurtà u tal-intelligence nazzjonali għandu jiġi kkomunikat lid-Direttorat tas-Sigurtà tal-Kummissjoni u lill-president tal-IICB mingħajr dewmien żejjed.
Artikolu 19
Obbligi tal-kondiviżjoni
1.Sabiex is-CERT-UE tkun tista’ tikkoordina l-ġestjoni tal-vulnerabbiltajiet u r-rispons għall-inċidenti, hija tista’ titlob lill-istituzzjonijiet, lill-korpi u lill-aġenziji tal-Unjoni biex jipprovdulha informazzjoni mill-inventarji tas-sistemi tal-IT rispettivi tagħhom li tkun rilevanti għall-appoġġ tas-CERT-UE. L-istituzzjoni, il-korp jew l-aġenzija mitluba għandha tibgħat l-informazzjoni mitluba, u kwalunkwe aġġornament sussegwenti tagħha, mingħajr dewmien żejjed.
2.Wara talba mis-CERT-UE, l-istituzzjonijiet, il-korpi u l-aġenziji tal-Unjoni għandhom, mingħajr dewmien żejjed, jipprovdulha informazzjoni diġitali maħluqa bl-użu ta’ apparati elettroniċi involuti fl-inċidenti rispettivi tagħhom. Is-CERT-UE tista’ tiċċara aktar liema tipi ta’ informazzjoni diġitali bħal din teħtieġ għall-għarfien tas-sitwazzjoni u għar-rispons għall-inċidenti.
3.Is-CERT-UE tista’ tiskambja biss informazzjoni speċifika għall-inċident li tiżvela l-identità tal-istituzzjoni, tal-korp jew tal-aġenzija tal-Unjoni affettwati mill-inċident bil-kunsens ta’ dik l-entità. Is-CERT-UE tista’ tiskambja biss informazzjoni speċifika għall-inċidenti li tiżvela l-identità tal-mira tal-inċident taċ-ċibersigurtà bil-kunsens tal-entità affettwata mill-inċident.
4.L-obbligi tal-kondiviżjoni ma għandhomx jestendu għal informazzjoni klassifikata tal-UE (IKUE) u għal informazzjoni li istituzzjoni, korp jew aġenzija tal-Unjoni tkun irċeviet minn Servizz tas-Sigurtà jew tal-Intelligence ta’ Stat Membru jew mingħand aġenzija tal-infurzar tal-liġi bil-kundizzjoni espliċita li ma tiġix kondiviża mas-CERT-UE.
Artikolu 20
Obbligi ta’ notifika
1.L-istituzzjonijiet, il-korpi u l-aġenziji kollha tal-Unjoni għandhom iwettqu notifika inizjali lis-CERT-UE dwar theddid ċibernetiku sinifikanti, vulnerabbiltajiet sinifikanti u inċidenti sinifikanti mingħajr dewmien żejjed u fi kwalunkwe każ mhux aktar tard minn 24 siegħa wara li jsiru konxji minnhom.
F’każijiet debitament ġustifikati u bi qbil mas-CERT-UE, l-istituzzjoni, il-korp jew l-aġenzija tal-Unjoni kkonċernati jistgħu jiddevjaw mill-iskadenza stabbilita fil-paragrafu preċedenti.
2.L-istituzzjonijiet, il-korpi u l-aġenziji tal-Unjoni għandhom, mingħajr dewmien żejjed, jinnotifikaw ukoll lis-CERT-UE d-dettalji tekniċi xierqa dwar it-theddid ċibernetiku, il-vulnerabbiltajiet u l-inċidenti li jippermettu d-detezzjoni, ir-rispons għall-inċidenti jew il-miżuri ta’ mitigazzjoni. Jekk disponibbli, in-notifika għandha tinkludi:
(a)indikaturi rilevanti ta’ kompromess;
(b)mekkaniżmi ta’ detezzjoni rilevanti;
(c)impatt potenzjali;
(d)miżuri ta’ mitigazzjoni rilevanti.
3.Kull xahar, is-CERT-UE għandha tippreżenta rapport lill-ENISA li jinkludi data anonimizzata u aggregata dwar theddid ċibernetiku sinifikanti, vulnerabbiltajiet sinifikanti u inċidenti sinifikanti notifikati f’konformità mal-paragrafu 1.
4.L-IICB jista’ joħroġ dokumenti ta’ gwida jew rakkomandazzjonijiet dwar il-modalitajiet u l-kontenut tan-notifika. Is-CERT-UE għandha xxerred id-dettalji tekniċi xierqa biex tippermetti d-detezzjoni proattiva, ir-rispons għall-inċidenti jew il-miżuri ta’ mitigazzjoni mill-istituzzjonijiet, mill-korpi u mill-aġenziji tal-Unjoni.
5.L-obbligi tan-notifika ma għandhomx jestendu għall-IKUE u għal informazzjoni li istituzzjoni, korp jew aġenzija tal-Unjoni tkun irċeviet minn Servizz tas-Sigurtà jew tal-Intelligence ta’ Stat Membru jew mingħand aġenzija tal-infurzar tal-liġi bil-kundizzjoni espliċita li ma tiġix kondiviża mas-CERT-UE.
Artikolu 21
Koordinazzjoni tar-rispons għall-inċidenti u kooperazzjoni dwar inċidenti sinifikanti
1.Meta taġixxi bħala ċentru ta’ koordinazzjoni tal-iskambju ta’ informazzjoni dwar iċ-ċibersigurtà u tar-rispons għall-inċidenti ċibernetiċi, is-CERT-UE għandha tiffaċilita l-iskambju ta’ informazzjoni fir-rigward tat-theddid ċibernetiku, il-vulnerabbiltajiet u l-inċidenti bejn:
(a)l-istituzzjonijiet, il-korpi u l-aġenziji tal-Unjoni;
(b)l-kontropartijiet imsemmija fl-Artikoli 16 u 17.
2.Is-CERT-UE għandha tiffaċilita l-koordinazzjoni fost l-istituzzjonijiet, il-korpi u l-aġenziji tal-Unjoni dwar ir-rispons għall-inċidenti, inkluż:
(a)kontribuzzjoni għall-komunikazzjoni esterna konsistenti;
(b)assistenza reċiproka;
(c)l-aħjar użu tar-riżorsi operazzjonali;
(d)koordinazzjoni ma’ mekkaniżmi oħrajn ta’ rispons għall-kriżijiet fil-livell tal-Unjoni.
3.Is-CERT-UE għandha tappoġġa lill-istituzzjonijiet, lill-korpi u lill-aġenziji tal-Unjoni rigward l-għarfien tas-sitwazzjoni ta’ theddid ċibernetiku, vulnerabbiltajiet u inċidenti.
4.L-IICB għandu joħroġ gwida dwar il-koordinazzjoni u l-kooperazzjoni tar-rispons għal inċidenti sinifikanti. Jekk ikun hemm suspett ta’ natura kriminali b’rabta ma’ inċident, is-CERT-UE għandha tagħti pariri dwar kif għandu jiġi rrappurtat l-inċident lill-awtoritajiet tal-infurzar tal-liġi.
Artikolu 22
Attakki kbar
1.Is-CERT-UE għandha tikkoordina r-risponsi għal attakki kbar fost l-istituzzjonijiet, il-korpi u l-aġenziji tal-Unjoni. Hija għandha żżomm inventarju ta’ għarfien espert tekniku li jkun meħtieġ għar-rispons għal inċidenti fil-każ ta’ attakki bħal dawn.
2.L-istituzzjonijiet, il-korpi u l-aġenziji tal-Unjoni għandhom jikkontribwixxu għall-inventarju ta’ għarfien espert tekniku billi jipprovdu lista aġġornata kull sena ta’ esperti disponibbli fl-organizzazzjonijiet rispettivi tagħhom bid-dettalji tal-ħiliet tekniċi speċifiċi tagħhom.
3.Bl-approvazzjoni tal-istituzzjonijiet, tal-korpi u tal-aġenziji kkonċernati tal-Unjoni, is-CERT-UE tista’ wkoll titlob esperti mil-lista msemmija fil-paragrafu 2 biex jikkontribwixxu għar-rispons għal attakk kbir fi Stat Membru, b’mod konformi mal-proċeduri operattivi taċ-Ċiberunità Konġunta.
Kapitolu VI
DISPOŻIZZJONIJIET FINALI
Artikolu 23
Riallokazzjoni baġitarja inizjali
Il-Kummissjoni għandha tipproponi r-riallokazzjoni ta’ persunal u riżorsi finanzjarji mill-istituzzjonijiet, mill-korpi u mill-aġenziji tal-Unjoni għall-baġit tal-Kummissjoni. Ir-riallokazzjoni għandha tkun effettiva fl-istess ħin bħall-ewwel baġit adottat wara d-dħul fis-seħħ ta’ dan ir-Regolament.
Artikolu 24
Rieżami
1.L-IICB, bl-assistenza tas-CERT-UE, għandu jirrapporta perjodikament l-implimentazzjoni ta’ dan ir-Regolament lill-Kummissjoni. L-IICB jista’ jagħmel ukoll rakkomandazzjonijiet lill-Kummissjoni sabiex tipproponi emendi għal dan ir-Regolament.
2.Il-Kummissjoni għandha tirrapporta lill-Parlament Ewropew u lill-Kunsill dwar ir-rapport tal-implimentazzjoni ta’ dan ir-Regolament mhux aktar tard minn 48 xahar wara d-dħul fis-seħħ ta’ dan ir-Regolament u kull tliet snin wara dan.
3.Il-Kummissjoni għandha tevalwa l-funzjonament ta’ dan ir-Regolament u tirrapporta lill-Parlament Ewropew, lill-Kunsill, lill-Kumitat Ekonomiku u Soċjali Ewropew u lill-Kumitat tar-Reġjuni mhux qabel ħames snin wara d-dħul fis-seħħ.
Artikolu 25
Dħul fis-seħħ
Dan ir-Regolament għandu jidħol fis-seħħ fl-għoxrin jum wara dak tal-pubblikazzjoni tiegħu f’Il-Ġurnal Uffiċjali tal-Unjoni Ewropea.
Dan ir-Regolament għandu jorbot fl-intier tiegħu u japplika direttament fl-Istati Membri kollha.
Magħmul fi Brussell,
Għall-Parlament Ewropew
Għall-Kunsill
Il-President
Il-President
DIKJARAZZJONI FINANZJARJA LEĠIŻLATTIVA
1.QAFAS TAL-PROPOSTA/TAL-INIZJATTIVA
1.1.Titolu tal-proposta/tal-inizjattiva
1.2.Qasam/Oqsma ta’ politika kkonċernat(i)
1.3.Il-proposta/l-inizjattiva hija relatata ma’:
1.4.Objettiv(i)
1.4.1.Objettiv(i) ġenerali
1.4.2.Objettiv(i) speċifiku/speċifiċi
1.4.3.Riżultat(i) u impatt mistennija
1.4.4.Indikaturi tal-prestazzjoni
1.5.Raġunijiet għall-proposta/għall-inizjattiva
1.5.1.Rekwiżit(i) li għandhom jiġu ssodisfati fuq terminu qasir jew twil, inkluża skeda ta’ żmien dettaljata għat-tnedija tal-implimentazzjoni tal-inizjattiva.
1.5.2.Valur miżjud tal-involviment tal-Unjoni (dan jista’ jirriżulta minn fatturi differenti, eż. il-gwadanji mill-koordinazzjoni, iċ-ċertezza legali, effettività akbar jew il-komplementarjetajiet). Għall-finijiet ta’ dan il-punt, il-“valur miżjud tal-involviment tal-Unjoni” huwa l-valur li jirriżulta mill-intervent tal-Unjoni li jkun addizzjonali għall-valur illi kieku kien jinħoloq mill-Istati Membri waħedhom.
1.5.3.Tagħlimiet meħuda minn esperjenzi simili fl-imgħoddi
1.5.4.Kompatibbiltà mal-Qafas Finanzjarju Pluriennali u sinerġiji possibbli ma’ strumenti xierqa oħra
1.5.5.Valutazzjoni tal-għażliet differenti ta’ finanzjament disponibbli, inkluż l-ambitu għar-riallokazzjoni
1.6.Durata u impatt finanzjarju tal-proposta/tal-inizjattiva
1.7.Mod(i) ta’ ġestjoni ppjanat(i)
2.MIŻURI TA’ ĠESTJONI
2.1.Regoli ta’ monitoraġġ u ta’ rapportar
2.2.Sistema/i ta’ ġestjoni u ta’ kontroll
2.2.1.Ġustifikazzjoni tal-mod(i) ta’ ġestjoni, tal-mekkaniżmu/i għall-implimentazzjoni tal-finanzjament, tal-modalitajiet ta’ pagament u tal-istrateġija ta’ kontroll proposta
2.2.2.Informazzjoni dwar ir-riskji identifikati u s-sistema/i ta’ kontroll intern stabbilita/i għall-mitigazzjoni tagħhom
2.2.3.Stima u ġustifikazzjoni tal-kosteffettività tal-kontrolli (proporzjon tal-“kostijiet tal-kontroll ÷ il-valur tal-fondi relatati ġestiti”), u valutazzjoni tal-livelli mistennija tar-riskju ta’ errur (mal-ħlas u fl-għeluq)
2.3.Miżuri għall-prevenzjoni ta’ frodi u ta’ irregolaritajiet
3.IMPATT FINANZJARJU STMAT TAL-PROPOSTA/TAL-INIZJATTIVA
3.1.Intestatura/i tal-qafas finanzjarju pluriennali u l-linja/i baġitarja/i tan-nefqa affettwata/i
3.2.Impatt finanzjarju stmat tal-proposta fuq l-approprjazzjonijiet
3.2.1.Sommarju tal-impatt stmat fuq l-approprjazzjonijiet operazzjonali
3.2.2.Output stmat iffinanzjat bl-approprjazzjonijiet operazzjonali
3.2.3.Sommarju tal-impatt stmat fuq l-approprjazzjonijiet amministrattivi
3.2.4.Kompatibbiltà mal-qafas finanzjarju pluriennali attwali
3.2.5.Kontribuzzjonijiet ta’ partijiet terzi
3.3.Impatt stmat fuq id-dħul
DIKJARAZZJONI FINANZJARJA LEĠIŻLATTIVA
1.QAFAS TAL-PROPOSTA/TAL-INIZJATTIVA
1.1.Titolu tal-proposta/tal-inizjattiva
Proposta għal Regolament tal-Parlament Ewropew u tal-Kunsill li jistabbilixxi miżuri għal livell għoli komuni ta’ ċibersigurtà fl-istituzzjonijiet, fil-korpi, fl-uffiċċji u fl-aġenziji tal-Unjoni
1.2.Qasam/Oqsma ta’ politika kkonċernat(i)
Amministrazzjoni Pubblika Ewropea
Il-proposta tikkonċerna miżuri li jiżguraw livell għoli komuni ta’ ċibersigurtà fl-istituzzjonijiet, fil-korpi u fl-aġenziji tal-Unjoni
1.3.Il-proposta/l-inizjattiva hija relatata ma’:
azzjoni ġdida
azzjoni ġdida segwita minn proġett pilota/azzjoni preparatorja
l-estensjoni ta’ azzjoni eżistenti
fużjoni jew ridirezzjonar ta’ azzjoni waħda jew aktar lejn azzjoni oħra/ġdida
1.4.Objettiv(i)
1.4.1.Objettiv(i) ġenerali
–Li jiġi stabbilit qafas li jiżgura livell għoli komuni ta’ ċibersigurtà fl-istituzzjonijiet, fil-korpi u fl-aġenziji tal-Unjoni
–Li tipprovdi bażi ġuridika ġdida għas-CERT-UE sabiex issaħħaħ il-mandat u l-finanzjament tagħha
1.4.2.Objettiv(i) speċifiku/speċifiċi
(1)Li jiġu stabbiliti obbligi fuq l-istituzzjonijiet, il-korpi u l-aġenziji tal-Unjoni biex jistabbilixxu qafas intern ta’ ġestjoni, governanza u kontroll tar-riskji taċ-ċibersigurtà
(2)Li jiġu stabbiliti obbligi fuq l-istituzzjonijiet, il-korpi u l-aġenziji tal-Unjoni biex jirrapportaw dwar il-qafas intern tagħhom ta’ ġestjoni, governanza u kontroll tar-riskji taċ-ċibersigurtà kif ukoll dwar l-inċidenti taċ-ċibersigurtà
(3)Li jiġu stabbiliti regoli dwar l-organizzazzjoni u l-operat taċ-Ċentru taċ-Ċibersigurtà għall-istituzzjonijiet, għall-korpi u għall-aġenziji tal-Unjoni (CERT-UE) u dwar l-organizzazzjoni u l-operat tal-Bord Interistituzzjonali taċ-Ċibersigurtà (IICB)
(4)Li tikkontribwixxi għaċ-Ċiberunità Konġunta
1.4.3.Riżultat(i) u impatt mistennija
Speċifika l-effetti li l-proposta/l-inizjattiva jenħtieġ li jkollha fuq il-benefiċjarji/il-gruppi fil-mira.
–Oqfsa interni tal-ġestjoni, tal-governanza u tal-kontroll tar-riskji taċ-ċibersigurtà, linji bażi taċ-ċibersigurtà, valutazzjonijiet regolari tal-maturità u pjanijiet taċ-ċibersigurtà tal-istituzzjonijiet, tal-korpi u tal-aġenziji tal-Unjoni
–Titjib tar-reżiljenza taċ-ċibersigurtà u tal-kapaċitajiet ta’ rispons għall-inċidenti fl-istituzzjonijiet, fil-korpi u fl-aġenziji tal-Unjoni
–Modernizzazzjoni tas-CERT-UE
–Kontribuzzjoni għaċ-Ċiberunità Konġunta
1.4.4.Indikaturi tal-prestazzjoni
Speċifika l-indikaturi għall-monitoraġġ tal-progress u tal-kisbiet.
–Oqfsa u linji bażi fis-seħħ, valutazzjonijiet regolari tal-maturità u pjanijiet taċ-ċibersigurtà mwettqa fl-istituzzjoni, fil-korp u fl-aġenziji tal-Unjoni
–Indirizzar aħjar ta’ inċidenti
–Sensibilizzazzjoni akbar fir-rigward tar-riskji taċ-ċibersigurtà fil-livell tal-maniġment superjuri tal-istituzzjonijiet, tal-korpi u tal-aġenziji tal-Unjoni
–Infiq fuq is-sigurtà tal-ICT bħala perċentwal tal-infiq kumplessiv fuq l-ICT
–Tmexxija b’saħħitha tal-IICB u s-CERT-UE
–Aktar kondiviżjoni ta’ informazzjoni fost l-istituzzjonijiet, il-korpi u l-aġenziji tal-Unjoni u mal-korpi u l-partijiet ikkonċernati rilevanti fl-UE
–Aktar kooperazzjoni fiċ-ċibersigurtà mal-korpi u mal-partijiet ikkonċernati rilevanti fl-UE, permezz tas-CERT-UE u l-ENISA
1.5.Raġunijiet għall-proposta/għall-inizjattiva
1.5.1.Rekwiżit(i) li għandhom jiġu ssodisfati fuq terminu qasir jew twil, inkluża skeda ta’ żmien dettaljata għat-tnedija tal-implimentazzjoni tal-inizjattiva.
Il-proposta għandha l-għan li żżid il-livell ta’ reżiljenza ċibernetika tal-istituzzjonijiet, tal-korpi u tal-aġenziji tal-Unjoni, biex titnaqqas l-inkonsistenza fir-reżiljenza f’dawn il-korpi u biex jitjieb il-livell ta’ għarfien konġunt tas-sitwazzjoni u l-kapaċità kollettiva ta’ tħejjija u rispons.
Il-proposta hija kompletament konsistenti u koerenti ma’ inizjattivi relatati oħra, u b’mod partikolari l-proposta għal Direttiva dwar miżuri għal livell għoli komuni ta’ ċibersigurtà madwar l-Unjoni kollha, li tħassar id-Direttiva (UE) 2016/1148 [Proposta NIS 2].
Il-proposta hija parti essenzjali mill-Istrateġija tal-Unjoni tas-Sigurtà tal-UE u mill-Istrateġija taċ-Ċibersigurtà tal-UE għad-Deċennju Diġitali.
Ir-Regolament huwa skedat li jiġi propost mill-Kummissjoni Ewropea f’Ottubru tal-2021, l-adozzjoni tar-Regolament mill-Parlament Ewropew u mill-Kunsill hija mistennija fl-2022 u d-dispożizzjonijiet se jkunu applikabbli mid-dħul fis-seħħ tar-Regolament. L-impatt finanzjarju u tar-riżorsi umani deskritt f’din id-Dikjarazzjoni Finanzjarja Leġiżlattiva huwa previst li jibda fl-2023. Fl-2021 diġà beda perjodu ta’ tħejjija, imma l-attivitajiet preparatorji fl-2021 u l-2022 huma barra mill-impatt finanzjarju tal-proposta.
1.5.2.Valur miżjud tal-involviment tal-Unjoni (dan jista’ jirriżulta minn fatturi differenti, eż. il-gwadanji mill-koordinazzjoni, iċ-ċertezza legali, effettività akbar jew il-komplementarjetajiet). Għall-finijiet ta’ dan il-punt, il-“valur miżjud tal-involviment tal-Unjoni” huwa l-valur li jirriżulta mill-intervent tal-Unjoni li jkun addizzjonali għall-valur illi kieku kien jinħoloq mill-Istati Membri waħedhom.
Raġunijiet għall-azzjoni fil-livell Ewropew (ex ante)
Mill-2019 sal-2021, in-numru ta’ inċidenti sinifikanti li jaffettwaw lill-istituzzjonijiet, lill-korpi u lill-aġenziji tal-Unjoni, awtorizzati minn atturi ta’ theddid persistenti avvanzat, żdied b’mod drammatiku. L-ewwel nofs tal-2021 ra l-ekwivalenti f’inċidenti sinifikanti tal-2020 kollha. Dan huwa rifless ukoll fin-numru ta’ immaġnijiet tal-forensika (stampi tal-kontenut ta’ sistemi jew apparati affettwati) analizzati mis-CERT-UE fl-2020, li ttriplika meta mqabbel mal-2019, filwaqt li n-numru ta’ inċidenti sinifikanti żdied b’aktar minn għaxar darbiet mill-2018.
Il-livelli ta’ maturità taċ-ċibersigurtà jvarjaw sostanzjalment minn entità għal oħra. Dan ir-Regolament jiżgura li l-istituzzjonijiet, il-korpi u l-aġenziji kollha tal-Unjoni jimplimentaw linja bażi ta’ miżuri tas-sigurtà u jikkooperaw flimkien bil-mira tal-funzjonament miftuħ u effiċjenti tal-amministrazzjoni tal-Unjoni.
Is-sistemi li għandhom jiġu ppreservati jaqgħu taħt l-awtonomija tal-istituzzjonijiet, tal-korpi u tal-aġenziji tal-Unjoni u huma operati minnhom; l-azzjonijiet proposti ma setgħux jinħolqu mill-Istati Membri.
1.5.3.Tagħlimiet meħuda minn esperjenzi simili fl-imgħoddi
Id-Direttiva NIS kienet l-ewwel strument orizzontali tas-suq intern immirat lejn it-titjib tar-reżiljenza tan-networks u tas-sistemi fl-Unjoni kontra r-riskji taċ-ċibersigurtà. Mid-dħul fis-seħħ tagħha fl-2016, ikkontribwiet ħafna sabiex jiżdied il-livell komuni ta’ ċibersigurtà fost l-Istati Membri. Il-proposta għad-Direttiva NIS2 tfittex li tkompli ttejjeb dawn il-miżuri.
Ir-Regolament ifittex li jipprovdi miżuri simili għall-istituzzjonijiet, għall-korpi u l-aġenziji tal-Unjoni.
1.5.4.Kompatibbiltà mal-Qafas Finanzjarju Pluriennali u sinerġiji possibbli ma’ strumenti xierqa oħra
Il-proposta hija konsistenti mal-Qafas Finanzjarju Pluriennali u hija parti essenzjali mill-Istrateġija tal-Unjoni tas-Sigurtà tal-UE kif ukoll mill-Istrateġija taċ-Ċibersigurtà tal-UE għad-Deċennju Diġitali.
Il-proposta tipprevedi li tapplika miżuri għal livell għoli komuni ta’ ċibersigurtà fl-istituzzjonijiet, fil-korpi u fl-aġenziji tal-Unjoni. Il-proposta hija konformi mal-proposta għal Direttiva dwar miżuri għal livell għoli komuni ta’ ċibersigurtà madwar l-Unjoni kollha, li tħassar id-Direttiva (UE) 2016/1148 [Proposta NIS 2].
1.5.5.Valutazzjoni tal-għażliet differenti ta’ finanzjament disponibbli, inkluż l-ambitu għar-riallokazzjoni
Il-ġestjoni tal-kompiti mis-CERT-UE teħtieġ profili speċifiċi u xogħol supplimentari li ma jistgħux jiġu assorbiti mingħajr ebda żieda fir-riżorsi umani u finanzjarji.
1.6.Durata u impatt finanzjarju tal-proposta/tal-inizjattiva
durata limitata
–
fis-seħħ minn [JJ/XX]SSSS sa [JJ/XX]SSSS
–
Impatt finanzjarju minn SSSS sa SSSS għall-approprjazzjonijiet ta’ impenn u minn SSSS sa SSSS għall-approprjazzjonijiet ta’ pagament.
durata mhux limitata
–Jenħtieġ li l-impatt finanzjarju jibda bl-ewwel baġit adottat wara d-dħul fis-seħħ tar-Regolament. Riallokazzjoni tar-riżorsi mill-istituzzjonijiet u mill-korpi ewlenin tal-Unjoni lill-Kummissjoni sseħħ fl-ewwel sena, meqjusa bħala sena ta’ tranżizzjoni; din u allokazzjoni(riallokazzjoni) oħra tar-riżorsi se jseħħu fil-qafas tal-baġits annwali. Jekk ir-Regolament jiġi adottat fl-2022, is-sena finanzjarja 2023 se tkun il-perjodu tranżizzjonali, u l-2024 se topera fuq skala sħiħa.
1.7.Mod(i) ta’ ġestjoni ppjanat(i)
Ġestjoni diretta mill-Kummissjoni u minn kull istituzzjoni, korp u aġenzija tal-Unjoni
– mid-dipartimenti tagħha, inkluż mill-persunal tagħha fid-delegazzjonijiet tal-Unjoni;
–
mill-aġenziji eżekuttivi
Ġestjoni kondiviża mal-Istati Membri
Ġestjoni indiretta billi jiġu fdati kompiti ta’ implimentazzjoni baġitarja:
– lill-pajjiżi terzi jew lill-korpi nnominati minnhom;
– lill-organizzazzjonijiet internazzjonali u lill-aġenziji tagħhom (iridu jiġu speċifikati);
– lill-BEI u lill-Fond Ewropew tal-Investiment;
– lill-korpi msemmija fl-Artikoli 70 u 71 tar-Regolament Finanzjarju;
– lill-korpi tal-liġi pubblika;
– lill-korpi regolati bil-liġi privata b’missjoni ta’ servizz pubbliku diment li jipprovdu garanziji finanzjarji adegwati;
– lill-korpi regolati bil-liġi privata ta’ Stat Membru li huma fdati bl-implimentazzjoni ta’ sħubija pubblika-privata u li jipprovdu garanziji finanzjarji adegwati;
– lill-persuni fdati bl-implimentazzjoni ta’ azzjonijiet speċifiċi fil-PESK skont it-Titolu V tat-TUE, u identifikati fl-att bażiku rilevanti.
–Jekk jiġi indikat iżjed minn mod ta’ ġestjoni wieħed, jekk jogħġbok ipprovdi d-dettalji fit-taqsima "Kummenti".
Kummenti
Għall-applikazzjoni ta’ proċeduri amministrattivi u finanzjarji, is-CERT-UE taġixxi skont l-awtorità tal-Kummissjoni.
Riżorsi addizzjonali li jirriżultaw mill-abbozz ta’ Regolament:
L-implimentazzjoni tal-Artikoli 12 u 13 tal-abbozz tar-Regolament twassal għal katalgu tas-servizzi mkabbar b’servizzi tal-linja bażi addizzjonali. Meta topera fuq skala sħiħa, se jkunu meħtieġa r-riżorsi addizzjonali li ġejjin (sa tmiem il-QFP fi tmiem l-2027): 21 FTE u EUR 14,05 miljun.
It-tqassim tar-riżorsi addizzjonali skont il-baġit fuq il-kompiti differenti huwa kif ġej:
(a)Għat-twettiq ta’ kompiti għall-istituzzjonijiet, għall-korpi u għall-aġenziji tal-Unjoni deskritti fl-Artikolu 12(2)(a), (b), (c) u (e): 13,75 FTE u EUR 11,275 miljun;
(b)Għat-twettiq tal-kompiti deskritti fl-Artikolu 12.3 (kontribuzzjoni għaċ-Ċiberunità Konġunta): 2 FTE u EUR 381 000;
(c)Għat-twettiq tal-kompiti deskritti fl-Artikolu 12.4 (kooperazzjoni strutturata mal-ENISA): 0.25 FTE u EUR 236 000;
(d)Għat-twettiq tal-kompiti deskritti fl-Artikolu 12.6 (eżerċizzji taċ-ċibersigurtà): 0.25 FTE u EUR 79 000;
(e)Għat-twettiq tal-kompiti deskritti fl-Artikolu 12.2(d) u fl-Artikolu 13 (analiżi u rapportar dwar l-implimentazzjoni tar-Regolament, tħejjija ta’ dokumenti ta’ gwida, rakkomandazzjonijiet u sejħiet għal azzjoni): 3.75 FTE u EUR 2,079 miljun.
(f)Għat-twettiq tal-kompiti sabiex jiġi appoġġat is-segretarjat tal-Bord Interistituzzjonali taċ-Ċibersigurtà (IICB): 1 FTE.
Ħarsa ġenerali lejn ir-riżorsi attwali u t-tranżizzjoni lejn skala sħiħa:
F’Settembru tal-2021 is-CERT-UE operat bir-riżorsi li ġejjin:
- postijiet permanenti u sekondati: 14-il FTE,
- aġenti bil-kuntratt iffinanzjati taħt ftehimiet dwar il-livell ta’ servizz: 24 FTE,
- total ta’ 38 FTE.
Il-baġit tas-CERT-UE fl-2020 kien: EUR 250 000 taħt il-Baġit tal-Kummissjoni, EUR 3,5 miljun permezz ta’ dħul assenjat minn ftehimiet dwar il-livell ta’ servizz. Total: EUR 3,75 miljun. Dan kien jikkostitwixxi l-baġit sħiħ tas-CERT-UE li jkopri t-taħriġ, il-hardware, is-software, il-missjonijiet, l-għajnuna, l-aġenti kuntrattwali u l-konferenzi.
Ladarba r-regolament jidħol fis-seħħ, ir-riżorsi futuri tas-CERT-UE huma previsti li jkunu:
- karigi permanenti: 34 FTE,
- aġenti kuntrattwali: 15-il FTE,
- total ta’ 49 FTE, u b’hekk żieda netta ta’ 11-il FTE.
Il-bidla fil-proporzjon bejn il-postijiet permanenti u l-persunal bil-kuntratt tindirizza l-ostaklu pertinenti tar-reklutaġġ u ż-żamma ta’ professjonisti anzjani taċ-ċibersigurtà minħabba l-iskarsezza tagħhom fis-suq tax-xogħol.
Barra minn hekk se jkun meħtieġ aġent kuntrattwali 1 FTE fid-Direttorat Ġenerali għall-Informatika tal-Kummissjoni biex jappoġġa l-IICB (il-Bord Interistituzzjonali taċ-Ċibersigurtà).
Għaldaqstant, b’kollox se jkunu meħtieġa 21 FTE addizzjonali biex jiġi implimentat ir-Regolament (20 FTE għas-CERT-UE u 1 għad-Direttorat Ġenerali għall-Informatika tal-Kummissjoni). Dan se jiġi kkumpensat minn tnaqqis parallel ta’ disa’ persunal bil-kuntratt FTE fis-CERT-UE li qabel kienu ffinanzjati permezz ta’ dħul assenjat minn ftehimiet dwar il-livell ta’ servizz.
Il-baġit tas-CERT-UE għar-riżorsi mhux umani fl-2024 wara l-perjodu ta’ tranżizzjoni se jkopri l-kompiti elenkati hawn fuq taħt (a) sa (e) u huwa previst li jiġi ffinanzjat kif ġej:
- EUR 8,921 miljun fis-sena mill-istituzzjonijiet tal-Unjoni ffinanzjati taħt l-Intestatura 7 tal-baġit tal-Unjoni,
- EUR 2,459 miljun mill-istituzzjonijiet, mill-korpi u l-aġenziji tal-Unjoni ffinanzjati taħt l-Intestaturi tal-baġit tal-Unjoni 1 sa 6,
- EUR 2,670 miljun minn istituzzjonijiet, korpi u aġenziji tal-Unjoni b’awtofinanzjament.
- Baġit totali tas-CERT-UE: EUR 14,05 miljun.
Il-kompiti elenkati fl-Artikolu 12(5) mhumiex deskritti fil-katalgu tas-servizzi; dawn huma servizzi li għandhom jitħallsu. Dawn huma anċillari, jirrappreżentaw ammonti relattivament baxxi, huma fil-biċċa l-kbira temporanji, u l-kostijiet ta’ dawn is-servizzi se jiġu rkuprati mingħand il-benefiċjarji tas-servizzi permezz ta’ ftehimiet dwar il-livell ta’ servizz jew ftehimiet bil-miktub.
Fir-rigward tal-kontribuzzjonijiet għall-persunal tas-CERT-UE: l-istituzzjonijiet u l-korpi ewlenin tal-Unjoni għandhom jikkontribwixxu sehem ġust li jkun proporzjonali għas-sehem rispettiv ta’ karigi AD permanenti tal-organizzazzjoni. Jenħtieġ li jitqies jekk il-BĊE u l-BEI jistgħux jikkontribwixxu wkoll sehem ġust permezz tas-sekondar ta’ persunal permanenti.
2.MIŻURI TA’ ĠESTJONI
2.1.Regoli ta’ monitoraġġ u ta’ rapportar
Speċifika l-frekwenza u l-kundizzjonijiet.
Il-Kummissjoni, bil-għajnuna tal-IICB u tas-CERT-UE, se tirrieżamina perjodikament il-funzjonament tar-Regolament u tirrapporta lill-Parlament Ewropew u lill-Kunsill, l-ewwel darba mhux aktar tard minn 48 xahar wara d-dħul fis-seħħ ta’ dan ir-Regolament, u mbagħad kull tliet snin.
Is-sorsi tad-data użati għar-rieżamijiet ikunu fil-biċċa l-kbira mill-IICB u mis-CERT-UE. Minbarra dan, jistgħu jintużaw għodod speċifiċi għall-ġbir ta’ data meta jkunu meħtieġa, eż. stħarriġ tal-istituzzjonijiet, tal-korpi u tal-aġenziji tal-Unjoni, tal-ENISA jew tan-Network ta’ CSIRTs.
2.2.Sistema/i ta’ ġestjoni u ta’ kontroll
2.2.1.Ġustifikazzjoni tal-mod(i) ta’ ġestjoni, tal-mekkaniżmu/i għall-implimentazzjoni tal-finanzjament, tal-modalitajiet ta’ pagament u tal-istrateġija ta’ kontroll proposta
L-azzjonijiet li jirriżultaw mir-Regolament se jiġu ġestiti f’kull istituzzjoni, korp u aġenzija tal-Unjoni f’konformità mar-regoli u r-regolamenti applikabbli rilevanti.
Il-ġestjoni amministrattiva u finanzjarja tal-attivitajiet tas-CERT-UE hija inkorporata fl-amministrazzjoni tal-Kummissjoni u ssegwi l-mekkaniżmi ta’ ġestjoni u implimentazzjoni, il-modalitajiet tal-pagamenti u l-kontrolli applikabbli tagħha.
L-awditur intern tal-Kummissjoni jeżerċita l-istess setgħat fuq is-CERT-UE bħalma jeżerċita fuq id-dipartimenti tal-Kummissjoni.
2.2.2.Informazzjoni dwar ir-riskji identifikati u s-sistema/i ta’ kontroll intern stabbilita/i għall-mitigazzjoni tagħhom
Riskju baxx ħafna, peress li s-CERT-UE diġà hija marbuta amministrattivament bħala task force tal-Kummissjoni mad-Direttur Ġenerali għall-Informatika, u l-mudell tal-IICB isegwi dak tal-Bord ta’ Tmexxija attwali tas-CERT-UE. Għalhekk, l-ekosistema għall-ġestjoni finanzjarja u l-kontroll intern diġà hija stabbilita.
2.2.3.Stima u ġustifikazzjoni tal-kosteffettività tal-kontrolli (proporzjon tal-“kostijiet tal-kontroll ÷ il-valur tal-fondi relatati ġestiti”), u valutazzjoni tal-livelli mistennija tar-riskju ta’ errur (mal-ħlas u fl-għeluq)
Il-proċeduri għall-akkwist, il-ġestjoni finanzjarja u l-kontroll diġà huma stabbiliti u ttestjati sew. Il-kosteffettività tal-kontrolli u l-livelli ta’ riskju ta’ żball jikkorrispondu għal dawk f’kull istituzzjoni, korp jew aġenzija tal-Unjoni, u għal dawk tal-Kummissjoni għall-attivitajiet tas-CERT-UE.
2.3.Miżuri għall-prevenzjoni ta’ frodi u ta’ irregolaritajiet
Speċifika l-miżuri ta’ prevenzjoni u ta’ protezzjoni eżistenti jew previsti, eż. mill-Istrateġija Kontra l-Frodi.
Is-sistemi ta’ ġestjoni finanzjarja u ta’ kontroll intern tal-Kummissjoni japplikaw għall-attivitajiet tas-CERT-UE.
Għall-ġlieda kontra l-frodi, il-korruzzjoni u attivitajiet oħra kontra l-liġi, id-dispożizzjonijiet tar-Regolament (UE, Euratom) Nru 883/2013 tal-Parlament Ewropew u tal-Kunsill tal-11 ta’ Settembru 2013 dwar investigazzjonijiet immexxija mill-Uffiċċju Ewropew Kontra l-Frodi (OLAF) japplikaw mingħajr restrizzjonijiet.
3.IMPATT FINANZJARJU STMAT TAL-PROPOSTA/TAL-INIZJATTIVA
3.1.Intestatura/i tal-qafas finanzjarju pluriennali u l-linja/i baġitarja/i tan-nefqa affettwata/i
·Linji baġitarji eżistenti
Skont l-ordni tal-intestaturi tal-qafas finanzjarju pluriennali u tal-linji baġitarji.
Intestatura tal-qafas finanzjarju pluriennali
|
Linja baġitarja
|
Tip ta’
nefqa
|
Kontribuzzjoni
|
|
Numru
|
Diff./mhux diff.
|
mill-pajjiżi tal-EFTA
|
mill-pajjiżi kandidati
|
minn pajjiżi terzi
|
skont it-tifsira tal-Artikolu 21(2)(b) tar-Regolament Finanzjarju
|
minn 1 sa 6
|
Linji baġitarji li jkopru l-kontribuzzjonijiet tal-Unjoni għal aġenziji u korpi deċentralizzati
|
Diff.
|
LE
|
LE
|
LE
|
LE
|
7
|
Linji baġitarji li jkopru r-remunerazzjonijiet tal-persunal, in-nefqa tal-IT u nefqa amministrattiva oħra fit-Taqsimiet differenti tal-baġit tal-UE
|
Mhux diff.
|
LE
|
LE
|
LE
|
LE
|
·Linji baġitarji ġodda mitluba
Skont l-ordni tal-intestaturi tal-qafas finanzjarju pluriennali u tal-linji baġitarji.
Intestatura tal-qafas finanzjarju pluriennali
|
Linja baġitarja
|
Tip ta’
nefqa
|
Kontribuzzjoni
|
|
Numru
|
Diff./Mhux diff.
|
mill-pajjiżi tal-EFTA
|
mill-pajjiżi kandidati
|
minn pajjiżi terzi
|
skont it-tifsira tal-Artikolu 21(2)(b) tar-Regolament Finanzjarju
|
|
Xejn
|
|
IVA/LE
|
IVA/LE
|
IVA/LE
|
IVA/LE
|
3.2.Impatt finanzjarju stmat tal-proposta fuq l-approprjazzjonijiet
3.2.1.Sommarju tal-impatt stmat fuq l-approprjazzjonijiet operazzjonali
–
Il-proposta/l-inizjattiva ma teħtieġx l-użu ta’ approprjazzjonijiet operazzjonali
–
Il-proposta/l-inizjattiva teħtieġ l-użu ta’ approprjazzjonijiet operazzjonali, kif spjegat hawn taħt:
miljuni ta’ EUR (għal tliet pożizzjonijiet deċimali)
Intestatura tal-qafas finanzjarju
pluriennali
|
minn 1 sa 6
|
Intestaturi li jkopru kontribuzzjonijiet għal aġenziji u korpi deċentralizzati
|
DĠ: Diversi
|
|
|
Sena
2023
|
Sena
2024
|
Sena
2025
|
Sena
2026
|
Sena
2027
|
TOTAL
|
□ Approprjazzjonijiet operazzjonali
|
|
|
|
|
|
|
Linji baġitarji li jkopru l-kontribuzzjonijiet tal-Unjoni għal aġenziji deċentralizzati (xx 10 xx xx)
|
Impenji
|
(1a)
|
2.459
|
2.459
|
2.459
|
2.459
|
2.459
|
12.293
|
|
Pagamenti
|
(2a)
|
2.459
|
2.459
|
2.459
|
2.459
|
2.459
|
12.293
|
Approprjazzjonijiet ta’ natura amministrattiva ffinanzjati mill-pakkett ta’ programmi speċifiċi
|
|
|
|
|
|
|
Linja baġitarja
|
|
(3)
|
|
|
|
|
|
|
TOTAL tal-approprjazzjonijiet
għad-DĠ: Diversi
|
Impenji
|
=1a+1b +3
|
2.459
|
2.459
|
2.459
|
2.459
|
2.459
|
12.293
|
|
Pagamenti
|
=2a+2b
+3
|
2.459
|
2.459
|
2.459
|
2.459
|
2.459
|
12.293
|
□ TOTAL tal-approprjazzjonijiet operazzjonali
|
Impenji
|
(4)
|
2.459
|
2.459
|
2.459
|
2.459
|
2.459
|
12.293
|
|
Pagamenti
|
(5)
|
2.459
|
2.459
|
2.459
|
2.459
|
2.459
|
12.293
|
□ TOTAL tal-approprjazzjonijiet ta’ natura amministrattiva ffinanzjati mill-pakkett ta’ programmi speċifiċi
|
(6)
|
|
|
|
|
|
|
TOTAL ta’ approprjazzjonijiet
taħt l-INTESTATURI 1 sa 6
tal-qafas finanzjarju pluriennali
|
Impenji
|
=4+ 6
|
2.459
|
2.459
|
2.459
|
2.459
|
2.459
|
12.293
|
|
Pagamenti
|
=5+ 6
|
2.459
|
2.459
|
2.459
|
2.459
|
2.459
|
12.293
|
Jekk il-proposta/l-inizjattiva taffettwa iżjed minn intestatura operazzjonali waħda, irrepeti t-taqsima ta’ hawn fuq:
□ TOTAL tal-approprjazzjonijiet operazzjonali (l-intestaturi operazzjonali kollha)
|
Impenji
|
(4)
|
2.459
|
2.459
|
2.459
|
2.459
|
2.459
|
12.293
|
|
Pagamenti
|
(5)
|
2.459
|
2.459
|
2.459
|
2.459
|
2.459
|
12.293
|
TOTAL tal-approprjazzjonijiet ta’ natura amministrattiva ffinanzjati mill-pakkett ta’ programmi speċifiċi (l-intestaturi operazzjonali kollha)
|
(6)
|
|
|
|
|
|
|
TOTAL ta’ approprjazzjonijiet
taħt l-INTESTATURI 1 sa 6
tal-qafas finanzjarju pluriennali
(Ammont ta’ referenza)
|
Impenji
|
=4+ 6
|
2,459
|
2.459
|
2,459
|
2,459
|
2,459
|
12,293
|
|
Pagamenti
|
=5+ 6
|
2,459
|
2,459
|
2,459
|
2,459
|
2,459
|
12,293
|
Intestatura tal-qafas finanzjarju
pluriennali
|
7
|
"Nefqa amministrattiva"
|
Din it-taqsima jenħtieġ li timtela bl-użu tad-“data baġitarja ta’ natura amministrattiva” li l-ewwel trid tiddaħħal fl-
Anness tad-Dikjarazzjoni Finanzjarja Leġiżlattiva
(l-Anness V tar-regoli interni), li jittella’ fuq DECIDE għal finijiet ta’ konsultazzjoni bejn is-servizzi.
miljuni ta’ EUR (għal tliet pożizzjonijiet deċimali)
|
|
|
Sena
2023
|
Sena
2024
|
Sena
2025
|
Sena
2026
|
Sena
2027
|
TOTAL
|
DĠ: DIGIT (CERT-UE)
|
□ Riżorsi umani
|
1.184
|
2.126
|
2.754
|
3.225
|
3.225
|
12.514
|
□ Nefqa amministrattiva oħra
|
7.938
|
8.921
|
8.921
|
8.921
|
8.921
|
43.622
|
TOTAL TAD-DĠ DIGIT (CERT-UE)
|
Approprjazzjonijiet
|
9.122
|
11.047
|
11.675
|
12.146
|
12.146
|
56.136
|
TOTAL tal-approprjazzjonijiet
skont l-INTESTATURA 7
tal-qafas finanzjarju pluriennali
|
(Total ta’ impenji = Total ta’ pagamenti)
|
9.122
|
11.047
|
11.675
|
12.146
|
12.146
|
56.136
|
miljuni ta’ EUR (għal tliet pożizzjonijiet deċimali)
|
|
|
Sena 2023
|
Sena
2024
|
Sena 2025
|
Sena 2026
|
Sena 2027
|
TOTAL
|
TOTAL ta’ approprjazzjonijiet
taħt l-INTESTATURI 1 sa 7
tal-qafas finanzjarju pluriennali (*)
|
Impenji
|
11.581
|
13.506
|
14.134
|
14.605
|
14.605
|
68,429
|
|
Pagamenti
|
11,581
|
13,506
|
14,134
|
14,605
|
14,605
|
68,429
|
(*) Il-kontribuzzjonijiet minn istituzzjonijiet, korpi u aġenziji awtofinanzjati tal-Unjoni huma stmati għal EUR 2,670 miljun fis-sena (total għall-ħames snin, EUR 13,350-il miljun). Il-kontribuzzjonijiet se jikkostitwixxu dħul assenjat għas-CERT-UE. It-tabelli ta’ hawn fuq jinkludu biss l-impatt totali stmat fuq il-baġit tal-Unjoni u ma jinkludux dawk il-kontribuzzjonijiet.
3.2.2.Output stmat iffinanzjat bl-approprjazzjonijiet operazzjonali
Approprjazzjonijiet ta’ impenn f’miljuni ta’ EUR (aġġustati ’l fuq għal tliet pożizzjonijiet deċimali)
Indika l-objettivi u l-outputs
|
|
|
Sena
N
|
Sena
N+1
|
Sena
N+2
|
Sena
N+3
|
Daħħal is-snin kollha li hemm bżonn biex turi d-durata tal-impatt (ara l-punt 1.6)
|
TOTAL
|
|
OUTPUTS
|
|
Tip
|
Kost medju
|
Nru
|
Kost
|
Nru
|
Kost
|
Nru
|
Kost
|
Nru
|
Kost
|
Nru
|
Kost
|
Nru
|
Kost
|
Nru
|
Kost
|
Nru totali
|
Kost totali
|
OBJETTIV SPEĊIFIKU Nru 1…
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
- Output
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
- Output
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
- Output
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Subtotal tal-objettiv speċifiku Nru 1
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
OBJETTIV SPEĊIFIKU Nru 2 ...
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
- Output
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Subtotal tal-objettiv speċifiku Nru 2
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
TOTALI
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
3.2.3.Sommarju tal-impatt stmat fuq l-approprjazzjonijiet amministrattivi
–
Il-proposta/l-inizjattiva ma teħtieġx l-użu ta’ approprjazzjonijiet ta’ natura amministrattiva
–
Il-proposta/l-inizjattiva teħtieġ l-użu ta’ approprjazzjonijiet ta’ natura amministrattiva, kif spjegat hawn taħt:
miljuni ta’ EUR (għal tliet pożizzjonijiet deċimali)
|
Sena
2023
|
Sena
2024
|
Sena
2025
|
Sena
2026
|
Sena 2027
|
TOTAL
|
INTESTATURA 7
tal-qafas finanzjarju pluriennali
|
|
|
|
|
|
|
Riżorsi umani
|
|
|
|
|
|
|
Persunal permanenti (Gradi AD)
|
1,099
|
2,041
|
2,669
|
3,14
|
3,14
|
12,089
|
Aġenti kuntrattwali
|
0,085
|
0,085
|
0,085
|
0,085
|
0,085
|
0,425
|
Nefqa amministrattiva oħra
|
7,938
|
8,921
|
8,921
|
8,921
|
8,921
|
43,622
|
Subtotal tal-INTESTATURA 7
tal-qafas finanzjarju pluriennali
|
9,122
|
11,047
|
11,675
|
12,146
|
12,146
|
56,136
|
Barra mill-INTESTATURA 7
tal-qafas finanzjarju pluriennali
|
|
|
|
|
|
|
Riżorsi umani
|
|
|
|
|
|
|
Nefqa oħra
ta’ natura amministrattiva
|
|
|
|
|
|
|
Subtotal
barra mill-INTESTATURA 7
tal-qafas finanzjarju pluriennali
|
|
|
|
|
|
|
TOTAL
|
9,122
|
11,047
|
11,675
|
12,146
|
12,146
|
56,136
|
L-approprjazzjonijiet meħtieġa għar-riżorsi umani u għal nefqa oħra ta’ natura amministrattiva se jiġu koperti mill-approprjazzjonijiet tad-DĠ li diġà jkunu assenjati għall-ġestjoni tal-azzjoni u/jew li diġà jkunu ġew riassenjati fid-DĠ, flimkien, jekk ikun meħtieġ, ma’ kwalunkwe allokazzjoni addizzjonali li tista’ tingħata lid-DĠ tal-ġestjoni skont il-proċedura annwali ta’ allokazzjoni u fid-dawl tal-limitazzjonijiet baġitarji.
3.2.3.1.Rekwiżiti stmati ta’ riżorsi umani
–
Il-proposta/l-inizjattiva ma teħtieġx l-użu ta’ riżorsi umani.
–
Il-proposta/l-inizjattiva teħtieġ l-użu ta’ riżorsi umani, kif spjegat hawn taħt:
L-istima trid tiġi espressa f’unitajiet ekwivalenti għall-full-time
|
Sena
2023
|
Sena
2024
|
Sena
2025
|
Sena
2026
|
Sena 2027
|
□ Pożizzjonijiet fil-pjan ta’ stabbiliment (uffiċjali u persunal temporanju)
|
20 01 02 01 (Kwartieri Ġenerali u l-Uffiċċji tar-Rappreżentanza tal-Kummissjoni)
|
7
|
13
|
17
|
20
|
20
|
20 01 02 03 (Delegazzjonijiet)
|
|
|
|
|
|
01 01 01 01 (Riċerka indiretta)
|
|
|
|
|
|
01 01 01 11 (Riċerka diretta)
|
|
|
|
|
|
Linji baġitarji oħra (speċifika)
|
|
|
|
|
|
□ Persunal estern (f’unità Ekwivalenti għall-Full-Time: FTE)
|
20 02 01 (AC, END, INT mill-“pakkett globali”)
|
1
|
1
|
1
|
1
|
1
|
20 02 03 (AC, AL, END, INT u JPD fid-delegazzjonijiet)
|
|
|
|
|
|
|
|
XX 01 xx yy zz
|
- fil-Kwartieri Ġenerali
|
|
|
|
|
|
|
|
|
- fid-Delegazzjonijiet
|
|
|
|
|
|
|
|
01 01 01 02 (AC, END, INT - Riċerka indiretta)
|
|
|
|
|
|
|
|
01 01 01 12 (AC, END, INT - Riċerka diretta)
|
|
|
|
|
|
|
|
Linji baġitarji oħra (speċifika)
|
|
|
|
|
|
|
|
TOTAL
|
8
|
14
|
18
|
21
|
21
|
XX huwa l-qasam ta’ politika jew it-titolu baġitarju kkonċernat.
Ir-riżorsi umani meħtieġa se jiġu koperti mill-persunal tad-DĠ li diġà jkun assenjat għall-ġestjoni tal-azzjoni u/jew li diġà jkun ġie riassenjat fid-DĠ, flimkien, jekk ikun meħtieġ, ma’ kwalunkwe allokazzjoni addizzjonali li tista’ tingħata lid-DĠ tal-ġestjoni skont il-proċedura annwali ta’ allokazzjoni u fid-dawl tal-limitazzjonijiet baġitarji.
Deskrizzjoni tal-kompiti li jridu jitwettqu:
Uffiċjali u aġenti temporanji
|
L-uffiċjali se jimplimentaw il-kompiti u l-attivitajiet tas-CERT-UE skont ir-Regolament, b’mod partikolari l-Kapitoli IV u V.
|
Persunal estern
|
L-Aġent Kuntrattwali se jassisti l-funzjonijiet tas-segretarjat tal-Bord Interistituzzjonali taċ-Ċibersigurtà.
|
3.2.4.Kompatibbiltà mal-qafas finanzjarju pluriennali attwali
Il-proposta/l-inizjattiva:
–
tista’ tiġi ffinanzjata kompletament permezz ta’ riallokazzjoni fl-intestatura rilevanti tal-Qafas Finanzjarju Pluriennali (QFP).
Spjega liema riprogrammazzjoni hija meħtieġa, filwaqt li tispeċifika l-linji baġitarji kkonċernati u l-ammonti korrispondenti. Ipprovdi tabella Excel f’każ ta’ riprogrammazzjoni kbira.
–
teħtieġ l-użu tal-marġni mhux allokat taħt l-intestatura rilevanti tal-QFP u/jew l-użu tal-istrumenti speċjali ddefiniti fir-Regolament dwar il-QFP.
Spjega x’inhu meħtieġ, billi tispeċifika l-intestaturi u l-linji baġitarji kkonċernati, l-ammonti korrispondenti, u l-istrumenti proposti li għandhom jintużaw.
–
teħtieġ reviżjoni tal-QFP.
Spjega x’inhu meħtieġ, filwaqt li tispeċifika l-intestaturi u l-linji baġitarji kkonċernati u l-ammonti korrispondenti.
3.2.5.Kontribuzzjonijiet ta’ partijiet terzi
Il-proposta/l-inizjattiva:
–
ma tipprevedix kofinanzjament minn partijiet terzi
–
tipprevedi l-kofinanzjament minn partijiet terzi kif stmat hawn taħt:
Approprjazzjonijiet f’miljuni ta’ EUR (aġġustati ’l fuq għal tliet pożizzjonijiet deċimali)
|
Sena
N
|
Sena
N+1
|
Sena
N+2
|
Sena
N+3
|
Daħħal is-snin kollha li hemm bżonn biex turi d-durata tal-impatt (ara l-punt 1.6)
|
Total
|
Speċifika l-korp ta’ kofinanzjament
|
|
|
|
|
|
|
|
|
TOTAL tal-approprjazzjonijiet kofinanzjati
|
|
|
|
|
|
|
|
|
3.3.Impatt stmat fuq id-dħul
–
Il-proposta/l-inizjattiva ma għandha l-ebda impatt finanzjarju fuq id-dħul.
–
Il-proposta/l-inizjattiva għandha l-impatt finanzjarju li ġej:
–
fuq ir-riżorsi proprji
–
fuq dħul ieħor
–jekk jogħġbok indika, jekk id-dħul hux assenjat għal-linji tan-nefqa
miljuni ta’ EUR (għal tliet pożizzjonijiet deċimali)
Linja baġitarja tad-dħul:
|
Approprjazzjonijiet disponibbli għas-sena finanzjarja attwali
|
Impatt tal-proposta/tal-inizjattiva
|
|
|
Sena
N
|
Sena
N+1
|
Sena
N+2
|
Sena
N+3
|
Daħħal is-snin kollha li hemm bżonn biex turi d-durata tal-impatt (ara l-punt 1.6)
|
L-Artikolu ………….
|
|
|
|
|
|
|
|
|
Għal dħul assenjat, speċifika l-linja/i baġitarja/i tan-nefqa affettwata/i.
Rimarki oħra (eż. il-metodu/il-formula li ntużaw biex jiġi kkalkolat l-impatt fuq id-dħul jew kwalunkwe informazzjoni oħra).