qafas għal skemi taċ-ċertifikazzjoni volontarja taċ-ċibersigurtà Ewropea għat-teknoloġija tal-informazzjoni u tal-komunikazzjoni (ICT), prodotti, servizzi u proċessi, u servizzi tas-sigurtà ġestiti.
PUNTI EWLENIN
Il-mandat tal-ENISA huwa li:
jinkiseb livell komuni għoli ta’ ċibersigurtà madwar l-UE;
jiġu appoġġati l-awtoritajiet nazzjonali u l-istituzzjonijiet tal-UE, il-korpi, l-uffiċċji u l-aġenziji tal-UE fit-titjib taċ-ċibersigurtà;
isservi bħala punt ta’ referenza għal pariri u għarfien espert xjentifiċi u tekniċi dwar iċ-ċibersigurtà għall-istituzzjonijiet, il-korpi, l-uffiċċji u l-aġenziji tal-UE kif ukoll għal partijiet ikkonċernati rilevanti oħra;
tagħti kontribut għat-tnaqqis tal-frammentazzjoni fis-suq intern;
taġixxi b’mod indipendenti, tevita d-duplikazzjoni ta’ attivitajiet nazzjonali u tqis l-għarfien espert nazzjonali;
tiżviluppa r-riżorsi tekniċi, umani u kompetenti tagħha stess.
Il-kompiti tal-ENISA huma li:
tgħin fl-iżvilupp u l-implimentazzjoni tal-politika u d-dritt tal-Unjoni;
tippromwovi l-bini ta’ kapaċitajiet, pereżempju permezz ta’ prevenzjoni mtejba, detezzjoni u analiżi ta’, u rispons għal theddid tas-ċibersigurtà1 u billi tassisti l-iżvilupp ta’ tims ta’ rispons għal inċident tas-sigurtà tal-informazzjoni bil-komputer (CSIRTs) jew permezz tal-organizzazzjoni tal-eżerċizji taċ-ċibersigurtà fil-livell tal-UE;
tappoġġja l-kooperazzjoni operazzjonali tal-UE fost dawk il-partijiet ikkonċernati kollha involuti, inklużi l-Istituzzjonijiet, Korpi, Uffiċċji u Aġenziji tal-Unjoni tas-Servizz taċ-Ċibersigurtà (CERT-EU), permezz ta’, notevolment, l-iskambju ta’ għarfien espert u l-aħjar prattiċi, il-provvista ta’ linji gwida rilevanti u s-servizz ta’ networks tal-UE u CSIRTs nazzjonali;
tappoġġja u tippromwovi l-iżvilupp u l-implimentazzjoni ta’ ċertifikazzjoni taċ-ċibersigurtà ta’ prodotti tal-ICT, proċessi tal-ICT u servizzi tas-sigurtà ġestiti, bħala parti mir-rwol tagħha fil-preparazzjoni ta’ skemi taħt il-qafas taċ-ċertifikazzjoni taċ-ċibersigurtà Ewropea;
tiġbor u tanalizza l-għarfien u l-informazzjoni dwar iċ-ċibersigurtà, b’mod partikolari dwar teknoloġiji emerġenti, theddid ċibernetiku u inċidenti, biex tipprovdi informazzjoni u pariri lill-awtoritajiet nazzjonali, lill-partijiet ikkonċernati rilevanti u, permezz ta’ portal dedikat, lill-pubbliku (ċittadini, organizzazzjonijiet u negozji);
tqajjem is-sensibilizzazzjoni tal-pubbliku dwar ir-riskji taċ-ċibersigurtà u tipprovdi gwida dwar prattiki tajba lill-utenti individwali u tippromwovi s-sensibilizzazzjoni u l-edukazzjoni dwar iċ-ċibersigurtà b’mod ġenerali;
tagħti pariri dwar il-ħtiġijiet u l-prijoritajiet tar-riċerka u tikkontribwixxi għall-aġenda strateġika tal-UE dwar ir-riċerka u l-innovazzjoni taċ-ċibersigurtà;
tikkontribwixxi għall-isforzi tal-UE biex tikkoopera dwar iċ-ċibersigurtà mas-sħab u l-organizzazzjonijiet internazzjonali tagħha.
ENISA għandha l-istruttura amminstrattiva u ta’ ġestjoni li ġejja:
Bord Maniġerjali, b’rappreżentant minn kull Stat Membru tal-UE u żewġ membri maħtura mill-Kummissjoni Ewropea, li tistabbilixxi d-direzzjoni ġenerali tal-attivitajiet tal-aġenzija u tassikura li l-aġenzija twettaq il-kompiti tagħha taħt il-kundizzjonijiet li jippermettulha sservi konformi mar-regolament tat-twaqqif.
Il-Bord tad-Diretturi ta’ ħames membri, li jipprepara deċiżjonijiet biex ikunu adottati mill-Bord Maniġerjali.
Il-Grupp Konsultattiv ta’ ENISA ta’ esperti rikonoxxuti minn partijiet ikkonċernati rilevanti, bħall-industrija tal-ICT, fornituri tan-networks jew servizzi tal-komunikazzjoni elettronika, impriżi żgħar u medji, konsumaturi, akkademiċi u operaturi ta’ servizzi essenzjali, flimkien ma’ rappreżentanti ta’ awtoritajiet kompetenti notifikati skont il-Kodiċi Ewropea għall-Komunikazzjonijiet Elettroniċi, organizzazzjonijiet tal-istandardizzazzjoni, awtoritajiet tal-infurzar tal-liġi u awtoritajiet superviżorji tal-protezzjoni tad-data, li jiffoka fuq kwistjonijiet rilevanti għall-partijiet ikkonċernati u jġibhom għall-attenzjoni ta’ ENISA.
In-Network Nazzjonali ta’ Uffiċjali ta’ Kuntatt li hu magħmul minn rappreżentanti tal-Istati Membri kollha, li jiffaċilita l-iskambju ta’ informazzjoni bejn ENISA u l-Istati Membri u jappoġġja lil ENISA biex tagħmel l-attivitajiet, sejbiet u rakkomandazzjonijiet tagħha li huma magħrufa sew.
Grupp taċ-Ċertifikazzjoni taċ-Ċibersigurtà tal-Partijiet ikkonċernati ta’ esperti rikonoxxuti biex, fost affarijiet oħra, jagħtu parir lill-Kummissjoni dwar kwistjonijiet strateġiċi fir-rigward tal-qafas ta’ ċertifikazzjoni taċ-ċibersigurtà Ewropea, u fuq talba, lil ENISA fuq affarijiet ġenerali u kwistjonijiet strateġiċi li jirrigwardaw il-kompiti rilevanti tal-aġenzija.
Grupp Ewropew taċ-Ċertifikazzjoni taċ-Ċibersigurtà (ECCG), magħmul minn rappreżentanti nazzjonali biex jagħtu parir u jassistu lill-Kummissjoni fix-xogħol tagħha biex tassikura l-implimentazzjoni konsistenti u applikazzjoni tal-att, u lill-ENISA fir-rigward tal-preparazzjoni ta’ skemi taċ-ċertifikazzjoni taċ-ċibersigurta kandidat.
L-ENISA:
hi mwaqqfa għal perjodu indefinit mis-;
topera konformi ma’ dokument ta’ programmazzjoni uniku li għandu l-programmazzjoni annwali u multiannwali tagħha;
issegwi r-regoli ta’ sigurtà tal-Kummissjoni biex tipproteġi informazzjoni mhux klassifikat sensittiva u informazzjoni klassifikata tal-UE;
ma tiżvelax lil partijiet terzi informazzjoni kunfidenzjali li din tipproċessa jew tirċievi;
tipparteċipa bis-sħiħ fil-miżuri tal-UE għall-ġlieda kontra l-frodi, il-korruzzjoni u attivitajiet illegali oħra;
tipproċessa data personali skont ir-regoli rispettivi tal-UE.
itejjeb il-funzjonament tas-suq intern billi jżid il-livell ta’ ċibersigurtà fl-UE u billi jippermetti approċċ armonizzat fil-livell tal-UE għal skemi ta’ ċertifikazzjoni taċ-ċibersigurtà Ewropea bil-ħsieb li joħloq suq uniku diġitali għal prodotti tal-ICT, servizzi tal-ICT, proċessi tal-ICT u servizzi tas-sigurtà ġestiti;
jistabbilixxi mekkaniżmu biex iwaqqaf skemi ta’ ċertifikazzjoni li jikkonfermaw prodotti tal-ICT, servizzi tal-ICT, proċessi tal-ICT u servizzi tas-sigurtà ġestiti li jkunu ġew evalwati li tali skemi jikkonformaw ma’ rekwiżiti speċifikati tas-sigurtà biex jipproteġu d-disponibbiltà, l-awtentiċità, l-integrità jew kunfidenzjalità ta’ data jew funzjonijiet jew servizzi maħżuna, trażmessi jew ipproċessati, jew offruti minn, aċċessibbli permezz ta’ dawn il-prodotti, servizzi u proċessi matul iċ-ċiklu tal-ħajja tagħhom.
Skont il-qafas:
il-Kummissjoni:
tippubblika programm ta’ ħidma kontinwu tal-UE għaċ-ċertifikazzjoni taċ-ċibersigurtà Ewropea li jidentifika prijoritajiet strateġiċi u prodotti tal-ICT, servizzi tal-ICT, proċessi tal-ICT u servizzi tas-servizzi tas-sigurtà ġestiti jew kategoriji li kieku jibbenefikaw minn tali skema;
tista’ titlob li ENISA tipprepara skema ta’ ċertifikazzjoni ta’ kandidat jew tirrevedi waħda eżistenti;
L-ENISA:
tipprepara abbozzi ta’ skemi xierqa, wara talba mill-Kummissjoni jew mill-Grupp Ewropew ta’ Ċertifikazzjoni taċ-Ċibersigurtà;
tevalwa kull skema ta’ ċertifikazzjoni adottata kull ħames snin, u tqis il-feedback li tkun irċeviet;
iżżomm website dedikata li tipprovdi informazzjoni dwar l-iskemi, ċertifikazzjoni u dikjarazzjonijiet ta’ konformità.
L-iskemi volontarji Ewropej ta’ ċertifikazzjoni taċ-ċibersigurtà:
għandhom l-għan li jiksbu diversi objettivi ta’ sigurtà, bħall-protezzjoni tad-data maħżuna, trażmessa u pproċessata;
jindikaw il-livell ta’ sigurtà ta’ prodotti tal-ICT, servizzi tal-ICT, proċessi tal-ICT u servizzi tas-sigurtà ġestiti bħala bażiku, sostanzjali jew għoli;
tippermetti lil fabbrikant u fornituri ta’ prodotti tal-ICT, servizzi tal-ICT, proċessi tal-ICT u servizzi tas-sigurtà ġestiti ta’ riskju baxx (jiġifieri bażiku) biex jaċċessajaw dawn huma stess (awtovalutazzjoni ta’ konformità);
iridu jinkludu ċerti karatteristiċi, bħal deskrizzjonijiet ċari tal-iskop, suġġett u skop tal-materja, u l-kriterja ta’ evalwazzjoni u metodi użati;
jissostitwixxu dawk nazzjonali simili, għalkemm dawk iċ-ċertifikati jibqgħu validi sad-data ta’ skadenza tagħhom.
Fabbrikanti u fornituri ta’ prodotti tal-ICT, servizzi tal-ICT, proċessi tal-ICT u servizzi tas-sigurtà ġestiti ċertifikati jridu jagħmluhom pubblikament disponibbli:
gwida u rakkomandazzjonijiet biex jgħinu lill-utenti finali fl-installazzjoni, l-applikazzjoni u l-manutenzjoni tal-prodotti jew is-servizzi tagħhom;
informazzjoni dwar id-durata li għalihom huma joffru appoġġ;
id-dettalji ta’ kuntatt tagħhom;
referenzi għal repożitorji onlajn b’informazzjoni dwar kwistjonijiet magħrufa taċ-ċibersigurtà li jaffettwaw il-prodotti jew is-servizzi tagħhom.
L-Istati Membri jridu jappuntaw awtorità jew awtoritajiet nazzjonali taċ-ċertifikazzjoni taċ-ċibersigurtà b’riżorsi u poteri suffiċjenti biex jimmonitorjaw, jissuperviżjonaw u jinfurzaw ir-regoli tal-iskemi taċ-ċertifikazzjoni taċ-ċibersigurtà Ewropea.
Il-Kummissjoni:
tivvaluta regolarment l-effiċjenza u l-użu tal-iskemi adottati ta’ ċertifikazzjoni u tqis jekk kwalunkwe skema għandhiex issir obbligatorja;
kellha tlesti l-ewwel valutazzjoni dettaljata tagħha sal-, u oħrajn kull sentejn wara dan;
kellha tevalwa l-impatt, l-effettività u l-effiċjenza ta’ ENISA sat-, u kull ħames snin wara dan.
L-individwi u l-entitajiet legali għandhom id-dritt li jressqu lment quddiem l-emittent ta’ ċertifikat Ewropew taċ-ċibersigurtà u li jfittxu rimedju ġudizzjarju effettiv.
Emenda — servizzi tas-sigurtà ġestiti
F’Diċembru 2024, ir-Regolament (UE) 2025/37.li jemenda r-regolament fir-rigward ta’ servizzi tas-sigurtà ġestiti, kien adottat. Din l-emenda fil-mira ddaħħal id-definizzjoni ta’ servizzi tas-sigurtà ġestiti u testendi l-iskop tal-qafas taċ-ċertifikazzjoni taċ-ċibersigurtà Ewropea billi jinkludi servizzi tas-sigurtà ġestiti. Konsegwentement, hi testendi b’mod xieraq il-mandat u kompiti ta’ ENISA fir-rigward ta’ servizzi tas-sigurtà ġestiti.
Ir-Regolament (UE) 2025/37 kien ippubblikat fil-Ġurnal Uffiċjali fil- u ilu japplika mill-.
Notifika ta korpi ta’ valutazzjoni tal-konformità
F’Diċembru 2024, il-Kummissjoni adottat ir-Regolament ta’ implimentazzjoni (UE) 2024/3143 għal notifika konformi ma’ Artikolu 61(5) tal-Att dwar iċ-Ċibersigurtà. L-Att ta’ Implimentazzjoni jistabbilixxi ċ-ċirkostanzi, formats u proċeduri għal korpi tan-notifiki ta’ valutazzjoni ta’ konformità għal skemi taċ-ċertifikazzjoni taċ-ċibersigurtà Ewropea bis-sistema tal-informazzjoni bl-approċċ il-ġdid ta’ organizzazzjonijiet notifikati u speċifikati (NANDO). Dan jiċċara wkoll iċ-ċirkostanzi fejn bidliet iridu jsiru lin-notifika li abbażi tagħhom il-kompetenza ta’ korpi ta’ valutazzjoni ta’ konformità notifikata tista’ tkun sfidata.
Ir-Regolament (UE) 2024/3143 kien ippubblikat fil-Ġurnal Uffiċjali fid- u ilu japplika mit-.
Skema taċ-ertifikazzjoni taċ-ċibersigurtà bbażata fuq kriterja komuni (EUCC)
F’Jannar 2024, il-Kummissjoni adottat ir-Regolament ta’ implimentazzjoni (UE) 2024/482 (ara s-sommarju). Dan l-att jistabbilixxi regoli għall-applikazzjoni tar-Regolament (UE) 2019/881 fir-rigward tal-adozzjoni volontarja tal-iskema taċ-ċertifikazzjoni taċ-ċibersigurtà Ewropea abbażi ta’ kriterji komuni (EUCC). Din hi l-ewwel skema fil-livell tal-UE u tirregwarda ċertifikati fil-livelli tal-assikurazzjoni “sostanzjali” jew “għolja” għal prodotti tal-ICT bħal hardware u software, inklużi komponenti bħal ċipep u kards intelliġenti. Ir-regolament jinkludi regoli dettaljati fuq aspetti li jinkludu:
standards u rekwiżiti għall-evalwazzjoni u l-ħruġ, tiġdid u tneħħija ta’ ċertifikati ta’ EUCC għal prodotti u profili ta’ protezzjoni;
korpi ta’ valutazzjoni ta’ konformità akkreditati biex joħorġu ċertifikati jew jagħmlu attivitajiet ta’ valutazzjoni;
monitoraġġ ta’ konformità, nuqqas ta’ konformità u nonkonformiżmu;
maniġment ta’ vulnerabbiltà u proċeduri ta’ kxif;
żamma ta’ rekords, divulgazzjoni u protezzjoniżmu ta’ informazzjoni;
ftehimiet ta’ rikonoxximent reċiproku ma’ pajjiżi mhux tal-UE;
valutazzjoni tal-pari ta’ korpi taċ-ċertifikazzjoni;
żamma tal-iskema; u
skemi nazzjonali ta’ ċertifikazzjoni taċ-ċibersigurtà koperti mill-EUCC.
Ir-regolament ta’ implimentazzjoni EUCC ilu japplika mis-.
Regolament (UE) 2019/881 u r-regolament ta’ implimentazzjoni relatat ma jaffettwax ir-responsabbiltajiet ta’ Stati Membri għal sigurtà pubblika, difiża, liġi nazzjonali dwar is-sigurtà jew kriminalità.
Artikoli fuq id-deżinjazzjoni tal-awtoritajiet nazzjonali taċ-ċibersigurtà, akkreditazzjoni u notifika ta’ korpi ta’ valutazzjoni tal-konformità, dwar id-dritt li tressaq ilmenti għal emittenti ta’ ċertifikati taċ-ċibersigurtà Ewropea, dwar id-dritt għal rimedju ġudizzjariju u dwar penali ilhom japplikaw mit-.
SFOND
L-ENISA, ibbażata f’Ateni b’fergħa f’Heraklion, ilha tikkontribwixxi għas-sigurtà tan-netwerk u l-informazzjoni tal-UE mill-2004.
Theddid ċibernetiku. Ċirkostanza, avveniment jew azzjoni potenzjali li tista’ tkun ta’ ħsara għal, tfixkel jew ikollha impatt negattiv fuq is-sistemi tan-network u tal-informazzjoni, l-utenti tagħhom u persuni oħra.
DOKUMENT PRINĊIPALI
Ir-Regolament (UE) 2019/881 tal-Parlament Ewropew u tal-Kunsill tas- dwar l-ENISA (l-Aġenzija tal-Unjoni Ewropea għaċ-Ċibersigurtà) u dwar iċ-ċertifikazzjoni taċ-ċibersigurtà tat-teknoloġija tal-informazzjoni u tal-komunikazzjoni u li jħassar ir-Regolament (UE) Nru 526/2013 (l-Att dwar iċ-Ċibersigurtà) (ĠU L 151, , pp. 15–69).
L-emendi suċċessivi għar-Regolament (UE) 2019/881 ġew inkorporati fit-test oriġinali. Din il-verżjoni konsolidata għandha valur dokumentarju biss.
DOKUMENTI RELATATI
Ir-Regolament (UE) 2025/37 tal-Parlament Ewropew u tal-Kunsill tad- li jemenda r-Regolament (UE) 2019/881 fir-rigward tas-servizzi tas-sigurtà ġestiti (ĠU L, 2025/37, ).
Ir-Regolament ta’ Implimentazzjoni tal-Kummissjoni (UE) 2024/3143 tat- li jistabbilixxi ċ-ċirkostanzi, il-formati u l-proċeduri għan-notifiki skont l-Artikolu 61(5) tar-Regolament (UE) 2019/881 tal-Parlament Ewropew u tal-Kunsill dwar l-ENISA (l-Aġenzija tal-Unjoni Ewropea għaċ-Ċibersigurtà) u dwar iċ-ċertifikazzjoni taċ-ċibersigurtà tat-teknoloġija tal-informazzjoni u tal-komunikazzjoni (ĠU L, 2024/3143, ).
Ir-Regolament ta’ Implimentazzjoni tal-Kummissjoni (UE) 2024/482 tal- li jistabbilixxi r-regoli għall-applikazzjoni tar-Regolament (UE) 2019/881 tal-Parlament Ewropew u tal-Kunsill fir-rigward tal-adozzjoni tal-iskema Ewropea taċ-ċertifikazzjoni taċ-ċibersigurtà bbażata fuq il-Kriterji Komuni (EUCC) (ĠU L, 2024/482, ).
Ir-Regolament (UE) 2018/1725 tal-Parlament Ewropew u tal-Kunsill tat- dwar il-protezzjoni ta’ persuni fiżiċi fir-rigward tal-ipproċessar ta’ data personali mill-istituzzjonijiet, korpi, uffiċċji u aġenziji tal-Unjoni u dwar il-moviment liberu ta’ tali data, u li jħassar ir-Regolament (KE) Nru 45/2001 u d-Deċiżjoni Nru 1247/2002/KE (ĠU L 295, , pp. 39–98).
Ir-Regolament (UE) 2016/679 tal-Parlament Ewropew u tal-Kunsill tas- dwar il-protezzjoni tal-persuni fiżiċi fir-rigward tal-ipproċessar ta’ data personali u dwar il-moviment liberu ta’ tali data, u li jħassar id-Direttiva 95/46/KE (Regolament Ġenerali dwar il-Protezzjoni tad-Data) (ĠU L 119, , pp. 1–88).