REGOLAMENT (UE) 2025/37 TAL-PARLAMENT EWROPEW U TAL-KUNSILL

tad-19 ta’ Diċembru 2024

li jemenda r-Regolament (UE) 2019/881 fir-rigward tas-servizzi tas-sigurtà ġestiti

(Test b’rilevanza għaż-ŻEE)

IL-PARLAMENT EWROPEW U L-KUNSILL TAL-UNJONI EWROPEA,

Wara li kkunsidraw it-Trattat dwar il-Funzjonament tal-Unjoni Ewropea u, b’mod partikolari, l-Artikolu 114 tiegħu,

Wara li kkunsidraw il-proposta tal-Kummissjoni Ewropea,

Wara li l-abbozz tal-att leġiżlattiv intbagħat lill-parlamenti nazzjonali,

Wara li kkunsidraw l-opinjoni tal-Kumitat Ekonomiku u Soċjali Ewropew (1),

Wara li kkonsultaw lill-Kumitat tar-Reġjuni,

Filwaqt li jaġixxu skont il-proċedura leġiżlattiva ordinarja (2),

Billi:

(1)

Ir-Regolament (UE) 2019/881 tal-Parlament Ewropew u tal-Kunsill (3) jistabbilixxi qafas għall-istabbiliment ta’ skemi Ewropej taċ-ċertifikazzjoni taċ-ċibersigurtà biex ikun żgurat livell adegwat taċ-ċibersigurtà fil-prodotti tat-teknoloġija tal-informazzjoni u tal-komunikazzjoni (ICT), fis-servizzi tal-ICT u fil-proċessi tal-ICT fl-Unjoni, u bl-iskop li tkun evitata l-frammentazzjoni tas-suq intern fir-rigward tal-iskemi taċ-ċertifikazzjoni taċ-ċibersigurtà fl-Unjoni.

(2)

Sabiex tiġi żgurata r-reżiljenza tal-Unjoni għall-attakki ċibernetiċi u biex tiġi evitata kwalunkwe vulnerabbiltà fis-suq intern, dan ir-Regolament hu maħsub li jikkomplementa l-qafas regolatorju orizzontali li jistabbilixxi rekwiżiti komprensivi taċ-ċibersigurtà għall-prodotti b’elementi diġitali skont ir-Regolament (UE) 2024/2847 tal-Parlament Ewropew u tal-Kunsill (4), billi jipprevedi objettivi ta’ sigurtà għas-servizzi tas-sigurtà ġestiti kif ukoll l-applikazzjoni u l-affidabbiltà ta’ dawk is-servizzi.

(3)

Is-servizzi tas-sigurtà ġestiti huma pprovduti mill-fornituri ta’ servizzi tas-sigurtà ġestiti kif definit fl-Artikolu 6, il-punt (40), tad-Direttiva (UE) 2022/2555 tal-Parlament Ewropew u tal-Kunsill (5). Id-definizzjoni ta’ servizzi tas-sigurtà ġestiti f’dan ir-Regolament jenħtieġ li, għalhekk, tkun konsistenti ma’ dik tal-fornituri tas-servizzi tas-sigurtà ġestiti fid-Direttiva (UE) 2022/2555. Dawk is-servizzi jikkonsistu fit-twettiq ta’ attivitajiet relatati mal-ġestjoni tar-riskju taċ-ċibersigurtà tal-klijenti tagħhom, jew fl-għoti tal-assistenza għal dawk l-attivitajiet, u kisbu importanza dejjem akbar fil-prevenzjoni u fil-mitigazzjoni tal-inċidenti. Għaldaqstant, il-fornituri ta’ dawk is-servizzi jitqiesu li huma entitajiet essenzjali jew importanti li jappartjenu għal settur ta’ kritikalità għolja skont id-Direttiva (UE) 2022/2555. Kif intqal fil-premessa 86 ta’ dik id-Direttiva, il-fornituri tas-servizzi tas-sigurtà ġestiti f’oqsma bħar-rispons għall-inċidenti, l-ittestjar tal-penetrazzjoni, l-awditjar tas-sigurtà u l-konsulenza, jaqdu rwol partikolarment importanti biex jassistu lill-entitajiet fl-isforzi tagħhom biex jipprevjenu, jidentifikaw, jirrispondu jew jirkupraw mill-inċidenti. Madankollu, il-fornituri tas-servizzi tas-sigurtà ġestiti kienu huma stess fil-mira ta’ attakki ċibernetiċi u dan joħloq riskju partikolari minħabba l-integrazzjoni mill-qrib tagħhom fl-operazzjonijiet tal-klijenti tagħhom. Għalhekk huwa importanti li l-entitajiet essenzjali u importanti skont it-tifsira tad-Direttiva (UE) 2022/2555 jenħtieġ li jeżerċitaw aktar diliġenza fl-għażla tal-fornituri tas-servizzi tas-sigurtà ġestiti.

(4)

Id-definizzjoni ta’ servizzi tas-sigurtà ġestiti skont dan ir-Regolament tinkludi lista mhux eżawrjenti ta’ servizzi tas-sigurtà ġestiti li jistgħu jikkwalifikaw għal skemi Ewropej ta’ ċertifikazzjoni taċ-ċibersigurtà, bħat-trattament tal-inċidenti, l-ittestjar tal-penetrazzjoni, l-awditi tas-sigurtà u l-konsultazzjoni relatata mal-appoġġ tekniku. Is-servizzi tas-sigurtà ġestiti jistgħu jinkludu servizzi taċ-ċibersigurtà li jappoġġjaw l-istat ta’ tħejjija għal, il-prevenzjoni, l-identifikazzjoni, l-analiżi u l-mitigazzjoni, tal-inċidenti, ir-rispons għalihom u l-irkupru minnhom. Il-forniment ta’ intelligence dwar it-theddid ċibernetiku u l-valutazzjoni tar-riskji marbuta mal-appoġġ tekniku jistgħu jikkwalifikaw ukoll bħala servizzi tas-sigurtà ġestiti. Jista’ jkun ikun hemm skemi Ewropej taċ-ċertifikazzjoni taċ-ċibersigurtà separati għal servizzi tas-sigurtà ġestiti differenti. Iċ-ċertifikati Ewropej taċ-ċibersigurtà maħruġa f’konformità ma’ tali skemi jenħtieġ li jirreferu għal servizzi tas-sigurtà ġestiti speċifiċi ta’ fornitur speċifiku ta’ dawk is-servizzi.

(5)

Il-fornituri tas-servizzi tas-sigurtà ġestiti jistgħu jaqdu rwol importanti wkoll b’rabta mal-azzjonijiet tal-Unjoni li jappoġġjaw ir-rispons u l-irkupru inizjali f’każijiet ta’ inċidenti taċ-ċibersigurtà sinifikanti u inċidenti taċ-ċibersigurtà fuq skala kbira, filwaqt li jiddependu fuq servizzi minn fornituri privati fdati u fuq l-ittestjar tal-entitajiet kritiċi għal vulnerabbiltajiet potenzjali bbażati fuq il-valutazzjonijiet koordinati tar-riskju tas-sigurtà fil-livell tal-Unjoni. Iċ-ċertifikazzjoni tas-servizzi tas-sigurtà ġestiti jista’ jkollha rwol fl-għażla ta’ fornituri tas-servizzi tas-sigurtà ġestiti fdati kif definit fir-Regolament (UE) 2025/38 tal-Parlament Ewropew u tal-Kunsill (6).

(6)

Iċ-ċertifikazzjoni tas-servizzi tas-sigurtà ġestiti mhix rilevanti biss fil-proċess tal-għażla għar-Riżerva taċ-Ċibersigurtà tal-UE stabbilita bir-Regolament (UE) 20245/38 iżda hi wkoll indikatur tal-kwalità essenzjali għall-entitajiet privati u pubbliċi li jkun beħsiebhom jixtru tali servizzi. Fid-dawl tal-kritikalità tas-servizzi tas-sigurtà ġestiti u s-sensittività tad-data li jipproċessaw, iċ-ċertifikazzjoni tista’ tipprovdi gwida u assigurazzjoni importanti lill-klijenti potenzjali dwar l-affidabbiltà ta’ dawk is-servizzi. L-iskemi Ewropej taċ-ċertifikazzjoni taċ-ċibersigurtà għas-servizzi tas-sigurtà ġestiti huma intiżi li jikkontribwixxu biex tkun evitata l-frammentazzjoni tas-suq intern. Għalhekk, dan ir-Regolament għandu l-għan li jtejjeb il-funzjonament tas-suq intern.

(7)

L-iskemi Ewropej taċ-ċertifikazzjoni taċ-ċibersigurtà għas-servizzi tas-sigurtà ġestiti jenħtieġ li jwasslu għall-adozzjoni ta’ dawk is-servizzi u għal kompetizzjoni akbar bejn il-fornituri taservizzi tas-sigurtà ġestiti. Mingħajr preġudizzju għall-objettiv li jiġu żgurati livelli suffiċjenti u xierqa ta’ għarfien tekniku rilevanti u integrità professjonali ta’ tali fornituri, jenħtieġ li tali skemi ta’ ċertifikazzjoni, għaldaqstant, jiffaċilitaw id-dħul fis-suq u l-offerta ta’ servizzi tas-sigurtà ġestiti billi jissimplifikaw, sa fejn ikun possibbli, il-piż regolatorju, amministrattiv u finanzjarju potenzjali li l-fornituri, b’mod partikolari l-intrapriżi żgħar u ta’ daqs medju (SMEs), inklużi l-mikrointrapriżi, jistgħu jiltaqgħu miegħu meta joffru servizzi tas-sigurtà ġestiti. Barra minn hekk, sabiex jinkoraġġixxu l-adozzjoni ta’ servizzi tas-sigurtà ġestiti u jistimulaw id-domanda għalihom, l-iskemi Ewropej taċ-ċertifikazzjoni taċ-ċibersigurtà jenħtieġ li jikkontribwixxu għall-aċċessibbiltà tagħhom, b’mod partikolari għal atturi iżgħar, bħall-SMEs, inklużi l-mikrointrapriżi, kif ukoll l-awtoritajiet lokali u reġjonali li għandhom kapaċità u riżorsi limitati, iżda li huma aktar suxxettibbli għal ksur taċ-ċibersigurtà b’implikazzjonijiet finanzjarji, legali, reputazzjonali u operazzjonali.

(8)

Huwa importanti li jingħata appoġġ lill-intrapriżi żgħar u ta’ daqs medju (SMEs), inklużi l-mikrointrapriżi, fl-implimentazzjoni ta’ dan ir-Regolament u fir-reklutaġġ tal-ħiliet u l-għarfien espert speċjalizzati taċ-ċibersigurtà meħtieġa biex jiġu pprovduti s-servizzi tas-sigurtà ġestiti f’konformità mar-rekwiżiti stabbiliti f’dan ir-Regolament. Il-Programm Ewropa Diġitali stabbilit bir-Regolament (UE) 2021/694 tal-Parlament Ewropew u tal-Kunsill (7) u programmi rilevanti oħra tal-Unjoni jipprevedu li l-Kummissjoni tistabbilixxi appoġġ finanzjarju u tekniku li jippermetti lil dawk l-intrapriżi jikkontribwixxu għat-tkabbir tal-ekonomija tal-Unjoni u għat-tisħiħ tal-livell komuni taċ-ċibersigurtà fl-Unjoni, inkluż billi tissimplifika l-appoġġ finanzjarju mill-Programm Ewropa Diġitali u programmi rilevanti oħra tal-Unjoni u billi tappoġġja l-SMEs, inklużi l-mikrointrapriżi.

(9)

L-iskemi Ewropej taċ-ċertifikazzjoni taċ-ċibersigurtà għas-servizzi tas-sigurtà ġestiti jenħtieġ li jikkontribwixxu għad-disponibbiltà ta’ servizzi siguri u ta’ kwalità għolja li jiggarantixxu tranżizzjoni diġitali sikura u għall-ilħuq tal-miri stabbiliti fil-Programm ta’ Politika dwar id-Deċennju Diġitali 2030 stabbilit bid-Deċiżjoni (UE) 2022/2481 tal-Parlament Ewropew u tal-Kunsill (8), b’mod partikolari fir-rigward tal-għan li 75 % tal-impriżi tal-Unjoni jibdew jużaw is-servizzi ta’ cloud computing, il-big data jew l-intelligenz artifiċjali, li aktar minn 90 % tal-SMEs, inklużi l-mikrointrapriżi, jilħqu mill-inqas livell bażiku ta’ intensità diġitali u li s-servizzi pubbliċi ewlenin ikunu disponibbli online.

(10)

Minbarra l-użu tal-prodotti tal-ICT, tas-servizzi tal-ICT jew tal-proċessi tal-ICT, is-servizzi tas-sigurtà ġestiti spiss jipprovdu karatteristiċi ta’ servizz addizzjonali li jistrieħu fuq il-kompetenzi, l-għarfien espert u l-esperjenza tal-persunal tal-fornituri ta’ tali servizzi. Livell għoli ħafna ta’ dawk il-kompetenzi, għarfien espert u esperjenza kif ukoll proċeduri interni xierqa jenħtieġ li jkunu parti mill-objettivi tas-sigurtà sabiex tkun żgurata kwalità għolja ħafna tas-servizzi tas-sigurtà ġestiti pprovduti. Sabiex ikun żgurat li l-aspetti kollha tas-servizzi tas-sigurtà ġestiti jkunu jistgħu jiġu koperti bi skemi Ewropej taċ-ċertifikazzjoni taċ-ċibersigurtà dedikati, ir-Regolament (UE) 2019/881, għalhekk, jeħtieġ li jiġi emendat. Jenħtieġ li jitqiesu r-riżultati u r-rakkomandazzjonijiet tal-evalwazzjoni u tar-rieżami previsti fir-Regolament (UE) 2019/881.

(11)

Bil-ħsieb li jiġi ffaċilitat it-tkabbir ta’ suq intern affidabbli, filwaqt li jinħolqu wkoll sħubiji ma’ pajjiżi terzi tal-istess fehma, il-proċess taċ-ċertifikazzjoni stabbilit fil-qafas Ewropew taċ-ċertifikazzjoni taċ-ċibersigurtà previst fir-Regolament (UE) 2019/881 jenħtieġ li jiġi implimentat b’mod li jiffaċilita r-rikonoxximent internazzjonali u l-allinjament mal-istandards internazzjonali.

(12)

L-Unjoni qed tħabbat wiċċha ma’ distakk tat-talent, ikkaratterizzat minn skarsezza ta’ professjonisti b’ħiliet għolja, u xenarju ta’ theddid li qed jevolvi malajr kif rikonoxxut fil-komunikazzjoni tal-Kummissjoni tat-18 ta’ April 2023 bit-titolu “Ngħalqu d-distakk ta’ talent taċ-ċibersigurtà biex tingħata spinta lill-kompetittività, it-tkabbir u r-reżiljenza tal-UE (‘l-Akkademja għall-Ħiliet Ċibernetiċi’)”.- Ir-riżorsi edukattivi u l-forom ta’ taħriġ formali jvarjaw u l-għarfien jista’ jinkiseb b’diversi modi: b’mod formali, pereżempju permezz ta’ università jew korsijiet, b’mod informali, pereżempju permezz ta’ taħriġ fuq il-post tax-xogħol jew esperjenza ta’ xogħol fil-qasam rilevanti. Għalhekk, sabiex jiġi ffaċilitat il-ħolqien ta’ servizzi tas-sigurtà ġestiti u ta’ kwalità għolja u biex ikun hemm ħarsa ġenerali aħjar lejn il-kompożizzjoni tal-forza tax-xogħol tal-Unjoni fiċ-ċibersigurtà, huwa importanti li l-kooperazzjoni bejn l-Istati Membri, il-Kummissjoni, l-Aġenzija tal-Unjoni Ewropea għaċ-Ċibersigurtà (ENISA) stabbilita mir-Regolament (UE) 2019/881 u l-partijiet ikkonċernati, inkluż mis-settur privat u l-akkademja, tissaħħaħ permezz tal-iżvilupp ta’ sħubijiet pubbliċi-privati, l-appoġġ għal inizjattivi ta’ riċerka u innovazzjoni, l-iżvilupp u r-rikonoxximent reċiproku ta’ standards komuni u ċ-ċertifikazzjoni tal-ħiliet fiċ-ċibersigurtà, inkluż permezz tal-Qafas Ewropew tal-Ħiliet fiċ-Ċibersigurtà. Tali kooperazzjoni tiffaċilita wkoll il-mobbiltà tal-professjonisti fiċ-ċibersigurtà fl-Unjoni kif ukoll l-integrazzjoni tal-għarfien u taħriġ fiċ-ċibersigurtà fil-programmi edukattivi, filwaqt li jiżgura aċċess għal apprendistati u traineeships għaż-żgħażagħ, inklużi persuni li jgħixu f’reġjuni żvantaġġati, bħal gżejjer, żoni skarsament popolati, rurali u remoti. Huwa importanti li tali kooperazzjonijkollha l-għan li tattira aktar nisa u bniet fil-qasam u tikkontribwixxi għall-indirizzar tad-distakk bejn il-ġeneri fix-xjenza, it-teknoloġija, l-inġinerija u l-matematika, u li s-settur privat ikollu l-għan li jipprovdi taħriġ fuq il-post tax-xogħol li jindirizza l-aktar ħiliet imfittxija, li jinvolvi l-amministrazzjoni pubblika u n-negozji ġodda, kif ukoll l-SMEs, inkulżi l-mikrointrapriżi. Huwa importanti wkoll li l-fornituri u l-Istati Membri jikkollaboraw u jikkontribwixxu għall-ġbir ta’ data dwar is-sitwazzjoni u l-evoluzzjoni tas-suq tax-xogħol taċ-ċibersigurtà.

(13)

L-ENISA għandha rwol importanti fit-tħejjija tal-iskemi Ewropej taċ-ċertifikazzjoni kanditati. Il-Kummissjoni jenħtieġ li tivvaluta r-riżorsi baġitarji meħtieġa għat-tabella tal-persunal tal-ENISA, skont il-proċedura stabbilita fl-Artikolu 29 tar-Regolament (UE) 2019/881 meta tħejji l-abbozz tal-baġit ġenerali tal-Unjoni.

(14)

Dan ir-Regolament jipprevedi emendi mmirati għar-Regolament (UE) 2019/881 biex tippermetti l-istabbiliment ta’ skemi Ewropej taċ-ċertifikazzjoni taċ-ċibersigurtà għas-servizzi tas-sigurtà ġestiti. Meta tagħmel dan, tispeċifika u tiċċara wkoll ċerti dispożizzjonijiet ta’ dak ir-Regolament dwar it-tħejjija u l-funzjonament tal-iskemi Ewropej kollha taċ-ċertifikazzjoni taċ-ċibersigurtà bil-ħsieb li jiġu żgurati t-trasparenza u l-ftuħ tagħhom. Dawn l-emendi tal-aħħar, li huma limitati għall-ispeċifikazzjoni jew għall-kjarifika tar-Regolament (UE) 2019/881, b’mod partikolari l-emendi dwar l-informazzjoni li l-ENISA għandha tipprovdi meta tittrażmetti skema kandidata, il-gruppi ta’ ħidma ad hoc stabbiliti għal kull skema kandidata, u informazzjoni u konsultazzjoni fir-rigward tal-iskemi Ewropej taċ-ċertifikazzjoni taċ-ċibersigurtà, jenħtieġ li bl-ebda mod ma jippreġudikaw l-evalwazzjoni u r-rieżami usa’ ta’ dak ir-Regolament meħtieġa skont l-Artikolu 67 ta’ dak ir-Regolament, b’mod partikolari l-evalwazzjoni tal-impatt, l-effettività u l-effiċjenza tat-titolu ta’ dak ir-Regolament relatat mal-qafas taċ-ċertifikazzjoni taċ-ċibersigurtà. L-evalwazzjoni u r-rieżami fir-rigward ta’ dak it-titolu jenħtieġ li jkunu bbażati fuq konsultazzjoni wiesgħa mal-partijiet ikkonċernati u analiżi sħiħa u bir-reqqa tal-proċeduri involuti.

(15)

Minħabba li l-objettiv ta’ dan ir-Regolament, jiġifieri li jippermetti l-istabbiliment ta’ skemi Ewropej taċ-ċertifikazzjoni taċ-ċibersigurtà għal servizzi tas-sigurtà ġestiti, ma jistax jinkiseb b’mod suffiċjenti mill-Istati Membri iżda jista’ pjuttost, minħabba l-iskala u l-effetti tiegħu, jinkiseb aħjar fil-livell tal-Unjoni, l-Unjoni tista’ tadotta miżuri f’konformità mal-prinċipju tas-sussidjarjetà kif stabbilit fl-Artikolu 5 tat-Trattat dwar l-Unjoni Ewropea. F’konformità mal-prinċipju tal-proporzjonalità kif stabbilit f’dak l-Artikolu, dan ir-Regolament ma jmurx lil hinn minn dak meħtieġ sabiex jinkiseb dak l-objettiv.

(16)	Il-Kontrollur Ewropew għall-Protezzjoni tad-Data ġie kkonsultat skont l-Artikolu 42(1) tar-Regolament (UE) 2018/1725 tal-Parlament Ewropew u tal-Kunsill (9) u ta l-opinjoni tiegħu fl-10 ta’ Jannar 2024,

ADOTTAW DAN IR-REGOLAMENT:

Artikolu 1

Emendi għar-Regolament (UE) 2019/881

Ir-Regolament (UE) 2019/881 huwa emendat kif ġej:

(1)

fl-Artikolu 1(1), l-ewwel subparagrafu, il-punt (b) huwa sostitwit b’dan li ġej:

“(b)

qafas għall-istabbiliment ta’ skemi Ewropej taċ-ċertifikazzjoni taċ-ċibersigurtà bil-għan li jiġi żgurat livell adegwat taċ-ċibersigurtà għall-prodotti tal-ICT, is-servizzi tal-ICT, il-proċessi tal-ICT, u s-servizzi tas-sigurtà ġestiti fl-Unjoni, kif ukoll bil-għan li tiġi evitata l-frammentazzjoni tas-suq intern fir-rigward ta’ skemi taċ-ċertifikazzjoni taċ-ċibersigurtà fl-Unjoni.”

;

(2)

l-Artikolu 2 huwa emendat kif ġej:

(a)

il-punti 9, 10 u 11 huma sostitwiti b’dan li ġej:

“(9)

‘skema Ewropea taċ-ċertifikazzjoni taċ-ċibersigurtà’ tfisser sett komprensiv ta’ regoli, rekwiżiti tekniċi, standards u proċeduri li huma stabbiliti fil-livell tal-Unjoni u li japplikaw għaċ-ċertifikazzjoni jew għall-valutazzjoni tal-konformità tal-prodotti tal-ICT, tas-servizzi tal-ICT, tal-proċessi tal-ICT jew tas-servizzi tas-sigurtà ġestiti speċifiċi;

(10)

‘skema nazzjonali taċ-ċertifikazzjoni taċ-ċibersigurtà’ tfisser sett komprensiv ta’ regoli, rekwiżiti tekniċi, standards u proċeduri żviluppati u adottati minn awtorità pubblika nazzjonali u li japplikaw għaċ-ċertifikazzjoni jew għall-valutazzjoni tal-konformità tal-prodotti tal-ICT, tas-servizzi tal-ICT, tal-proċessi tal-ICT jew tas-servizzi tas-sigurtà ġestiti li jaqgħu fil-kamp ta’ applikazzjoni tal-iskema speċifika;

(11)

‘ċertifikat Ewropew taċ-ċibersigurtà’ tfisser dokument li jinħareġ minn korp rilevanti u li jiddikjara li prodott tal-ICT, servizz tal-ICT, proċess tal-ICT jew servizz tas-sigurtà ġestit partikolari jkun ġie evalwat għall-konformità ma’ rekwiżiti tas-sigurtà speċifiċi stabbiliti fi skema Ewropea taċ-ċertifikazzjoni taċ-ċibersigurtà;”

;

(b)

jiddaħħal il-punt li ġej:

“(14a)

‘servizz tas-sigurtà ġestit’ tfisser servizz ipprovdut minn parti terza li jikkonsisti fit-twettiq ta’ attivitajiet relatati mal-ġestjoni tar-riskju taċ-ċibersigurtà, bħall-immaniġġjar tal-inċidenti, l-ittestjar tal-penetrazzjoni, l-awditjar tas-sigurtà u l-konsulenza, inkluż pariri esperti, relatati mal-appoġġ tekniku, jew fl-għoti tal-assistenza għal dawk l-attivitajiet;”

;

(c)

il-punti 20, 21 u 22 huma sostitwiti b’dan li ġej:

“(20)

‘speċifikazzjoni teknika’ tfisser dokument li jippreskrivi r-rekwiżiti tekniċi li jridu jiġu ssodisfati minn, jew proċeduri ta’ valutazzjoni tal-konformità ma’, prodott tal-ICT, servizz tal-ICT, proċess tal-ICT jew servizz tas-sigurtà ġestit;

(21)

‘livell tal-assigurazzjoni’ tfisser bażi għall-fiduċja li prodott tal-ICT, servizz tal-ICT, proċess tal-ICT jew servizz tas-sigurtà ġestit jissodisfa r-rekwiżiti tas-sigurtà ta’ skema Ewropea taċ-ċertifikazzjoni taċ-ċibersigurtà speċifika, u jindika l-livell li fih prodott tal-ICT, servizz tal-ICT, proċess tal-ICT jew servizz tas-sigurtà ġestit ikun ġie evalwat iżda li minnu nnifsu ma jkejjilx is-sigurtà tal-prodott tal-ICT, tas-servizz tal-ICT, tal-proċess tal-ICT jew tas-servizz tas-sigurtà ġestit kkonċernat;

(22)

‘awtovalutazzjoni tal-konformità’ tfisser azzjoni mwettqa minn manifattur jew fornitur ta’ prodotti tal-ICT, servizzi tal-ICT, proċessi tal-ICT jew servizzi tas-sigurtà ġestiti li tevalwa jekk dawk il-prodotti tal-ICT, is-servizzi tal-ICT, il-proċessi tal-ICT jew is-servizzi tas-sigurtà ġestiti jissodisfaw ir-rekwiżiti ta’ skema Ewropea taċ-ċertifikazzjoni taċ-ċibersigurtà speċifika.”

;

(3)

fl-Artikolu 4, il-paragrafu 6 huwa sostitwit b’dan li ġej:

“6. L- ENISA għandha tippromwovi l-użu taċ-ċertifikazzjoni Ewropea taċ-ċibersigurtà, bil-ħsieb li tiġi evitata l-frammentazzjoni tas-suq intern. L-ENISA għandha tikkontribwixxi għall-istabbiliment u għaż-żamma ta’ qafas Ewropew taċ-ċertifikazzjoni taċ-ċibersigurtà f’konformità mat-Titolu III ta’ dan ir-Regolament, bl-għan li tiżdied it-trasparenza taċ-ċibersigurtà tal-prodotti tal-ICT, tas-servizzi tal-ICT, tal-proċessi tal-ICT, u tas-servizzi tas-sigurtà ġestiti, u b’hekk tissaħħaħ il-fiduċja fis-suq intern diġitali u l-kompetittività tiegħu.”

;

(4)

l-Artikolu 8 huwa emendat kif ġej:

(a)

il-paragrafu 1 huwa emendat kif ġej:

(i)

is-sentenza introduttorja hija sostitwita b’dan li ġej:

“1. L-ENISA għandha tappoġġja u tippromwovi l-iżvilupp u l-implimentazzjoni tal-politika tal-Unjoni dwar iċ-ċertifikazzjoni tal-prodotti tal-ICT, tas-servizzi tal-ICT, tal-proċessi tal-ICT u tas-servizzi tas-sigurtà ġestiti fir-rigward taċ-ċibersigurtà, kif stabbilit fit-Titolu III ta’ dan ir-Regolament, billi:”

;

(ii)

il-punt (b) huwa sostitwit b’dan li ġej:

“(b)	tħejji skemi kandidati Ewropej għaċ-ċertifikazzjoni taċ-ċibersigurtà (‘skemi kandidati’) tal-prodotti tal-ICT, tas-servizzi tal-ICT, tal-proċessi tal-ICT u tas-servizzi tas-sigurtà ġestiti skont l-Artikolu 49;”

;

(b)

il-paragrafu 3 huwa sostitwit b’dan li ġej:

“3. L-ENISA għandha tikkompila u tippubblika linji gwida u tiżviluppa prattiki tajbin, fir-rigward tar-rekwiżiti għaċ-ċibersigurtà tal-prodotti tal-ICT, tas-servizzi tal-ICT, tal-proċessi tal-ICT u tas-servizzi tas-sigurtà ġestita, b’kooperazzjoni mal-awtoritajiet nazzjonali taċ-ċertifikazzjoni taċ-ċibersigurtà u l-industrija bi proċess formali, strutturat u trasparenti.”

;

(c)	il-paragrafu 5 huwa sostitwit b’dan li ġej: “5. L-ENISA għandha tiffaċilita l-istabbiliment u l-użu ta’ standards Ewropej u internazzjonali għall-ġestjoni tar-riskji u għas-sigurtà tal-prodotti tal-ICT, tas-servizzi tal-ICT, tal-proċessi tal-ICT u tas-servizzi tas-sigurtà ġestiti.” ;

(5)

l-Artikolu 46 huma sostitwit b’dan li ġej:

“Artikolu 46

Qafas Ewropew taċ-ċertifikazzjoni taċ-ċibersigurtà

1. Il-qafas Ewropew taċ-ċertifikazzjoni taċ-ċibersigurtà għandu jkun stabbilit sabiex itejjeb il-kundizzjonijiet għall-funzjonament tas-suq intern billi jżid il-livell taċ-ċibersigurtà fl-Unjoni u jippermetti approċċ armonizzat fil-livell tal-Unjoni għall-iskemi Ewropej taċ-ċertifikazzjoni taċ-ċibersigurtà, bil-ħsieb li jinħoloq suq uniku diġitali tal-prodotti tal-ICT, tas-servizzi tal-ICT, tal-proċessi tal-ICT u tas-servizzi tas-sigurtà ġestiti.

2. Il-qafas Ewropew taċ-ċertifikazzjoni taċ-ċibersigurtà għandu jipprevedi mekkaniżmu li jistabbilixxi skemi Ewropej taċ-ċertifikazzjoni taċ-ċibersigurtà u li jikkonferma li l-prodotti tal-ICT, is-servizzi tal-ICT u l-proċessi tal-ICT li jkunu ġew evalwati f’konformità ma’ tali skemi jkunu konformi ma’ rekwiżiti tas-sigurtà speċifikati għall-finijiet tal-protezzjoni tad-disponibbiltà, tal-awtentiċità, tal-integrità jew tal-kunfidenzjalità tad-data maħżuna jew trażmessa jew ipproċessata jew tal-funzjonijiet jew tas-servizzi offruti minn, jew aċċessibbli permezz, ta’ dawk il-prodotti, is-servizzi u l-proċessi tul iċ-ċiklu tal-ħajja tagħhom. Barra minn hekk, għandu jikkonferma li s-servizzi tas-sigurtà ġestiti li jkunu ġew evalwati f’konformità ma’ tali skemi jkunu konformi ma’ rekwiżiti tas-sigurtà speċifikati għall-finijiet tal-protezzjoni tad-disponibbiltà, tal-awtentiċità, tal-integrità u tal-kunfidenzjalità tad-data li tiġi aċċessata, ipproċessata, maħżuna jew trażmessa b’rabta mal-forniment ta’ dawk is-servizzi, u li dawk is-servizzi jingħataw kontinwament bil-kompetenza, bl-għarfien espert u bl-esperjenza meħtieġa minn persunal b’livell suffiċjenti u xieraq ta’ għarfien tekniku rilevanti u integrità professjonali.”

;

(6)

l-Artikolu 47 huwa emendat kif ġej:

(a)

il-paragrafu 2 huwa sostitwit b’dan li ġej:

“2. Il-programm ta’ ħidma kontinwu tal-Unjoni għandu b’mod partikolari jinkludi lista tal-prodotti tal-ICT, tas-servizzi tal-ICT, tal-proċessi tal-ICT u tas-servizzi tas-sigurtà ġestiti, jew il-kategoriji tagħhom, li jistgħu jibbenefikaw jekk jiġu inklużi fil-kamp ta’ applikazzjoni ta’ skema Ewropea taċ-ċertifikazzjoni taċ-ċibersigurtà.”

;

(b)

il-paragrafu 3 huwa emendat kif ġej:

(i)

il-parti introduttorju hija sostitwita b’dan li ġej:

“3. L-inklużjoni fil-programm ta’ ħidma kontinwu tal-Unjoni tal-prodotti tal-ICT, tas-servizzi tal-ICT, tal-proċessi tal-ICT jew tas-servizzi tas-sigurtà ġestiti speċifiċi, jew tal-kategoriji tagħhom, għandha tiġi ġġustifikata abbażi ta wieħed jew aktar mir-raġunijiet li ġejjin:”

;

(ii)

il-punt (a) huwa sostitwit b’dan li ġej:

“(a)	id-disponibbiltà u l-iżvilupp ta’ skemi nazzjonali taċ-ċertifikazzjoni taċ-ċibersigurtà li jkopru kategorija speċifika tal-prodotti tal-ICT, tas-servizzi tal-ICT, tal-proċessi tal-ICT jew tas-servizzi tas-sigurtà ġestiti u b’mod partikolari, fir-rigward tar-riskju ta’ frammentazzjoni;”

;

(iii)

jiddaħħal il-punt li ġej:

“(ca)

l-iżviluppi teknoloġiċi u d-disponibbiltà u l-iżvilupp ta’ skemi internazzjonali taċ-ċertifikazzjoni taċ-ċibersigurtà u standards internazzjonali u standards użati mill-industrija;”

;

(7)

l-Artikolu 49 huwa emendat kif ġej:

(a)

il-paragrafi 1 sa 4 huma sostitwiti b’dan li ġej:

“1. Wara talba mill-Kummissjoni skont l-Artikolu 48, l-ENISA għandha tħejji skema kandidata li tissodisfa r-rekwiżiti applikabbli stabbiliti fl-Artikoli 51, 51a, 52 u 54.

2. Fuq talba mill-ECCG skont l-Artikolu 48(2), l-ENISA tista’ tħejji skema kandidata li tissodisfa r-rekwiżiti applikabbli stabbiliti fl-Artikoli 51, 51a, 52 u 54. Jekk l-ENISA tiċħad tali talba, għandha tagħti raġunijiet għal tali ċaħda. Kwalunkwe deċiżjoni li tinċaħad tali talba għandha tittieħed mill-Bord ta’ Tmexxija.

3. Meta tħejji skema kandidata, l-ENISA għandha tikkonsulta l-partijiet ikkonċernati rilevanti kollha b’mod f’waqtu permezz ta’ proċess ta’ konsultazzjoni formali, miftuħa, trasparenti u inklużivi. Meta tibgħat l-iskema kandidata lill-Kummissjoni, skont il-paragrafu 6, l-ENISA għandha tipprovdi informazzjoni dwar il-mod kif tkun ikkonformat ma’ dan il-paragrafu.

4. Għal kull skema kandidata, l-ENISA għandha tistabbilixxi grupp ta’ ħidma ad hoc f’konformità mal-Artikolu 20(4) bil-għan li jipprovdi parir speċifiku u għarfien espert lill-ENISA. Dawk il-gruppi ta’ ħidma ad hoc għandhom, kif xieraq u mingħajr preġudizzju għall-proċeduri u d-diskrezzjoni previsti fl-Artikolu 20(4), jinkludu esperti mill-amministrazzjonijiet pubbliċi tal-Istati Membri, l-istituzzjonijiet, il-korpi, l-uffiċċji u l-aġenziji tal-Unjoni, u s-settur privat.”

;

(b)

il-paragrafu 7 huwa sostitwit b’dan li ġej:

“7. Abbażi tal-iskema kandidata preparata mill-ENISA, il-Kummissjoni tista’ tadotta atti ta’ implimentazzjoni biex tipprevedi skema Ewropea taċ-ċertifikazzjoni taċ-ċibersigurtà għall-prodotti tal-ICT, is-servizzi tal-ICT, il-proċessi tal-ICT u s-servizzi tas-sigurtà ġestiti li jissodisfaw ir-rekwiżiti stabbiliti fl-Artikoli 51, 51a, 52 u 54. Dawk l-atti ta’ implimentazzjoni għandhom jiġu adottati f’konformità mal-proċedura ta’ eżami msemmija fl-Artikolu 66(2).”

;

(8)

jiddaħħal l-artikolu li ġej:

“Artikolu 49a

Informazzjoni u konsultazzjoni dwar l-iskemi Ewropej taċ-ċertifikazzjoni taċ-ċibersigurtà

1. Il-Kummissjoni għandha tagħmel l-informazzjoni dwar it-talba tagħha lill-ENISA għat-tħejjija ta’ skema kandidata jew għar-rieżami ta’ skema Ewropea taċ-ċertifikazzjoni taċ-ċibersigurtà eżistenti kif imsemmija fl-Artikolu 48 disponibbli pubblikament.

2. Matul it-tħejjija ta’ skema kandidata mill-ENISA skont l-Artikolu 49, il-Parlament Ewropew, il-Kunsill, jew it-tnejn, jistgħu jitolbu lill-Kummissjoni, fil-kapaċità tagħha bħala president tal- ECCG, u tal-ENISA, biex tippreżenta l-informazzjoni rilevanti dwar abbozz ta’ skema kandidata fuq bażi trimestrali. Fuq talba tal-Parlament Ewropew jew tal-Kunsill, l-ENISA, bi qbil mal-Kummissjoni, u mingħajr preġudizzju għall-Artikolu 27, tista’ tqiegħed għad-dispożizzjoni tal-Parlament Ewropew u tal-Kunsill il-partijiet rilevanti ta’ abbozz ta’ skema kandidata, b’mod adatt għal-livell ta’ kunfidenzjalità meħtieġ, u fejn xieraq b’mod ristrett.

3. Sabiex jissaħħaħ id-djalogu bejn l-istituzzjonijiet tal-Unjoni u biex jingħata kontribut għal proċess ta’ konsultazzjoni formali, miftuħ, trasparenti u inklużiv, il-Parlament Ewropew, il-Kunsill, jew it-tnejn, jistgħu jistiednu lill-Kummissjoni u lill-ENISA jiddiskutu kwistjonijiet li jikkonċernaw il-funzjonament tal-iskemi Ewropej taċ-ċertifikazzjoni taċ-ċibersigurtà għall-prodotti tal-ICT, is-servizzi tal-ICT, il-proċessi tal-ICT jew is-servizzi tas-sigurtà ġestiti.

4. Il-Kummissjoni għandha tqis, fejn xieraq, l-elementi li jirriżultaw mill-fehmiet espressi mill-Parlament Ewropew u mill-Kunsill dwar il-kwistjonijiet imsemmija fil-paragrafu 3 ta’ dan l-Artikolu meta tevalwa dan ir-Regolament skont l-Artikolu 67.”

;

(9)

l-Artikolu 51 huwa emendat kif ġej:

(a)	it-titolu huwa sostitwit b’dan li ġej: “Objettivi marbutin mas-sigurtà tal-iskemi Ewropej taċ-ċertifikazzjoni taċ-ċibersigurtà għall-prodotti tal-ICT, is-servizzi tal-ICT u l-proċessi tal-ICT” ;

(b)	is-sentenza introduttorja hija sostitwita b’dan li ġej: “Skema Ewropea taċ-ċertifikazzjoni taċ-ċibersigurtà għall-prodotti tal-ICT, is-servizzi tal-ICT jew il-proċessi tal-ICT għandha titfassal b’tali mod li tikseb, kif applikabbli, tal-inqas l-objettivi marbutin mas-sigurtà li ġejjin:” ;

(10)

jiddaħħal l-artikolu li ġej:

“Artikolu 51a

Objettivi marbutin mas-sigurtà tal-iskemi Ewropej taċ-ċertifikazzjoni taċ-ċibersigurtà għas-servizzi tas-sigurtà ġestiti

Skema Ewropea taċ-ċertifikazzjoni taċ-ċibersigurtà għas-servizzi tas-sigurtà ġestiti għandha titfassal b’tali mod li tikseb, kif applikabbli, tal-inqas l-objettivi marbutin mas-sigurtà li ġejjin:

(a)

li s-servizzi tas-sigurtà ġestiti jingħataw il-kompetenza, l-għarfien espert u l-esperjenza meħtieġa, inkluż li l-persunal inkarigat mill-forniment ta’ dawk is-servizzi jkollu livell suffiċjenti u xieraq ta’ għarfien tekniku u kompetenza fil-qasam speċifiku, esperjenza suffiċjenti u xierqa, u l-ogħla livell ta’ integrità professjonali;

(b)	li l-fornitur ikollu fis-seħħ proċeduri interni xierqa biex jiżgura li s-servizzi tas-sigurtà ġestiti jingħataw b’livell suffiċjenti u xieraq ta’ kwalità f’kull ħin;

(c)	li d-data aċċessata, maħżuna, trażmessa jew ipproċessata b’xi mod ieħor fir-rigward tal-forniment tas-servizzi tas-sigurtà ġestiti jkunu protetti kontra aċċess aċċidentali jew mhux awtorizzat, ħżin, żvelar, qerda, ipproċessar ieħor, jew telf jew alterazzjoni jew nuqqas ta’ disponibbiltà;

(d)	li d-disponibbiltà ta’, u l-aċċess għad-data, is-servizzi u l-funzjonijiet jitreġġgħu lura fil-ħin fil-każ ta’ inċident fiżiku jew tekniku;

(e)	li l-persuni, il-programmi jew il-magni awtorizzati jkunu jistgħu jaċċessaw biss id-data, is-servizzi jew il-funzjonijiet li jirreferu għalihom id-drittijiet tal-aċċess tagħhom;

(f)	li reġistru jinżamm u jkun disponibbli għal valutazzjoni tad-data, servizzi jew funzjonijiet li jkunu ġew aċċessati, użati jew ipproċessati b’xi mod ieħor, f’liema ħinijiet u minn min;

(g)	li l-prodotti tal-ICT, is-servizzi tal-ICT u l-proċessi tal-ICT użati waqt il-forniment tas-servizzi tas-sigurtà ġestiti jkunu siguri mid-disinn u b’mod awtomatiku, u, fejn applikabbli, jinkludu l-aħħar aġġornamenti tas-sigurtà u ma jkollhomx vulnerabbiltajiet magħrufa pubblikament.”

;

(11)

l-Artikolu 52 huwa emendat kif ġej:

(a)

il-paragrafu 1 huwa sostitwit b’dan li ġej:

“1. Skema Ewropea taċ-ċertifikazzjoni taċ-ċibersigurtà tista’ tispeċifika wieħed jew aktar mil-livelli ta’ assigurazzjoni li ġejjin għal prodotti tal-ICT, servizzi tal-ICT, proċessi tal-ICT u servizzi tas-sigurtà ġestiti: ‘bażiku’, ‘sostanzjali’ jew ‘għoli’. Il-livell ta’ assigurazzjoni għandu jkun proporzjonat mal-livell tar-riskju assoċjat mal-użu maħsub tal-prodott tal-ICT, tas-servizz tal-ICT, tal-proċess tal-ICT jew servizz tas-sigurtà ġestit, f’termini ta’ probabbiltà u l-impatt ta’ inċident.”

;

(b)

il-paragrafu 3 huwa sostitwit b’dan li ġej:

“3. Ir-rekwiżiti tas-sigurtà li jikkorrispondu għal kull livell tal-assigurazzjoni għandhom jingħataw fl-iskema Ewropea taċ-ċertifikazzjoni taċ-ċibersigurtà rilevanti, inkluż il-funzjonalitajiet tas-sigurtà korrispondenti u l-grad ta’ serjetà u approfondiment tal-evalwazzjoni li għandha ssir lill-prodott tal-ICT, lis-servizz tal-ICT, lill-proċess tal-ICT jew lis-servizz tas-sigurtà ġestit.”

;

(c)

il-paragrafi 5, 6 u 7 huma sostitwiti b’dan li ġej:

“5. Ċertifikat Ewropew taċ-ċibersigurtà jew dikjarazzjoni tal-konformità tal-UE li tirreferi għal-livell ta’ assigurazzjoni ‘bażiku’ għandhom jipprovdu assigurazzjoni li l-prodotti tal-ICT, is-servizzi tal-ICT, il-proċessi tal-ICT jew is-servizzi tas-sigurtà ġestiti li għalihom ikun inħareġ dak iċ-ċertifikat jew tkun inħarġet dik id-dikjarazzjoni ta’ konformità tal-UE jissodisfaw ir-rekwiżiti ta’ sigurtà korrispondenti, inkluż il-funzjonalitajiet tas-sigurtà, u li jkunu ġew evalwati f’livell li hu intiż li jimminimizza r-riskji bażiċi magħrufa ta’ inċidenti u attakki ċibernetiċi. L-attivitajiet ta’ evalwazzjoni li jridu jittieħdu għandhom jinkludu tal-inqas rieżami tad-dokumentazzjoni teknika. Meta tali rieżami ma jkunx adatt, għandhom isiru attivitajiet ta’ evalwazzjoni ta’ sostituzzjoni b’effett ekwivalenti.

6. Ċertifikat Ewropew taċ-ċibersigurtà li jirreferi għal-livell tal-assigurazzjoni ‘sostanzjali’ għandu jipprovdi assigurazzjoni li l-prodotti tal-ICT, is-servizzi tal-ICT, il-proċessi tal-ICT jew is-servizzi tas-sigurtà ġestiti li għalihom ikun inħareġ dak iċ-ċertifikat ikunu jissodisfaw ir-rekwiżiti tas-sigurtà korrispondenti, inkluż il-funzjonalitajiet tas-sigurtà, u jkunu ġew evalwati b’livell intiż li jnaqqas kemm jista’ jkun ir-riskji ċibernetiċi magħrufa, u r-riskju ta’ inċidenti u attakki ċibernetiċi mwettqa minn atturi b’ħiliet u b’riżorsi limitati. L-attivitajiet tal-evalwazzjoni li jridu jitwettqu għandhom jinkludu tal-inqas dawn li ġejjin: rieżami biex jintwera n-nuqqas ta’ vulnerabbiltajiet magħrufa pubblikament u ttestjar biex jintwera li l-prodotti tal-ICT, is-servizzi tal-ICT, il-proċessi tal-ICT jew is-servizzi tas-sigurtà ġestiti jimplimentaw sew il-funzjonalitajiet tas-sigurtà meħtieġa. Meta xi attività tal-evalwazzjoni ta’ dan it-tip ma tkunx xierqa, jistgħu jintużaw attivitajiet tal-evalwazzjoni ta’ sostituzzjoni b’effett ekwivalenti.

7. Ċertifikat Ewropew taċ-ċibersigurtà li jirreferi għal-livell tal-assigurazzjoni ‘għoli’ għandu jipprovdi assigurazzjoni li l-prodotti tal-ICT, is-servizzi tal-ICT, il-proċessi tal-ICT jew is-servizzi tas-sigurtà ġestiti li għalihom ikun inħareġ dak iċ-ċertifikat ikunu jissodisfaw ir-rekwiżiti tas-sigurtà korrispondenti, inkluż il-funzjonalitajiet tas-sigurtà, u li jkunu ġew evalwati b’livell intiż li jnaqqas kemm jista’ jkun ir-riskju ta’ attakki ċibernetiċi tal-ogħla livell imwettqa minn atturi b’ħiliet u b’riżorsi sinifikanti. L-attivitajiet tal-evalwazzjoni li jridu jitwettqu għandhom jinkludu tal-inqas dawn li ġejjin: rieżami biex jintwera n-nuqqas ta’ vulnerabbiltajiet magħrufa pubblikament; ittestjar biex jintwera li l-prodotti tal-ICT, is-servizzi tal-ICT, il-proċessi tal-ICT jew is-servizzi tas-sigurtà ġestiti jimplimentaw sew il-funzjonalitajiet tas-sigurtà meħtieġa fl-ogħla livell; u valutazzjoni tar-reżistenza tagħhom kontra attakkanti esperti, billi jiġi ttestjat jekk tistax issir penetrazzjoni. Meta xi attività tal-evalwazzjoni ta’ dan it-tip ma tkunx xierqa, jistgħu jsiru attivitajiet ta’ sostituzzjoni b’effett ekwivalenti.”

;

(12)

fl-Artikolu 53, il-paragrafi 1, 2 u 3 huma sostitwiti b’dan li ġej:

“1. Skema Ewropea taċ-ċertifikazzjoni taċ-ċibersigurtà tista’ tippermetti l-awtovalutazzjoni tal-konformità taħt ir-responsabbiltà esklużiva tal-manifattur jew tal-fornitur ta’ prodotti tal-ICT, servizzi tal-ICT, proċessi tal-ICT jew servizzi tas-sigurtà ġestiti. L-awtovalutazzjoni tal-konformità għandha tkun permessa biss fir-rigward tal-prodotti tal-ICT, tas-servizzi tal-ICT, tal-proċessi tal-ICT u tas-servizzi tas-sigurtà ġestiti li jippreżentaw riskju baxx li jikkorrispondi għal-livell ta’ assigurazzjoni ‘bażiku’.

2. Il-manifattur jew il-fornitur ta’ prodotti tal-ICT, servizzi tal-ICT, proċessi tal-ICT jew servizzi tas-sigurtà ġestiti jista’ joħroġ dikjarazzjoni tal-konformità tal-UE li tiddikjara li ġew issodisfati r-rekwiżiti stabbiliti fl-iskema. Permezz tal-ħruġ ta’ tali dikjarazzjoni, il-manifattur jew il-fornitur tal-prodotti tal-ICT, tas-servizzi tal-ICT, tal-proċessi tal-ICT jew tas-servizzi tas-sigurtà ġestiti għandu jassumi r-responsabbiltà għall-konformità tal-prodott tal-ICT, tas-servizz tal-ICT, tal-proċess tal-ICT jew tas-servizz tas-sigurtà ġestit mar-rekwiżiti stabbiliti fl-iskema.

3. Il-manifattur jew il-fornitur ta’ prodotti tal-ICT, servizzi tal-ICT, proċessi tal-ICT jew servizzi tas-sigurtà ġestiti għandu jagħmel id-dikjarazzjoni tal-konformità tal-UE, id-dokumentazzjoni teknika, u l-informazzjoni rilevanti l-oħra kollha relatata mal-konformità tal-prodotti tal-ICT, tas-servizzi tal-ICT, tal-proċessi tal-ICT jew tas-servizzi tas-sigurtà ġestiti mal-iskema disponibbli lill-awtorità nazzjonali taċ-ċertifikazzjoni taċ-ċibersigurtà nominata skont l-Artikolu 58 għall-perijodu previst fl-iskema Ewropea taċ-ċertifikazzjoni taċ-ċibersigurtà korrispondenti. Kopja tad-dikjarazzjoni tal-konformità tal-UE għandha tiġi ppreżentata lill-awtorità nazzjonali taċ-ċertifikazzjoni taċ-ċibersigurtà u lill-ENISA.”

;

(13)

fl-Artikolu 54, il-paragrafu 1 huwa emendat kif ġej:

(a)

il-punt (a) huwa sostitwit b’dan li ġej:

“(a)	is-suġġett u l-kamp ta’ applikazjoni tal-iskema taċ-ċertifikazzjoni, inkluż it-tip jew il-kategoriji tal-prodotti tal-ICT, tas-servizzi tal-ICT, tal-proċessi tal-ICT u tas-servizzi tas-sigurtà ġestiti koperti;”

;

(b)

il-punt (g) huwa ssostitwit b’dan li ġej:

“(g)	il-kriterji u l-metodi speċifiċi ta’ evalwazzjoni li jridu jintużaw, inkluż it-tipi ta’ evalwazzjoni, sabiex jintwera li jinkisbu l-objettivi ta’ sigurtà applikabbli msemmija fl-Artikoli 51 u 51a;”

;

(c)

il-punt (j) huwa sostitwit b’dan li ġej:

“(j)

ir-regoli għall-monitoraġġ tal-konformità tal-prodotti tal-ICT, tas-servizzi tal-ICT, tal-proċessi tal-ICT u tas-servizzi tas-sigurtà ġestiti mar-rekwiżiti taċ-ċertifikati Ewropej taċ-ċibersigurtà jew id-dikjarazzjonijiet tal-konformità tal-UE, inkluż mekkaniżmi li juru konformità kostanti mar-rekwiżiti taċ-ċibersigurtà speċifikati;”

;

(d)

il-punt (l) huwa sostitwit b’dan li ġej:

“(l)	ir-regoli dwar il-konsegwenzi għall-prodotti tal-ICT, is-servizzi tal-ICT, il-proċessi tal-ICT u s-servizzi tas-sigurtà ġestiti li jkunu ġew iċċertifikati jew li għalihom tkun inħarġet dikjarazzjoni tal-konformità tal-UE, iżda li ma jkunux konformi mar-rekwiżiti tal-iskema;”

;

(e)

il-punt (o) huwa sostitwit b’dan li ġej:

“(o)

l-identifikazzjoni ta’ skemi nazzjonali jew internazzjonali taċ-ċertifikazzjoni taċ-ċibersigurtà li jkopru l-istess tip jew kategorija tal-prodotti tal-ICT, tas-servizzi tal-ICT, tal-proċessi tal-ICT u tas-servizzi tas-sigurtà ġestiti, rekwiżiti tas-sigurtà, metodi u kriterji tal-evalwazzjoni, u livelli tal-assigurazzjoni;”

;

(f)

il-punt (q) huwa sostitwit b’dan li ġej:

“(q)

il-perjodu tad-disponibbiltà tad-dikjarazzjoni tal-konformità tal-UE, id-dokumentazzjoni teknika, u l-informazzjoni rilevanti l-oħra kollha li trid issir disponibbli mill-manifattur jew il-fornitur tal-prodotti tal-ICT, tas-servizzi tal-ICT, tal-proċessi tal-ICT jew tas-servizzi tas-sigurtà ġestiti;”

;

(14)

l-Artikolu 56 huwa emendat kif ġej:

(a)

il-paragrafu 1 huwa sostitwit b’dan li ġej:

“1. Il-prodotti tal-ICT, is-servizzi tal-ICT, il-proċessi tal-ICT u s-servizzi tas-sigurtà ġestiti li jkunu ġew iċċertifikati taħt skema Ewropea taċ-ċertifikazzjoni taċ-ċibersigurtà adottata skont l-Artikolu 49 għandhom ikunu preżunti konformi mar-rekwiżiti ta’ tali skema.”

;

(b)

il-paragrafu 3 huwa emendat kif ġej:

(i)

l-ewwel subparagrafu huwa sostitwit b’dan li ġej:

“Il-Kummissjoni għandha tivvaluta b’mod regolari l-effiċjenza u l-użu tal-iskemi Ewropej taċ-ċertifikazzjoni taċ-ċibersigurtà adottati u jekk xi skema Ewropea taċ-ċertifikazzjoni taċ-ċibersigurtà speċifika għandhiex issir obbligatorja permezz ta’ liġi rilevanti tal-Unjoni biex jiġi żgurat livell adegwat ta’ ċibersigurtà tal-prodotti tal-ICT, tas-servizzi tal-ICT, tal-proċessi tal-ICT u mill-4 ta’ Frar 2025, tas-servizzi tas-sigurtà ġestiti fl-Unjoni u jittejjeb il-funzjonament tas-suq intern. L-ewwel valutazzjoni għandha titwettaq sal-31 ta’ Diċembru 2023, u valutazzjonijiet sussegwenti għandhom jitwettqu tal-inqas kull sentejn wara dan. Abbażi tal-eżitu ta’ dawk il-valutazzjonijiet, il-Kummissjoni għandha tidentifika l-prodotti tal-ICT, is-servizzi tal-ICT, il-proċessi tal-ICT u s-servizzi tas-sigurtà ġestiti koperti bi skema taċ-ċertifikazzjoni eżistenti li għandhom ikunu koperti bi skema taċ-ċertifikazzjoni obbligatorja.”

;

(ii)

it-tielet subparagrafu huwa emendat kif ġej:

—

il-punt (a) huwa sostitwit b’dan li ġej:

“(a)

tieħu kont tal-impatt tal-miżuri fuq il-manifatturi jew il-fornituri ta’ tali prodotti tal-ICT, servizzi tal-ICT, proċessi tal-ICT jew servizzi tas-sigurtà ġestiti u fuq l-utenti f’termini ta’ spiża ta’ dawk il-miżuri u l-benefiċċji soċjetali jew ekonomiċi li jirriżultaw mil-livell imtejjeb antiċipat ta’ sigurtà għall-prodotti tal-ICT, is-servizzi tal-ICT, il-proċessi tal-ICT jew is-servizzi tas-sigurtà ġestiti fil-mira;”

;

—

il-punt (d) huwa sostitwit b’dan li ġej:

“(d)

tqis kull implimentazzjoni, miżura u perjodu tranżizzjonali, b’mod partikolari fir-rigward tal-impatt possibbli tal-miżuri fuq il-manifatturi jew il-fornituri tal-prodotti tal-ICT, tas-servizzi tal-ICT, tal-proċessi tal-ICT, jew tas-servizzi tas-sigurtà ġestiti, inkluż l-interessi u l-ħtiġijiet speċifiċi tal- SMEs, inklużi l-mikrointrapriżi;”

;

(c)

il-paragrafi 7 u 8 huma sostitwiti b’dan li ġej:

“7. Il-persuna fiżika jew ġuridika li tippreżenta prodotti tal-ICT, servizzi tal-ICT, proċessi tal-ICT jew servizzi tas-sigurtà ġestiti għal ċertifikazzjoni għandha tqiegħed għad-dispożizzjoni tal-awtorità nazzjonali taċ-ċertifikazzjoni taċ-ċibersigurtà nominata skont l-Artikolu 58, meta dik l-awtorità tkun il-korp li joħroġ iċ-ċertifikat Ewropew taċ-ċibersigurtà, jew il-korp tal-valutazzjoni tal-konformità msemmi fl-Artikolu 60, kull informazzjoni meħtieġa biex twettaq iċ-ċertifikazzjoni.

8. Id-detentur ta’ ċertifikat Ewropew taċ-ċibersigurtà għandu jinforma lill-awtorità jew korp imsemmi fil-paragrafu 7 b’kull vulnerabbiltà jew irregolarità li jiskopri sussegwentement rigward is-sigurtà tal-prodott tal-ICT, tas-servizz tal-ICT, tal-proċess tal-ICT jew tas-servizz tas-sigurtà ġestit iċċertifikat li jista’ jħalli impatt fuq il-konformità mar-rekwiżiti relatati maċ-ċertifikazzjoni. Dik l-awtorità jew il-korp għandhom jibagħtu dik l-informazzjoni mingħajr dewmien żejjed lill-awtorità nazzjonali taċ-ċertifikazzjoni taċ-ċibersigurtà kkonċernata.”

;

(15)

fl-Artikolu 57, il-paragrafi 1 u 2 huma sostitwiti b’dan li ġej:

“1. Mingħajr preġudizzju għall-paragrafu 3 ta’ dan l-Artikolu, l-iskemi nazzjonali taċ-ċertifikazzjoni taċ-ċibersigurtà u l-proċeduri relatati għall-prodotti tal-ICT, is-servizzi tal-ICT, il-proċessi tal-ICT u s-servizzi tas-sigurtà ġestiti li huma koperti minn skema Ewropea taċ-ċertifikazzjoni taċ-ċibersigurtà għandhom jieqfu japplikaw mid-data stabbilita fl-att ta’ implimentazzjoni adottat skont l-Artikolu 49(7). L-iskemi nazzjonali taċ-ċertifikazzjoni taċ-ċibersigurtà u l-proċeduri relatati għall-prodotti tal-ICT, is-servizzi tal-ICT, il-proċessi tal-ICT u s-servizzi tas-sigurtà ġestiti li mhumiex koperti minn skema Ewropea taċ-ċertifikazzjoni taċ-ċibersigurtà għandhom jibqgħu jeżistu.

2. L-Istati Membri ma għandhomx jintroduċu skemi nazzjonali ġodda taċ-ċertifikazzjoni taċ-ċibersigurtà għall-prodotti tal-ICT, is-servizzi tal-ICT, il-proċessi tal-ICT u s-servizzi tas-sigurtà ġestiti koperti minn skema Ewropea taċ-ċertifikazzjoni taċ-ċibersigurtà li tkun fis-seħħ.”

;

(16)

l-Artikolu 58 huwa emendat kif ġej:

(a)

il-paragrafu 7 huwa emendat kif ġej:

(i)

il-punti (a) u (b) huma sostitwiti b’dan li ġej:

“(a)

jissorveljaw u jinfurzaw ir-regoli inklużi fl-iskemi Ewropej taċ-ċertifikazzjoni taċ-ċibersigurtà skont l-Artikolu 54(1), il-punt (j), għall-monitoraġġ tal-konformità tal-prodotti tal-ICT, tas-servizzi tal-ICT, tal-proċessi tal-ICT u tas-servizzi tas-sigurtà ġestiti mar-rekwiżiti taċ-ċertifikati Ewropej taċ-ċibersigurtà li jkunu nħarġu fit-territorji rispettivi tagħhom, b’kooperazzjoni mal-awtoritajiet tas-sorveljanza tas-suq rilevanti l-oħra;

(b)

jimmonitorjaw il-konformità ma’ u jinfurzaw, l-obbligi tal-manifatturi jew il-fornituri tal-prodotti tal-ICT, tas-servizzi tal-ICT, tal-proċessi tal-ICT jew tas-servizzi tas-sigurtà ġestiti li jkunu stabbiliti fit-territorji rispettivi tagħhom u li jwettqu awtovalutazzjoni tal-konformità, u għandhom b’mod partikolari jimmonitorjaw il-konformità ma’ u jinfurzaw l-obbligi ta’ tali manifatturi jew fornituri stabbiliti fl-Artikolu 53(2) u (3) u fl-iskema korrispondenti Ewropea taċ-ċertifikazzjoni taċ-ċibersigurtà;”

;

(ii)

il-punt (h) huwa sostitwit b’dan li ġej:

“(h)

jikkooperaw ma’ awtoritajiet nazzjonali oħra responsabbli għaċ-ċertifikazzjoni taċ-ċibersigurtà jew awtoritajiet pubbliċi oħra, inkluż billi jikkondividu l-informazzjoni dwar in-nuqqas ta’ konformità possibbli tal-prodotti tal-ICT, tas-servizzi tal-ICT, tal-proċessi tal-ICT jew tas-servizzi tas-sigurtà ġestiti mar-rekwiżiti ta’ dan ir-Regolament jew mar-rekwiżiti ta’ skemi speċifiċi Ewropej taċ-ċertifikazzjoni taċ-ċibersigurtà; u”

;

(b)

il-paragrafu 9 huwa sostitwit b’dan li ġej:

“9. L-awtoritajiet nazzjonali taċ-ċertifikazzjoni taċ-ċibersigurtà għandhom jikkooperaw bejniethom u mal-Kummissjoni, b’mod partikolari, billi jiskambjaw informazzjoni, esperjenza u prattiki tajba fir-rigward taċ-ċertifikazzjoni taċ-ċibersigurtà u kwistjonijiet tekniċi rigward iċ-ċibersigurtà tal-prodotti tal-ICT, tas-servizzi tal-ICT, tal-proċessi tal-ICT u tas-servizzi tas-sigurtà ġestiti.”

;

(17)

fl-Artikolu 59(3), il-punti (b) u (c) huma sostitwiti b’dan li ġej:

“(b)	il-proċeduri għas-superviżjoni u l-infurzar tar-regoli għall-monitoraġġ tal-konformità tal-prodotti tal-ICT, tas-servizzi tal-ICT, tal-proċessi tal-ICT u tas-servizzi tas-sigurtà ġestiti maċ-ċertifikati Ewropej taċ-ċibersigurtà skont il-punt (a) tal-Artikolu 58(7);

(c)	il-proċeduri għall-monitoraġġ u l-infurzar tal-obbligi tal-manifatturi jew il-fornituri tal-prodotti tal-ICT, tas-servizzi tal-ICT, tal-proċessi tal-ICT jew tas-servizzi tas-sigurtà ġestiti skont il-punt (b) tal-Artikolu 58(7);”

;

(18)

fl-Artikolu 67, il-paragrafi 2 u 3 huma sostitwiti b’dan li ġej:

“2. L-evalwazzjoni għandha tivvaluta wkoll l-impatt, l-effettività u l-effiċjenza tad-dispożizzjonijiet tat-Titolu III ta’ dan ir-Regolament, inkluż il-proċeduri li jwasslu għall-adozzjoni ta’ skemi Ewropej ta’ ċertifikazzjoni taċ-ċibersigurtà u l-bażijiet ta’ evidenza tagħhom, fir-rigward tal-objettivi li jkun żgurat livell adegwat taċ-ċibersigurtà tal-prodotti tal-ICT, tas-servizzi tal-ICT, tal-proċessi tal-ICT u tas-servizzi tas-sigurtà ġestiti fl-Unjoni u li jittejjeb il-funzjonament tas-suq intern.

3. L-evalwazzjoni għandha tivvaluta jekk ikunux meħtieġa rekwiżiti taċ-ċibersigurtà essenzjali għall-aċċess għas-suq intern sabiex ikun evitat li l-prodotti tal-ICT, is-servizzi tal-ICT, il-proċessi tal-ICT u s-servizzi tas-sigurtà ġestiti li ma jkunux jissodisfaw ir-rekwiżiti bażiċi taċ-ċibersigurtà mid-dħul fis-suq intern.”

;

(19)	l-Anness huwa emendat skont l-Anness ta’ dan ir-Regolament.

Artikolu 2

Dan ir-Regolament għandu jidħol fis-seħħ fl-għoxrin jum wara dak tal-pubblikazzjoni tiegħu f’Il-Ġurnal Uffiċjali tal-Unjoni Ewropea.

Dan ir-Regolament għandu jorbot fl-intier tiegħu u japplika direttament fl-Istati Membri kollha.

Magħmul fi Brussell, id-19 ta’ Diċembru 2024.

Għall-Parlament Ewropew

Il-President

R. METSOLA

Għall-Kunsill

Il-President

BÓKA J.

(1) ĠU C 349, 29.9.2023, p. 167.

(2) Il-pożizzjoni tal-Parlament Ewropew tal-24 ta’ April 2024 (għadha mhijiex ippubblikata fil-Ġurnal Uffiċjali) u d-deċiżjoni tal-Kunsill tat-2 ta' Diċembru 2024.

(3) Ir-Regolament (UE) 2019/881 tal-Parlament Ewropew u tal-Kunsill tas-17 ta’ April 2019 dwar l-ENISA (l-Aġenzija tal-Unjoni Ewropea għaċ-Ċibersigurtà) u dwar iċ-ċertifikazzjoni taċ-ċibersigurtà tat-teknoloġija tal-informazzjoni u tal-komunikazzjoni u li jħassar ir-Regolament (UE) Nru 526/2013 (l-Att dwar iċ-Ċibersigurtà) (ĠU L 151, 7.6.2019, p. 15).

(4) Ir-Regolament (UE) 2024/2847 tal-Parlament Ewropew u tal-Kunsill tat-23 ta’ Ottubru 2024 dwar ir-rekwiżiti orizzontali taċ-ċibersigurtà għall-prodotti b’elementi diġitali u li jemenda r-Regolament (UE) 2019/1020 u d-Direttiva (UE) 2020/1828 (Att dwar ir-Reżiljenza Ċibernetika) (ĠU L, 2024/2847, 20.11.2024, ELI: http://data.europa.eu/eli/reg/2024/2847/oj).

(5) Id-Direttiva (UE) 2022/2555 tal-Parlament Ewropew u tal-Kunsill tal-14 ta’ Diċembru 2022 dwar miżuri għal livell għoli komuni ta’ ċibersigurtà madwar l-Unjoni kollha, li temenda r-Regolament (UE) Nru 910/2014 u d-Direttiva (UE) 2018/1972, u li tħassar id-Direttiva (UE) 2016/1148 (Direttiva NIS 2) (ĠU L 333, 27.12.2022, p. 80).

(6) Ir-Regolament (UE) 2025/38 tal-Parlament Ewropew u tal-Kunsill tad-19 ta’ Diċembru 2024 li jistabbilixxi miżuri li jsaħħu s-solidarjetà u l-kapaċitajiet fl-Unjoni tal-identifikazzjoni, tat-tħejjija u tar-rispons għat-theddid u l-inċidenti taċ-ċibersigurtà ċibernetiċi u li jemenda r-Regolament (UE) 2021/694 (Att dwar iċ-Ċibersolidarjetà) (ĠU L, 2025/38, 15.1.2025, ELI: http://data.europa.eu/eli/reg/2025/38/oj).

(7) Ir-Regolament (UE) 2021/694 tal-Parlament Ewropew u tal-Kunsill tad-29 ta’ April 2021 li jistabbilixxi l-Programm Ewropa Diġitali u li jħassar id-Deċiżjoni (UE) 2015/2240 (ĠU L 166, 11.5.2021, p. 1).

(8) Id-Deċiżjoni (UE) 2022/2481 tal-Parlament Ewropew u tal-Kunsill tal-14 ta’ Diċembru 2022 li tistabbilixxi l-Programm ta’ Politika tal-2030 dwar id-Deċennju Diġitali (ĠU L 323, 19.12.2022, p. 4).

(9) Ir-Regolament (UE) 2018/1725 tal-Parlament Ewropew u tal-Kunsill tat-23 ta’ Ottubru 2018 dwar il-protezzjoni ta’ persuni fiżiċi fir-rigward tal-ipproċessar ta’ data personali mill-istituzzjonijiet, mill-korpi, mill-uffiċċji u mill-aġenziji tal-Unjoni u dwar il-moviment liberu tat-tali data, u li jħassar ir-Regolament (KE) Nru 45/2001 u d-Deċiżjoni Nru 1247/2002/KE (ĠU L 295, 21.11.2018, p. 39).