(1)

Id-Direttiva (UE) 2016/1148 tal-Parlament Ewropew u tal-Kunsill (4) kellha l-għan li tibni l-kapaċitajiet taċ-ċibersigurtà madwar l-Unjoni, li timmitiga t-theddid għan-network u s-sistemi tal-informazzjoni użati biex jipprovdu servizzi essenzjali f'setturi ewlenin, u li tiżgura l-kontinwità ta' tali servizzi meta jiffaċċjaw inċidenti, u b'hekk tikkontribwixxi għas-sigurtà tal-Unjoni u għall-funzjonament effettiv tal-ekonomija u s-soċjetà tagħha .

(2)

Mid-dħul fis-seħħ tad-Direttiva (UE) 2016/1148, sar progress sinifikanti biex jiżdied il-livell tar-reżiljenza ċibernetika tal-Unjoni. Ir-rieżami ta' dik id-Direttiva wera li serviet ta' katalist għall-approċċ istituzzjonali u regolatorju għaċ-ċibersigurtà fl-Unjoni, u b'hekk wittiet it-triq għal bidla sinifikanti fil-mentalità. Dik id-Direttiva żgurat it-tlestija tal-oqfsa nazzjonali dwar is-sigurtà tan-networks u tas-sistemi tal-informazzjoni billi stabbiliet strateġiji nazzjonali dwar is-sigurtà tan-networks u tas-sistemi tal-informazzjoni u billi stabbiliet kapaċitajiet nazzjonali u implimentat miżuri regolatorji li jkopru l-infrastrutturi essenzjali u l-entitajiet identifikati minn kull Stat Membru. Id-Direttiva (UE) 2016/1148 ikkontribwiet ukoll għall-kooperazzjoni fil-livell tal-Unjoni permezz tal-istabbiliment tal-Grupp ta' Kooperazzjoni u n-network ta' skwadri nazzjonali ta' rispons għal inċidenti relatati mas-sigurtà tal-kompjuters. Minkejja dawk il-kisbiet, ir-rieżami tad-Direttiva (UE) 2016/1148 żvela nuqqasijiet inerenti li jostakolawha milli tindirizza b'mod effettiv l-isfidi attwali u emerġenti taċ-ċibersigurtà.

(3)

In-network u s-sistemi tal-informazzjoni żviluppaw f'karatteristika ċentrali tal-ħajja ta' kuljum bit-trasformazzjoni diġitali rapida u l-interkonnettività tas-soċjetà, inkluż fi skambji transfruntieri. Dak l-iżvilupp wassal għal espansjoni tax-xenarju tat-theddid ċibernetiku, li rriżulta fi sfidi ġodda, li jeħtieġu risponsi adattati, ikkoordinati u innovattivi fl-Istati Membri kollha. L-għadd, id-daqs, is-sofistikazzjoni, il-frekwenza u l-impatt tal-inċidenti qed jiżdiedu, u qed jippreżentaw theddida mill-akbar għall-funzjonament tan-network u s-sistemi tal-informazzjoni. B'riżultat ta' dan, l-inċidenti jistgħu jostakolaw it-twettiq ta' attivitajiet ekonomiċi fis-suq intern, jiġġeneraw telf finanzjarju, jimminaw il-kunfidenza tal-utenti u jikkawżaw ħsara kbira lill-ekonomija u lis-soċjetà tal-Unjoni. Għalhekk, l-istat ta' tħejjija u l-effettività taċ-ċibersigurtà issa huma essenzjali aktar minn qatt qabel għall-funzjonament tajjeb tas-suq intern. Barra minn hekk, iċ-ċibersigurtà hija faċilitatur ewlieni biex ħafna setturi kritiċi jħaddnu b'suċċess it-trasformazzjoni diġitali u jieħdu vantaġġ sħiħ mill-benefiċċji ekonomiċi, soċjali u sostenibbli tad-diġitalizzazzjoni.

(4)

Il-bażi ġuridika tad-Direttiva (UE) 2016/1148 kienet l-Artikolu 114 tat-Trattat dwar il-Funzjonament tal-Unjoni Ewropea (TFUE), li l-objettiv tiegħu huwa l-istabbiliment u l-funzjonament tas-suq intern permezz tat-tisħiħ tal-miżuri għall-approssimazzjoni tar-regoli nazzjonali. Ir-rekwiżiti taċ-ċibersigurtà imposti fuq l-entitajiet li jipprovdu servizzi jew li jwettqu attivitajiet li huma ekonomikament sinifkanti jvarjaw b'mod konsiderevoli fost l-Istati Membri mil-lat ta' tip ta' rekwiżit, il-livell ta' dettall tagħhom u l-metodu tas-superviżjoni. Dawk id-differenzi jinvolvu kostijiet addizzjonali u joħolqu diffikultajiet għall-entitajiet li joffru prodotti jew servizzi transfruntieri. Rekwiżiti imposti minn Stat Membru li huma differenti minn dawk imposti minn Stat Membru ieħor, jew saħansitra f'kunflitt magħhom, jistgħu jaffettwaw b'mod sostanzjali tali attivitajiet transfruntieri. Barra minn hekk, il-possibbiltà ta' tfassil jew implimentazzjoni inadegwati ta' rekwiżiti taċ-ċibersigurtà fi Stat Membru wieħed aktarx ikollha riperkussjonijiet fuq il-livell taċ-ċibersigurtà ta' Stati Membri oħra, b'mod partikolari minħabba l-intensità tal-iskambji transfruntieri. Ir-rieżami tad-Direttiva (UE) 2016/1148 wera diverġenza wiesgħa fl-implimentazzjoni tagħha mill-Istati Membri, inkluż fir-rigward tal-kamp ta' applikazzjoni tagħha, minħabba li l-Istati Membri ngħataw livell għoli ta' diskrezzjoni dwar id-delimitazzjoni tiegħu. Id-Direttiva (UE) 2016/1148 tat ukoll diskrezzjoni wiesgħa ħafna lill-Istati Membri fir-rigward tal-implimentazzjoni tal-obbligi ta' rapportar dwar is-sigurtà u l-inċidenti, stipulati fiha. Għalhekk, dawk l-obbligi ġew implimentati b'modi ferm differenti fil-livell nazzjonali. Jeżistu diverġenzi simili fl-implimentazzjoni tad-dispożizzjonijiet tad-Direttiva (UE) 2016/1148 dwar s-superviżjoni u l-infurzar.

(5)

Dawk id-diverġenzi kollha jinvolvu frammentazzjoni tas-suq intern u jistgħu jħallu effett preġudizzjarju fuq il-funzjonament tiegħu, li jaffettwa b'mod partikolari l-forniment transfruntier ta' servizzi u l-livell ta' reżiljenza ċibernetika minħabba l-applikazzjoni ta' varjetà ta' miżuri. Fl-aħħar mill-aħħar, dawn id-diverġenzi jistgħu jwasslu biex xi Stati Membri jsiru aktar vulnerabbli għat-theddid ċibernetiku, b'effetti konsegwenzjali potenzjali fl-Unjoni kollha. Din id-Direttiva għandha l-għan li telimina dawn id-diverġenzi wiesgħa minn fost l-Istati Membri, b'mod partikolari billi tistabbilixxi regoli minimi dwar il-funzjonament ta' qafas regolatorju kkoordinat, billi tistabbilixxi mekkaniżmi għal kooperazzjoni effettiva fost l-awtoritajiet responsabbli f'kull Stat Membru, billi taġġorna l-lista ta' setturi u attivitajiet soġġetti għall-obbligi taċ-ċibersigurtà u billi tipprovdi rimedji u miżuri ta' infurzar effettivi li huma kruċjali għall-infurzar effettiv ta' dawk l-obbligi. Għalhekk, id-Direttiva (UE) 2016/1148 jenħtieġ titħassar u tiġi sostitwita b'din id-Direttiva.

(6)

Bir-revoka tad-Direttiva (UE) 2016/1148, il-kamp ta' applikazzjoni skont is-setturi jenħtieġ li jiġi estiż għal parti akbar tal-ekonomija biex jipprovdu kopertura komprensiva tas-setturi u s-servizzi ta' importanza fundamentali għall-attivitajiet soċjetali u ekonomiċi ewlenin fis-suq intern. B'mod partikolari, din id-Direttiva għandha l-għan li tegħleb in-nuqqasijiet tad-divrenzjar bejn operaturi ta' servizzi essenzjali u fornituri ta' servizzi diġitali, li ntwera b'mod ċar li huwa obsolet, għax ma jirriflettix l-importanza tas-setturi jew tas-servizzi għall-attivitajiet soċjetali u ekonomiċi fis-suq intern.

(7)

Taħt id-Direttiva (UE) 2016/1148, l-Istati Membri kellhom ir-responsabbiltà li jidentifikaw l-entitajiet li kienu jissodisfaw il-kriterji biex jikkwalifikaw bħala operaturi ta' servizzi essenzjali. Biex jiġu eliminati d-diverġenzi wiesgħa fost l-Istati Membri f'dak ir-rigward u tiġi żgurata ċ-ċertezza legali fir-rigward tal-miżuri tal-ġestjoni tar-riskji taċ-ċibersigurtà u l-obbligi ta' rapportar għall-entitajiet rilevanti kollha, jenħtieġ li jiġi stabbilit kriterju uniformi li jiddetermina l-entitajiet li jaqgħu fil-kamp ta' applikazzjoni ta' din id-Direttiva. Dak il-kriterju jenħtieġ li jikkonsisti fl-applikazzjoni ta' regola dwar id-daqs massimu, fejn l-entitajiet kollha li jikkwalifikaw bħala intrapriżi żgħar u ta' daqs medju skont l-Artikolu 2 tal-Anness tar-Rakkomandazzjoni tal-Kummissjoni 2003/361/KE (5), jew jaqbżu l-limitu massimu għal intrapriżi żgħar u ta' daqs medju previst fil-paragrafu 1 ta' dak l-Artikolu, u li joperaw fis-setturi u jipprovdu t-tipi ta' servizz jew iwettqu l-attivitajiet koperti minn din id-Direttiva, jaqgħu fil-kamp ta' applikazzjoni tagħha. Jenħtieġ li l-Istati Membri jipprevedu wkoll ċerti intrapriżi żgħar u mikrointrapriżi, kif definit fl-Artikolu 2(2) u (3) ta' dak l-Anness li jissodisfaw kriterji speċifiċi li jindikaw rwol ewlieni għas-soċjetà għall-ekonomiji jew għal setturi jew tipi ta' servizz partikolari jaqgħu fil-kamp ta' applikazzjoni ta' din id-Direttiva.

(8)

L-esklużjoni tal-entitajiet tal-amministrazzjoni pubblika mill-kamp ta' applikazzjoni ta' din id-Direttiva jenħtieġ li tapplika għall-entitajiet li l-attivitajiet tagħhom jitwettqu fil-biċċa l-kbira fl-oqsma tas-sigurtà nazzjonali, is-sigurtà pubblika, id-difiża jew l-infurzar tal-liġi, inkluż il-prevenzjoni, l-investigazzjoni, id-detezzjoni u l-prosekuzzjoni ta' reati kriminali. Madankollu, l-entitajiet tal-amministrazzjoni pubblika li l-attivitajiet tagħhom huma biss marġinalment relatati ma' dawk l-oqsma jenħtieġ li ma jiġux esklużi mill-kamp ta' applikazzjoni ta' din id-Direttiva. Għall-finijiet ta' din id-Direttiva, entitajiet b'kompetenzi regolatorji mhumiex ikkunsidrati li jwettqu attivitajiet fil-qasam tal-infurzar tal-liġi u, għalhekk, mhumiex esklużi għal dik ir-raġuni mill-kamp ta' applikazzjoni ta' din id-Direttiva. L-entitajiet tal-amministrazzjoni pubblika li huma stabbiliti b'mod konġunt ma' pajjiż terz f'konformità ma' ftehim internazzjonali huma esklużi mill-kamp ta' applikazzjoni ta' din id-Direttiva. Din id-Direttiva ma tapplikax għall-missjonijiet diplomatiċi u konsulari tal-Istati Membri f'pajjiżi terzi jew għan-networks u s-sistemi tal-informazzjoni tagħhom, meta tali sistemi jkunu lokalizzati fil-bini tal-missjoni jew jitħaddmu għal utenti f'pajjiż terz.

(9)

Jenħtieġ li l-Istati Membri jkunu jistgħu jieħdu l-miżuri meħtieġa biex jiżguraw il-protezzjoni tal-interessi essenzjali tas-sigurtà nazzjonali, jissalvagwardjaw il-politika pubblika u s-sigurtà pubblika, u jippermettu l-prevenzjoni, l-investigazzjoni, id-detezzjoni u l-prosekuzzjoni ta' reati kriminali. Għal dak il-għan, jenħtieġ li l-Istati Membri jkunu jistgħu jeżentaw lil entitajiet speċifiċi li jwettqu attivitajiet fl-oqsma tas-sigurtà nazzjonali, is-sigurtà pubblika, id-difiża jew l-infurzar tal-liġi, inkluż il-prevenzjoni, l-investigazzjoni, id-detezzjoni u l-prosekuzzjoni ta' reati kriminali, minn ċerti obbligi stipulati f'din id-Direttiva fir-rigward ta' dawk l-attivitajiet. Fejn entità tipprovdi servizzi esklużivament lil entità tal-amministrazzjoni pubblika eskluża mill-kamp ta' applikazzjoni ta' din id-Direttiva, jenħtieġ li l-Istati Membri jkunu jistgħu jeżentaw lil dik l-entità minn ċerti obbligi stipulati f'din id-Direttiva fir-rigward ta' dawk is-servizzi. Barra minn hekk, jenħtieġ li l-ebda Stat Membru ma jkun obbligat jipprovdi informazzjoni li d-divulgazzjoni tagħha tista' tmur kontra l-interessi essenzjali tas-sigurtà nazzjonali, is-sigurtà pubblika jew id-difiża tiegħu. Ir-regoli nazzjonali jew tal-Unjoni għall-protezzjoni tal-informazzjoni klassifikata, il-ftehimiet ta' nondivulgazzjoni, u l-ftehimiet ta' nondivulgazzjoni informali bħall-protokoll dwar il-kondiviżjoni tal-informazzjoni (Traffic Light Protocol), għandhom jitqiesu f'dak il-kuntest. Jenħtieġ li l-protokoll dwar il-kondiviżjoni tal-informazzjoni jinftiehem li huwa mezz biex tingħata informazzjoni dwar kwalunkwe limitazzjoni rigward it-tixrid ulterjuri tal-istess informazzjoni. Jintuża kważi fl-iskwadri ta' rispons għal inċidenti relatati mas-sigurtà tal-kompjuters (CSIRTs) kollha u f'xi ċentri tal-kondiviżjoni u tal-analiżi tal-informazzjoni.

(10)

Għalkemm din id-Direttiva tapplika għall-entitajiet li jwettqu attivitajiet fil-produzzjoni tal-elettriku minn impjanti tal-enerġija nukleari, uħud minn dawk l-attivitajiet jistgħu jkunu marbuta mas-sigurtà nazzjonali. F'dan il-każ, Stat Membru jenħtieġ li jkun jista' jeżerċita r-responsabbiltà tiegħu għas-salvagwardja tas-sigurtà nazzjonali fir-rigward ta' dawk l-attivitajiet, inklużi attivitajiet fil-katina tal-valur nukleari, f'konformità mat-Trattati.

(11)

Xi entitajiet iwettqu attivitajiet fl-oqsma tas-sigurtà nazzjonali, is-sigurtà pubblika, id-difiża jew l-infurzar tal-liġi, inkluż il-prevenzjoni, l-investigazzjoni, id-detezzjoni jew il-prosekuzzjoni ta' reati kriminali, filwaqt li jipprovdu wkoll servizzi fiduċjarji. Il-fornituri ta' servizzi fiduċjarji li jaqgħu fil-kamp ta' applikazzjoni tar-Regolament (UE) Nru 910/2014 tal-Parlament Ewropew u tal-Kunsill (6) jenħtieġ li jaqgħu fil-kamp ta' applikazzjoni ta' din id-Direttiva sabiex jiġi żgurat l-istess livell ta' rekwiżiti tas-sigurtà u superviżjoni bħal dak stabbilit preċedentement f'dak ir-Regolament fir-rigward ta' fornituri ta' servizzi fiduċjarji. F'konformità mal-esklużjoni ta' ċerti servizzi speċifiċi mir-Regolament (UE) Nru 910/2014, jenħtieġ li din id-Direttiva ma tapplikax għall-forniment ta' servizzi fiduċjarji li jintużaw esklużivament f'sistemi magħluqa li jirriżultaw mil-liġi nazzjonali jew minn ftehimiet bejn grupp ta' parteċipanti definit.

(12)

Il-fornituri tas-servizzi postali kif definiti fid-Direttiva 97/67/KE tal-Parlament Ewropew u tal-Kunsill (7), inklużi l-fornituri ta' servizzi tal-kurrier, jenħtieġ li jkunu soġġetti għal din id-Direttiva jekk jipprovdu mill-inqas wieħed mill-istadji fil-katina tat-twassil postali, b'mod partikolari l-ikklerjar, l-issortjar, it-trasport jew id-distribuzzjoni ta' oġġetti postali, inklużi servizzi ta' ġbir, filwaqt li jitqies il-livell ta' dipendenza li jkollhom minn sistemi ta' networks u ta' informazzjoni. Is-servizzi tat-trasport li ma jitwettqux flimkien ma' wieħed minn dawk il-passi jenħtieġ li jkunu esklużi mill-ambitu tas-servizzi postali.

(13)

Fid-dawl tal-intensifikazzjoni u ż-żieda fis-sofistikazzjoni tat-theddid ċibernetiku, jenħtieġ li l-Istati Membri jistinkaw biex jiżguraw li l-entitajiet esklużi mill-kamp ta' applikazzjoni ta' din id-Direttiva jiksbu livell għoli ta' ċibersigurtà, u jappoġġaw l-implimentazzjoni ta' miżuri ta' ġestjoni tar-riskju taċ-ċibersigurtà ekwivalenti li jirriflettu n-natura sensittiva ta' dawk l-entitajiet.

(14)

Il-liġi tal-Unjoni dwar il-protezzjoni tad-data u l-liġi tal-Unjoni dwar il-privatezza tapplika għal kwalunkwe pproċessar tad-data personali skont din id-Direttiva. B'mod partikolari, din id-Direttiva hija mingħajr preġudizzju għar-Regolament (UE) 2016/679 tal-Parlament Ewropew u tal-Kunsill (8) u d-Direttiva 2002/58/KE tal-Parlament Ewropew u tal-Kunsill (9). Għaldaqstant jenħtieġ li din id-Direttiva ma taffettwax, fost l-oħrajn, il-kompiti u s-setgħat tal-awtoritajiet kompetenti għall-monitoraġġ tal-konformità mal-liġi applikabbli tal-Unjoni dwar il-protezzjoni tad-data u l-liġi tal-Unjoni dwar il-privatezza.

(15)

L-entitajiet li jaqgħu fil-kamp ta' applikazzjoni ta' din id-Direttiva għal finijiet ta' konformità mal-miżuri ta' ġestjoni tar-riskji taċ-ċibersigurtà u l-obbligi ta' rapportar jenħtieġ li jiġu kklassifikati f'żewġ kategoriji, jiġifieri entitajiet essenzjali u entitajiet importanti, li jirriflettu l-livell ta' kritikalità tagħhom rigward tas-settur tagħhom jew tat-tip ta' servizz li joffru, kif ukoll id-daqs tagħhom. F'dan ir-rigward, jenħtieġ li jittieħed kont debitu ta' kwalunkwe valutazzjoni tar-riskju jew gwida settorjali rilevanti mill-awtoritajiet kompetenti, fejn applikabbli. Ir-reġimi superviżorji u ta' infurzar għal dawn iż-żewġ kategoriji ta' entitajiet jenħtieġ li jiġu divrenzjati biex jiġi żgurat bilanċ ġust bejn ir-rekwiżiti u l-obbligi bbażati fuq ir-riskju minn naħa, u l-piż amministrattiv li jirriżulta mis-superviżjoni tal-konformità min-naħa l-oħra.

(16)

Sabiex jiġi evitat li entitajiet li għandhom intrapriżi sħab jew li huma intrapriżi assoċjati jitqiesu bħala entitajiet essenzjali jew importanti fejn dan ikun sproporzjonat, l-Istati Membri jistgħu jqisu l-grad ta' indipendenza li entità tgawdi fir-rigward tas-sieħba tagħha jew ta' intrapriżi relatati fl-applikazzjoni tal-Artikolu 6(2) tal-Anness tar-Rakkomandazzjoni 2003/361/KE. B'mod partikolari, l-Istati Membri jistgħu jqisu l-fatt li entità hija indipendenti mis-sieħba tagħha jew mill-intrapriżi assoċjati tagħha f'termini tan-networks u tas-sistemi tal-informazzjoni li dik l-entità tuża fil-forniment tas-servizzi tagħha u f'termini tas-servizzi li tipprovdi l-entità. Fuq dik il-bażi, meta jkun xieraq, l-Istati Membri jistgħu jikkunsidraw li tali entità ma tikkwalifikax bħala intrapriża ta' daqs medju skont l-Artikolu 2 tal-Anness tar-Rakkomandazzjoni 2003/361/KE, jew ma taqbiżx il-limiti massimi għal impriża ta' daqs medju previsti fil-paragrafu 1 ta' dak l-Artikolu, jekk, wara li jittieħed kont tal-grad ta' indipendenza ta' dik l-entità, dik l-entità ma tkunx ġiet ikkunsidrata li tikkwalifika bħala intrapriża ta' daqs medju jew li taqbeż dawk il-limiti massimi fil-każ li tkun ittieħdet inkunsiderazzjoni biss id-data tagħha stess. Dan ma jaffettwax l-obbligi stipulati f'din id-Direttiva tal-intrapriżi sħab u assoċjati li jaqgħu fil-kamp ta' applikazzjoni ta' din id-Direttiva.

(17)

L-Istati Membri jenħtieġ li jkunu jistgħu jiddeċiedu li l-entitajiet identifikati qabel id-dħul fis-seħħ ta' din id-Direttiva bħala operaturi ta' servizzi essenzjali f'konformità mad-Direttiva (UE) 2016/1148 jitqiesu bħala entitajiet essenzjali.

(18)

Sabiex tiġi żgurata ħarsa ġenerali ċara tal-entitajiet li jaqgħu fil-kamp ta' applikazzjoni ta' din id-Direttiva, jenħtieġ li l-Istati Membri jistabbilixxu lista ta' entitajiet essenzjali u importanti kif ukoll entitajiet li jipprovdu servizzi ta' reġistrazzjoni ta' ismijiet ta' dominji. Għal dak l-iskop, jenħtieġ li l-Istati Membri jitolbu lill-entitajiet jissottomettu mill-inqas l-informazzjoni li ġejja lill-awtoritajiet kompetenti, jiġifieri, l-isem, l-indirizz u d-dettalji ta' kuntatt aġġornati, inklużi l-indirizzi tal-posta elettronika, il-meded tal-IP u n-numri tat-telefon tal-entità, u, fejn applikabbli, is-settur u s-sottosettur rilevanti msemmija fl-annessi, kif ukoll, fejn applikabbli, lista tal-Istati Membri fejn jipprovdu servizzi li jaqgħu fil-kamp ta' applikazzjoni ta' din id-Direttiva. Għal dak il-għan jenħtieġ li l-Kummissjoni, bl-għajnuna tal-Aġenzija tal-Unjoni Ewropea għaċ-Ċibersigurtà (ENISA), tipprovdi, mingħajr dewmien żejjed, linji gwida u mudelli rigward l-obbligu ta' għoti ta' informazzjoni. Sabiex jiġu ffaċilitati l-istabbiliment u l-aġġornament tal-lista ta' entitajiet essenzjali u importanti kif ukoll entitajiet li jipprovdu servizzi ta' reġistrazzjoni ta' ismijiet ta' dominji, jenħtieġ li l-Istati Membri jkunu jistgħu jistabbilixxu mekkaniżmi nazzjonali li jippermettu lill-entitajiet jirreġistraw lilhom infushom. Fejn jeżistu reġistri fil-livell nazzjonali, l-Istati Membri jistgħu jiddeċiedu dwar il-mekkaniżmi xierqa li jippermettu l-identifikazzjoni tal-entitajiet li jaqgħu fil-kamp ta' applikazzjoni ta' din id-Direttiva.

(19)

Jenħtieġ li l-Istati Membri jkollhom ir-responsabbiltà li jissottomettu lill-Kummissjoni mill-inqas l-għadd ta' entitajiet essenzjali u importanti għal kull settur u sottosettur imsemmi fl-annessi, kif ukoll l-informazzjoni rilevanti dwar l-għadd ta' entitajiet identifikati u l-forniment, minn fost dawk stabbiliti f'din id-Direttiva, li abbażi tiegħu jkunu ġew identifikati, u t-tip ta' servizz li huma jipprovdu. L-Istati Membri huma mħeġġa jiskambjaw mal-Kummissjoni informazzjoni dwar l-entitajiet essenzjali u importanti u, f'każ ta' inċident ta' ċibersigurtà fuq skala kbira, informazzjoni rilevanti bħal isem l-entità kkonċernata.

(20)

Jenħtieġ li l-Kummissjoni, f'kooperazzjoni mal-Grupp ta' Kooperazzjoni u wara konsultazzjoni mal-partijiet interessati rilevanti, tipprovdi linji gwida dwar l-implimentazzjoni tal-kriterji applikabbli għall-mikrointrapriżi u l-intrapriżi żgħar biex tivvaluta jekk jaqgħux fil-kamp ta' applikazzjoni ta' din id-Direttiva. Il-Kummissjoni jenħtieġ li tiżgura wkoll li tingħata gwida xierqa lill-mikrointrapriżi u l-intrapriżi żgħar li jaqgħu fil-kamp ta' applikazzjoni ta' din id-Direttiva. Jenħtieġ li l-Kummissjoni, bl-appoġġ tal-Istati Membri, tqiegħed għad-dispożizzjoni tal-mikrointrapriżi u l-intrapriżi żgħar informazzjoni f'dan ir-rigward.

(21)

Il-Kummissjoni tista' tagħti gwida biex tassisti lill-Istati Membri fl-implimentazzjoni tad-dispożizzjonijiet ta' din id-Direttiva fir-rigward tal-kamp ta' applikazzjoni u l-evalwazzjoni tal-proporzjonalità tal-miżuri li jridu jittieħdu skont din id-Direttiva, b'mod partikolari fir-rigward ta' entitajiet b'mudelli kummerċjali jew ambjenti operattivi kumplessi, fejn entità tista' simultanjament tissodisfa l-kriterji assenjati kemm għall-entitajiet essenzjali kif ukoll għal dawk importanti, jew tista' simultanjament twettaq attivitajiet li wħud minnhom jaqgħu fil-kamp ta' applikazzjoni ta' din id-Direttiva u oħrajn huma esklużi minnu.

(22)

Din id-Direttiva tistabbilixxi l-linja bażi għall-miżuri ta' ġestjoni tar-riskji taċ-ċibersigurtà u l-obbligi ta' rapportar fis-setturi li jaqgħu fil-kamp ta' applikazzjoni tagħha. Sabiex tiġi evitata l-frammentazzjoni tad-dispożizzjonijiet dwar iċ-ċibersigurtà tal-atti legali tal-Unjoni, meta atti legali tal-Unjoni ulterjuri u speċifiċi għas-settur li jikkonċernaw miżuri ta' ġestjoni tar-riskji taċ-ċibersigurtà u obbligi ta' rapportar jitqiesu neċessarji biex jiġi żgurat livell għoli ta' ċibersigurtà fl-Unjoni kollha, jenħtieġ li l-Kummissjoni tivvaluta jekk tali dispożizzjonijiet ulterjuri jistgħux jiġu stipulati f'att ta' implimentazzjoni skont din id-Direttiva. Jekk tali att ta' implimentazzjoni ma jkunx adatti għal dak il-għan, l-atti legali tal-Unjoni speċifiċi għas-settur jistgħu jikkontribwixxu biex jiġi żgurat livell għoli ta' ċibersigurtà fl-Unjoni kollha, filwaqt li jittieħed kont sħiħ tal-ispeċifiċitajiet u l-kumplessitajiet tas-setturi kkonċernati. Għal dak il-għan, din id-Direttiva ma tipprekludix l-adozzjoni ta' aktar atti tal-Unjoni speċifiċi għas-settur li jindirizzaw miżuri ta' ġestjoni tar-riskji taċ-ċibersigurtà u obbligi ta' rapportar li jqisu kif xieraq il-ħtieġa ta' qafas taċ-ċibersigurtà komprensiv u konsistenti. Din id-Direttiva hija mingħajr preġudizzju għas-setgħat ta' implimentazzjoni eżistenti mogħtija lill-Kummissjoni f'għadd ta' setturi, inkluż it-trasport u l-enerġija.

(23)

Meta att legali tal-Unjoni speċifiku għas-settur ikun fih dispożizzjonijiet li jitolbu li l-entitajiet essenzjali jew importanti jadottaw miżuri ta' ġestjoni tar-riskji taċ-ċibersigurtà jew jinnotifikaw inċidenti sinifikanti, u meta dawk ir-rekwiżiti jkunu tal-anqas ekwivalenti fl-effett għall-obbligi stabbiliti f'din id-Direttiva, dawk id-dispożizzjonijiet, inkluż dwar is-superviżjoni u l-infurzar, jenħtieġ li japplikaw għal tali entitajiet. Jekk att legali tal-Unjoni speċifiku għas-settur ma jkoprix l-entitajiet kollha f'settur speċifiku li jaqa' fil-kamp ta' applikazzjoni ta' din id-Direttiva, id-dispożizzjonijiet rilevanti ta' din id-Direttiva jenħtieġ li jkomplu japplikaw għall-entitajiet li ma jkunux koperti minn dak l-att.

(24)

Meta d-dispożizzjonijiet tal-att legali tal-Unjoni speċifiku għas-settur jirrikjedu li l-entitajiet essenzjali jew importanti jikkonformaw mal-obbligi ta' rapportar li huma mill-inqas ekwivalenti fl-effett tagħhom għall-obbligi ta' rapportar stabbiliti f'din id-Direttiva, jenħtieġ li jiġu żgurati l-konsistenza u l-effikaċja tat-trattament tan-notifiki tal-inċidenti. Għal dak il-għan, id-dispożizzjonijiet li jirrigwardaw in-notifiki tal-inċidenti tal-att legali tal-Unjoni speċifiku għas-settur jenħtieġ li jipprovdu lis-CSIRTs, lill-awtoritajiet kompetenti jew lill-punti uniċi ta' kuntatt dwar iċ-ċibersigurtà (punti uniċi ta' kuntatt) skont din id-Direttiva aċċess immedjat għan-notifiki tal-inċidenti ppreżentati f'konformità mal-att legali tal-Unjoni speċifiku għas-settur. B'mod partikolari, tali aċċess immedjat jista' jiġi żgurat jekk in-notifiki tal-inċidenti jintbagħtu mingħajr dewmien żejjed lis-CSIRT, lill-awtorità kompetenti jew lill-punt uniku ta' kuntatt skont din id-Direttiva. Fejn xieraq, jenħtieġ li l-Istati Membri jistabbilixxu mekkaniżmu ta' rapportar awtomatiku u dirett li jiżgura l-kondiviżjoni sistematika u immedjata ta' informazzjoni mas-CSIRTs, l-awtoritajiet kompetenti jew il-punti uniċi ta' kuntatt dwar it-trattament ta' tali notifiki tal-inċidenti. Għall-fini tas-simplifikazzjoni tar-rapportar u tal-implimentazzjoni tal-mekkaniżmu ta' rapportar awtomatiku u dirett, l-Istati Membri jistgħu, f'konformità mal-att legali tal-Unjoni speċifiku għas-settur, jużaw punt ta' dħul uniku.

(25)

L-atti legali tal-Unjoni speċifiċi għas-settur li jipprevedu miżuri ta' ġestjoni tar-riskji taċ-ċibersigurtà jew obbligi ta' rapportar li huma mill-inqas ekwivalenti fl-effett tagħhom għal dawk stabbiliti f'din id-Direttiva jistgħu jipprevedu li l-awtoritajiet kompetenti taħt tali atti jeżerċitaw is-setgħat superviżorji u ta' infurzar tagħhom fir-rigward ta' tali miżuri jew obbligi bl-assistenza tal-awtoritajiet kompetenti f'konformità ma' din id-Direttiva. L-awtoritajiet kompetenti kkonċernati jistgħu jistabbilixxu arranġamenti ta' kooperazzjoni għal dak l-iskop. Tali arranġamenti ta' kooperazzjoni jistgħu jispeċifikaw, fost l-oħrajn, il-proċeduri li jikkonċernaw il-koordinazzjoni tal-attivitajiet superviżorji, inkluż il-proċeduri tal-investigazzjonijiet u tal-spezzjonijiet fuq il-post f'konformità mal-liġi nazzjonali u mekkaniżmu għall-iskambju ta' informazzjoni rilevanti dwar is-superviżjoni u l-infurzar bejn l-awtoritajiet kompetenti, inkluż l-aċċess għal informazzjoni relatata maċ-ċibernetika mitluba mill-awtoritajiet kompetenti skont din id-Direttiva.

(26)

Fejn atti legali tal-Unjoni speċifiċi għas-settur jirrikjedu jew jipprovdu inċentivi lill-entitajiet biex jinnotifikaw theddid ċibernetiku sinifikanti, jenħtieġ li l-Istati Membri jinkoraġġixxu wkoll il-kondiviżjoni ta' theddid ċibernetiku sinifikanti mas-CSIRTs, l-awtoritajiet kompetenti jew il-punti uniċi ta' kuntatt skont din id-Direttiva, sabiex jiġi żgurat livell ogħla ta' sensibilizzazzjoni ta' dawk il-korpi dwar ix-xenarju tat-theddid ċibernetiku u sabiex ikunu jistgħu jirrispondu b'mod effettiv u f'waqtu jekk it-theddid ċibernetiku sinifikanti jimmaterjalizza ruħu.

(27)

Atti legali futuri tal-Unjoni speċifiċi għas-settur għandhom jieħdu kont debitu tad-definizzjonijiet u l-qafas superviżorju u ta' infurzar stabbiliti f'din id-Direttiva.

(28)

Ir-Regolament (UE) 2022/2554 tal-Parlament Ewropew u tal-Kunsill (10) jenħtieġ li jitqies bħala att legali tal-Unjoni speċifiku għas-settur b'relazzjoni ma' din id-Direttiva fir-rigward tal-entitajiet finanzjarji. Jenħtieġ li minflok dawk previsti f'din id-Direttiva, japplikaw id-dispożizzjonijiet tar-Regolament (UE) 2022/2554 relatati mal-ġestjoni tar-riskji tat-teknoloġija tal-informazzjoni u tal-komunikazzjoni (ICT), il-ġestjoni ta' inċidenti relatati mal-ICT u, b'mod partikolari, ir-rapportar tal-inċidenti maġġuri relatati mal-ICT, kif ukoll dwar l-ittestjar tar-reżiljenza operazzjonali diġitali, l-arranġamenti għall-kondiviżjoni tal-informazzjoni u r-riskju tal-ICT ta' parti terza. Għalhekk jenħtieġ li l-Istati Membri ma japplikawx id-dispożizzjonijiet ta' din id-Direttiva dwar il-ġestjoni tar-riskji taċ-ċibersigurtà u l-obbligi ta' rapportar, is-superviżjoni u l-infurzar għall-entitajiet finanzjarji koperti mir-Regolament (UE) 2022/2554. Fl-istess ħin, huwa importanti li tinżamm relazzjoni b'saħħitha u li jsir l-iskambju ta' informazzjoni mas-settur finanzjarju skont din id-Direttiva. Għal dak il-għan, ir-Regolament (UE) 2022/2554 jippermetti lill-Awtoritajiet Superviżorji Ewropej (ASE) u lill-awtoritajiet kompetenti skont dak ir-Regolament jipparteċipaw fl-attivitajiet tal-Grupp ta' Kooperazzjoni u jiskambjaw informazzjoni u jikkooperaw mal-punti uniċi ta' kuntatt, kif ukoll mas-CSIRTs u mal-awtoritajiet kompetenti skont din id-Direttiva. L-awtoritajiet kompetenti skont ir-Regolament (UE) 2022/2554 jenħtieġ li jittrażmettu wkoll id-dettalji ta' inċidenti kbar relatati mal-ICT u, fejn rilevanti, theddid ċibernetiku sinifikanti lis-CSIRTs, lill-awtoritajiet kompetenti jew lill-punti uniċi ta' kuntatt skont din id-Direttiva. Dan jista'jsir billi jingħata aċċess immedjat għan-notifiki tal-inċidenti u billi dawn jiġu trażmessi direttament jew permezz ta' punt ta' dħul uniku. Barra minn hekk, jenħtieġ li l-Istati Membri jkomplu jinkludu lis-settur finanzjarju fl-istrateġiji taċ-ċibersigurtà tagħhom u s-CSIRTs jistgħu jkopru s-settur finanzjarju fl-attivitajiet tagħhom.

(29)

Sabiex jiġu evitati l-lakuni jew id-duplikazzjonijiet fl-obbligi taċ-ċibersigurtà imposti fuq entitajiet fis-settur tal-avjazzjoni, l-awtoritajiet nazzjonali skont ir-Regolamenti (KE) Nru 300/2008 (11) u (UE) 2018/1139 (12) tal-Parlament Ewropew u tal-Kunsill u l-awtoritajiet kompetenti skont din id-Direttiva jenħtieġ li jikkooperaw fir-rigward tal-implimentazzjoni ta' miżuri għall-ġestjoni tar-riskji taċ-ċibersigurtà u s-superviżjoni tal-konformità ma' dawk il-miżuri fil-livell nazzjonali. Il-konformità ta' entità mar-rekwiżiti tas-sigurtà stabbiliti fir-Regolamenti (KE) Nru 300/2008 u (UE) 2018/1139 u fl-atti delegati u ta' implimentazzjoni rilevanti adottati skont dawk ir-Regolamenti tista' titqies mill-awtoritajiet kompetenti skont din id-Direttiva li tikkostitwixxi konformità mar-rekwiżiti korrispondenti stabbiliti f'din id-Direttiva.

(30)

Fid-dawl tal-interkonnessjonijiet bejn iċ-ċibersigurtà u s-sigurtà fiżika tal-entitajiet, jenħtieġ li jiġi żgurat approċċ koerenti bejn id-Direttiva (UE) 2022/2557 tal-Parlament Ewropew u tal-Kunsill (13) u din id-Direttiva. Biex jinkiseb dan, l-entitajiet identifikati bħala entitajiet kritiċi skont id-Direttiva (UE) 2022/2557 jenħtieġ li jitqiesu bħala entitajiet essenzjali skont din id-Direttiva. Barra minn hekk, kull Stat Membru jenħtieġ li jiżgura li l-istrateġija ta' ċibersigurtà nazzjonali tiegħu jipprevedi qafas ta' politika għal koordinazzjoni msaħħa f'dak l-Istat Membru l bejn l-awtoritajiet kompetenti tiegħu skont din id-Direttiva u dawk skont id-Direttiva (UE) 2022/2557 fil-kuntest tal-kondiviżjoni ta' informazzjoni dwar riskji ċibernetiċi, theddid ċibernetiku, u inċidenti kif ukoll riskji, theddid u inċidenti mhux ċibernetiċi, u l-eżerċizzju ta' kompiti superviżorji. L-awtoritajiet kompetenti skont din id-Direttiva u dawk skont id-Direttiva (UE) 2022/2557 jenħtieġ li jikkooperaw u jiskambjaw informazzjoni mingħajr dewmien żejjed, b'mod partikolari b'rabta mal-identifikazzjoni ta' entitajiet kritiċi, riskji, theddid ċibernetiku, u inċidenti kif ukoll b'rabta ma' riskji, theddid u inċidenti mhux ċibernetiċi li jaffettwaw entitajiet kritiċi, inklużi l-miżuri ta' ċibersigurtà u fiżiċi meħuda minn entitajiet kritiċi kif ukoll ir-riżultati tal-attivitajiet superviżorji mwettqa fir-rigward ta' tali entitajiet.

Barra minn hekk, sabiex jiġu ssimplifikati l-attivitajiet superviżorji bejn l-awtoritajiet kompetenti skont din id-Direttiva u dawk skont id-Direttiva (UE) 2022/2557 u jiġi minimizzat il-piż amministrattiv għall-entitajiet ikkonċernati, dawk l-awtoritajiet kompetenti jenħtieġ li jagħmlu ħilithom biex jarmonizzaw il-mudelli tan-notifika tal-inċidenti u l-proċessi superviżorji. Fejn xieraq, l-awtoritajiet kompetenti skont id-Direttiva (UE) 2022/2557 jenħtieġ li jkunu jistgħu jitolbu lill-awtoritajiet kompetenti skont din id-Direttiva jeżerċitaw is-setgħat superviżorji u ta' infurzar tagħhom fir-rigward ta' entità li hija identifikata bħala entità kritika skont id-Direttiva (UE) 2022/2557. L-awtoritajiet kompetenti skont din id-Direttiva u dawk skont id-Direttiva (UE) 2022/2557 jenħtieġ li, possibbilment f'ħin reali, jikkooperaw u jiskambjaw informazzjoni bejniethom għal dan il-għan.

(31)

L-entitajiet li jappartjenu lis-settur tal-infrastruttura diġitali huma essenzjalment ibbażati fuq in-networks u s-sistemi tal-informazzjoni u għalhekk l-obbligi imposti fuq dawk l-entitajiet skont din id-Direttiva jenħtieġ li jindirizzaw b'mod komprensiv is-sigurtà fiżika ta' tali sistemi bħala parti mill-miżuri ta' ġestjoni tar-riskji taċ-ċibersigurtà u tal-obbligi ta' rapportar tagħhom. Peress li dawk il-kwistjonijiet huma koperti b'din id-Direttiva, l-obbligi stabbiliti fil-Kapitoli III, IV u VI tad-Direttiva (UE) 2022/2557 ma japplikawx għal tali entitajiet.

(32)

Iż-żamma u l-preservazzjoni ta' sistema tal-ismijiet ta' dominji (DNS) affidabbli, reżiljenti u sigura huma fatturi ewlieni fiż-żamma tal-integrità tal-internet u huma essenzjali għat-tħaddim kontinwu u stabbli tiegħu, li fuqu jiddependu l-ekonomija u s-soċjetà diġitali. Għalhekk, jenħtieġ li din id-Direttiva tapplika għar-reġistri tal-ismijiet ta' dominji tal-ogħla livell (TLD), u l-fornituri ta' servizzi ta' DNS li jridu jkunu mifhuma bħala entitajiet li jipprovdu servizzi ta' riżoluzzjoni tal-ismijiet ta' dominji rikursivi disponibbli pubblikament għall-utenti finali tal-internet jew servizzi ta' riżoluzzjoni tal-ismijiet ta' dominji awtorevoli għall-użu ta' partijiet terzi. Jenħtieġ li din id-Direttiva ma tapplikax għar-root name servers.

(33)

Is-servizzi tal-cloud computing jenħtieġ li jkopru servizzi diġitali li jippermettu amministrazzjoni on-demand u aċċess remot wiesa' għal ġabra skalabbli u elastika ta' riżorsi tal-computing kondiviżibbli, inkluż fejn tali riżorsi jkunu distribwiti madwar diversi postijiet. Riżorsi tal-computing jinkludu riżorsi bħal networks, servers jew infrastruttura oħra, sistemi operatorji, software, ħżin, applikazzjonijiet u servizzi. Il-mudelli tas-servizzi tal-cloud computing jinkludu, fost l-oħrajn, Infrastruttura bħala Servizz (IaaS), Pjattaforma bħala Servizz (PaaS), Software bħala Servizz (SaaS) u Network bħala Servizz (NAAs). Il-mudelli ta' implimentazzjoni tal-cloud computing jenħtieġ li jinkludu l-cloud privata, komunitarja, pubblika u ibrida. Is-servizz tal-cloud computing u l-mudelli tal-implimentazzjoni għandhom l-istess tifsira bħat-termini tal-mudelli tas-servizz u tal-implimentazzjoni definiti skont l-istandard ISO/IEC 17788:2014. Il-kapaċità tal-utent tal-cloud computing li unilateralment iforni lilu nnifsu bil-kapaċitajiet tal-computing, bħall-ħin tas-server jew il-ħżin tan-network, mingħajr interazzjoni umana mill-fornitur ta' servizz tal-cloud computing, tista' tiġi deskritta bħala amministrazzjoni on-demand.

It-terminu "aċċess remot wiesa'" jintuża biex jiddeskrivi li l-kapaċitajiet tal-cloud ikunu pprovduti fuq in-network u aċċessati permezz ta' mekkaniżmi li jippromwovu l-użu ta' pjattaformi tal-klijenti rqaq jew ħoxnin eteroġeni, inklużi telefowns ċellulari, tablets, laptops u stazzjonijiet tax-xogħol. It-terminu "skalabbli" jirreferi għar-riżorsi tal-computing li jiġu allokati b'mod flessibbli mill-fornitur tas-servizz tal-cloud, irrispettivament mill-pożizzjoni ġeografika tar-riżorsi, biex ir-riżorsi pprovduti jlaħħqu mal-fluttwazzjonijiet fid-domanda. It-terminu "ġabra elastika" jintuża biex jiddeskrivi r-riżorsi tal-computing li jiġu pprovduti u rilaxxati skont id-domanda biex iżidu u jnaqqsu malajr ir-riżorsi disponibbli skont l-ammont ta' xogħol. It-terminu "kondiviżibbli" jintuża biex jiddeskrivi r-riżorsi tal-computing ipprovduti lil diversi utenti li jkollhom aċċess komuni għas-servizzi, iżda fejn l-ipproċessar isir b'mod separat għal kull utent, għalkemm is-servizz jingħata mill-istess tagħmir elettroniku. It-terminu "distribwit" jintuża biex jiddeskrivi r-riżorsi tal-computing li jkunu jinsabu fuq kompjuters jew apparati differenti mqabbda ma' network u li jikkomunikaw u jikkoordinaw bejniethom billi jgħaddu l-messaġġi.

(34)

Minħabba t-tfaċċar ta' teknoloġiji innovattivi u mudelli kummerċjali ġodda, mudelli ġodda ta' servizz u ta' implimentazzjoni tal-cloud computing huma mistennija jidhru fis-suq intern b'rispons għall-mod kif qed jevolvu l-ħtiġijiet tal-klijenti. F'dak il-kuntest, is-servizzi tal-cloud computing jistgħu jitwasslu f'forma distribwita ħafna, anki eqreb għal fejn tkun qed tiġi ġġenerata jew miġbura d-data, u b'hekk jimxu mill-mudell tradizzjonali għal wieħed distribwit ħafna ("edge computing").

(35)

Is-servizzi offruti mill-fornituri tas-servizzi ta' ċentru tad-data mhux dejjem jistgħu jiġu pprovduti fl-għamla ta' servizz tal-cloud computing. Għaldaqstant, iċ-ċentri tad-data mhux dejjem ikunu jikkostitwixxu parti mill-infrastruttura tal-cloud computing. Biex jiġu ġestiti r-riskji kollha għas-sigurtà tan-network u s-sistemi tal-informazzjoni, jenħtieġ li din id-Direttiva għaldaqstant tkopri l-fornituri tas-servizzi taċ-ċentri tad-data li mhumiex servizzi tal-cloud computing. Għall-finijiet ta' din id-Direttiva, it-terminu "servizz ta' ċentru tad-data" jenħtieġ li jkopri l-forniment ta' servizz li jinkludi strutturi, jew gruppi ta' strutturi, iddedikati għall-akkomodazzjoni ċentralizzata, l-interkonnessjoni u t-tħaddim ta' tagħmir tat-teknoloġija tal-informazzjoni (IT) u tan-network li jipprovdi servizzi ta' ħżin, ipproċessar u trasport tad-data flimkien mal-faċilitajiet u l-infrastrutturi kollha għad-distribuzzjoni tal-enerġija u l-kontroll ambjentali. It-terminu "servizz ta' ċentru tad-data" jenħtieġ li ma japplikax għaċ-ċentri tad-data korporattivi interni li jkunu proprjetà tal-entità kkonċernata u operati minnha għall-finijiet tagħha stess.

(36)

L-attivitajiet ta' riċerka għandhom rwol ewlieni fl-iżvilupp ta' prodotti u proċessi ġodda. Ħafna minn dawk l-attivitajiet jitwettqu minn entitajiet li jikkondividu, ixerrdu jew jisfruttaw ir-riżultati tar-riċerka tagħhom għal skopijiet kummerċjali. Għalhekk, dawk l-entitajiet jistgħu jkunu atturi importanti fil-ktajjen tal-valur, li jagħmel is-sigurtà tan-networks u tas-sistemi tal-informazzjoni tagħhom parti integrali miċ-ċibersigurtà ġenerali tas-suq intern. Organizzazzjonijiet tar-riċerka jenħtieġ li jinftiehmu li jinkludu entitajiet li jiffukaw parti essenzjali mill-attivitajiet tagħhom fuq it-twettiq ta' riċerka applikata jew żvilupp sperimentali, fit-tifsira tal-Manwal ta' Frascati tal-2015 tal-Organizzazzjoni għall-Kooperazzjoni u l-Iżvilupp Ekonomiċi: Linji Gwida għall-Ġbir u r-Rapportar ta' Data dwar ir-Riċerka u l-Iżvilupp Sperimentali, bil-ħsieb li r-riżultati tagħhom jiġu sfruttati għal skopijiet kummerċjali, bħall-manifattura jew l-iżvilupp ta' prodott jew proċess, il-forniment ta' servizz, jew il-kummerċjalizzazzjoni tiegħu.

(37)

L-interdipendenzi li qed jikbru huma r-riżultat ta' network dejjem aktar transfruntier u interdipendenti ta' forniment ta' servizzi li juża infrastrutturi ewlenin madwar l-Unjoni fis-setturi bħall-enerġija, it-trasport, l-infrastruttura diġitali, l-ilma tax-xorb u l-ilma mormi, is-saħħa, ċerti aspetti tal-amministrazzjoni pubblika, kif ukoll l-ispazju fejn jidħol il-forniment ta' ċerti servizzi dipendenti fuq infrastrutturi bbażati fuq l-art li huma proprjetà tal-Istati Membru u ġestiti u operati minnhom jew minn partijiet privati, u għalhekk ma jkoprux infrastrutturi li huma proprjetà tal-Unjoni, ġestiti jew operati minnha jew f'isimha bħala parti mill-programm spazjali tagħha. Dawk l-interdipendenzi jfissru li kull tfixkil, anke wieħed inizjalment limitat għal entità waħda jew għal settur wieħed, jista' jkollhom effetti kaskata b'mod aktar wiesa', li potenzjalment joħolqu impatti negattivi estensivi u dejjiema fit-twassil ta' servizzi madwar is-suq intern kollu. L-attakki ċibernetiċi intensifikati kontra s-sistemi tal-informazzjoni waqt il-pandemija tal-COVID-19 ħarġu fid-dieher il-vulnerabbiltà ta' soċjetajiet dejjem aktar interdipendenti quddiem riskji ta' probabbiltà baxxa.

(38)

Fid-dawl tad-differenzi fl-istrutturi nazzjonali ta' governanza u biex jiġu salvagwardjati l-arranġamenti settorjali jew il-korpi superviżorji u regolatorji tal-Unjoni diġà eżistenti, l-Istati Membri jenħtieġ li jkunu jistgħu jaħtru jew jistabbilixxu awtorità kompetenti waħda jew aktar responsabbli għaċ-ċibersigurtà u għall-kompiti superviżorji skont din id-Direttiva.

(39)

Biex jiġu ffaċilitati l-kooperazzjoni u l-komunikazzjoni transfruntieri fost l-awtoritajiet u biex din id-Direttiva tkun tista' tiġi implimentata b'mod effettiv, huwa meħtieġ li kull Stat Membru jaħtar punt uniku ta' kuntatt responsabbli mill-koordinazzjoni ta' kwistjonijiet relatati mas-sigurtà tan-network u s-sistemi tal-informazzjoni u l-kooperazzjoni transfruntiera fil-livell tal-Unjoni.

(40)

Il-punti uniċi ta' kuntatt jenħtieġ li jiżguraw kooperazzjoni transfruntiera effettiva mal-awtoritajiet rilevanti ta' Stati Membri oħra u, fejn xieraq, mal-Kummissjoni u mal-ENISA. Għalhekk, il-punti uniċi ta' kuntatt jenħtieġ li jingħataw il-kompitu li jibagħtu n-notifiki ta' inċidenti sinifikanti b'impatt transfruntier lill-punti uniċi ta' kuntatt ta' Stati Membri oħra affettwati fuq talba tas-CSIRT jew tal-awtorità kompetenti. Fil-livell nazzjonali, jenħtieġ li l-punti uniċi ta' kuntatt jippermettu kooperazzjoni transsettorjali bla xkiel ma' awtoritajiet kompetenti oħra. Il-punti uniċi ta' kuntatt jistgħu jkunu wkoll id-destinatarji ta' informazzjoni rilevanti dwar inċidenti li jikkonċernaw lil entitajiet tas-settur finanzjarju mill-awtoritajiet kompetenti skont ir-Regolament (UE) 2022/2554 li jenħtieġ li jkunu jistgħu jibagħtu, kif xieraq, lis-CSIRTs jew lill-awtoritajiet kompetenti skont din id-Direttiva.

(41)

L-Istati Membri jenħtieġ li jkunu mgħammra b'mod adegwat, kemm f'dak li jirrigwarda l-kapaċitajiet tekniċi kif ukoll dawk organizzattivi, biex jipprevjenu, jiddetettaw, jirreaġixxu għal, u jtaffu l-inċidenti u r-riskji. Għalhekk, jenħtieġ li l-Istati Membri jistabbilixxu jew jaħtru CSIRT waħda jew aktar skont din id-Direttiva u jiżguraw li dawn ikollhom riżorsi u kapaċitajiet tekniċi adegwati. Is-CSIRTs jenħtieġ li jkunu konformi mar-rekwiżiti stabbiliti f'din id-Direttiva biex jiżguraw kapaċitajiet effettivi u kompatibbli li jindirizzaw l-inċidenti u r-riskji u jiżguraw kooperazzjoni effiċjenti fil-livell tal-Unjoni. L-Istati Membri jenħtieġ li jkunu jistgħu jaħtru skwadri ta' rispons għal emerġenzi relatati mal-kompjuters ("CERTs") eżistenti bħala CSIRTs. Sabiex tittejjeb ir-relazzjoni ta' fiduċja bejn l-entitajiet u s-CSIRTs, meta CSIRT tkun parti mill-awtorità kompetenti, l-Istati Membri jenħtieġ li jkunu jistgħu jikkunsidraw is-separazzjoni funzjonali bejn il-kompiti operazzjonali pprovduti mis-CSIRTs, b'mod partikolari fir-rigward tal-kondiviżjoni tal-informazzjoni u l-assistenza mogħtija lill-entitajiet, u l-attivitajiet superviżorji tal-awtoritajiet kompetenti.

(42)

Is-CSIRTs għandhom il-kompitu li jittrattaw l-inċidenti. Dan jinkludi l-ipproċessar ta' volumi kbar ta' data kultant sensittiva. Jenħtieġ li l-Istati Membri jiżguraw li s-CSIRTs ikollhom infrastruttura għall-kondiviżjoni u l-ipproċessar tal-informazzjoni, kif ukoll persunal mgħammar tajjeb, li jiżgura l-kunfidenzjalità u l-affidabbiltà tal-operazzjonijiet tagħhom. Is-CSIRTs jistgħu jadottaw ukoll kodiċijiet ta' kondotta f'dak ir-rigward.

(43)

Fir-rigward tad-data personali, is-CSIRTs jenħtieġ li jkunu jistgħu jipprovdu, f'konformità mar-Regolament (UE) 2016/679 , fuq talba ta' entità essenzjali jew importanti, skennjar proattiv tan-network u s-sistemi tal-informazzjoni użati għall-forniment tas-servizzi tal-entità. Fejn applikabbli, jenħtieġ li l-Istati Membri jimmiraw li jiżguraw livell ugwali ta' kapaċitajiet tekniċi għas-CSIRTs settorjali kollha. L-Istati Membri jenħtieġ li jkunu jistgħu jitolbu l-assistenza tal-ENISA fl-iżvilupp tas-CSIRTs tagħhom.

(44)

Jenħtieġ li s-CSIRTs, fuq talba ta' entità essenzjali jew importanti, ikollhom il-kapaċità li jimmonitorjaw l-assi kollha tal-entità esposti għall-internet, kemm fuq il-post kif ukoll mhux fuq il-post, sabiex jidentifikaw, jifhmu u jimmaniġġaw ir-riskji organizzattiv ġenerali tal-entità fir-rigward ta' kompromessi jew vulnerabbiltajiet kritiċi ta' ktajjen tal-provvista li jkunu għadhom kif ġew identifikati. Jenħtieġ li l-entità tiġi mħeġġa tikkomunika lis-CSIRT jekk tħaddimx interfaċċa ta' ġestjoni privileġġata, peress li dan jista' jaffettwa l-ħeffa tat-twettiq ta' azzjonijiet ta' mitigazzjoni.

(45)

Minħabba l-importanza tal-kooperazzjoni internazzjonali dwar iċ-ċibersigurtà, is-CSIRTs jenħtieġ li jkunu jistgħu jipparteċipaw f'networks ta' kooperazzjoni internazzjonali, apparti n-network tas-CSIRTs stabbilit b'din id-Direttiva. Għalhekk, għall-finijiet tat-twettiq tal-kompiti tagħhom, is-CSIRTs u l-awtoritajiet kompetenti jenħtieġ li jkunu jistgħu jiskambjaw informazzjoni, inkluża data personali, ma' skwadri ta' rispons għal inċidenti relatati mas-sigurtà tal-kompjuters nazzjonali jew awtoritajiet kompetenti ta' pajjiżi terzi dment li jiġu ssodisfati l-kundizzjonijiet skont il-liġi tal-Unjoni dwar il-protezzjoni tad-data għat-trasferimenti ta' data personali lil pajjiżi terzi, fost l-oħrajn dawk tal-Artikolu 49 tar-Regolament (UE) 2016/679.

(46)

L-iżgurar ta' riżorsi adegwati biex jintlaħqu l-objettivi ta' din id-Direttiva u l-għoti tal-kapaċità lill-awtoritajiet kompetenti u s-CSIRTs li jwettqu l-komptiti stipulati hawnhekk huwa essenzjali. L-Istati Membri jistgħu jintroduċu mekkaniżmu ta' finanzjament fil-livell nazzjonali biex ikopru n-nefqa meħtieġa b'rabta mat-twettiq tal-kompiti tal-entitajiet pubbliċi responsabbli miċ-ċibersigurtà fl-Istat Membru skont din id-Direttiva. Tali mekkaniżmu jenħtieġ li jkun konformi mal-liġi tal-Unjoni u jenħtieġ li jkun proporzjonat u nondiskriminatorju u jenħtieġ li jikkunsidra approċċi differenti għall-forniment ta' servizzi siguri.

(47)

In-network tas-CSIRTs jenħtieġ li jkompli jikkontribwixxi għat-tisħiħ tal-kunfidenza u l-fiduċja u jippromwovi kooperazzjoni operazzjonali rapida u effettiva fost l-Istati Membri. Sabiex tissaħħaħ il-kooperazzjoni operazzjonali fil-livell tal-Unjoni, in-network tas-CSIRTs jenħtieġ li jikkunsidra li jistieden lill-korpi u lill-aġenziji tal-Unjoni involuti fil-politika dwar iċ-ċibersigurtà, bħall-Europol, biex jieħdu sehem fil-ħidma tiegħu.

(48)

Sabiex jintlaħaq u jinżamm livell għoli ta' ċibersigurtà, l-istrateġiji nazzjonali taċ-ċibersigurtà meħtieġa skont din id-Direttiva jenħtieġ li jikkonsistu f'oqfsa koerenti li jipprovdu objettivi u prijoritajiet strateġiċi fil-qasam taċ-ċibersigurtà u l-governanza biex dawn jintlaħqu. Dawk l-istrateġiji jistgħu jkunu magħmula minn strument leġiżlattiv jew mhux leġiżlattiv wieħed jew aktar.

(49)

Il-politiki tal-iġjene ċibernetika jipprovdu l-pedamenti għall-protezzjoni tal-infrastrutturi tas-sistemi tan-networks u tal-informazzjoni, tal-hardware, tas-software u tas-sigurtà tal-applikazzjonijiet online, u d-data kummerċjali jew tal-utent finali li fuqha jiddependu l-entitajiet. Politiki tal-iġjene ċibernetika li jinkludu sett komuni ta' linja bażi ta' prattiki li jinkludu l-aġġornamenti tas-software u tal-hardware, il-bdil ta' passwords, il-ġestjoni ta' installazzjonijiet ġodda, il-limitazzjoni ta' kontijiet ta' aċċess fil-livell ta' amministratur, u l-backup tad-data, jippermettu qafas proattiv ta' stat ta' tħejjija u sikurezza u sigurtà ġenerali f'każ ta' inċidenti jew theddid ċibernetiku. L-ENISA jenħtieġ li timmonitorja u tanalizza l-politiki tal-iġjene ċibernetika tal-Istati Membri.

(50)

Is-sensibilizzazzjoni dwar iċ-ċibersigurtà u l-iġjene ċibernetika huma essenzjali biex jissaħħaħ il-livell taċ-ċibersigurtà fl-Unjoni, b'mod partikolari fid-dawl tal-għadd dejjem akbar ta' apparati konnessi li qed jintużaw dejjem aktar f'attakki ċibernetiċi. Jenħtieġ li jsiru sforzi biex tissaħħaħ is-sensibilizzazzjoni ġenerali tar-riskji relatati ma' tali apparati, filwaqt li l-valutazzjonijiet fil-livell tal-Unjoni jistgħu jgħinu biex jiġi żgurat fehim komuni ta' tali riskji fis-suq intern.

(51)

L-Istati Membri jenħtieġ li jinkoraġġixxu l-użu ta' kwalunkwe teknoloġija innovattiva, inkluża l-intelliġenza artifiċjali, li l-użu tagħha jista' jtejjeb id-detezzjoni u l-prevenzjoni ta' attakki ċibernetiċi, u b'hekk ir-riżorsi jkunu jistgħu jiġu ddevjati lejn attakki ċibernetiċi b'mod aktar effettiv. Għalhekk jenħtieġ li l-Istati Membri jinkoraġġixxu fl-attivitajiet tal-istrateġija nazzjonali taċ-ċibersigurtà tagħhom fir-riċerka u l-iżvilupp biex jiffaċilitaw l-użu ta' tali teknoloġiji, b'mod partikolari dawk relatati ma' għodod awtomatizzati jew semiawtomatizzati fiċ-ċibersigurtà, u, fejn rilevanti, il-kondiviżjoni tad-data meħtieġa għat-taħriġ tal-utenti ta' tali teknoloġija u għat-titjib tagħha. L-użu ta' kwalunkwe teknoloġija innovattiva, inkluża l-intelliġenza artifiċjali, jenħtieġ li jkun konformi mal-liġi tal-Unjoni dwar il-protezzjoni tad-data, inklużi l-prinċipji tal-protezzjoni tad-data tal-akkuratezza tad-data, il-minimizzazzjoni tad-data, il-ġustizzja u t-trasparenza, u s-sigurtà tad-data, bħall-kriptaġġ tal-ogħla livell ta' żvilupp tekniku. Ir-rekwiżiti tal-protezzjoni tad-data mid-disinn u b'mod awtomatiku stabbiliti fir-Regolament (UE) 2016/679 jenħtieġ li jiġu sfruttati bis-sħiħ.

(52)

Għodod u applikazzjonijiet taċ-ċibersigurtà b'sors miftuħ jistgħu jikkontribwixxu għal livell ogħla ta' ftuħ u jista' jkollhom impatt pożittiv fuq l-effiċjenza tal-innovazzjoni industrijali. Standards miftuħa jiffaċilitaw l-interoperabbiltà bejn l-għodod tas-sigurtà, għall-benefiċċju tas-sigurtà tal-partijiet interessati industrijali. Għodod u applikazzjonijiet taċ-ċibersigurtà b'sors miftuħ jistgħu jisfruttaw il-komunità usa' ta' żviluppaturi, u b'hekk jippermettu d-diversifikazzjoni tal-fornituri. Sors miftuħ jista' jwassal għal proċess ta' verifika aktar trasparenti tal-għodod relatati maċ-ċibersigurtà u proċess xprunat mill-komunità biex jiġu skoperti l-vulnerabbiltajiet. Għaldaqstant, l-Istati Membri jenħtieġ li jkunu jistgħu jippromwovu l-użu ta' software b'sors miftuħ u standards miftuħa billi jfittxu li jsegwu politiki relatati mal-użu ta' data miftuħa u sors miftuħ bħala parti mis-sigurtà permezz tat-trasparenza. Politiki li jippromwovu l-introduzzjoni u l-użu sostenibbli ta' għodod taċ-ċibersigurtà b'sors miftuħ huma ta' importanza partikolari għall-intrapriżi żgħar u ta' daqs medju li jħabbtu wiċċhom ma' spejjeż sinifikanti għall-implimentazzjoni, li jistgħu jiġu minimizzati billi titnaqqas il-ħtieġa ta' applikazzjonijiet jew għodod speċifiċi.

(53)

L-utilitajiet qed jiġu konnessi dejjem aktar man-networks diġitali fil-bliet, bil-għan li jittejbu n-networks tat-trasport urban, jittejbu l-faċilitajiet tal-provvista tal-ilma u tar-rimi tal-iskart u tiżdied l-effiċjenza tat-tidwil u t-tisħin tal-bini. Dawk l-utilitajiet diġitalizzati huma vulnerabbli għal attakki ċibernetiċi u f'każ ta' attakk ċibernetiku jirriskjaw li jagħmlu ħsara liċ-ċittadini fuq skala kbira minħabba l-interkonnettività tagħhom. L-Istati Membri jenħtieġ li jiżviluppaw politika li tindirizza l-iżvilupp ta' tali bliet konnessi jew intelliġenti, u l-effetti potenzjali tagħhom fuq is-soċjetà, bħala parti mill-istrateġija nazzjonali taċ-ċibersigurtà tagħhom.

(54)

F'dawn l-aħħar snin, l-Unjoni ffaċċjat żieda esponenzjali fl-attakki tar-ransomware, li fihom il-malware jikkripta d-data u s-sistemi u jitlob il-pagament ta' riskatt għar-rilaxx. Il-frekwenza u s-severità dejjem akbar tal-attakki tar-ransomware jistgħu jiġu xprunati minn diversi fatturi, bħal xejriet differenti ta' attakki, mudelli kummerċjali kriminali marbuta mar-"ransomware bħala servizz" u l-kriptovaluti, domandi ta' riskatt, u ż-żieda fl-attakki fil-katina tal-provvista. Jenħtieġ li l-Istati Membri jiżviluppaw politika li tindirizza ż-żieda f'attakki tar-ransomware bħala parti mill-istrateġija nazzjonali tagħhom dwar iċ-ċibersigurtà.

(55)

Sħubijiet pubbliċi-privati (PPPs) fil-qasam taċ-ċibersigurtà jistgħu jipprovdu qafas xieraq għall-iskambju tal-għarfien, il-kondiviżjoni tal-aħjar prattiki u l-istabbiliment ta' livell komuni ta' fehim fost il-partijiet interessati. Jenħtieġ li l-Istati Membri jippromwovu politiki li jirfdu l-istabbiliment ta' PPPs speċifiċi għaċ-ċibersigurtà. Dawn il-politiki jenħtieġ li jiċċaraw, fost oħrajn, il-kamp ta' applikazzjoni u l-partijiet interessati involuti, il-mudell ta' governanza, l-għażliet ta' finanzjament disponibbli, u l-interazzjoni fost il-partijiet interessati parteċipanti fir-rigward tal-PPPs. Il-PPPs jistgħu jisfruttaw l-għarfien espert ta' entitajiet tas-settur privat biex jassistu lill-awtoritajiet kompetenti fl-iżvilupp ta' servizzi u proċessi tal-ogħla livell ta' żvilupp tekniku inklużi l-iskambju ta' informazzjoni, twissijiet bikrija, eżerċizzji rigward theddid u inċidenti ċibernetiċi, il-ġestjoni tal-kriżijiet u l-ippjanar għar-reżiljenza.

(56)

Jenħtieġ li l-Istati Membri, fl-istrateġiji nazzjonali tagħhom taċ-ċibersigurtà, jindirizzaw il-ħtiġijiet speċifiċi taċ-ċibersigurtà tal-intrapriżi żgħar u medji. L-intrapriżi żgħar u medji jirrappreżentaw, fl-Unjoni kollha, perċentwal kbir tas-suq industrijali u kummerċjali u sikwit jitħabtu biex jadattaw ruħhom għal prattiki kummerċjali ġodda f'dinja aktar konnessa u li jinnavigaw l-ambjent diġitali, u l-impjegati jaħdmu mid-dar u n-negozju qed isir dejjem aktar online. Xi intrapriżi żgħar u medji jiffaċċjaw sfidi speċifiċi taċ-ċibersigurtà bħal għarfien ċibernetiku baxx, nuqqas ta' sigurtà tal-IT remota, l-ispiża għolja tas-soluzzjonijiet taċ-ċibersigurtà u livell ogħla ta' theddid, bħar-ransomware, li għalihom jenħtieġ li jirċievu gwida u assistenza. L-intrapriżi żgħar u medji qed isiru dejjem aktar il-mira ta' attakki fuq il-katina tal-provvista minħabba l-miżuri inqas rigorużi tagħhom f'dak li għandu x'jaqsam mal-ġestjoni tar-riskji taċ-ċibersigurtà u l-ġestjoni tal-attakki, u l-fatt li għandhom riżorsi tas-sigurtà limitati. Tali attakki fuq il-katina tal-provvista mhux biss għandhom impatt fuq l-intrapriżi żgħar u medji u l-operazzjonijiet tagħhom waħedhom iżda jista' jkollhom ukoll effett kaskata f'termini ta' attakki akbar fuq entitajiet fornuti minnhom. Jenħtieġ li l-Istati Membri, permezz tal-istrateġiji nazzjonali tagħhom dwar iċ-ċibersigurtà, jgħinu lill-intrapriżi żgħar u medji jindirizzaw l-isfidi li jiffaċċjaw fil-ktajjen tal-provvista tagħhom. Jenħtieġ li l-Istati Membri jkollhom punt ta' kuntatt għall-intrapriżi żgħar u medji fil-livell nazzjonali jew reġjonali, li jew jipprovdi gwida u assistenza lill-intrapriżi żgħar u medji jew jidderiġihom lill-korpi xierqa għal gwida u assistenza fir-rigward ta' kwistjonijiet relatati maċ-ċibersigurtà. L-Istati Membri huma mħeġġa wkoll joffru servizzi bħall-konfigurazzjoni ta' siti web u l-abilitazzjoni tal-illoggjar lill-mikrointrapriżi u l-intrapriżi żgħar li ma għandhomx dawn il-kapaċitajiet.

(57)

Bħala parti mill-istrateġiji nazzjonali tagħhom dwar iċ-ċibersigurtà, jenħtieġ li l-Istati Membri jadottaw politiki dwar il-promozzjoni ta' protezzjoni ċibernetika attiva bħala parti minn strateġija difensiva usa'. Minflok risposta reattiva, il-protezzjoni ċibernetika attiva hija l-prevenzjoni, id-detezzjoni, il-monitoraġġ, l-analiżi u l-mitigazzjoni b'mod attiv tal-ksur tas-sigurtà tan-network, flimkien mal-użu ta' kapaċitajiet installati fin-network tal-vittmi u lil hinn minnu. Dan jista' jinkludi li l-Istati Membri joffru servizzi jew għodod bla ħlas lil ċerti entitajiet, inklużi kontrolli, għodod ta' detezzjoni u servizzi ta' tneħħija self-service. Il-kapaċità ta' kondiviżjoni u komprensjoni rapidi u awtomatiċi tal-informazzjoni u l-analiżi dwar it-theddid, it-twissijiet dwar l-attività ċibernetika u l-azzjoni ta' rispons hija kruċjali biex ikun hemm unità fl-isforz biex l-attakki fuq in-networks u s-sistemi tal-informazzjoni jiġu pprevenuti, detetti, indirizzati u mblukkati b'suċċess. Il-protezzjoni ċibernetika attiva hija bbażata fuq strateġija difensiva li teskludi miżuri offensivi.

(58)

Peress li l-isfruttament tal-vulnerabbiltajiet fin-network u s-sistemi tal-informazzjoni jista' jikkawża tfixkil u ħsara sinifikanti, l-identifikazzjoni u r-rimedju malajr ta' tali vulnerabbiltajiet huma fattur importanti biex jonqos ir-riskju. Għalhekk jenħtieġ li l-entitajiet li jiżviluppaw jew jamministraw networks u sistemi ta' informazzjoni jistabbilixxu proċeduri xierqa biex jittrattaw il-vulnerabbiltajiet meta jiġu skoperti. Peress li l-vulnerabbiltajiet spiss jiġu skoperti u żvelati minn partijiet terzi, il-manifattur jew il-fornitur ta' prodotti tal-ICT jew servizzi tal-ICT jenħtieġ li jistabbilixxi wkoll il-proċeduri meħtieġa biex jirċievi informazzjoni dwar il-vulnerabbiltà mingħand partijiet terzi. F'dan ir-rigward, l-istandards internazzjonali ISO/IEC 30111 u ISO/IEC 29147 jipprovdu gwida dwar it-trattament tal-vulnerabbiltajiet u d-divulgazzjoni tal-vulnerabbiltajiet. It-tisħiħ tal-koordinazzjoni bejn il-persuni fiżiċi u ġuridiċi relatriċi u l-manifatturi jew il-fornituri ta' prodotti tal-ICT jew servizzi tal-ICT hija partikolarment importanti biex jiġi ffaċilitat il-qafas volontarju tad-divulgazzjoni tal-vulnerabbiltajiet. Id-divulgazzjoni kkoordinata tal-vulnerabbiltajiet tispeċifika proċess strutturat għar-rapportar tal-vulnerabbiltajiet lill-manifattur jew lill-fornitur tal-prodotti tal-ICT jew is-servizzi tal-ICT potenzjalment vulnerabbli b'tali mod li jkun jista' jwettaq dijanjostika u rimedju għall-vulnerabbiltà qabel ma tiġi żvelata informazzjoni dettaljata dwar il-vulnerabbiltà lil partijiet terzi jew lill-pubbliku. Id-divulgazzjoni kkoordinata tal-vulnerabbiltajiet jenħtieġ li tinkludi wkoll koordinazzjoni bejn il-persuna fiżika jew ġuridika relatriċi u l-manifattur jew il-fornitur tal-prodotti tal-ICT jew is-servizzi tal-ICT potenzjalment vulnerabbli fir-rigward tat-twaqqit tar-rimedju u l-pubblikazzjoni tal-vulnerabbiltajiet.

(59)

Il-Kummissjoni, l-ENISA u l-Istati Membri jenħtieġ li jkomplu jrawmu allinjamenti mal-istandards internazzjonali u l-aħjar prattiki eżistenti tal-industrija fil-qasam tal-ġestjoni tar-riskji taċ-ċibersigurtà, pereżempju fl-oqsma tal-valutazzjonijiet tas-sigurtà tal-ktajjen tal-provvista, il-kondiviżjoni tal-informazzjoni u d-divulgazzjoni tal-vulnerabbiltajiet.

(60)

Jenħtieġ li l-Istati Membri, f'kooperazzjoni mal-ENISA, jieħdu miżuri biex jiffaċilitaw id-divulgazzjoni kkoordinata tal-vulnerabbiltajiet billi jistabbilixxu politika nazzjonali rilevanti. Bħala parti mill-politika nazzjonali tagħhom, l-Istati Membri jenħtieġ li jimmiraw li jindirizzaw, sa fejn ikun possibbli, l-isfidi ffaċċjati mir-riċerkaturi vulnerabbli, inkluż l-esponiment potenzjali tagħhom għal responsabbiltà kriminali, f'konformità mal-leġiżlazzjoni nazzjonali. Peress li l-persuni fiżiċi u ġuridiċi li jagħmlu r-riċerka dwar il-vulnerabbiltajiet jistgħu f'xi Stati Membri jkunu esposti għal responsabbiltà kriminali u ċivili, l-Istati Membri huma mħeġġa jadottaw linji gwida fir-rigward tan-nuqqas ta' prosekuzzjoni tar-riċerkaturi dwar is-sigurtà tal-informazzjoni u eżenzjoni mir-responsabbiltà ċivili għall-attivitajiet tagħhom.

(61)

Jenħtieġ li l-Istati Membri jaħtru waħda mis-CSIRTs tagħhom bħala koordinatur, li taġixxi bħala intermedjarju fdat bejn il-persuni relatriċi fiżiċi jew ġuridiċi u l-manifatturi jew il-fornituri ta' prodotti tal-ICT jew servizzi tal-ICT, li x'aktarx ikunu affettwati mill-vulnerabbiltà, meta jkun meħtieġ. Il-kompiti tas-CSIRT maħtura bħala koordinatur jenħtieġ li jinkludu l-identifikazzjoni u l-ikkuntattar tal-entitajiet ikkonċernati, l-assistenza lill-entitajiet relatriċi fiżiċi jew ġuridiċi, in-negozjar tal-iskedi ta' żmien tad-divulgazzjoni, u l-ġestjoni tal-vulnerabbiltajiet li jaffettwaw entitajiet multipli (divulgazzjoni koordinata ta' vulnerabbiltajiet multipartitika). F'każ li l-vulnerabbiltà rrapportata jkun jista' jkollha impatt sinifikanti fuq entitajiet f'aktar minn Stat Membru wieħed, jenħtieġ li s-CSIRTs maħturin bħala koordinaturi jikkooperaw fl-ambitu tan-network tas-CSIRTs, fejn ikun xieraq.

(62)

L-aċċess għal informazzjoni korretta u f'waqtha dwar il-vulnerabbiltajiet li jaffettwaw il-prodotti tal-ICT u s-servizzi tal-ICT jikkontribwixxi għal ġestjoni mtejba tar-riskji taċ-ċibersigurtà. Is-sorsi tal-informazzjoni disponibbli pubblikament dwar il-vulnerabbiltajiet huma għodda importanti għall-entitajiet u għall-utenti tas-servizzi tagħhom, iżda wkoll għall-awtoritajiet kompetenti u għas-CSIRTs. Għal dik ir-raġuni, l-ENISA jenħtieġ li tistabbilixxi bażi tad-data tal-vulnerabbiltajiet fejn l-entitajiet, irrispettivament minn jekk jaqgħux taħt il-kamp ta' applikazzjoni ta' din id-Direttiva, u l-fornituri ta' networks u sistemi ta' informazzjoni, kif ukoll l-awtoritajiet kompetenti u s-CSIRTs, ikunu jistgħu, b'mod volontarju, jiżvelaw u jirreġistraw vulnerabbiltajiet magħrufin pubblikament bl-iskop li l-utenti jkunu jistgħu jieħdu miżuri xierqa ta' mitigazzjoni. L-għan ta' dik il-bażi tad-data huwa li tindirizza l-isfidi uniċi maħluqa mir-riskji għall-entitajiet Ewropej. Barra minn hekk, jenħtieġ li l-ENISA tistabbilixxi proċedura xierqa fir-rigward tal-proċess tal-pubblikazzjoni sabiex tagħti lill-entitajiet iż-żmien li jieħdu miżuri ta' mitigazzjoni fir-rigward tal-vulnerabbiltajiet tagħhom u biex jużaw miżuri ta' ġestjoni taċ-ċibersigurtà tal-ogħla livell ta' żvilupp tekniku, kif ukoll settijiet tad-data li jistgħu jinqraw mill-magni u interfaċċi korrispondenti. Biex tiġi mħeġġa kultura ta' divulgazzjoni tal-vulnerabbiltajiet, jenħtieġ li d-divulgazzjoni ma jkollhiex effetti ta' detriment għall-persuna fiżika jew ġuridika relatriċi.

(63)

Għalkemm jeżistu reġistri jew bażijiet tad-data simili tal-vulnerabbiltajiet, dawn huma ospitati u miżmuma minn entitajiet li mhumiex stabbiliti fl-Unjoni. Bażi tad-data Ewropea tal-vulnerabbiltajiet miżmuma mill-ENISA tipprovdi trasparenza mtejba fir-rigward tal-proċess tal-pubblikazzjoni qabel ma l-vulnerabbiltà tiġi żvelata pubblikament, u reżiljenza f'każijiet ta' tfixkil jew interruzzjoni tal-forniment ta' servizzi simili. Biex, kemm jista' jkun, tiġi evitata d-duplikazzjoni tal-isforzi u titfittex il-komplementarjetà, jenħtieġ li l-ENISA tesplora l-possibbiltà li tidħol fi ftehimiet ta' kooperazzjoni strutturata ma' reġistri jew bażijiet tad-data simili li jaqgħu f'ġuriżdizzjonijiet ta' pajjiżi terz. B'mod partikolari, l-ENISA jenħtieġ li tesplora l-possibbiltà ta' kooperazzjoni mill-qrib mal-operaturi tas-sistema ta' vulnerabbiltajiet u esponimenti komuni (CVE).

(64)

Il-Grupp ta' Kooperazzjoni jenħtieġ li jappoġġa u jiffaċilita l-kooperazzjoni strateġika u l-iskambju ta' informazzjoni fost l-Istati Membri, kif ukoll isaħħaħ il-fiduċja u l-kunfidenza bejniethom. Il-Grupp ta' Kooperazzjoni jenħtieġ li jistabbilixxi programm ta' ħidma kull sentejn. Il-programm ta' ħidma jenħtieġ li jinkludi l-azzjonijiet li jridu jittieħdu mill-Grupp ta' Kooperazzjoni biex jimplimenta l-objettivi u l-kompiti tiegħu. Il-perjodu ta' żmien għall-ħolqien tal-ewwel programm skont din id-Direttiva jenħtieġ li jiġi allinjat mal-perjodu ta' żmien tal-aħħar programm stabbilit skont id-Direttiva (UE) 2016/1148 biex jiġi evitat tfixkil potenzjali fil-ħidma tal-Grupp ta' Kooperazzjoni.

(65)

Meta jkun qed jiżviluppa dokumenti ta' gwida, il-Grupp ta' Kooperazzjoni jenħtieġ li konsistentement jimmappja s-soluzzjonijiet u l-esperjenzi nazzjonali, jivvaluta l-impatt tar-riżultati tanġibbli tal-Grupp ta' Kooperazzjoni fuq l-approċċi nazzjonali, jiddiskuti l-isfidi tal-implimentazzjoni u jifformula rakkomandazzjonijiet speċifiċi li jridu jiġu indirizzati b'implimentazzjoni aħjar tar-regoli eżistenti, partikolarment rigward l-iffaċilitar tal-allinjament tat-traspożizzjoni ta' din id-Direttiva fost l-Istati Membri. Il-Grupp ta' Kooperazzjoni jista' jimmappja wkoll is-soluzzjonijiet nazzjonali sabiex jippromwovi l-kompatibbiltà tas-soluzzjonijiet taċ-ċibersigurtà applikati għal kull settur speċifiku fl-Unjoni kollha. Dan huwa partikolarment rilevanti għas-setturi li huma ta' natura internazzjonali jew transfruntiera.

(66)

Il-Grupp ta' Kooperazzjoni jenħtieġ li jibqa' forum flessibbli u jkun jista' jirreaġixxi għal prijoritajiet u sfidi ta' politika ġodda u li qed jinbidlu filwaqt li jqis id-disponibbiltà tar-riżorsi. Jista' jorganizza laqgħat konġunti regolari ma' partijiet interessati privati rilevanti minn madwar l-Unjoni biex jiddiskuti l-attivitajiet imwettqa mill-Grupp ta' Kooperazzjoni u jiġbor data u tagħrif dwar l-isfidi ta' politiki li qed jitfaċċaw. Barra minn hekk, il-Grupp ta' Kooperazzjoni jenħtieġ li jwettaq valutazzjoni regolari tas-sitwazzjoni attwali tat-theddid jew l-inċidenti ċibernetiċi, bħar-ransomware. Biex tissaħħaħ il-kooperazzjoni fil-livell tal-Unjoni, il-Grupp ta' Kooperazzjoni jenħtieġ li jikkunsidra li jistieden lil istituzzjonijiet, korpi, uffiċċji u aġenziji rilevanti tal-Unjoni involuti fil-politika taċ-ċibersigurtà, bħall-Parlament Ewropew, l-Europol, il-Bord Ewropew għall-Protezzjoni tad-Data, l-Aġenzija tas-Sikurezza tal-Avjazzjoni tal-Unjoni Ewropea, stabbilita bir-Regolament (UE) 2018/1139 u l-Aġenzija tal-Unjoni Ewropea għall-Programm Spazjali, stabbilita bir-Regolament (UE) 2021/696 tal-Parlament Ewropew u tal-Kunsill (14) biex jipparteċipaw fil-ħidma tiegħu.

(67)

L-awtoritajiet kompetenti u s-CSIRTs jenħtieġ li jkunu jistgħu jipparteċipaw fi skemi ta' skambju għal uffiċjali minn Stati Membri oħra, f'qafas speċifiku u, fejn applikabbli, soġġett għall-approvazzjoni tas-sigurtà meħtieġa tal-uffiċjali li jipparteċipaw f'tali skemi ta' skambju, biex titjieb il-kooperazzjoni u tissaħħaħ il-fiduċja fost l-Istati Membri. L-awtoritajiet kompetenti jenħtieġ li jieħdu l-miżuri meħtieġa biex uffiċjali minn Stati Membri oħra jkunu jistgħu jaqdu rwol effettiv fl-attivitajiet tal-awtorità kompetenti ospitanti jew tas-CSIRT ospitanti.

(68)

L-Istati Membri jenħtieġ li jikkontribwixxu għall-istabbiliment tal-Qafas ta' Rispons għall-Kriżijiet taċ-Ċibersigurtà tal-UE stabbilit fir-Rakkomandazzjoni tal-Kummissjoni (UE) 2017/1584 (15) permezz tan-networks ta' kooperazzjoni eżistenti, b'mod partikolari n-Network Ewropew ta' Organizzazzjoni ta' Kollegament f'każ ta' Ċiberkriżijiet (EU-CyCLONe - European cyber crisis liaison organisation network), in-network tas-CSIRTs u l-Grupp ta' Kooperazzjoni. Jenħtieġ li l-EU-CyCLONe u n-network tas-CSIRTs jikkooperaw abbażi ta' arranġamenti proċedurali li jispeċifikaw id-dettalji ta' dik il-kooperazzjoni u jevitaw kwalunkwe duplikazzjoni ta' kompiti. Ir-regoli ta' proċedura tal-EU-CyCLONe jenħtieġ li jispeċifikaw f'aktar dettall l-arranġamenti li permezz tagħhom dak in-network jenħtieġ li jiffunzjona, inkluż ir-rwoli tan-network, il-mezzi ta' kooperazzjoni, l-interazzjonijiet ma' atturi rilevanti oħra u l-mudelli għall-kondiviżjoni tal-informazzjoni, kif ukoll il-mezzi ta' komunikazzjoni. Għall-ġestjoni tal-kriżijiet fil-livell tal-Unjoni, il-partijiet rilevanti jenħtieġ li jkunu jiddependu fuq l-Arranġamenti Integrati tal-UE għal Rispons Politiku f'Sitwazzjonijiet ta' Kriżi skont id-Deċiżjoni ta' Implimentazzjoni tal-Kunsill (UE) 2018/1993 (16) (arranġamenti IPCR). Il-Kummissjoni jenħtieġ li tuża l-proċess transsettorjali ta' livell għoli ARGUS għall-koordinazzjoni f'sitwazzjonijiet ta' kriżi għal dak il-għan. Jekk il-kriżi tinvolvi dimensjoni esterna importanti jew waħda marbuta mal-Politika ta' Sigurtà u ta' Difiża Komuni, jenħtieġ li jiġi attivat il-Mekkaniżmu ta' Rispons għall-Kriżijiet tas-Servizz Ewropew għall-Azzjoni Esterna.

(69)

F'konformità mal-Anness tar-Rakkomandazzjoni (UE) 2017/1584, inċident taċ-ċibersigurtà fuq skala kbira jenħtieġ li tfisser inċident li jikkawża livell ta' tfixkil li jaqbeż il-kapaċità ta' Stat Membru li jirrispondi għalih jew li jkollu impatt sinifikanti fuq mill-inqas żewġ Stati Membri. Skont il-kawża u l-impatt tagħhom, inċidenti taċ-ċibersigurtà fuq skala kbira jistgħu jeskalaw u jinbidlu fi kriżijiet sħaħ li ma jippermettux il-funzjonament tajjeb tas-suq intern jew li joħolqu riskji serji għas-sigurtà u s-sikurezza pubblika għall-entitajiet u ċ-ċittadini f'għadd ta' Stati Membri jew fl-Unjoni kollha kemm hi. Minħabba l-ambitu wiesa' u, fil-biċċa l-kbira tal-każijiet, in-natura transfruntiera ta' inċidenti bħal dawn, jenħtieġ li l-Istati Membri u l-istituzzjonijiet, il-korpi, l-uffiċċji u l-aġenziji rilevanti tal-Unjoni jikkooperaw fil-livell tekniku, operazzjonali u politiku biex jikkoordinaw sew ir-rispons madwar l-Unjoni.

(70)

Inċidenti taċ-ċibersigurtà fuq skala kbira u kriżijiet fil-livell tal-Unjoni jirrikjedu azzjoni kkoordinata biex jiġi żgurat rispons rapidu u effettiv minħabba l-livell għoli ta' interdipendenza bejn is-setturi u l-Istati Membri. Id-disponibbiltà ta' networks u sistemi ta' informazzjoni reżiljenti għaċ-ċibernetika u d-disponibbiltà, il-kunfidenzjalità u l-integrità tad-data huma fundamentali għas-sigurtà tal-Unjoni u għall-protezzjoni taċ-ċittadini, in-negozji u l-istituzzjonijiet tagħha kontra inċidenti u theddid ċibernetiku, kif ukoll għat-tisħiħ tal-fiduċja tal-individwi u l-organizzazzjonijiet fil-kapaċità tal-Unjoni li tippromwovi u tipproteġi ċiberspazju globali, miftuħ, liberu, stabbli u sigur ibbażat fuq id-drittijiet tal-bniedem, il-libertajiet fundamentali, id-demokrazija u l-istat tad-dritt.

(71)

L-EU-CyCLONe jenħtieġ li taħdem bħala intermedjarju bejn il-livell tekniku u dak politiku waqt inċidenti u kriżijiet taċ-ċibersigurtà fuq skala kbira u għandha ssaħħaħ il-kooperazzjoni fil-livell operazzjonali u tappoġġa l-proċess deċiżjonali fil-livell politiku. F'kooperazzjoni mal-Kummissjoni, b'kont meħud tal-kompetenza tal-Kummissjoni fil-qasam tal-ġestjoni tal-kriżijiet, jenħtieġ li l-EU-CyCLONe tibni fuq is-sejbiet tan-network tas-CSIRTs u tuża l-kapaċitajiet tagħha stess biex toħloq analiżi tal-impatt ta' inċidenti u kriżijiet taċ-ċibersigurtà fuq skala kbira.

(72)

L-attakki ċibernetiċi huma ta' natura transfruntiera, u inċident sinifikanti jista' jfixkel u jagħmel ħsara lill-infrastrutturi kritiċi tal-informazzjoni li fuqhom jiddependi l-funzjonament bla xkiel tas-suq intern. Ir-Rakkomandazzjoni (UE) 2017/1584 tindirizza r-rwol tal-atturi rilevanti kollha. Barra minn hekk, il-Kummissjoni hija responsabbli, fil-qafas tal-Mekkaniżmu tal-Unjoni għall-Protezzjoni Ċivili, stabbilit bid-Deċiżjoni Nru 1313/2013/UE tal-Parlament Ewropew u tal-Kunsill (17), għal azzjonijiet ta' tħejjija ġenerali fosthom il-ġestjoni taċ-Ċentru ta' Koordinazzjoni tar-Reazzjoni f'każ ta' Emerġenza u s-Sistema Komuni ta' Komunikazzjoni u Informazzjoni f'każ ta' Emerġenza, iż-żamma u l-iżvilupp ulterjuri tal-għarfien tas-sitwazzjoni u l-kapaċità ta' analiżi, u l-istabbiliment u l-ġestjoni tal-kapaċità li jiġu mobilizzati u mibgħuta timijiet ta' esperti fil-każ ta' talba għall-assistenza minn Stat Membru jew pajjiż terz. Il-Kummissjoni għandha wkoll ir-responsabbiltà li tipprovdi rapporti analitiċi għall-arranġamenti tal-IPCR skont id-Deċiżjoni ta' Implimentazzjoni (UE) 2018/1993, inkluż fir-rigward tal-għarfien tas-sitwazzjoni taċ-ċibersigurtà u t-tħejjija għaliha, kif ukoll għall-għarfien tas-sitwazzjoni u r-rispons għall-kriżijiet fl-oqsma tal-agrikoltura, il-kundizzjonijiet tat-temp avversi, l-immappjar u t-tbassir tal-kunflitti, is-sistemi ta' twissija bikrija għal diżastri naturali, l-emerġenzi tas-saħħa, is-sorveljanza tal-mard infettiv, is-saħħa tal-pjanti, l-inċidenti kimiċi, is-sikurezza tal-ikel u tal-għalf, is-saħħa tal-annimali, il-migrazzjoni, id-dwana, l-emerġenzi nukleari u radjoloġiċi, u l-enerġija.

(73)

Meta jkun xieraq, l-Unjoni tista' tikkonkludi ftehimiet internazzjonali f'konformità mal-Artikolu 218 tat-TFUE ma' pajjiżi terzi jew organizzazzjonijiet internazzjonali li jippermettu u jorganizzaw il-parteċipazzjoni tagħhom f'attivitajiet partikolari tal-Grupp ta' Kooperazzjoni, in-network tas-CSIRTs u l-EU-CyCLONe. Ftehimiet bħal dawn jenħtieġ li jiżguraw l-interessi tal-Unjoni u l-protezzjoni adegwata tad-data. Dan jenħtieġ li ma jipprekludix id-dritt tal-Istati Membri li jikkooperaw ma' pajjiżi terzi fuq il-ġestjoni tal-vulnerabbiltajiet u l-ġestjoni tar-riskji għaċ-ċibersigurtà, biex jiġu ffaċilitati r-rapportar u l-informazzjoni ġenerali skont il-liġi tal-Unjoni.

(74)

Sabiex tiġi ffaċilitata l-implimentazzjoni effettiva ta' din id-Direttiva fir-rigward, fost l-oħrajn, tal-ġestjoni tal-vulnerabbiltajiet, il-miżuri ta' ġestjoni tar-riskji taċ-ċibersigurtà, l-obbligi ta' rapportar u l-arranġamenti għall-kondiviżjoni tal-informazzjoni dwar iċ-ċibersigurtà, l-Istati Membri jistgħu jikkooperaw ma' pajjiżi terzi u jwettqu attivitajiet li jitqiesu xierqa għal dak il-għan, fosthom skambji ta' informazzjoni dwar theddid ċibernetiku, inċidenti, vulnerabbiltajiet, għodod u metodi, tattiċi, tekniki u proċeduri, tħejjija u eżerċizzji għall-ġestjoni tal-kriżijiet taċ-ċibersigurtà, taħriġ, bini ta' fiduċja u arranġamenti strutturati għall-kondiviżjoni tal-informazzjoni.

(75)

Jenħtieġ li jiġu introdotti evalwazzjonijiet bejn il-pari biex jinsiltu tagħlimiet mill-esperjenzi kondiviżi, tissaħħaħ il-fiduċja reċiproka u jintlaħaq livell komuni għoli ta' ċibersigurtà. L-evalwazzjonijiet bejn il-pari jistgħu jwasslu għal għarfien u rakkomandazzjonijiet siewja li jsaħħu l-kapaċitajiet ġenerali ta' ċibersigurtà, joħolqu perkors funzjonali ieħor għall-kondiviżjoni tal-aħjar prattiki fost l-Istati Membri u jikkontribwixxu għat-tisħiħ tal-livelli ta' maturità tal-Istati Membri fiċ-ċibersigurtà. Barra minn hekk, jenħtieġ li l-evalwazzjonijiet bejn il-pari jqisu r-riżultati ta' mekkaniżmi simili, bħas-sistema ta' evalwazzjoni bejn il-pari tan-network tas-CSIRTs, u jenħtieġ li jżidu l-valur u jevitaw id-duplikazzjoni. L-implimentazzjoni tal-evalwazzjonijiet bejn il-pari jenħtieġ li tkun mingħajr preġudizzju għal-liġi tal-Unjoni jew dik nazzjonali dwar il-protezzjoni ta' informazzjoni kunfidenzjali jew klassifikata.

(76)

Il-Grupp ta' Kooperazzjoni jenħtieġ li jistabbilixxi metodoloġija ta' awtovalutazzjoni għall-Istati Membri, bil-għan li jkopri fatturi bħal-livell ta' implimentazzjoni tal-miżuri ta' ġestjoni tar-riskji taċ-ċibersigurtà u l-obbligi ta' rapportar, il-livell tal-kapaċitajiet u l-effettività tal-eżerċizzju tal-kompiti tal-awtoritajiet kompetenti, il-kapaċitajiet operazzjonali tas-CSIRTs, il-livell ta' implimentazzjoni tal-assistenza reċiproka, il-livell ta' implimentazzjoni tal-arranġamenti tal-kondiviżjoni tal-informazzjoni dwar iċ-ċibersigurtà, jew kwistjonijiet speċifiċi ta' natura transfruntiera jew transsettorjali. Jenħtieġ li l-Istati Membri jiġu mħeġġa jwettqu awtovalutazzjonijiet fuq bażi regolari, u jippreżentaw u jiddiskutu r-riżultati tal-awtovalutazzjoni tagħhom fi ħdan il-Grupp ta' Kooperazzjoni.

(77)

Ir-responsabbiltà tal-iżgurar tas-sigurtà tan-networks u tas-sistemi tal-informazzjoni hija, fil-parti l-kbira tagħha, f'idejn l-entitajiet essenzjali u importanti. Jenħtieġ li tiġi promossa u żviluppata kultura ta' ġestjoni tar-riskji, li tinvolvi valutazzjonijiet tar-riskji u l-implimentazzjoni ta' miżuri ta' ġestjoni tar-riskji taċ-ċibersigurtà xierqa għar-riskji ffaċċjati.

(78)

Jenħtieġ li l-miżuri ta' ġestjoni tar-riskji jqisu l-livell ta' dipendenza tal-entità essenzjali jew importanti fuq in-network u s-sistemi tal-informazzjoni u jinkludu miżuri biex jiġi identifikat kwalunkwe riskju ta' inċidenti u biex jipprevjenu, jidentifikaw, jirreaġixxu u jirkupraw minn inċidenti u jnaqqsu l-impatt tagħhom. Is-sigurtà tan-network u s-sistemi tal-informazzjoni jenħtieġ li tinkludi s-sigurtà tad-data maħżuna, trażmessa u pproċessata. Il-miżuri ta' ġestjoni tar-riskji taċ-ċibersigurtà jenħtieġ li jipprovdu analiżi sistemika li tqis il-fattur uman, sabiex tingħata stampa sħiħa tas-sigurtà tan-network u tas-sistema tal-informazzjoni.

(79)

Peress li t-theddid għas-sigurtà tan-network u tas-sistemi tal-informazzjoni jista' jkollu għadd ta' oriġini differenti, il-miżuri ta' ġestjoni tar-riskji taċ-ċibersigurtà jenħtieġ li jkunu bbażati fuq approċċ "li jqis kull periklu", li għandu l-għan li jipproteġi n-network u s-sistemi tal-informazzjoni u l-ambjent fiżiku ta' dawk is-sistemi minn avvenimenti bħal serq, nirien, għargħar, qtugħ fit-telekomunikazzjoni jew fl-elettriku jew aċċess fiżiku mhux awtorizzat u ħsara u interferenza fl-informazzjoni u l-faċilitajiet tal-ipproċessar tal-informazzjoni ta' entità essenzjali jew importanti li jistgħu jikkompromettu d-disponibbiltà, l-awtentiċità, l-integrità jew il-kunfidenzjalità tad-data maħżuna, trażmessa jew ipproċessata jew tas-servizzi offruti min-network u s-sistemi tal-informazzjoni, jew aċċessibbli permezz tagħhom. Għaldaqstant jenħtieġ li l-miżuri ta' ġestjoni tar-riskji taċ-ċibersigurtà jindirizzaw ukoll is-sigurtà fiżika u ambjentali tan-network u s-sistemi tal-informazzjoni billi jinkludu miżuri biex jipproteġu tali sistemi minn ħsarat fis-sistema, żbalji umani, atti malizzjużi jew fenomeni naturali, f'konformità ma' standards Ewropej u internazzjonali, bħal dawk inklużi fis-serje ISO/IEC 27000. F'dak ir-rigward, jenħtieġ li l-entitajiet essenzjali u importanti, bħala parti mill-miżuri tagħhom għall-ġestjoni tar-riskji taċ-ċibersigurtà, jindirizzaw ukoll is-sigurtà tar-riżorsi umani u jkollhom fis-seħħ politiki xierqa dwar il-kontroll tal-aċċess. Dawk il-miżuri jenħtieġ li jkunu konsistenti mad-Direttiva (UE) 2022/2557.

(80)

Bl-iskop li tintwera l-konformità mal-miżuri ta' ġestjoni tar-riskji taċ-ċibersigurtà u fin-nuqqas ta' skemi Ewropej xierqa taċ-ċertifikazzjoni taċ-ċibersigurtà adottati f'konformità mar-Regolament (UE) 2019/881 tal-Parlament Ewropew u tal-Kunsill (18), jenħtieġ li l-Istati Membri f'konsultazzjoni mal-Grupp ta' Kooperazzjoni u l-Grupp Ewropew taċ-Ċertifikazzjoni taċ-Ċibersigurtà, jippromwovu l-użu tal-istandards Ewropej u internazzjonali rilevanti mill-entitajiet essenzjali u importanti jew jistgħu jirrikjedu li l-entitajiet jużaw prodotti tal-ICT, servizzi tal-ICT u proċessi tal-ICT iċċertifikati.

(81)

Biex tiġi evitata l-impożizzjoni ta' piż finanzjarju u amministrattiv sproporzjonat fuq l-entitajiet essenzjali u importanti, il-miżuri ta' ġestjoni tar-riskji taċ-ċibersigurtà jenħtieġ li jkunu proporzjonati għar-riskju ppreżentat min-network u s-sistema tal-informazzjoni kkonċernati, filwaqt li jitqies l-avvanz tekniku ta' dawn il-miżuri u, fejn applikabbli, l-istandards Ewropej u internazzjonali rilevanti, kif ukoll l-ispiża biex jiġu implimentati.

(82)

Il-miżuri ta' ġestjoni tar-riskji taċ-ċibersigurtà jenħtieġ li jkunu proporzjonati għall-grad ta' esponiment ta' entità essenzjali jew importanti għar-riskji u għall-impatt soċjetali u ekonomiku li inċident jista' jkollu. Meta jkunu qed jiġu stabbiliti miżuri ta' ġestjoni tar-riskji taċ-ċibersigurtà adattati għall-entitajiet essenzjali u importanti, jenħtieġ li jittieħed kont dovut tal-iskopertura diverġenti għar-riskju tal-entitajiet essenzjali u importanti, bħall-kritikalità tal-entità, ir-riskji, inklużi r-riskji soċjetali, li għalihom hija esposta, id-daqs tal-entità u l-probabbiltà li jseħħu inċidenti u s-severità tagħhom, inkluż l-impatt soċjetali u ekonomiku tagħhom.

(83)

L-entitajiet essenzjali u importanti jenħtieġ li jiżguraw is-sigurtà tan-network u s-sistemi tal-informazzjoni li huma jużaw fl-attivitajiet tagħhom. Dawk is-sistemi huma primarjament network u sistemi tal-informazzjoni privati li jkunu ġestiti mill-persunal intern tal-IT tal-entitajiet essenzjali u importanti jew li s-sigurtà tagħhom tkun ġiet esternalizzata. Il-miżuri ta' ġestjoni tar-riskji taċ-ċibersigurtà u l-obbligi ta' rapportar stabbiliti f'din id-Direttiva jenħtieġ li japplikaw għall-entitajiet essenzjali u importanti rilevanti irrispettivament minn jekk dawk l-entitajiet imantnux in-network u s-sistemi tal-informazzjoni tagħhom internament jew jesternalizzawx il-manutenzjoni tagħhom.

(84)

Fid-dawl tan-natura transfruntiera tagħhom, il-fornituri ta' servizzi tad-DNS, ir-reġistri tal-ismijiet ta' TLD u l-fornituri ta' servizzi tal-cloud computing, il-fornituri ta' servizzi taċ-ċentri tad-data, il-fornituri ta' networks tat-twassil tal-kontenut, il-fornituri ta' servizzi ġestiti, il-fornituri ta' servizzi tas-sigurtà ġestiti, il-fornituri ta' swieq online, ta' magni tat-tiftix online u ta' pjattaformi ta' servizzi ta' networking soċjali u l-fornituri ta' servizzi fiduċjarji jenħtieġ li jkunu soġġetti għal livell għoli ta' armonizzazzjoni fil-livell tal-Unjoni. Għaldaqstant, l-implimentazzjoni ta' miżuri ta' ġestjoni tar-riskji taċ-ċibersigurtà fir-rigward ta' dawk l-entitajiet jenħtieġ li tiġi ffaċilitata permezz ta' att ta' implimentazzjoni.

(85)

L-indirizzar tar-riskji li jirriżultaw mill-katina tal-provvista ta' entità u r-relazzjoni tagħha mal-fornituri tagħha, bħall-fornituri tal-ħżin tad-data u l-fornituri tas-servizzi ta' pproċessar jew servizzi tas-sigurtà ġestiti u edituri tas-software, huwa partikolarment importanti minħabba l-prevalenza ta' inċidenti meta l-entitajiet ikunu sfaw vittmi ta' attakki ċibernetiċi u meta atturi malizzjużi setgħu jikkompromettu s-sigurtà tan-network u s-sistemi tal-informazzjoni ta' entità billi jisfruttaw il-vulnerabbiltajiet li jaffettwaw prodotti u servizzi ta' parti terza. Għalhekk, jenħtieġ li l-entitajiet essenzjali u importanti jivvalutaw u jqisu l-kwalità u r-reżiljenza ġenerali tal-prodotti u s-servizzi, il-miżuri ta' ġestjoni tar-riskji taċ-ċibersigurtà inkorporati fihom, kif ukoll il-prattiki taċ-ċibersigurtà tal-fornituri u l-fornituri tas-servizzi tagħhom, inklużi l-proċeduri tal-iżvilupp siguri tagħhom. L-entitajiet essenzjali u importanti jenħtieġ li b'mod partikolari jiġu mħeġġa jinkorporaw il-miżuri ta' ġestjoni tar-riskji taċ-ċibersigurtà fl-arranġamenti kuntrattwali mal-fornituri diretti u l-fornituri tas-servizzi tagħhom. Dawk l-entitajiet jistgħu jikkunsidraw ir-riskji li jirriżultaw minn livelli oħra ta' fornituri u fornituri ta' servizzi.

(86)

Fost il-fornituri tas-servizzi, il-fornituri tas-servizz tas-sigurtà ġestiti f'oqsma bħar-rispons għall-inċidenti, l-ittestjar tal-penetrazzjoni, l-awditi tas-sigurtà u l-konsulenza għandhom rwol partikolarment importanti li jassistu lill-entitajiet fl-isforzi tagħhom biex jipprevjenu, jidettaw, jirrispondu jew jirkupraw minn inċidenti. Iżda anki l-fornituri tas-servizzi tas-sigurtà ġestiti nfushom kienu fil-mira ta' attakki ċibernetiċi u, minħabba l-integrazzjoni mill-qrib tagħhom fl-operazzjonijiet tal-entitajiet joħolqu riskju partikolari. Għalhekk jenħtieġ li l-entitajiet essenzjali u importanti jeżerċitaw aktar diliġenza fl-għażla tal-fornituri tas-servizz tas-sigurtà ġestiti.

(87)

L-awtoritajiet kompetenti, fil-kuntest tal-kompiti superviżorji tagħhom, jistgħu jibbenefikaw ukoll minn servizzi taċ-ċibersigurtà bħal awditi tas-sigurtà, ittestjar tal-penetrazzjoni jew rispons f'każ ta' inċident.

(88)

L-entitajiet essenzjali u importanti jenħtieġ li jindirizzaw ukoll ir-riskji li jirriżultaw mill-interazzjonijiet u r-relazzjonijiet tagħhom ma' partijiet interessati oħra f'ekosistema usa', inkluż f'dak li għandu x'jaqsam mal-ġlieda kontra l-ispjunaġġ industrijali u l-protezzjoni tas-sigrieti kummerċjali. B'mod partikolari, dawk l-entitajiet jenħtieġ li jieħdu miżuri xierqa biex jiżguraw li l-kooperazzjoni tagħhom mal-istituzzjonijiet akkademiċi u tar-riċerka ssir f'konformità mal-politiki tagħhom dwar iċ-ċibersigurtà u timxi skont prattiki tajba relatati mal-aċċess u d-disseminazzjoni siguri tal-informazzjoni b'mod ġenerali u l-protezzjoni tal-proprjetà intellettwali b'mod partikolari. Bl-istess mod, minħabba l-importanza u l-valur tad-data għall-attivitajiet tal-entitajiet essenzjali u importanti, meta jiddependu fuq servizzi ta' trasformazzjoni tad-data u ta' analitika tad-data minn partijiet terzi, jenħtieġ li dawk l-entitajiet jieħdu l-miżuri xierqa kollha ta' ġestjoni tar-riskji taċ-ċibersigurtà.

(89)

L-entitajiet essenzjali u importanti jenħtieġ li jadottaw firxa wiesgħa ta' prattiki tal-iġjene ċibernetika bażika bħal prinċipji "b'fiduċja żero", aġġornamenti tas-software, konfigurazzjoni tal-apparat, segmentazzjoni tan-network, ġestjoni tal-identità u l-aċċess jew sensibilizzazzjoni tal-utent, jorganizzaw taħriġ għall-persunal tagħhom u jqajmu kuxjenza rigward theddid ċibernetiku, phishing jew tekniki ta' social engineering. Barra minn hekk, jenħtieġ li dawk l-entitajiet jevalwaw il-kapaċitajiet taċ-ċibersigurtà tagħhom stess u, fejn xieraq, ifittxu l-integrazzjoni ta' teknoloġiji li jsaħħu ċ-ċibersigurtà, bħal sistemi bbażati fuq l-intelliġenza artifiċjali jew it-tagħlim awtomatiku biex isaħħu l-kapaċitajiet tagħhom u s-sigurtà tan-network u tas-sistemi tal-informazzjoni.

(90)

Biex ikompli jindirizza r-riskji ewlenin fil-katina tal-provvista u jassisti lill-entitajiet essenzjali u importanti li joperaw fis-setturi koperti minn din id-Direttiva biex jimmaniġġjaw b'mod xieraq ir-riskji relatati mal-katina tal-provvista u l-fornituri, il-Grupp ta' Kooperazzjoni, f'kooperazzjoni mal-Kummissjoni u l-ENISA, u, fejn xieraq, wara konsultazzjoni mal-partijiet interessati rilevanti, inkluż mill-industrija, jenħtieġ li jwettaq valutazzjonijiet tar-riskju tas-sigurtà kkoordinati tal-ktajjen tal-provvist , kif kien diġà sar għan-networks 5G skont ir-Rakkomandazzjoni tal-Kummissjoni (UE) 2019/534 (19), bil-għan li jiġu identifikati, għal kull settur, is-servizzi, is-sistemi jew il-prodotti kritiċi tal-ICT, u t-theddid u l-vulnerabbiltajiet rilevanti. Tali valutazzjonijiet tar-riskju koordinati jenħtieġ li jidentifikaw il-miżuri, il-pjanijiet ta' mitigazzjoni u l-aħjar prattiki kontra dipendenzi kritiċi, punti uniċi potenzjali ta' falliment, theddid, vulnerabbiltajiet u riskji oħra assoċjati mal-katina tal-provvista u jenħtieġ li jesploraw modi kif ikomplu jinkoraġġixxu l-adozzjoni aktar mifruxa tagħhom mill-entitajiet essenzjali u importanti. Fatturi potenzjali ta' riskju mhux tekniċi, bħal influwenza mhux xierqa minn pajjiż terz fuq il-fornituri u l-fornituri tas-servizzi, b'mod partikolari fil-każ ta' mudelli alternattivi ta' governanza, jinkludu vulnerabbiltajiet moħbija jew backdoors u tfixkil sistematiku potenzjali fil-provvista, b'mod partikolari fil-każ ta' lock-in teknoloġiku jew dipendenza fuq il-fornitur.

(91)

Il-valutazzjonijiet koordinati tar-riskju għas-sigurtà ta' ktajjen tal-provvista kritiċi, fid-dawl tal-karatteristiċi tas-settur ikkonċernat, jenħtieġ li jqisu l-fatturi tekniċi u, meta rilevanti, l-fatturi mhux tekniċi, inkluż dawk definiti fir-Rakkomandazzjoni (UE) 2019/534, fil-valutazzjoni tar-riskju kkoordinata fl-UE taċ-ċibersigurtà tan-networks 5G u fis-Sett ta' Għodod tal-UE dwar iċ-ċibersigurtà 5G maqbula mill-Grupp ta' Kooperazzjoni. Biex jiġu identifikati l-ktajjen tal-provvista li jenħtieġ li jkunu soġġetti għal valutazzjoni tar-riskju għas-sigurtà kkoordinata, jenħtieġ li jitqiesu l-kriterji li ġejjin: (i) il-punt sa fejn l-entitajiet essenzjali u importanti jużaw u jiddependu fuq servizzi speċifiċi tal-ICT, sistemi tal-ICT jew prodotti tal-ICT kritiċi; (ii) ir-rilevanza ta' servizzi speċifiċi tal-ICT, sistemi tal-ICT jew prodotti tal-ICT kritiċi għat-twettiq ta' funzjonijiet kritiċi jew sensittivi, inkluż l-ipproċessar tad-data personali; (iii) id-disponibbiltà ta' servizzi tal-ICT, sistemi tal-ICT u prodotti tal-ICT alternattivi; (iv) ir-reżiljenza tal-katina tal-provvista ġenerali tas-servizzi tal-ICT, tas-sistemi tal-ICT jew tal-prodotti tal-ICT tul iċ-ċiklu tal-ħajja tagħhom kontra avvenimenti ta' tfixkil u (v) għas-servizzi tal-ICT, is-sistemi tal-ICT jew il-prodotti tal-ICT li qed jitfaċċaw, is-sinifikat futur potenzjali tagħhom għall-attivitajiet tal-entitajiet. Barra minn hekk, jenħtieġ li titqiegħed enfasi partikolari fuq servizzi tal-ICT, sistemi tal-ICT jew prodotti tal-ICT li jkunu soġġetti għal rekwiżiti speċifiċi li joriġinaw minn pajjiżi terzi.

(92)

Biex jiġu ssimplifikati l-obbligi imposti fuq il-fornituri ta' networks pubbliċi tal-komunikazzjoni elettronika jew tas-servizzi tal-komunikazzjoni elettronika disponibbli għall-pubbliku, u fuq il-fornituri ta' servizzi fiduċjarji relatati mas-sigurtà tan-network u s-sistemi tal-informazzjoni tagħhom, kif ukoll biex dawk l-entitajiet u l-awtoritajiet kompetenti skont id-Direttiva (UE) 2018/1972 tal-Parlament Ewropew u tal-Kunsill (20) u r-Regolament (UE) Nru 910/2014 rispettivament jkunu jistgħu jibbenefikaw mill-qafas legali stabbilit minn din id-Direttiva, inkluża l-ħatra ta' CSIRT responsabbli għat-trattament tal-inċidenti, il-parteċipazzjoni tal-awtoritajiet kompetenti kkonċernati fl-attivitajiet tal-Grupp ta' Kooperazzjoni u n-network tas-CSIRTs, jenħtieġ li dawn ikunu jaqgħu fil-kamp ta' applikazzjoni ta' din id-Direttiva. Għalhekk jenħtieġ li jitħassru d-dispożizzjonijiet korrispondenti stabbiliti fir-Regolament (UE) Nru 910/2014 u fid-Direttiva (UE) 2018/1972 relatati mal-impożizzjoni ta' rekwiżiti tas-sigurtà u n-notifika fuq dawk it-tipi ta' entitajiet. Ir-regoli dwar l-obbligi ta' rapportar stabbiliti f'din id-Direttiva jenħtieġ li jkunu mingħajr preġudizzju għar-Regolament (UE) 2016/679 u d-Direttiva 2002/58/KE.

(93)

L-obbligi ta' ċibersigurtà stipulati f'din id-Direttiva jenħtieġ li jitqiesu bħala komplementari għar-rekwiżiti imposti fuq il-fornituri ta' servizzi fiduċjarji skont ir-Regolament (UE) Nru 910/2014. Il-fornituri ta' servizzi fiduċjarji jenħtieġ li jintalbu jieħdu l-miżuri xierqa u proporzjonati kollha biex jimmaniġġaw ir-riskji għas-servizzi tagħhom, inkluż b'rabta ma' klijenti u partijiet terzi dipendenti, u biex jirrapportaw l-inċidenti skont din id-Direttiva. Jenħtieġ li tali obbligi ta' ċibersigurtà u rapportar jikkonċernaw ukoll il-protezzjoni fiżika tas-servizzi pprovduti. Ir-rekwiżiti għall-fornituri ta' servizzi fiduċjarji kwalifikati stabbiliti fl-Artikolu 24 tar-Regolament (UE) Nru 910/2014 jibqgħu japplikaw.

(94)

L-Istati Membri jistgħu jassenjaw ir-rwol ta' awtoritajiet kompetenti għas-servizzi fiduċjarji lill-korpi superviżorji skont ir-Regolament (UE) Nru 910/2014 sabiex jiżguraw il-kontinwazzjoni tal-prattiki attwali u jibnu fuq l-għarfien u l-esperjenza miksuba fl-applikazzjoni ta' dak ir-Regolament. F'każ bħal dak, l-awtoritajiet kompetenti skont din id-Direttiva jenħtieġ li jikkooperaw mill-qrib u fil-ħin ma' dawk il-korpi superviżorji billi jiskambjaw informazzjoni rilevanti sabiex jiġu żgurati s-superviżjoni effettiva u l-konformità tal-fornituri ta' servizzi fiduċjarji mar-rekwiżiti stabbiliti f'din id-Direttiva u r-Regolament (UE) Nru 910/2014. Fejn applikabbli, is-CSIRT jew l-awtorità kompetenti nazzjonali skont din id-Direttiva jenħtieġ li tgħarraf minnufih lill-korp superviżorju skont ir-Regolament (UE) Nru 910/2014 bi kwalunkwe theddida jew inċident ċibernetiku sinifikanti notifikat li jaffettwaw is-servizzi fiduċjarji kif ukoll dwar kwalunkwe ksur minn fornitur ta' servizzi fiduċjarji ta' din id-Direttiva. Għall-finijiet ta' rapportar, l-Istati Membri jistgħu, fejn applikabbli, jużaw il-punt uniku ta' dħul stabbilit biex jinkiseb rapportar komuni u awtomatiku tal-inċidenti kemm lill-korp superviżorju skont ir-Regolament (UE) Nru 910/2014 kif ukoll lis-CSIRT jew l-awtorità kompetenti skont din id-Direttiva.

(95)

Meta jkun xieraq u biex jiġi evitat tfixkil bla bżonn, il-linji gwida nazzjonali eżistenti adottati għat-traspożizzjoni tar-regoli relatati mal-miżuri tas-sigurtà stabbiliti fl-Artikoli 40 u 41 tad-Direttiva (UE) 2018/1972 jenħtieġ li jitqiesu fit-traspożizzjoni ta' din id-Direttiva, u b'hekk jibnu fuq l-għarfien u l-ħiliet diġà miksuba skont id-Direttiva (UE) 2018/1972 dwar miżuri ta' sigurtà u notifiki ta' inċidenti. L-ENISA tista' tiżviluppa wkoll gwida dwar ir-rekwiżiti tas-sigurtà u dwar l-obbligi tar-rapportar għall-fornituri ta' networks pubbliċi ta' komunikazzjoni elettronika jew servizzi ta' komunikazzjonijiet elettroniċi disponibbli pubblikament biex tiffaċilita l-armonizzazzjoni u t-tranżizzjoni u tnaqqas kemm jista' jkun ix-xkiel. L-Istati Membri jistgħu jassenjaw ir-rwol ta' awtoritajiet kompetenti għall-komunikazzjoni elettronika lill-awtoritajiet regolatorji nazzjonali skont id-Direttiva (UE) 2018/1972 sabiex jiżguraw it-tkomplija tal-prattiki attwali u jibnu fuq l-għarfien u l-esperjenza miksuba b'riżultat tal-implimentazzjoni ta' dik id-Direttiva.

(96)

Minħabba l-importanza li qed tikber tas-servizzi ta' komunikazzjoni interpersonali indipendenti min-numri kif definiti fid-Direttiva (UE) 2018/1972, jeħtieġ jiġi żgurat li s-servizzi ta' dan it-tip ikunu wkoll soġġetti għal rekwiżiti xierqa tas-sigurtà fid-dawl tan-natura speċifika u l-importanza ekonomika tagħhom. Aktar ma l-mira tal-attakki tkompli tikber, is-servizzi ta' komunikazzjonijiet interpersonali indipendenti min-numri, bħas-servizzi tal-messaġġi, qed isiru vetturi ta' attakki mifruxin ħafna. Operaturi malizzjużi jużaw il-pjattaformi biex jikkomunikaw u jattiraw vittmi lejn paġni web miftuħa kompromessi, u għalhekk tikber il-probabbiltà ta' inċidenti li jinvolvu l-isfruttament ta' data personali, u, b'estensjoni, is-sigurtà tan-network u tas-sistemi ta' informazzjoni. Għalhekk jenħtieġ li l-fornituri ta' servizzi indipendenti min-numri jiżguraw ukoll livell ta' sigurtà tan-network u s-sistemi tal-informazzjoni li jkun xieraq għar-riskji maħluqa. Peress li l-fornituri tas-servizzi tal-komunikazzjoni interpersonali indipendenti min-numri normalment ma jeżerċitawx kontroll effettiv fuq it-trażmissjoni tas-sinjali fuq in-networks, il-livell ta' riskji għal dawn is-servizzi jista' jitqies, f'ċerti aspetti, li huwa inqas minn dak għas-servizzi tal-komunikazzjoni elettronika tradizzjonali. L-istess japplika għas-servizzi tal-komunikazzjoni interpersonali kif definit fid-Direttiva (UE) 2018/1972 li jużaw in-numri u li ma jeżerċitawx kontroll effettiv fuq it-trażmissjoni tas-sinjali.

(97)

Is-suq intern jiddependi aktar minn qatt qabel fuq il-funzjonament tal-internet. Is-servizzi ta' kważi l-entitajiet essenzjali u importanti kollha jiddependu fuq servizzi pprovduti fuq l-internet. Biex jiġi żgurat il-forniment bla xkiel tas-servizzi pprovduti mill-entitajiet essenzjali u importanti, huwa importanti li l-fornituri kollha tan-networks tal-komunikazzjoni elettronika jkollhom miżuri xierqa taċ-ċibersigurtà u jirrapportaw l-inċidenti sinifikanti relatati magħhom. L-Istati Membri jenħtieġ li jiżguraw li s-sigurtà tan-networks pubbliċi ta' komunikazzjoni elettronika tinżamm u li l-interessi fundamentali tas-sigurtà tagħhom ikunu protetti minn sabotaġġ u spjunaġġ. Peress li l-konnettività internazzjonali ttejjeb u taċċelera d-diġitalizzazzjoni kompetittiva tal-Unjoni u tal-ekonomija tagħha, l-inċidenti li jaffettwaw il-kejbils tal-komunikazzjoni ta' taħt il-baħar jenħtieġ li jiġu rrapportati lis-CSIRT jew, fejn applikabbli, lill-awtorità kompetenti. Jenħtieġ li l-istrateġija nazzjonali dwar iċ-ċibersigurtà, fejn rilevanti, tikkunsidra ċ-ċibersigurtà tal-kejbils tal-komunikazzjoni ta' taħt il-baħar u tinkludi mmappjar tar-riskji potenzjali taċ-ċibersigurtà u miżuri ta' mitigazzjoni biex jiġi żgurat l-ogħla livell ta' protezzjoni tagħhom.

(98)

Biex titħares is-sigurtà tan-networks pubbliċi tal-komunikazzjoni elettronika u s-servizzi tal-komunikazzjoni elettronika disponibbli pubblikament, jenħtieġ li jiġi promoss l-użu ta' teknoloġiji tal-kriptaġġ, b'mod partikolari l-kriptaġġ minn tarf sa tarf kif ukoll kunċetti tas-sigurtà ċċentrati fuq id-data, bħall-kartografija, is-segmentazzjoni, it-tagging, il-politika tal-aċċess u l-ġestjoni tal-aċċess, u deċiżjonijiet awtomatizzati dwar l-aċċess. Fejn meħtieġ, l-użu tal-kriptaġġ, b'mod partikolari l-kriptaġġ minn tarf sa tarf, jenħtieġ li jkun obbligatorju għall-fornituri ta' networks pubbliċi tal-komunikazzjoni elettronika jew ta' servizzi tal-komunikazzjoni elettronika disponibbli pubblikament f'konformità mal-prinċipji tas-sigurtà u tal-privatezza b'mod awtomatiku u mid-disinn għall-finijiet ta' din id-Direttiva. L-użu tal-kriptaġġ minn tarf sa tarf jenħtieġ li jiġi rikonċiljat mas-setgħat tal-Istati Membri li jiżguraw il-protezzjoni tal-interessi essenzjali tas-sigurtà u tas-sigurtà pubblika tagħhom, u li jippermetti l-prevenzjoni, l-investigazzjoni, id-detezzjoni u l-prosekuzzjoni ta' reati kriminali f'konformità mal-liġi tal-Unjoni. Madankollu jenħtieġ li dan ma jdgħajjifx il-kriptaġġ minn tarf sa tarf, li huwa teknoloġija kritika għall-protezzjoni effettiva tad-data u l-privatezza u s-sigurtà tal-komunikazzjonijiet .

(99)

Sabiex titħares is-sigurtà u jiġu pprevenuti l-abbuż u l-manipulazzjoni tan-networks pubbliċi tal-komunikazzjoni elettronika u tas-servizzi tal-komunikazzjoni elettronika disponibbli pubblikament, jenħtieġ li jiġi promoss l-użu ta' standards ta' routing siguri biex jiġu żgurati l-integrità u r-robustezza tal-funzjonijiet tar-routing fl-ekosistema kollha tal-fornituri tas-servizzi ta' aċċess għall-internet.

(100)

Sabiex jitħarsu l-funzjonalità u l-integrità tal-internet u jiġu promossi s-sigurtà u r-reżiljenza tad-DNS, il-partijiet interessati rilevanti, inklużi l-entitajiet tas-settur privat tal-Unjoni, il-fornituri tas-servizzi tal-komunikazzjonijiet elettroniċi disponibbli pubblikament, partikolarment il-fornitur tas-servizzi ta' aċċess għall-internet, kif ukoll il-fornituri ta' magni tat-tiftix online, jenħtieġ li jiġu mħeġġa jadottaw strateġija ta' diversifikazzjoni tar-riżoluzzjoni tad-DNS. Barra minn hekk, jenħtieġ li l-Istati Membri jinkoraġġixxu l-iżvilupp u l-użu ta' servizz pubbliku u sigur Ewropew ta' riżoluzzjoni tad-DNS.

(101)

Din id-Direttiva tistabbilixxi approċċ f'diversi stadji għar-rapportar ta' inċidenti sinifikanti biex jintlaħaq il-bilanċ it-tajjeb bejn ir-rapportar rapidu, minn naħa, li jgħin biex itaffi l-firxa potenzjali ta' inċidenti sinifikanti u jippermetti lill-entitajiet essenzjali u importanti jfittxu assistenza, u r-rapportar approfondit, min-naħa l-oħra, li jislet tagħlimiet siewja minn inċidenti individwali u li maż-żmien itejjeb ir-reżiljenza ċibernetika ta' entitajiet individwali u setturi sħaħ. F'dak ir-rigward, din id-Direttiva jenħtieġ li tinkludi r-rapportar ta' inċidenti li, abbażi ta' valutazzjoni inizjali mwettqa mill-entità kkonċernata, jistgħu jikkawżaw tfixkil operattiv sostanzjali fis-servizzi jew telf finanzjarju għal dik l-entità jew jaffettwaw persuni fiżiċi jew ġuridiċi oħra billi jikkawżaw dannu materjali jew mhux materjali konsiderevoli. Tali valutazzjoni inizjali jenħtieġ li tqis, fost l-oħrajn, in-network u s-sistemi ta' informazzjoni affettwati, b'mod partikolari l-importanza tagħhom fil-forniment tas-servizzi tal-entità, is-severità u l-karatteristiċi tekniċi ta' theddida ċibernetika, u kwalunkwe vulnerabbiltà sottostanti li qed tiġi sfruttata kif ukoll l-esperjenza tal-entità b'inċidenti simili. Indikaturi bħal kemm jiġi affettwat il-funzjonament tas-servizz, kemm idum għaddej inċident jew kemm ikun kbir l-għadd ta' riċevituri tas-servizzi affettwati jista' jkollhom rwol importanti biex jiġi identifikat jekk l-interruzzjoni operazzjonali tas-servizz tkunx severa.

(102)

Meta l-entitajiet essenzjali jew importanti jsiru jafu b'xi inċident sinifikanti, jenħtieġ li dawn ikunu obbligati jippreżentaw twissija bikrija mingħajr dewmien bla bżonn u, fi kwalunkwe każ, fi żmien 24 siegħa. Dik it-twissija bikrija jenħtieġ li tkun segwita b'notifika ta' inċident. L-entitajiet kkonċernati jenħtieġ li jippreżentaw notifika ta' inċident mingħajr dewmien żejjed, u fi kwalunkwe każ fi żmien 72 siegħa minn meta jsiru jafu bl-inċident sinifikanti, bil-għan, b'mod partikolari, li jaġġornaw l-informazzjoni ppreżentata permezz tat-twissija bikrija u li jindikaw valutazzjoni inizjali tal-inċident sinifikanti, inkluż is-severità u l-impatt tiegħu, kif ukoll indikaturi ta' kompromess, fejn disponibbli. Rapport finali jenħtieġ li jiġi ppreżentat mhux aktar tard minn xahar wara n-notifika tal-inċident. It-twissija bikrija jenħtieġ li tinkludi biss l-informazzjoni meħtieġa biex is-CSIRT, jew l-awtorità kompetenti fejn applikabbli, issir taf bl-inċident sinifikanti u tippermetti lill-entità kkonċernata tfittex assistenza, jekk ikun meħtieġ. Tali twissija bikrija, fejn applikabbli, jenħtieġ li tindika jekk l-inċident sinifikanti jkunx issuspettat li hu kkawżat minn atti illegali jew malizzjużi, u jekk huwiex probabbli li jkollu impatt transfruntier. Jenħtieġ li l-Istati Membri jiżguraw li l-obbligu li tiġi ppreżentata dik it-twissija bikrija, jew in-notifika ta' inċident sussegwenti, ma jiddevjax ir-riżorsi tal-entità notifikanti minn attivitajiet relatati mat-trattament tal-inċidenti li jenħtieġ li jingħataw prijorità, sabiex jiġi pprevenut li l-obbligi ta' rapportar tal-inċidenti jew jiddevjaw ir-riżorsi mit-trattament tar-rispons għal inċidenti sinifikanti jew inkella jikkompromettu l-isforzi tal-entità f'dak ir-rigward. F'każ ta' inċident li jkun għaddej fiż-żmien tal-preżentazzjoni tar-rapport finali, jenħtieġ li l-Istati Membri jiżguraw li l-entitajiet ikkonċernati jipprovdu rapport ta' progress f'dak iż-żmien, u rapport finali fi żmien xahar minn meta jkunu ttrattaw l-inċident sinifikanti.

(103)

Meta jkun applikabbli, l-entitajiet essenzjali jew importanti jenħtieġ li, mingħajr dewmien żejjed, jikkomunikaw lir-riċevituri tas-servizz tagħhom kwalunkwe miżura jew rimedju li jistgħu jieħdu biex itaffu r-riskji li jirriżultaw minn theddida ċibernetika sinifikanti. Jenħtieġ li dawkkk l-entitajiet, fejn xieraq u b'mod partikolari meta t-theddida ċibernetika sinifikanti x'aktarx timmaterjalizza ruħha, jinfurmaw ukoll lir-riċevituri tas-servizz tagħhom bit-theddida nnifisha. Ir-rekwiżit li r-riċevituri ta' theddid ċibernetiku sinifikanti jiġu infurmati, jenħtieġ li jiġi ssodisfat abbażi tal-aqwa sforz possibbli iżda jenħtieġ li ma jeħlisx lil dawk l-entitajiet mill-obbligu li jieħdu, bi spejjeż tagħhom, miżuri adattati u immedjati biex jipprevjenu jew jirrimedjaw kwalunkwe theddid bħal dan u jistabbilixxu mill-ġdid il-livell ta' sigurtà normali tas-servizz. Jenħtieġ li tali informazzjoni dwar theddid ċibernetiku sinifikanti lir-riċevituri tas-servizz ikun mingħajr ħlas u tkun miktuba b'lingwaġġ li jkun faċli biex jinftiehem.

(104)

Jenħtieġ li l-fornituri ta' networks pubbliċi tal-komunikazzjoni elettronika jew tas-servizzi tal-komunikazzjoni elettronika disponibbli għall-pubbliku jimplimentaw is-sigurtà mid-disinn u b'mod awtomatiku u jinfurmaw lir-riċevituri tas-servizz tagħhom dwar theddid ċibernetiku sinifikanti u dwar il-miżuri addizzjonali li jistgħu jieħdu biex jipproteġu s-sigurtà tal-apparat u tal-komunikazzjonijiet tagħhom, pereżempju billi jużaw tipi speċifiċi ta' software jew teknoloġiji ta' kriptaġġ.

(105)

Approċċ proattiv għat-theddid ċibernetiku huwa komponent essenzjali tal- ġestjoni tar-riskji taċ-ċibersigurtà li jenħtieġ li jippermetti lill-awtoritajiet kompetenti jipprevjenu b'mod effettiv it-theddid ċibernetiku milli jimmaterjalizza ruħu f'inċidenti li jistgħu jikkawżaw dannu materjali jew mhux materjali konsiderevoli. Għal dak il-għan, in-notifika ta' theddid ċibernetiku hija ta' importanza kruċjali. B'dak l-iskop, l-entitajiet huma mħeġġa jirrapportaw theddid ċibernetiku fuq bażi volontarja.

(106)

Sabiex jiġi ssimplifikat ir-rapportar tal-informazzjoni meħtieġ skont din id-Direttiva u biex jitnaqqas il-piż amministrattiv għall-entitajiet, jenħtieġ li l-Istati Membri jipprovdu mezzi tekniċi bħal punt uniku ta' dħul, sistemi awtomatizzati, formoli online, interfaċċi faċli għall-utent, mudelli, pjattaformi ddedikati għall-użu ta' entitajiet, kemm jekk jaqgħu fil-kamp ta' applikazzjoni ta' din id-Direttiva kif ukoll jekk ikunu esklużi minnu, għas-sottomissjoni tal-informazzjoni rilevanti li għandha tiġi rrappurtata. Il-finanzjament tal-Unjoni li jappoġġa l-implimentazzjoni ta' din id-Direttiva, b'mod partikolari fl-ambitu tal-programm Ewropa Diġitali stabbilit bir-Regolament (UE) 2021/694 tal-Parlament Ewropew u tal-Kunsill (21), jista' jinkludi appoġġ għal punti uniċi ta' dħul. Barra minn hekk, l-entitajiet ta' spiss ikollhom jirrapportaw inċident partikolari, minħabba l-karatteristiċi tiegħu, lil diversi awtoritajiet minħabba l-obbligi ta' notifika inklużi f'diversi strumenti legali. Dawn l-istanzi joħolqu piż amministrattiv addizzjonali u jistgħu jwasslu wkoll għal inċertezzi rigward il-format u l-proċeduri ta' dawn in-notifiki. Fejn ikun stabbilit punt ta' dħul uniku, l-Istati Membri huma mħeġġa jużaw ukoll dak il-punt uniku ta' dħul għan-notifiki ta' inċidenti tas-sigurtà meħtieġa skont liġi oħra tal-Unjoni, bħar-Regolament (UE) 2016/679 u d-Direttiva 2002/58/KE. Jenħtieġ li l-użu ta' tali punt uniku ta' dħul għar-rapportar ta' inċidenti tas-sigurtà skont ir-Regolament (UE) 2016/679 u d-Direttiva 2002/58/KE ma jaffettwax l-applikazzjoni tad-dispożizzjonijiet tar-Regolament (UE) 2016/679 u tad-Direttiva 2002/58/KE, partikolarment dawk relatati mal-indipendenza tal-awtoritajiet imsemmija fihom. Jenħtieġ li l-ENISA, f'kooperazzjoni mal-Grupp ta' Kooperazzjoni, tiżviluppa u ttejjeb kontinwament mudelli ta' notifika komuni permezz ta' linji gwida li jissimplifikaw u jirrazzjonalizzaw l-informazzjoni li għandha tiġi rrappurtata skont il-liġi tal-Unjoni u jnaqqsu l-piż amministrattiv fuq l-entitajiet notifikanti.

(107)

Meta jkun suspettat li inċident huwa relatat ma' attivitajiet kriminali serji skont il-liġi tal-Unjoni jew nazzjonali, l-Istati Membri jenħtieġ li jinkoraġġixxu lill-entitajiet essenzjali u importanti, skont ir-regoli tal-proċedimenti kriminali applikabbli f'konformità mal-liġi tal-Unjoni, biex l-inċidenti suspettati li għandhom natura kriminali serja jirrapportawhom lill-awtoritajiet tal-infurzar tal-liġi rilevanti. Meta jkun xieraq, u mingħajr preġudizzju għar-regoli dwar il-protezzjoni tad-data personali li japplikaw għall-Europol, huwa mixtieq li l-koordinazzjoni bejn l-awtoritajiet kompetenti u l-awtoritajiet tal-infurzar tal-liġi ta' Stati Membri differenti tiġi ffaċilitata miċ-Ċentru Ewropew taċ-Ċiberkriminalità (EC3) u l-ENISA.

(108)

Ħafna drabi, id-data personali tiġi kompromessa minħabba inċidenti. F'dak il-kuntest, l-awtoritajiet kompetenti jenħtieġ li jikkooperaw u jiskambjaw informazzjoni dwar il-kwistjonijiet rilevanti kollha mal-awtoritajiet imsemmija fir-Regolament (UE) 2016/679 u d-Direttiva 2002/58/KE.

(109)

Iż-żamma ta' bażijiet tad-data preċiżi u kompleti tad-data tar-reġistrazzjoni tal-ismijiet ta' dominji (data WHOIS) u l-għoti ta' aċċess legali għal tali data huma essenzjali biex jiġu żgurati s-sigurtà, l-istabbiltà u r-reżiljenza tad-DNS, li min-naħa tagħha tikkontribwixxi għal livell komuni għoli ta' ċibersigurtà fl-Unjoni. Għal dak l-iskop speċifiku, ir-reġistri tal-ismijiet tat-TLD u l-entitajiet li jipprovdu servizzi ta' reġistrazzjoni tal-ismijiet ta' dominji jenħtieġ li jkunu meħtieġa jipproċessaw ċerta data meħtieġa biex jintlaħaq dak l-għan. Tali pproċessar jenħtieġ li jikkostitwixxi obbligu legali skont it-tifsira tal-Artikolu 6(1), il-punt (c), tar-Regolament (UE) 2016/679. Dak l-obbligu huwa mingħajr preġudizzju għall-possibbiltà li tinġabar data dwar ir-reġistrazzjoni tal-ismijiet ta' dominji għal finijiet oħra, pereżempju abbażi ta' arranġamenti kuntrattwali jew rekwiżiti legali stabbiliti f'liġijiet oħra tal-Unjoni jew nazzjonali. Dak l-obbligu għandu l-għan li jikseb sett komplut u preċiż ta' data tar-reġistrazzjoni u jenħtieġ li ma jirriżultax fil-ġbir tal-istess data diversi drabi. Ir-reġistri tal-ismijiet tat-TLD u l-entitajiet li jipprovdu servizzi ta' reġistrazzjoni tal-ismijiet ta' dominji jenħtieġ li jikkooperaw ma' xulxin sabiex tiġi evitata d-duplikazzjoni ta' dak il-kompitu.

(110)

Id-disponibbiltà u l-aċċessibbiltà f'waqtha tad-data tar-reġistrazzjoni tal-ismijiet ta' dominji għal dawk li jfittxu aċċess leġittimu, huma essenzjali għall-prevenzjoni u l-ġlieda kontra l-abbuż tad-DNS, u għall-prevenzjoni u d-detezzjoni ta', u r-rispons għall-inċidenti. Dawk li jfittxu aċċess leġittimu għandhom jinftiehmu bħala kwalunkwe persuna fiżika jew ġuridika li tagħmel talba skont il-liġi tal-Unjoni jew nazzjonali. Dawn jistgħu jinkludu l-awtoritajiet kompetenti skont din id-Direttiva u dawk li huma kompetenti skont il-liġi tal-Unjoni jew dik nazzjonali għall-prevenzjoni, l-investigazzjoni, id-detezzjoni jew il-prosekuzzjoni ta' reati kriminali, kif ukoll CERTs jew CSIRTs . Għalhekk jenħtieġ li r-reġistri tal-ismijiet tat-TLD u l-entitajiet li jipprovdu servizzi tar-reġistrazzjoni tal-ismijiet ta' dominji jintalbu jippermettu l-aċċess legali għal data speċifika tar-reġistrazzjoni tal-ismijiet ta' dominji meħtieġa għall-finijiet tal-aċċess mitlub, lil persuni li jfittxu aċċess leġittimu f'konformità mal-liġi tal-Unjoni u nazzjonali. It-talba ta' dawk li jfittxu aċċess leġittimu jenħtieġ li tkun akkumpanjata minn dikjarazzjoni tar-raġunijiet li tippermetti l-valutazzjoni tal-ħtieġa ta' aċċess għad-data.

(111)

Biex tiġi żgurata d-disponibbiltà ta' data preċiża u kompleta dwar ir-reġistrazzjoni tal-ismijiet ta' dominji, ir-reġistri tal-ismijiet tat-TLD u l-entitajiet li jipprovdu servizzi ta' reġistrazzjoni tal-ismijiet ta' dominji jenħtieġ li jiġbru u jiżguraw l-integrità u d-disponibbiltà tad-data tar-reġistrazzjoni tal-ismijiet ta' dominji. B'mod partikolari, jenħtieġ li r-reġistri tal-ismijiet tat-TLD u l-entitajiet li jipprovdu servizzi ta' reġistrazzjoni tal-ismijiet ta' dominji jistabbilixxu politiki u proċeduri biex jiġbru u jżommu data tar-reġistrazzjoni tal-ismijiet tad-dominji preċiża u kompleta, kif ukoll biex jipprevjenu u jikkoreġu d-data tar-reġistrazzjoni li ma tkunx preċiża, f'konformità mal-leġiżlazzjoni tal-Unjoni dwar il-protezzjoni tad-data. Tali politiki u proċeduri jenħtieġ li jqisu, sa fejn ikun possibbli, l-istandards żviluppati mill-istrutturi ta' governanza b'diversi partijiet interessati fil-livell internazzjonali. Ir-reġistri tal-ismijiet tat-TLD u l-entitajiet li jipprovdu servizzi ta' reġistrazzjoni tal-ismijiet ta' dominji jenħtieġ li jadottaw u jimplimentaw proċeduri proporzjonati biex jivverifikaw id-data tar-reġistrazzjoni tal-ismijiet ta' dominji. Dawk il-proċeduri għandhom jirriflettu l-aħjar prattiki użati fl-industrija u, sa fejn ikun possibbli, il-progress magħmul fil-qasam tal-identifikazzjoni elettronika. Eżempji ta' proċeduri ta' verifika jistgħu jinkludu kontrolli ex ante mwettqa fil-ħin tar-reġistrazzjoni u kontrolli ex post imwettqa wara r-reġistrazzjoni. Ir-reġistri tal-ismijiet tat-TLD u l-entitajiet li jipprovdu servizzi ta' reġistrazzjoni tal-ismijiet ta' dominji jenħtieġ li, b'mod partikolari, jivverifikaw tal-anqas mezz wieħed ta' kuntatt tar-reġistrant.

(112)

Jenħtieġ li r-reġistri tal-ismijiet tat-TLD u l-entitajiet li jipprovdu servizzi ta' reġistrazzjoni tal-ismijiet ta' dominji jintalbu jqiegħdu għad-dispożizzjoni tal-pubbliku d-data tar-reġistrazzjoni tal-ismijiet ta' dominji li jaqgħu barra mill-kamp ta' applikazzjoni tal-liġi tal-Unjoni dwar il-protezzjoni tad-data, bħal data li tikkonċerna persuni ġuridiċi, f'konformità mal-preambolu tar-Regolament (UE) 2016/679. Għall-persuni ġuridiċi, ir-reġistri tal-ismijiet tat-TLD u l-entitajiet li jipprovdu servizzi ta' reġistrazzjoni tal-ismijiet ta' dominji jenħtieġ li jqiegħdu għad-dispożizzjoni tal-pubbliku tal-anqas l-isem tar-reġistrant u n-numru tat-telefon ta' kuntatt. L-indirizz ta' kuntatt tal-posta elettronika għandu jiġi ppubblikat ukoll, sakemm ma jkun fih l-ebda data personali, bħal fil-każ ta' psewdonimi tal-email jew kontijiet funzjonali. Jenħtieġ li r-reġistri tal-ismijiet tat-TLD u l-entitajiet li jipprovdu servizzi ta' reġistrazzjoni tal-ismijiet ta' dominji jippermettu wkoll aċċess legali għal data speċifika tar-reġistrazzjoni tal-ismijiet ta' dominji li tikkonċerna persuni fiżiċi, lil persuni li jridu aċċess leġittimu, f'konformità mal-liġi tal-Unjoni dwar il-protezzjoni tad-data. L-Istati Membri jenħtieġ li jobbligaw lir-reġistri tal-ismijiet tat-TLD u l-entitajiet li jipprovdu servizzi ta' reġistrazzjoni tal-ismijiet ta' dominji jirrispondu mingħajr dewmien żejjed għal talbiet għad-divulgazzjoni tad-data tar-reġistrazzjoni tal-ismijiet ta' dominji minn persuni li jfittxu aċċess leġittimu. Ir-reġistri tal-ismijiet tat-TLD u l-entitajiet li jipprovdu servizzi tar-reġistrazzjoni tal-ismijiet ta' dominji jenħtieġ li jistabbilixxu politiki u proċeduri għall-pubblikazzjoni u d-divulgazzjoni tad-data tar-reġistrazzjoni, inkluż ftehimiet fil-livell ta' servizz biex jittrattaw it-talbiet għal aċċess mingħand dawk li jridu aċċess leġittimu. Tali politiki u proċeduri jenħtieġ li jqisu, sa fejn ikun possibbli, kwalunkwe gwida u l-istandards żviluppati mill-istrutturi ta' governanza b'diversi partijiet interessati fil-livell internazzjonali. Il-proċedura tal-aċċess tista' tinkludi l-użu ta' interfaċċa, portal jew għodda teknika oħra biex tiġi pprovduta sistema effiċjenti għal talbiet u aċċess għad-data tar-reġistrazzjoni. Bil-ħsieb li tippromwovi prattiki armonizzati fis-suq intern kollu, il-Kummissjoni tista', mingħajr preġudizzju għall-kompetenzi tal-Bord Ewropew għall-Protezzjoni tad-Data, tipprovdi linji gwida fir-rigward ta' tali proċeduri, li jqisu, sa fejn ikun possibbli, l-istandards żviluppati mill-istrutturi ta' governanza b'diversi partijiet interessati fil-livell internazzjonali. L-Istati Membri jenħtieġ li jiżguraw li kull tip ta' aċċess għad-data personali kif ukoll mhux personali tar-reġistrazzjoni tal-ismijiet ta' dominji jkun mingħajr ħlas.

(113)

L-entitajiet li jaqgħu fil-kamp ta' applikazzjoni ta' din id-Direttiva jenħtieġ li jitqiesu li jaqgħu taħt il-ġuriżdizzjoni tal-Istat Membru fejn ikunu stabbiliti. Madankollu, il-fornituri tan-networks pubbliċi tal-komunikazzjoni elettronika jew il-fornituri tas-servizzi tal-komunikazzjoni elettronika disponibbli pubblikament għandhom jitqiesu li jaqgħu taħt il-ġurżdizzjoni tal-Istat Membru li fih jipprovdu s-servizzi tagħhom. Il-fornituri ta' servizzi tad-DNS, ir-reġistri tal-ismijiet tat-TLD, l-entitajiet li jipprovdu servizzi ta' reġistrazzjoni tal-ismijiet ta' dominji, il-fornituri ta' servizzi tal-cloud computing, il-fornituri ta' servizzi ta' ċentri tad-data, il-fornituri ta' networks tal-konsenja tal-kontenut, il-fornituri ta' servizzi ġestiti, il-fornituri ta' servizzi tas-sigurtà ġestiti, kif ukoll il-fornituri ta' swieq online, ta' magni tat-tiftix online, u ta' pjattaformi ta' servizzi ta' networking soċjali, jenħtieġ li jitqiesu li jaqgħu fil-ġuriżdizzjoni tal-Istat Membru fejn għandhom l-istabbiliment prinċipali tagħhom fl-Unjoni. L-entitajiet tal-amministrazzjoni pubblika jenħtieġ li jaqgħu taħt il-ġuriżdizzjoni tal-Istat Membru li jkun stabbilihom. Jekk l-entità tipprovdi servizzi jew tkun stabbilita f'aktar minn Stat Membru wieħed, din jenħtieġ li taqa' taħt il-ġuriżdizzjoni separata u konkorrenti ta' kull wieħed minn dawk l-Istati Membri. L-awtoritajiet kompetenti ta' dawk l-Istati Membri jenħtieġ li jikkooperaw, jipprovdu assistenza reċiproka lil xulxin u, meta jkun xieraq, iwettqu azzjonijiet superviżorji konġunti. Fejn l-Istati Membri jeżerċitaw ġuriżdizzjoni, jenħtieġ li ma jimponux miżuri ta' infurzar jew pieni aktar minn darba għall-istess imġiba, f'konformità mal-prinċipju ta' ne bis in idem.

(114)

Biex titqies in-natura transfruntiera tas-servizzi u l-operazzjonijiet tal-fornituri ta' servizzi tad-DNS, ir-reġistri tal-ismijiet tat-TLD, l-entitajiet li jipprovdu servizzi ta' reġistrazzjoni tal-ismijiet ta' dominji, il-fornituri ta' servizzi tal-cloud computing, il-fornituri ta' servizzi ta' ċentri tad-data, il-fornituri ta' network tal-konsenja tal-kontenut, il-fornituri ta' servizzi ġestiti, il-fornituri ta' servizzi tas-sigurtà ġestiti, kif ukoll il-fornituri ta' swieq online, ta' magni tat-tiftix online u ta' pjattaformi ta' servizzi ta' networking soċjali, jenħtieġ li Stat Membru wieħed biss ikollu ġuriżdizzjoni fuq dawn l-entitajiet. Jenħtieġ li l-ġuriżdizzjoni tiġi attribwita lill-Istat Membru fejn l-entità kkonċernata jkollha l-istabbiliment ewlieni tagħha fl-Unjoni. Il-kriterju tal-istabbiliment għall-finijiet ta' din id-Direttiva jimplika l-eżerċizzju effettiv ta' attività permezz ta' arranġamenti stabbli. Il-forma legali ta' dawn l-arranġamenti, sew jekk permezz ta' fergħa jew sussidjarja b'personalità ġuridika, mhix il-fattur determinanti f'dak ir-rigward. Il-konformità ma' dak il-kriterju jenħtieġ li ma tkunx tiddependi fuq jekk in-network u s-sistemi tal-informazzjoni jkunux jinsabu fiżikament f'post partikolari; il-preżenza u l-użu ta' tali sistemi, fihom infushom, ma jikkostitwux tali stabbiliment ewlieni u għalhekk mhumiex kriterji deċiżivi għad-determinazzjoni tal-istabbiliment ewlieni. Jenħtieġ li l-istabbiliment ewlieni jitqies li jkun fl-Istat Membru fejn jittieħdu l-biċċa l-kbira tad-deċiżjonijiet relatati mal-miżuri ta' ġestjoni tar-riskji taċ-ċibersigurtà fl-Unjoni. Tipikament, dan ikun jikkorrispondi għall-post tal-amministrazzjoni ċentrali tal-entitajiet fl-Unjoni. Jekk tali Stat Membru ma jkunx jista' jiġi ddeterminat jew jekk tali deċiżjonijiet ma jittiħdux fl-Unjoni, l-istabbiliment ewlieni jenħtieġ li jitqies li jkun fl-Istat Membru fejn jitwettqu l-operazzjonijiet taċ-ċibersigurtà. Jekk tali Stat Membru ma jkunx jista' jiġi ddeterminat, l-istabbiliment ewlieni jenħtieġ li jitqies li jkun fl-Istat Membru fejn l-entità jkollha l-istabbiliment bl-akbar numru ta' impjegati fl-Unjoni. Meta s-servizzi jitwettqu minn grupp ta' impriżi, l-istabbiliment ewlieni tal-impriża li tikkontrolla jenħtieġ li jitqies bħala l-istabbiliment ewlieni tal-grupp ta' impriżi.

(115)

Meta servizz tad-DNS rikursiv jiġi pprovdut minn fornitur ta' networks pubbliċi tal-komunikazzjoni elettronika jew tas-servizzi tal-komunikazzjoni elettronika disponibbli għall-pubbliku biss bħala parti mis-servizz ta' aċċess għall-internet, l-entità jenħtieġ li titqies li taqa' taħt il-ġuriżdizzjoni tal-Istati Membri kollha fejn jiġu pprovduti s-servizzi tagħha.

(116)

Meta fornitur ta' servizz tad-DNS, reġistru ta' ismijiet tat-TLD, entità li tipprovdi servizzi ta' reġistrazzjoni ta' ismijiet ta' dominji, fornitur ta' servizzi tal-cloud computing, fornitur ta' servizzi ta' ċentru tad-data, fornitur ta' networks tal-konsenja tal-kontenut, fornitur ta' servizzi ġestiti, fornitur ta' servizzi tas-sigurtà ġestiti jew fornitur ta' suq online, ta' magna tat-tiftix online, jew ta' pjattaforma ta' servizzi ta' networking soċjali, li ma jkunux stabbiliti fl-Unjoni, joffru servizzi fl-Unjoni, jenħtieġ li jaħtru rappreżentant fl-Unjoni. Sabiex jiġi ddeterminat jekk tali entità hix qed toffri servizzi fl-Unjoni, jenħtieġ li jiġi aċċertat jekk l-entità hux qed tippjana li toffri servizzi lil persuni fi Stat Membru wieħed jew aktar. Is-sempliċi aċċessibbiltà fl-Unjoni tas-sit web tal-entità jew ta' intermedjarju jew ta' indirizz tal-email u dettalji ta' kuntatt oħrajn, jew l-użu ta' lingwa użata b'mod ġenerali fil-pajjiż terz fejn tkun stabbilita l-entità, jenħtieġ li jitqiesu bħala insuffiċjenti biex tiġi aċċertata tali intenzjoni. Madankollu, fatturi bħall-użu ta' lingwa jew munita użata b'mod ġenerali fi Stat Membru wieħed jew aktar bil-possibbiltà li jiġu ordnati servizzi b'dik il-lingwa, jew ir-referenza għal klijenti jew utenti li jinsabu fl-Unjoni, jistgħu juru li l-entità qed tippjana li toffri servizzi fl-Unjoni. Ir-rappreżentant jenħtieġ li jaġixxi f'isem l-entità u jenħtieġ li jkun possibbli li l-awtoritajiet kompetenti jew is-CSIRTs jindirizzaw lir-rappreżentant. Ir-rappreżentant jenħtieġ li jiġi maħtur espliċitament b'mandat bil-miktub tal-entità biex jaġixxi f'isem din tal-aħħar fir-rigward tal-obbligi ta' din tal-aħħar stipulati f'din id-Direttiva, inkluż ir-rapportar tal-inċidenti.

(117)

Sabiex tiġi żgurata ħarsa ġenerali ċara lejn il-fornituri ta' servizzi tad-DNS, ir-reġistri ta' ismijiet tat-TLD, l-entitajiet li jipprovdu servizzi ta' reġistrazzjoni ta' ismijiet ta' dominji, il-fornituri ta' servizzi ta' cloud computing, il-fornituri ta' servizzi ta' ċentri tad-data, il-fornituri ta' networks tal-konsenja tal-kontenut, il-fornituri ta' servizzi ġestiti, il-fornituri ta' servizzi tas-sigurtà ġestiti, kif ukoll il-fornituri ta' swieq online, ta' magni tat-tiftix online, u ta' pjattaformi ta' servizzi ta' networking soċjali, li jipprovdu servizzi madwar l-Unjoni li jaqgħu fil-kamp ta' applikazzjoni ta' din id-Direttiva, l-ENISA jenħtieġ li toħloq u żżomm reġistru ta' tali entitajiet, abbażi tal-informazzjoni riċevuta mill-Istati Membri, fejn applikabbli permezz ta' mekkaniżmi nazzjonali stabbiliti biex l-entitajiet jirreġistraw lilhom infushom. Il-punti uniċi ta' kuntatt jenħtieġ li jibagħtu lill-ENISA l-informazzjoni u kwalunkwe bidla fiha. Bil-ħsieb li tiġi żgurata l-eżattezza u l-kompletezza tal-informazzjoni li għandha tiġi inkluża f'dak ir-reġistru, l-Istati Membri jistgħu jippreżentaw lill-ENISA l-informazzjoni disponibbli fi kwalunkwe reġistri nazzjonali dwar dawk l-entitajiet. Jenħtieġ li l-ENISA u l-Istati Membri jieħdu miżuri biex jiffaċilitaw l-interoperabbiltà ta' tali reġistri, filwaqt li jiżguraw il-protezzjoni ta' informazzjoni kunfidenzjali jew klassifikata. Jenħtieġ li l-ENISA tistabbilixxi protokolli xierqa ta' klassifikazzjoni u ġestjoni tal-informazzjoni biex tiżgura s-sigurtà u l-kunfidenzjalità tal-informazzjoni żvelata u tillimita l-aċċess, il-ħżin u t-trażmissjoni ta' tali informazzjoni għall-utenti maħsuba.

(118)

Meta informazzjoni li hija klassifikata f'konformità mal-liġi tal-Unjoni jew nazzjonali tiġi skambjata, irrapportata jew kondiviża b'xi mod ieħor skont din id-Direttiva, jenħtieġ li jiġu applikati r-regoli korrispondenti dwar it-trattament ta' informazzjoni klassifikata. Barra minn hekk, jenħtieġ li l-ENISA jkollha l-infrastruttura, il-proċeduri u r-regoli fis-seħħ biex tittratta informazzjoni sensittiva u klassifikata f'konformità mar-regoli ta' sigurtà applikabbli għall-protezzjoni ta' informazzjoni klassifikata tal-UE.

(119)

It-theddid ċibernetiku qed isir aktar kumpless u sofistikat, u għalhekk miżuri tajba għad-detezzjoni u l-prevenzjoni ta' tali theddid jiddependu ferm fuq il-kondiviżjoni regolari ta' intelligence dwar it-theddid u l-vulnerabbiltà bejn l-entitajiet. Il-kondiviżjoni tal-informazzjoni tikkontribwixxi għal aktar sensibilizzazzjoni dwar it-theddid ċibernetiku u, konsegwentement, dan isaħħaħ il-kapaċità tal-entitajiet li jipprevjenu li tali theddid jimmaterjalizza f'inċidenti reali u jippermetti lill-entitajiet irażżnu aħjar l-effetti tal-inċidenti u jirkupraw b'aktar effiċjenza. Fin-nuqqas ta' gwida fil-livell tal-Unjoni, jidher li hemm diversi fatturi li ostakolaw tali kondiviżjoni ta' intelligence, b'mod partikolari l-inċertezza dwar il-kompatibbiltà mar-regoli tal-kompetizzjoni u tar-responsabbiltà.

(120)

L-entitajiet jenħtieġ li jiġu mħeġġa u assistiti mill-Istati Membri biex jisfruttaw kollettivament l-għarfien individwali u l-esperjenza prattika tagħhom f'livelli strateġiċi, tattiċi u operazzjonali bil-ħsieb li jsaħħu l-kapaċitajiet tagħhom biex jipprevjenu u jidentifikaw l-inċidenti, jirrispondu għalihom, jirkupraw minnhom jew jimmitigaw l-impatt tagħhom. Għalhekk jeħtieġ ikun possibbli li fil-livell tal-Unjoni jinħolqu arranġamenti volontarji ta' kondiviżjoni tal-informazzjoni dwar iċ-ċibersigurtà. Għal dak il-għan, l-Istati Membri jenħtieġ li jassistu u jħeġġu b'mod attiv lill-entitajiet, bħal dawk li jipprovdu servizzi u riċerka taċ-ċibersigurtà, kif ukoll entitajiet rilevanti mhux koperti mill-kamp ta' applikazzjoni ta' din id-Direttiva, biex jipparteċipaw f'tali arranġamenti ta' kondiviżjoni tal-informazzjoni dwar iċ-ċibersigurtà. Dawk l-arranġamenti jenħtieġ li jiġu stabbiliti f'konformità mar-regoli tal-Unjoni dwar il-kompetizzjoni u mal-liġi tal-Unjoni dwar il-protezzjoni tad-data.

(121)

L-ipproċessar ta' data personali, sa fejn ikun meħtieġ u proporzjonat għall-fini li tiġi żgurata s-sigurtà tan-networks u s-sistemi tal-informazzjoni minn entitajiet essenzjali u importanti, jista' jitqies bħala legali fuq il-bażi li tali pproċessar ikun konformi ma' obbligu legali li għalih ikun soġġett il-kontrollur, f'konformità mar-rekwiżiti tal-Artikolu 6(1), il-punt (c), u l-Artikolu 6(3) tar-Regolament (UE) 2016/679. L-ipproċessar ta' data personali jista' jkun meħtieġ ukoll għal interessi leġittimi segwiti minn entitajiet essenzjali u importanti, kif ukoll fornituri ta' teknoloġiji u servizzi tas-sigurtà li jaġixxu f'isem dawk l-entitajiet, skont l-Artikolu 6(1), il-punt (f), tar-Regolament (UE) 2016/679, inkluż meta tali pproċessar ikun meħtieġ għal arranġamenti ta' kondiviżjoni ta' informazzjoni dwar iċ-ċibersigurtà jew in-notifika volontarja ta' informazzjoni rilevanti f'konformità ma' din id-Direttiva. Il-miżuri relatati mal-prevenzjoni, id-detezzjoni, l-identifikazzjoni, it-trażżin, u l-analiżi tal-inċidenti u r-rispons għalihom, il-miżuri għas-sensibilizzazzjoni dwar theddid ċibernetiku speċifiku, l-iskambju ta' informazzjoni fil-kuntest tar-rimedju tal-vulnerabbiltà u d-divulgazzjoni kkoordinata tal-vulnerabbiltà, l-iskambju volontarju ta' informazzjoni dwar dawk l-inċidenti, u t-theddid ċibernetiku u l-vulnerabbiltajiet, l-indikaturi ta' kompromess, tattiċi, tekniki u proċeduri, it-twissijiet taċ-ċibersigurtà u l-għodod ta' konfigurazzjoni jistgħu jeżiġu l-ipproċessar ta' ċerti kategoriji ta' data personali, bħal indirizzi IP, lokalizzaturi uniformi tar-riżorsi (URLs), ismijiet ta' dominji, indirizzi tal-email u, fejn jiżvelaw data personali, kronogrammi. L-ipproċessar ta' data personali mill-awtoritajiet kompetenti, mill-punti uniċi ta' kuntatt u mis-CSIRTs, jista' jikkostitwixxi obbligu legali jew jitqies bħala meħtieġ għat-twettiq ta' kompitu fl-interess pubbliku jew fl-eżerċizzju ta' awtorità uffiċjali mogħtija lill-kontrollur tad-data skont l-Artikolu 6(1), il-punt (c) jew (e), u l-Artikolu 6(3) tar-Regolament (UE) 2016/679, jew biex jiġi segwit interess leġittimu ta' entitajiet essenzjali u importanti, kif imsemmi fl-Artikolu 6(1), il-punt (f), ta’dak ir-Regolament. Barra minn hekk, il-liġi nazzjonali tista' tistabbilixxi regoli li jippermettu lill-awtoritajiet kompetenti, lill-punti uniċi ta' kuntatt u lis-CSIRTs, sa fejn dan ikun meħtieġ u proporzjonat għall-fini li tiġi żgurata s-sigurtà tan-networks u tas-sistemi tal-informazzjoni ta' entitajiet essenzjali u importanti, jipproċessaw kategoriji speċjali ta' data personali f'konformità mal-Artikolu 9 tar-Regolament (UE) 2016/679, b'mod partikolari billi jiġu previsti miżuri xierqa u speċifiċi biex jiġu ssalvagwardjati d-drittijiet u l-interessi fundamentali ta' persuni fiżiċi, inklużi limitazzjonijiet tekniċi fuq l-użu mill-ġdid ta' tali data u l-użu ta' miżuri ta' sigurtà u ta' preżervazzjoni tal-privatezza tal-ogħla livell ta' żvilupp tekniku, bħall-psewdonimizzazzjoni, jew il-kriptaġġ meta l-anonimizzazzjoni tkun tista' taffettwa b'mod sinifikanti l-għan fil-mira.

(122)

Biex jissaħħu s-setgħat u l-miżuri superviżorji li jgħinu biex tiġi żgurata konformità effettiva, din id-Direttiva jenħtieġ li tipprevedi lista minima ta' miżuri u mezzi superviżorji li permezz tagħhom l-awtoritajiet kompetenti jistgħu jissorveljaw lill-entitajiet essenzjali u importanti. Barra minn hekk, din id-Direttiva jenħtieġ li tistabbilixxi divrenzjar tar-reġim superviżorju bejn l-entitajiet essenzjali u importanti biex jiġi żgurat bilanċ ġust tal-obbligi fuq dawk l-entitajiet u fuq l-awtoritajiet kompetenti. Għalhekk, l-entitajiet essenzjali jenħtieġ li jkunu soġġetti għal reġim superviżorju ex ante u ex post komprensiv, filwaqt li l-entitajiet importanti jenħtieġ li jkunu soġġetti għal reġim superviżorju ħafif, ex post biss. L-entitajiet importanti għalhekk jenħtieġ li ma jkunux obbligati jiddokumentaw b'mod sistematiku l-konformità mal-miżuri ta' ġestjoni tar-riskji taċ-ċibersigurtà, filwaqt li l-awtoritajiet kompetenti jenħtieġ li jimplimentaw approċċ reattiv ex post għas-superviżjoni u, b'hekk, ma jkollhomx obbligu ġenerali li jissorveljaw lil dawk l-entitajiet. Is-superviżjoni ex post ta' entitajiet importanti tista' tiġi skattata permezz ta' evidenza, indikazzjoni jew informazzjoni li tinġieb għall-attenzjoni tal-awtoritajiet kompetenti meqjusa minn dawk l-awtoritajiet bħala li tissuġġerixxi ksur potenzjali ta' din id-Direttiva. Pereżempju, tali evidenza, indikazzjoni jew informazzjoni tista' tkun tat-tip ipprovduta lill-awtoritajiet kompetenti minn awtoritajiet oħrajn, entitajiet, ċittadini, media jew sorsi oħra jew informazzjoni disponibbli pubblikament, jew tista' tirriżulta minn attivitajiet oħra mwettqa mill-awtoritajiet kompetenti fit-twettiq tal-kompiti tagħhom.

(123)

Jenħtieġ li l-eżekuzzjoni tal-kompiti superviżorji mill-awtoritajiet kompetenti ma tfixkilx bla bżonn l-attivitajiet kummerċjali tal-entità kkonċernata. Meta l-awtoritajiet kompetenti jwettqu l-kompiti superviżorji tagħhom fir-rigward ta' entitajiet essenzjali, inkluż it-twettiq ta' spezzjonijiet fuq il-post u superviżjoni mhux fuq il-post, l-investigazzjoni ta' ksur ta' din id-Direttiva u t-twettiq ta' awditi tas-sigurtà jew skennjar tas-sigurtà, jenħtieġ li jimminimizzaw l-impatt fuq l-attivitajiet kummerċjali tal-entità kkonċernata.

(124)

Fl-eżerċizzju tas-superviżjoni ex ante, l-awtoritajiet kompetenti jenħtieġ li jkunu jistgħu jiddeċiedu dwar il-prijoritizzazzjoni tal-użu tal-miżuri u l-mezzi superviżorji għad-dispożizzjoni tagħhom b'mod proporzjonat. Dan ifisser li l-awtoritajiet kompetenti jistgħu jiddeċiedu dwar tali prijoritizzazzjoni abbażi ta' metodoloġiji superviżorji li jenħtieġ li jsegwu approċċ ibbażat fuq ir-riskju. B'mod aktar speċifiku, tali metodoloġiji jistgħu jinkludu kriterji jew parametri referenzjarji għall-klassifikazzjoni ta' entitajiet essenzjali f'kategoriji ta' riskju u miżuri u mezzi superviżorji korrispondenti rrakkomandati għal kull kategorija ta' riskju, bħall-użu, il-frekwenza jew it-tipi ta' spezzjonijiet fuq il-post, awditi tas-sigurtà jew skennjar tas-sigurtà mmirati, it-tip ta' informazzjoni li għandha tintalab u l-livell ta' dettall ta' dik l-informazzjoni. Tali metodoloġiji superviżorji jistgħu jkunu akkumpanjati wkoll minn programmi ta' ħidma u jiġu vvalutati u rieżaminati fuq bażi regolari, inkluż dwar aspetti bħall-allokazzjoni tar-riżorsi u l-ħtiġijiet. Fir-rigward tal-entitajiet tal-amministrazzjoni pubblika, is-setgħat superviżorji jenħtieġ li jiġu eżerċitati bi qbil mal-oqfsa leġiżlattivi u istituzzjonali nazzjonali.

(125)

Jenħtieġ li l-awtoritajiet kompetenti jiżguraw li l-kompiti superviżorji tagħhom fir-rigward tal-entitajiet essenzjali u importanti jitwettqu minn professjonisti mħarrġa, li jenħtieġ li jkollhom il-ħiliet meħtieġa biex iwettqu dawk il-kompiti, b'mod partikolari fir-rigward tat-twettiq ta' spezzjonijiet fuq il-post u superviżjoni mhux fuq il-post, inkluża l-identifikazzjoni tad-dgħufijiet fil-bażijiet tad-data, il-hardware, il-firewalls, il-kriptaġġ u n-networks. Jenħtieġ li dawk l-ispezzjonijiet u dik is-superviżjoni jitwettqu b'mod oġġettiv.

(126)

F'każijiet debitament sostanzjati meta tkun konxja minn theddida ċibernetika sinifikanti jew riskju imminenti, l-awtorità kompetenti jenħtieġ li tkun tista' tieħu deċiżjonijiet ta' infurzar immedjati bil-għan li tipprevjeni jew tirrispondi għal inċident.

(127)

Għal infurzar effettiv, jenħtieġ li tiġi stabbilita lista minima ta' setgħat ta' infurzar li jistgħu jiġu eżerċitati għall-ksur tal-miżuri ta' ġestjoni tar-riskji taċ-ċibersigurtà u tal-obbligi tar-rapportar previsti f'din id-Direttiva, filwaqt li jiġi stabbilit qafas ċar u konsistenti għal tali infurzar madwar l-Unjoni. Jenħtieġ li jitqiesu kif xieraq in-natura, il-gravità u t-tul tal-ksur ta' din id-Direttiva, id-dannu materjali jew mhux materjali kkawżat, jekk il-ksur kienx intenzjonali jew negliġenti, l-azzjonijiet meħuda għall-prevenzjoni jew il-mitigazzjoni tad-dannu materjali jew mhux materjali, il-grad ta' responsabbiltà jew kwalunkwe ksur preċedenti rilevanti, il-grad ta' kooperazzjoni mal-awtorità kompetenti u kwalunkwe fattur aggravanti jew mitiganti ieħor. Il-miżuri ta' infurzar, inklużi l-multi amministrattivi, jenħtieġ li jkunu proporzjonali u jenħtieġ li l-impożizzjoni tagħhom tkun soġġetta għal salvagwardji proċedurali xierqa f'konformità mal-prinċipji ġenerali tal-liġi tal-Unjoni u l-Karta tad-Drittijiet Fundamentali tal-Unjoni Ewropea ("il-Karta"), inklużi d-dritt għal rimedju effettiv u għal proċess imparzjali, il-preżunzjoni ta' innoċenza u d-dritt għad-difiża.

(128)

Din id-Direttiva ma teħtieġx li l-Istati Membri jipprovdu għal responsabbiltà kriminali jew ċivili fir-rigward ta' persuni fiżiċi bir-responsabbiltà li jiżguraw li entità tikkonforma ma' din id-Direttiva għad-danni mġarrba minn partijiet terzi b'riżultat ta' ksur ta' din id-Direttiva.

(129)

Sabiex jiġi żgurat infurzar effettiv tal-obbligi stabbiliti f'din id-Direttiva, kull awtorità kompetenti jenħtieġ li jkollha s-setgħa li timponi jew titlob l-impożizzjoni ta' multi amministrattivi.

(130)

Meta tiġi imposta multa amministrattiva fuq entità essenzjali jew importanti li tkun impriża, it-terminu "impriża" jenħtieġ li jfisser impriża f'konformità mal-Artikoli 101 u 102 tat-TFUE għal dawk il-finijiet. Meta tiġi imposta multa amministrattiva fuq persuna li mhijiex impriża, l-awtorità kompetenti jenħtieġ li tqis kemm il-livell ġenerali ta' introjtu fl-Istat Membru kif ukoll is-sitwazzjoni ekonomika tal-persuna meta tkun qed tistabbilixxi l-ammont xieraq tal-multa. Jenħtieġ li jkunu l-Istati Membri li jiddeterminaw jekk l-awtoritajiet pubbliċi jenħtieġx li jkunu soġġetti għal multi amministrattivi u sa liema punt. L-impożizzjoni ta' multa amministrattiva ma taffettwax l-applikazzjoni ta' setgħat oħra tal-awtoritajiet kompetenti jew ta' pieni oħra stabbiliti fir-regoli nazzjonali li jittrasponu din id-Direttiva.

(131)

Jenħtieġ li l-Istati Membri jkunu jistgħu jistabbilixxu r-regoli dwar il-pieni kriminali għall-ksur tar-regoli nazzjonali li jittrasponu din id-Direttiva. Madankollu, jenħtieġ li l-impożizzjoni ta' pieni kriminali għall-ksur ta' tali regoli nazzjonali u ta' pieni amministrattivi relatati ma twassalx għal ksur tal-prinċipju ta' ne bis in idem, kif interpretat mill-Qorti tal-Ġustizzja tal-Unjoni Ewropea.

(132)

Meta din id-Direttiva ma tarmonizzax il-pieni amministrattivi jew meta jkun meħtieġ f'każijiet oħra, pereżempju fil-każ ta' ksur serju ta' din id-Direttiva, l-Istati Membri jenħtieġ li jimplimentaw sistema li tipprevedi pieni effettivi, proporzjonati u dissważivi. Il-liġi nazzjonali jenħtieġ li tiddetermina n-natura ta' tali pieni u jekk humiex kriminali jew amministrattivi.

(133)

Sabiex ikomplu jssaħħu l-effettività u d-dissważività tal-miżuri ta' infurzar applikabbli għall-ksur ta' din id-Direttiva, l-awtoritajiet kompetenti jenħtieġ li jkollhom is-setgħa li jissospendu temporanjament jew li jitolbu s-sospensjoni temporanja ta' ċertifikazzjoni jew awtorizzazzjoni li tikkonċerna s-servizzi kollha rilevanti pprovduti jew parti minnhom jew l-attivitajiet imwettqa minn entità essenzjali u jitolbu l-impożizzjoni ta' projbizzjoni temporanja fuq l-eżerċizzju tal-funzjonijiet maniġerjali minn kwalunkwe persuna fiżika li twettaq responsabbiltajiet maniġerjali fil-livell ta' kap eżekuttiv jew ta' rappreżentant legali. Minħabba s-severità u l-impatt tagħhom fuq l-attivitajiet tal-entitajiet u fl-aħħar mill-aħħar fuq l-utenti, tali sospensjonijiet jew projbizzjonijiet temporanji jenħtieġ li jiġu applikati biss b'mod proporzjonali għas-severità tal-ksur u filwaqt li jitqiesu ċ-ċirkostanzi speċifiċi ta' kull każ individwali, inkluż jekk il-ksur kienx intenzjonali jew negliġenti, u kwalunkwe azzjoni meħuda għall-prevenzjoni jew il-mitigazzjoni tad-dannu materjali jew mhux materjali. Tali projbizzjonjiet jew sospensjonijiet temporanji jenħtieġ li jiġu applikati biss bħala soluzzjoni tal-aħħar istanza, jiġifieri diment li jkunu ġew eżawriti l-miżuri ta' infurzar rilevanti l-oħra stabbiliti f'din id-Direttiva, u sakemm l-entità kkonċernata tieħu l-azzjoni meħtieġa biex tirrimedja n-nuqqasijiet jew tikkonforma mar-rekwiżiti tal-awtorità kompetenti li għalihom ikunu ġew applikati tali sanzjonijiet jew projbizzjonijiet temporanji. L-impożizzjoni ta' tali sospensjonijiet jew projbizzjonijiet temporanji jenħtieġ li tkun soġġetta għal salvagwardji proċedurali xierqa f'konformità mal-prinċipji ġenerali tal-liġi tal-Unjoni u l-Karta , inklużi d-dritt għal rimedju effettiv u għal proċess imparzjali, il-preżunzjoni ta' innoċenza u d-dritt għad-difiża.

(134)

Bl-iskop li tiġi żgurata l-konformità tal-entitajiet mal-obbligi tagħhom stipulati f'din id-Direttiva, jenħtieġ li l-Istati Membri jikkooperaw ma' xulxin u jassistu lil xulxin fir-rigward tal-miżuri superviżorji u ta' infurzar, b'mod partikolari meta entità tipprovdi servizzi f'aktar minn Stat Membru wieħed jew fejn in-network u s-sistemi tal-informazzjoni tagħha jkunu lokalizzati fi Stat Membru differenti minn dak fejn tipprovdi s-servizzi. Meta tkun qed tagħti assistenza, jenħtieġ li l-awtorità kompetenti li ssirilha t-talba tieħu miżuri superviżorji jew ta' infurzar f'konformità mal-liġi nazzjonali. Sabiex jiġi żgurat il-funzjonament bla xkiel tal-assistenza reċiproka skont din id-Direttiva, jenħtieġ li l-awtoritajiet kompetenti jużaw il-Grupp ta' Kooperazzjoni bħala forum biex jiddiskutu każijiet u talbiet partikolari għall-assistenza.

(135)

Sabiex jiżguraw superviżjoni u infurzar effettivi, b'mod partikolari fil-każ f’-sitwazzjoni li għandha dimensjoni transfruntiera, Stat Membru li jkun irċieva talba għal assistenza reċiproka jenħtieġ li, fil-limiti ta' dik it-talba, jieħdu miżuri superviżorji u ta' infurzar xierqa fir-rigward tal-entità li hija s-suġġett ta' dik it-talba, u li tipprovdi servizzi jew li jkollha network u sistema tal-informazzjoni fit-territorju ta' dak l-Istat Membru.

(136)

Din id-Direttiva jenħtieġ li tistabbilixxi regoli ta' kooperazzjoni bejn l-awtoritajiet kompetenti u l-awtoritajiet superviżorji skont ir-Regolament (UE) 2016/679 biex jiġi indirizzat il-ksur ta' din id-Direttiva relatat mad-data personali.

(137)

Din id-Direttiva jenħtieġ li jkollha l-għan li tiżgura livell għoli ta' responsabbiltà għall-miżuri ta' ġestjoni tar-riskji taċ-ċibersigurtà u l-obbligi ta' rapportar fil-livell tal-entitajiet essenzjali u importanti. Għalhekk, jenħtieġ li l-korpi maniġerjali tal-entitajiet essenzjali u importanti japprovaw il-miżuri ta' ġestjoni tar-riskji taċ-ċibersigurtà u jissorveljaw l-implimentazzjoni tagħhom.

(138)

Sabiex jiġi żgurat livell komuni għoli ta' ċibersigurtà madwar l-Unjoni abbażi ta' din id-Direttiva, jenħtieġ li tiġi delegata lill-Kummissjoni s-setgħa li tadotta atti skont l-Artikolu 290 tat-TFUE fir-rigward tas-supplimentar ta' din id-Direttiva billi jiġi speċifikat liema kategoriji ta' entitajiet essenzjali u importanti għandhom ikunu meħtieġa jużaw ċerti prodotti tal-ICT, servizzi tal-ICT u proċessi tal-ICT iċċertifikati jew jiksbu ċertifikat skont skema Ewropea taċ-ċertifikazzjoni taċ-ċibersigurtà. Huwa partikolarment importanti li l-Kummissjoni twettaq konsultazzjonijiet xierqa matul ix-xogħol tagħha ta' tħejjija, ukoll fil-livell ta' esperti, u li dawk il-konsultazzjonijiet jiġu mwettqa f'konformità mal-prinċipji stipulati fil-Ftehim Interistituzzjonali tat-13 ta' April 2016 dwar it-Tfassil Aħjar tal-Liġijiet (22). B'mod partikolari, biex tiġi żgurata parteċipazzjoni ugwali fit-tħejjija ta' atti delegati, il-Parlament Ewropew u l-Kunsill jirċievu d-dokumenti kollha fl-istess ħin li jirċevuhom l-esperti tal-Istati Membri, u l-esperti tagħhom ikollhom aċċess sistematiku għal-laqgħat tal-gruppi tal-esperti tal-Kummissjoni li jittrattaw it-tħejjija ta' atti delegati.

(139)

Sabiex jiġu żgurati kundizzjonijiet uniformi għall-implimentazzjoni ta' din id-Direttiva, jenħtieġ li jingħataw setgħat ta' implimentazzjoni lill-Kummissjoni biex tistabbilixxi l-arranġamenti proċedurali meħtieġa għall-funzjonament tal-Grupp ta' Kooperazzjoni u r-rekwiżiti tekniċi u metodoloġiċi kif ukoll settorjali dwar il-miżuri ta' ġestjoni tar-riskji taċ-ċibersigurtà, u biex tispeċifika aktar it-tip ta' informazzjoni, il-format u l-proċedura ta' notifika ta' inċident, theddid ċibernetiku u kważi inċident u ta' komunikazzjonijiet ta' theddid ċibernetiku sinifikanti, kif ukoll każijiet fejn inċident għandu jitqies bħala sinifikanti. Jenħtieġ li dawk is-setgħat ikunu eżerċitati f'konformità mar-Regolament (UE) Nru 182/2011 tal-Parlament Ewropew u tal-Kunsill (23).

(140)

Jenħtieġ li l-Kummissjoni twettaq rieżami ta' din id-Direttiva perjodikament, wara li tikkonsulta l-partijiet interessati, b'mod partikolari bil-għan li tiddetermina jekk ikunx xieraq li jiġu proposti emendi fid-dawl ta' bidliet fil-kundizzjonijiet soċjetali, politiċi, teknoloġiċi jew tas-suq. Bħala parti minn dawk ir-rieżamijiet, jenħtieġ li l-Kummissjoni tivvaluta r-rilevanza tad-daqs tal-entitajiet ikkonċernati, u s-setturi, is-sottosetturi u t-tipi ta' entitajiet imsemmija fl-annessi ta' din id-Direttiva għall-funzjonament tal-ekonomija u tas-soċjetà fir-rigward taċ-ċibersigurtà. Jenħtieġ li l-Kummissjoni tivvaluta, fost l-oħrajn, jekk il-fornituri, li jaqgħu fil-kamp ta' applikazzjoni ta' din id-Direttiva, li huma meqjusa bħala pjattaformi online kbar ħafna skont it-tifsira tal-Artikolu 33 tar-Regolament (UE) 2022/2065 tal-Parlament Ewropew u tal-Kunsill (24) jistgħux jiġu identifikati bħala entitajiet essenzjali skont din id-Direttiva.

(141)

Din id-Direttiva toħloq kompiti ġodda għall-ENISA, u b'hekk issaħħaħ ir-rwol tagħha, u tista' twassal ukoll biex l-ENISA tkun meħtieġa twettaq il-kompiti eżistenti tagħha skont ir-Regolament (UE) 2019/881 għal standard ogħla minn qabel. Sabiex jiġi żgurat li l-ENISA jkollha r-riżorsi finanzjarji u umani meħtieġa biex twettaq il-kompiti eżistenti u dawk ġodda, kif ukoll biex tissodisfa kwalunkwe livell ogħla ta' eżekuzzjoni ta' dawk il-kompiti li jirriżultaw mir-rwol imsaħħaħ tagħha, il-baġit tagħha jenħtieġ li jiżdied kif xieraq. Barra minn hekk, sabiex jiġi żgurat l-użu effiċjenti tar-riżorsi, l-ENISA jenħtieġ li tingħata flessibbiltà akbar fil-mod li bih tista' talloka r-riżorsi internament, sabiex twettaq il-kompiti tagħha u tilħaq l-aspettattivi b'mod effettiv.

(142)

Minħabba li l-objettiv ta' din id-Direttiva, jiġifieri li jinkiseb livell komuni għoli ta' ċibersigurtà madwar l-Unjoni, ma jistax jinkiseb b'mod suffiċjenti mill-Istati Membri iżda jista' pjuttost, minħabba l-effetti tal-azzjoni, jinkiseb aħjar fil-livell tal-Unjoni, l-Unjoni tista' tadotta miżuri, f'konformità mal-prinċipju ta' sussidjarjetà kif stabbilit fl-Artikolu 5 tat-Trattat dwar l-Unjoni Ewropea. F'konformità mal-prinċipju ta' proporzjonalità kif stabbilit f'dak l-Artikolu, din id-Direttiva ma tmurx lil hinn minn dak li huwa meħtieġ sabiex jinkiseb dak l-objettiv.

(143)

Din id-Direttiva tirrispetta d-drittijiet fundamentali, u tosserva l-prinċipji, rikonoxxuti mill-Karta, b'mod partikolari d-dritt għar-rispett għall-ħajja privata u l-komunikazzjonijiet, il-protezzjoni tad-data personali, il-libertà ta' intrapriża, id-dritt għall-propjetà, id-dritt għal rimedju effettiv u għal proċess imparzjali, il-preżunzjoni ta' innoċenza u d-dritt għad-difiża. Id-dritt għal rimedju effettiv japplika wkoll għar-riċevituri ta' servizzi pprovduti minn entitajiet essenzjali u importanti. Din id-Direttiva jenħtieġ li tiġi implimentata f'konformità ma' dawk id-drittijiet u l-prinċipji.

(144)

Il-Kontrollur Ewropew għall-Protezzjoni tad-Data ġie kkonsultat f'konformità mal-Artikolu 42(1) tar-Regolament (UE) 2018/1725 tal-Parlament Ewropew u tal-Kunsill (25) u ta opinjoni fil-11 ta' Marzu 2021 (26),