Id-direttiva (UE) 2022/2555, magħrufa bħala NIS2, tistabbilixxi qafas regolatorju komuni dwar iċ-ċibersigurtà bil-għan li ttejjeb il-livell taċ-ċibersigurtà fl-Unjoni Ewropea (UE), li tirrikjedi lill-Istati Membri tal-UE jsaħħu l-kapaċitajiet taċ-ċibersigurtà, u jintroduċu miżuri ta’ ġestjoni tar-riskju taċ-ċibersigurtà u rappurtar f’setturi kritiċi, flimkien ma’ regoli dwar kooperazzjoni, qsim ta’ informazzjoni, superviżjoni u infurzar.
PUNTI EWLENIN
Iċ-ċibersigurtà tirreferi għall-attivitajiet meħtieġa biex jiġu protetti s-sistemi tan-network u tal-informazzjoni, l-utenti ta’ tali sistemi u persuni oħra affettwati minn theddid ċibernetiku.
Setturi kritiċi
Id-direttiva tapplika prinċipalment għal entitajiet ta’ daqs medju u kbir li joperaw fis-setturi ta’ kritikalità għolja li ġejjin, kif definit fl-Anness I tiegħu.
l-enerġija:
l-elettriku, inklużi s-sistemi ta’ produzzjoni, distribuzzjoni u trażmissjoni u stazzjonijiet ta’ ċċarġjar;
it-tisħin u t-tkessiħ distrettwali;
iż-żejt, inklużi l-produzzjoni, il-ħażna u l-pipelines tat-trażmissjoni;
il-gass, inklużi s-sistemi ta’ provvista, distribuzzjoni u trażmissjoni u l-ħżin; u
l-idroġenu;
It-trasport bl-ajru, bil-ferrovija, bl-ilma u bit-triq;
l-infrastrutturi bankarji u finanzjarji tas-suq, bħal istituzzjonijiet ta’ kreditu, operaturi ta’ ċentri tan-negozjar u kontropartijiet ċentrali;
is-saħħa, inklużi l-fornituri tal-kura tas-saħħa, il-manifatturi ta’ prodotti farmaċewtiċi bażiċi u apparati mediċi kritiċi, u l-laboratorji ta’ referenza tal-UE;
l-amministrazzjoni pubblika fil-livelli ċentrali u reġjunali, barra mill-ġudikatura, il-parlamenti u l-banek ċentrali, id-direttiva ma tapplikax għal entitajiet ta’ amministrazzjoni pubblika li jwettqu attivitajiet fl-oqsma tas-sigurtà nazzjonali, is-sigurtà pubblika, id-difiża jew l-infurzar tal-liġi.
Dan japplika wkoll għal setturi kritiċi oħra, kif definiti fl-Anness II:
is-servizzi tal-posta u tal-kurrier;
il-ġestjoni tal-iskart;
il-manifattura, il-produzzjoni u d-distribuzzjoni kimika;
il-produzzjoni, l-ipproċessar u d-distribuzzjoni tal-ikel;
il-manifattura, speċifikament apparat mediku, kompjuters, prodotti elettroniċi u ottiċi, ċerti tipi ta’ tagħmir u makkinarju elettriku, vetturi bil-mutur u tagħmir ieħor tat-trasport;
il-fornituri diġitali tas-swieq online, tal-magni tat-tiftix u tan-netwerks soċjali; u
l-organizzazzjonijiet ta’ riċerka.
Strateġija nazzjonali għaċ-ċibersigurtà
Kull Stat Membru għandu jadotta strateġija nazzjonali biex jikseb u jżomm livell għoli ta’ ċibersigurtà fis-setturi kritiċi, inklużi:
qafas ta’ governanza li jiċċara r-rwoli u r-responsabbiltajiet għall-partijiet interessati rilevanti fil-livell nazzjonali;
politiki li jindirizzaw is-sigurtà tal-ktajjen tal-provvista;
politiki dwar il-ġestjoni tal-vulnerabbiltajiet;
politiki dwar il-promozzjoni u l-iżvilupp ta’ edukazzjoni u taħriġ dwar iċ-ċibersigurtà; u
miżuri biex itejbu s-sensibilizzazzjoni taċ-ċibersigurtà fost iċ-ċittadini.
L-Istati Membri jridu jwaqqfu lista ta’ entitajiet essenzjali u importanti, flimkien ma’ entitajiet li jipprovdu servizzi tar-reġistrazzjoni tal-isem tad-dominju, sas-. Jridu jirrevedu u, fejn ikun xieraq, jaġġornaw dik il-lista regolarment, u tal-inqas kull sentejn wara. Il-Kummissjoni Ewropea adottat linjigwida li jirrigwardjaw l-informazzjoni li trid tinġabar meta jagħmlu dawn il-listi, flimkien ma’ mudell biex dawn isiru.
Il-Kummissjoni ħarġet ukoll linji gwida li jiċċaraw ir-regoli dwar ir-relazzjoni bejn id-Direttiva (UE) 2022/2555 u l-atti legali tal-UE speċifiċi għas-settur attwali u futur li jindirizzaw il-miżuri ta’ ġestjoni tar-riskju taċ-ċibersigurtà jew ir-rekwiżiti ta’ rapportar ta’ inċidenti. L-appendiċi għall-linji gwida tipprovdi lista mhux eżawrjenti tal-atti legali speċifiċi għas-settur li l-Kummissjoni tqis li jaqgħu fil-kamp ta’ applikazzjoni tal-Artikolu 4 tad-Direttiva (UE) 2022/2555.
Timijiet ta’ rispons għal inċidenti relatati mas-sigurtà tal-kompjuters (CSIRTs) jipprovdu assistenza teknika lill-entitajiet, inkluż billi:
jimmonitorjaw u janalizzaw it-theddid ċibernetiku, il-vulnerabbiltajiet, u l-inċidenti fil-livell nazzjonali;
jipprovdu twissijiet bikrija, avviżi u informazzjoni lill-entitajiet ikkonċernati u lil partijiet ikkonċernati oħra dwar theddid ċibernetiku, vulnerabbiltajiet u inċidenti, jekk possibbli fi żmien kważi reali;
iwieġbu għal inċidenti u jipprovdu assistenza fejn applikabbli;
jiġbru u janalizzaw data forensika u jagħtu analiżi tar-riskju u tal-inċidenti u għarfien tas-sitwazzjoni dwar iċ-ċibersigurtà; u
jipprovdu, fuq talba, skennjar ta’ networks u ta’ sistemi ta’ informazzjoni proattiv biex jikxfu l-vulnerabbiltajiet b’impatt potenzjali sinifikanti.
Network ta’ CSIRTs
Id-direttiva tistabbilixxi netwerk ta’ CSIRTs nazzjonali biex tippromwovi kooperazzjoni operattiva effikaċi.
Id-direttiva tistabbilixxi grupp ta’ kooperazzjoni biex jappoġġa u jiffaċilita l-kooperazzjoni strateġika u l-iskambju ta’ informazzjoni. Huwa magħmul minn rappreżentanti tal-Istati Membri, il-Kummissjoni Ewropea u l-ENISA. Fejn xieraq, il-grupp ta’ kooperazzjoni jista’ jistieden lill-Parlament Ewropew u lir-rappreżentanti ta’ partijiet interessati rilevanti jipparteċipaw fix-xogħol tiegħu.
In-Netwerk Ewropew tal-Organizzazzjoni ta’ Kollegament għall-Kriżi Ċibernetika (EU-CyCLONe) huwa network li jinkludi rappreżentanti tal-awtoritajiet tal-immaniġġjar ta’ kriżijiet ċibernetiċi fl-Istati Membri, flimkien mal-Kummissjoni, f’każijiet fejn għandu inċident potenzjali jew li jkun għaddej fuq skala kbira jew fejn aktarx ikollu impatt sinifikanti fuq is-setturi koperti mid-direttiva. F’każijiet oħrajn, il-Kummissjoni għandha tipparteċipa fl-attivitajiet tan-netwerk bħala osservatur.
In-network jappoġġa l-ġestjoni kkoordinata ta’ inċidenti u kriżijiet taċ-ċibersigurtà fuq skala kbira fil-livell operazzjonali u jiżgura l-iskambju regolari ta’ informazzjoni fost l-Istati Membri u l-istituzzjonijiet, il-korpi u l-aġenziji tal-UE.
In-network huwa inkarigat, fost l-oħrajn, bi:
il-koordinazzjoni tal-ġestjoni ta’ inċidenti u kriżijiet taċ-ċibersigurtà fuq skala kbira u l-appoġġ għat-teħid ta’ deċiżjonijiet fil-livell politiku;
iż-żieda fit-tħejjija;
l-iżvilupp ta’ għarfien tas-sitwazzjoni kondiviża; u
il-valutazzjoni tal-konsegwenzi u l-impatt ta’ inċidenti u kriżijiet taċ-ċibersigurtà fuq skala kbira u l-proponiment ta’ miżuri ta’ mitigazzjoni possibbli.
Miżuri għall-ġestjoni tar-riskju taċ-ċibersigurtà
L-entitajiet għandhom jieħdu miżuri ta’ ġestjoni tar-riskju taċ-ċibersigurtà tekniċi, operazzjonali u organizzattivi u proporzjonati. Il-katalogu ta’ miżuri jinkludi, fost affarijiet oħra, l-analiżi tar-riskju u l-politiki tas-sigurtà tas-sistema tal-informazzjoni, il-ġestjoni ta’ inċidenti, il-kontinwità tan-negozju, l-irkupru u l-ġestjoni ta’ kriżijiet, is-sigurtà tal-katina tal-provvista, il-ġestjoni u d-divulgazzjoni tal-merkanzija, il-politiki u l-proċeduri bażiċi dwar l-użu tal-kriptografija (u kriptografija, fejn xieraq), is-sigurtà tar-riżorsi umani u l-użu ta’ awtentikazzjoni b’ħafna fattura jew soluzzjonijiet ta’ awtentikazzjoni kontinwi. Dawn il-miżuri jridu jkunu bbażati fuq approċċ tal-perikli kollha.
Il-korpi maniġerjali għandhom japprovaw dawn il-miżuri u jissorveljaw l-implimentazzjoni tagħhom u jistgħu jinżammu responsabbli għall-ksur.
Rapportar
L-entitajiet għandhom jinnotifikaw lis-CSIRT jew lill-awtorità rilevanti tagħhom bi kwalunkwe inċident li:
jista’ jikkawża jew jista’ jikkawża tfixkil operattiv jew telf finanzjarju gravi għall-entità;
affettwa jew jista’ jaffettwa lil oħrajn billi jikkawża ħsara materjali jew mhux materjali konsiderevoli.
Barra minn hekk, l-ENISA, se tipproduċi, f’kooperazzjoni mal-Kummissjoni u mal-grupp ta’ kooperazzjoni, rapport biennali dwar l-istat taċ-ċibersigurtà fl-UE li se jiġi sottomess ukoll lill-Parlament.
Limitazzjoni u infurzar
Id-direttiva tipprovdi għal rimedji u sanzjonijiet biex jiġi żgurat l-infurzar.
Evalwazzjonijiet bejn il-pari
Huma stabbiliti reviżjonijiet bejn il-pari bil-għan li jitgħallmu minn esperjenzi kondiviżi, tissaħħaħ il-fiduċja reċiproka, jinkiseb livell komuni għoli ta’ ċibersigurtà, u jittejbu l-kapaċitajiet u l-politiki taċ-ċibersigurtà tal-Istati Membri meħtieġa għall-implimentazzjoni ta’ din id-direttiva. Dawn ir-reviżjonijiet jinvolvu żjarat fiżiċi jew virtwali fuq il-post u skambji ta’ informazzjoni mhux fuq il-post. Il-parteċipazzjoni f’dawn l-evalwazzjonijiet bejn il-pari hija volontarja.
Ir-Regolament ta’ Implimentazzjoni (UE) 2024/2690 jistabbilixxi r-regoli għall-applikazzjoni tad-Direttiva (UE) 2022/2555 fir-rigward tar-rekwiżiti tekniċi u metodoloġiċi ta’ miżuri għall-ġestjoni tar-riskju taċ-ċibersigurtà u jispeċifika ulterjorment il-każijiet li fihom inċident jitqies li huwa sinifikanti fir-rigward ta’:
fornituri ta’ servizzi ta’ sistemi ta’ isem id-dominju,
Id-Direttiva (UE) 2022/2555 tal-Parlament Ewropew u tal-Kunsill tal- dwar miżuri għal livell għoli komuni ta’ ċibersigurtà madwar l-Unjoni, li temenda r-Regolament (UE) Nru 910/2014 u d-Direttiva (UE) 2018/1972, u li tħassar id-Direttiva (UE) 2016/1148 (NIS 2 Direttiva) (ĠU L 333, , pp. 80–152).
Emendi suċċessivi għad-Direttiva (UE) 2022/2555 ġew inkorporati fil-verżjoni oriġinali. Din il-verżjoni konsolidata għandha valur dokumentarju biss.
DOKUMENTI RELATATI
Ir-Regolament ta’ Implimentazzjoni tal-Kummissjoni (UE) 2024/2690 of li jistabbilixxi regoli għall-applikazzjoni tad-Direttiva (UE) 2022/2555 fir-rigward tar-rekwiżiti tekniċi u metodoloġiċi tal-miżuri tal-ġestjoni tar-riskji taċ-ċibersigurtà u speċifikazzjoni ulterjuri tal-każijiet meta inċident jitqies sinifikanti fir-rigward tal-fornituri tas-servizzi DNS, ir-reġistri tal-ismijiet TLD, il-fornituri tas-servizzi tal-cloud computing, il-fornituri tas-servizzi taċ-ċentri tad-data, il-fornituri tan-networks tat-twassil tal-kontenut, il-fornituri tas-servizzi ġestiti, il-fornituri tas-servizzi tas-sigurtà ġestiti, il-fornituri tas-swieq online, tal-magni tat-tiftix online u tal-pjattaformi tas-servizzi tan-networking soċjali, u l-fornituri tas-servizzi fiduċjarji (ĠU L, 2024/2690, ).
Il-Komunikazzjoni mill-Kummissjoni — Linji Gwida tal-Kummissjoni dwar l-applikazzjoni tal-Artikolu 3(4) tad-Direttiva (UE) 2022/2555 (NIS 2 tad-Direttiva) 2023/C 324/02 (ĠU C 324, , pp. 2–7).
Il-Komunikazzjoni mill-Kummissjoni — Linji Gwida tal-Kummissjoni dwar l-applikazzjoni tal-Artikolu 4(1) u (2) tad-Direttiva (UE) 2022/2555 (NIS 2 tad-Direttiva) 2023/C 328/02 (ĠU C 328, , pp. 2–10).
Ir-Regolament (UE) 2022/2554 tal-Parlament Ewropew u tal-Kunsill tal- dwar ir-reżiljenza operazzjonali diġitali għas-settur finanzjarju u li jemenda r-Regolamenti (KE) Nru 1060/2009, (UE) Nru 648/2012, (UE) Nru 600/2014, (UE) Nru 909/2014 u (UE) 2016/1011 (ĠU L 333, , pp. 1–79).
Id-Direttiva (UE) 2022/2557 tal-Parlament Ewropew u tal-Kunsill tal- dwar ir-reżiljenza tal-entitajiet kritiċi u li tħassar id-Direttiva tal-Kunsill 2008/114/KE (Test b’rilevanza għaż-ŻEE) (ĠU L 333, , pp. 164–198).
Ir-Regolament (UE) 2021/696 tal-Parlament Ewropew u tal-Kunsill tat- li jistabbilixxi l-Programm Spazjali tal-Unjoni u l-Aġenzija tal-Unjoni Ewropea għall-Programm Spazjali u li jħassar ir-Regolamenti (UE) Nru 912/2010, (UE) Nru 1285/2013 u, (UE) Nru 377/2014 u d-Deċiżjoni Nru 541/2014/UE (ĠU L 170, , pp. 69–148).
Ir-Regolament (UE) 2021/694 tal-Parlament Ewropew u tal-Kunsill tad- li jistabbilixxi l-Programm Ewropa Diġitali u li jħassar id-Deċiżjoni (UE) 2015/2240 (ĠU L 166, , pp. 1–34).
Ir-Regolament (UE) 2019/881tal-Parlament Ewropew u tal-Kunsill tas- dwar l-ENISA (l-Aġenzija tal-Unjoni Ewropea għaċ-Ċibersigurtà) u dwar iċ-ċertifikazzjoni taċ-ċibersigurtà tat-teknoloġija tal-informazzjoni u tal-komunikazzjoni u li jħassar ir-Regolament (UE) Nru 526/2013 (l-Att dwar iċ-Ċibersigurtà) (ĠU L 151, , pp. 15–69).
Ir-Rakkomandazzjoni tal-Kummissjoni (UE) 2019/534 tas- — Iċ-Ċibersigurtà ta’ networks 5G (ĠU L 88, , pp. 42–47).
Ir-Regolament (UE) 2018/1139 tal-Parlament Ewropew u tal-Kunsill tal- dwar regoli komuni fil-qasam tal-avjazzjoni ċivili u li jistabbilixxi Aġenzija tas-Sikurezza tal-Avjazzjoni tal-Unjoni Ewropea, u li jemenda r-Regolamenti (KE) Nru 2111/2005, (KE) Nru 1008/2008, (UE) Nru 996/2010, (UE) Nru 376/2014 u d-Direttivi 2014/30/UE u 2014/53/UE tal-Parlament Ewropew u tal-Kunsill, u li jħassar ir-Regolamenti (KE) Nru 552/2004 u (KE) Nru 216/2008 tal-Parlament Ewropew u tal-Kunsill u r-Regolament tal-Kunsill (KEE) Nru 3922/91 (ĠU L 212, , pp. 1–122).
Id-Direttiva (UE) 2018/1972 tal-Parlament Ewropew u tal-Kunsill tal- li tistabbilixxi l-Kodiċi Ewropew għall-Komunikazzjonijiet Elettroniċi (Riformulazzjoni) (ĠU L 321, , pp. 36–214).
Id-Deċiżjoni ta’ Implimentazzjoni tal-Kunsill (UE) 2018/1993 tal- dwar l-Arranġamenti Integrati tal-UE għal Rispons Politiku f’Sitwazzjonijiet ta’ Kriżi (ĠUJ L 320, , pp. 28–34).
Ir-Rakkomandazzjoni tal-Kummissjoni (UE) 2017/1584 tat- dwar rispons koordinat għal inċidenti u kriżijiet taċ-ċibersigurtà fuq skala kbira (ĠU L 239, , pp. 36–58).
Ir-Regolament (UE) 2016/679 tal-Parlament Ewropew u tal-Kunsill tas- dwar il-protezzjoni tal-persuni fiżiċi fir-rigward tal-ipproċessar ta’ data personali u dwar il-moviment liberu ta’ tali data, u li jħassar id-Direttiva 95/46/KE (Regolament Ġenerali dwar il-Protezzjoni tad-Data) (ĠU L 119, , pp. 1–88).
Ir-Regolament (UE) Nru 910/2014 tal-Parlament Ewropew u tal-Kunsill tat- dwar l-identifikazzjoni elettronika u s-servizzi fiduċjarji għal transazzjonijiet elettroniċi fis-suq intern u li jħassar id-Direttiva 1999/93/KE (ĠU L 257, , pp. 73–114).
Id-Direttiva2013/40/UE tal-Parlament Ewropew u tal-Kunsill tat- dwar attakki kontra s-sistemi tal-informazzjoni u li tissostitwixxi d-Deċiżjoni Qafas tal-Kunsill 2005/222/ĠAI (ĠU L 218, , pp. 8–14).
Id-Deċiżjoni Nru 1313/2013/UE tal-Parlament Ewropew u tal-Kunsill tas- dwar Mekkaniżmu tal-Unjoni għall-Protezzjoni Ċivili (ĠU L 347, , pp. 924–947).
Id-Direttiva 2011/93/UE tal-Parlament Ewropew u tal-Kunsill tat- dwar il-ġlieda kontra l-abbuż sesswali u l-isfruttament sesswali tat-tfal u l-pedopornografija, u li tissostitwixxi d-Deċiżjoni Kwadru tal-Kunsill 2004/68/ĠAI (ĠU L 335, , pp. 1–14).
Ir-Regolament (KE) Nru 300/2008 tal-Parlament Ewropew u tal-Kunsill tal- dwar regoli komuni fil-qasam tas-sigurtà ta’ l-avjazzjoni ċivili u li jħassar ir-Regolament (KE) Nru 2320/2002 (ĠU L 97, , pp. 72–84).
Id-Direttiva 2002/58/KE tal-Parlament Ewropew u tal-Kunsill tat- dwar l-ipproċessar tad-data personali u l-protezzjoni tal-privatezza fis-settur tal-komunikazzjoni elettronika (Direttiva dwar il-privatezza u l-komunikazzjonijiet elettroniċi) (ĠU L 201, , pp. 37–47).