(1)

Fl-era diġitali, it-teknoloġija tal-informazzjoni u tal-komunikazzjoni (ICT) tappoġġja s-sistemi kumplessi użati għall-attivitajiet ta’ kuljum. Din it-teknoloġija żżomm l-ekonomiji tagħna għaddejjin f’setturi ewlenin, inkluż is-settur finanzjarju, u ttejjeb il-funzjonament tas-suq intern. Id-diġitalizzazzjoni u l-interkonnettività miżjuda jamplifikaw ukoll ir-riskju tal-ICT, u b’hekk is-soċjetà kollha kemm hi, u s-sistema finanzjarja b’mod partikolari, issir aktar vulnerabbli għat-theddid ċibernetiku jew għat-tfixkil fis-settur tal-ICT. Filwaqt li l-użu kullimkien tas-sistemi tal-ICT u d-diġitalizzazzjoni u l-konnettività għolja llum il-ġurnata huma karatteristiċi ewlenin tal-attivitajiet tal-entitajiet finanzjarji tal-Unjoni, ir-reżiljenza diġitali tagħhom għad trid tiġi indirizzata u integrata aħjar fl-oqsma operazzjonali usa’ tagħhom.

(2)

F’dawn l-aħħar għexieren ta’ snin l-użu tal-ICT kiseb rwol kruċjali fil-forniment ta’ servizzi finanzjarji, tant li issa akkwista importanza kritika fl-operat tal-funzjonijiet tipiċi ta’ kuljum tal-entitajiet finanzjarji kollha. Id-diġitalizzazzjoni issa tkopri, pereżempju, pagamenti, li aktar ma għadda żmien aktar imxew minn metodi bbażati fuq il-flus kontanti u l-karti għall-użu ta’ soluzzjonijiet diġitali, kif ukoll l-ikklerjar u s-saldu ta’ titoli, kummerċ elettroniku u algoritmiku, operazzjonijiet ta’ self u finanzjament, finanzjament bejn il-pari, klassifikazzjoni tal-kreditu, ġestjoni tal-pretensjonijiet u operazzjonijiet tal-back-office. Is-settur tal-assigurazzjoni wkoll ġie ttrasformat bl-użu tal-ICT, mill-emerġenza ta’ intermedjarji tal-assigurazzjoni li joffru s-servizzi tagħhom online li joperaw ma’ InsurTech, għal sottoskrizzjoni tal-assigurazzjoni diġitali. Il-finanzi mhux biss saru fil-biċċa l-kbira diġitali fis-settur kollu, iżda d-diġitalizzazzjoni approfondiet ukoll l-interkonnessjonijiet u d-dipendenzi fis-settur finanzjarju u ma’ fornituri terzi ta’ servizzi u infrastruttura.

(3)

Il-Bord Ewropew dwar ir-Riskju Sistemiku (BERS) irriafferma f’rapport tal-2020 li jindirizza r-riskju ċibernetiku sistemiku kif il-livell għoli eżistenti ta’ interkonnettività bejn l-entitajiet finanzjarji, is-swieq finanzjarji u l-infrastrutturi tas-swieq finanzjarji u, b’mod partikolari, l-interdipendenzi tas-sistemi tal-ICT tagħhom, jistgħu potenzjalment jikkostitwixxu vulnerabbiltà sistemika għax l-inċidenti ċibernetiċi lokalizzati jistgħu jinxterdu malajr minn kwalunkwe waħda mill-madwar 22 000 entità finanzjarja tal-Unjoni għas-sistema finanzjarja kollha kemm hi, mingħajr ma jiġu mxekkla mill-fruntieri ġeografiċi. Ksur serju tas-sigurtà tal-ICT li jseħħ fis-settur finanzjarju ma jaffettwax biss lill-entitajiet finanzjarji b’mod iżolat. Tali ksur iwitti wkoll it-triq għall-propagazzjoni ta’ vulnerabbiltajiet lokalizzati fil-mezzi kollha ta’ trażmissjoni finanzjarja u potenzjalment iwassal għal konsegwenzi negattivi għall-istabbiltà tas-sistema finanzjarja tal-Unjoni, pereżempju billi jiġġenera nuqqas ta’ likwidità u telf ġenerali ta’ fiduċja fis-swieq finanzjarji.

(4)

F’dawn l-aħħar snin, ir-riskju tal-ICT ġibed l-attenzjoni ta’ dawk li jfasslu l-politika, tar-regolaturi u tal-korpi li jiffissaw l-istandards internazzjonali, tal-Unjoni u nazzjonali, f’tentattiv biex itejbu r-reżiljenza diġitali, jiffissaw l-istandards u jikkoordinaw il-ħidma regolatorja jew superviżorja. Fil-livell internazzjonali, il-Kumitat ta’ Basel dwar is-Superviżjoni Bankarja, il-Kumitat dwar il-Pagamenti u l-Infrastrutturi tas-Suq, il-Bord għall-Istabbiltà Finanzjarja, l-Istitut għall-Istabbiltà Finanzjarja, kif ukoll il-G7 u l-G20 għandhom l-għan li jipprovdu lill-awtoritajiet kompetenti u lill-operaturi tas-suq f’ġuriżdizzjonijiet varji b’għodod maħsuba biex isaħħu r-reżiljenza tas-sistemi finanzjarji tagħhom. Dik il-ħidma ġiet xprunata wkoll mill-ħtieġa li jiġi kkunsidrat kif xieraq ir-riskju tal-ICT fil-kuntest ta’ sistema finanzjarja globali interkonnessa ħafna u li titfittex aktar konsistenza fl-aħjar prattiki rilevanti.

(5)

Minkejja l-inizjattivi politiċi u leġiżlattivi tal-Unjoni u nazzjonali mmirati, ir-riskju tal-ICT ikompli jippreżenta sfida għar-reżiljenza operazzjonali, il-prestazzjoni u l-istabbiltà tas-sistema finanzjarja tal-Unjoni. Ir-riformi li saru wara l-kriżi finanzjarja tal-2008 saħħet primarjament ir-reżiljenza finanzjarja tas-settur finanzjarju tal-Unjoni u kellhom l-għan li jissalvagwardjaw il-kompetittività u l-istabbiltà tal-Unjoni minn perspettivi ekonomiċi, prudenzjali u ta’ kondotta fis-suq. Għalkemm is-sigurtà tal-ICT u r-reżiljenza diġitali huma parti mir-riskju operazzjonali, dawn kienu inqas fl-attenzjoni tal-aġenda regolatorja ta’ wara l-kriżi finanzjarja, u żviluppaw biss f’xi oqsma tal-politika tas-servizzi finanzjarji u tax-xenarju regolatorju tal-Unjoni, jew fi ftit Stati Membri biss.

(6)

Fil-Komunikazzjoni tat-8 ta’ Marzu 2018 intitolata “Pjan ta’ Azzjoni tal-FinTech: Għal settur finanzjarju Ewropew iktar kompetittiv u innovattiv”, il-Kummissjoni enfasizzat l-importanza fundamentali li s-settur finanzjarju tal-Unjoni jsir aktar reżiljenti, inkluż minn perspettiva operazzjonali biex jiġu żgurati s-sikurezza teknoloġika u l-funzjonament tajjeb tiegħu, l-irkupru rapidu tiegħu minn ksur u inċidenti tas-sigurtà tal-ICT, li fl-aħħar mill-aħħar jippermettu l-forniment effettiv u mingħajr xkiel tas-servizzi finanzjarji madwar l-Unjoni kollha, inkluż f’sitwazzjonijiet ta’ stress, filwaqt li jiġu ppreservati wkoll il-fiduċja u l-kunfidenza tal-konsumaturi u tas-suq.

(7)

F’April 2019, l-Awtorità Superviżorja Ewropea (Awtorità Bankarja Ewropea) (EBA) stabbilita bir-Regolament (UE) Nru 1093/2010 tal-Parlament Ewropew u tal-Kunsill (4), l-Awtorità Superviżorja Ewropea (Awtorità Ewropea tal-Assigurazzjoni u l-Pensjonijiet tax-Xogħol (EIOPA) stabbilita bir-Regolament (UE) Nru 1094/2010 tal-Parlament Ewropew u tal-Kunsill (5) u l-Awtorità Superviżorja Ewropea (Awtorità Ewropea tat-Titoli u s-Swieq), (ESMA) stabbilita bir-Regolament (UE) Nru 1095/2010 tal-Parlament Ewropew u tal-Kunsill (6) (magħrufa kollettivament bħala “Awtoritajiet Superviżorji Ewropej” jew “ASE”) ħarġu b’mod konġunt parir tekniku li jitlob approċċ koerenti għar-riskju tal-ICT fil-finanzi u li jirrakkomanda li tissaħħaħ, b’mod proporzjonat, ir-reżiljenza operazzjonali diġitali tal-industrija tas-servizzi finanzjarji permezz ta’ inizjattiva tal-Unjoni speċifika għas-settur.

(8)

Is-settur finanzjarju tal-Unjoni huwa rregolat minn Ġabra Unika tar-Regoli u minn sistema Ewropea ta’ superviżjoni finanzjarja. Madankollu, id-dispożizzjonijiet li jindirizzaw ir-reżiljenza operazzjonali diġitali u s-sigurtà tal-ICT għadhom mhumiex armonizzati għalkollox jew b’mod konsistenti, minkejja li r-reżiljenza operazzjonali diġitali hija vitali biex jiġu żgurati l-istabbiltà finanzjarja u l-integrità tas-suq fl-era diġitali, u mhux inqas importanti minn, pereżempju, standards ta’ kondotta fis-suq jew prudenzjali komuni. Għalhekk, jenħtieġ li l-Ġabra Unika tar-Regoli u s-sistema ta’ superviżjoni jiġu żviluppati biex ikopru wkoll ir-reżiljenza operazzjonali diġitali, billi jsaħħu l-mandati tal-awtoritajiet kompetenti biex ikunu jistgħu jissorveljaw il-ġestjoni tar-riskju tal-ICT fis-settur finanzjarju sabiex jipproteġu l-integrità u l-effiċjenza tas-suq intern, u jiffaċilitaw il-funzjonament ordnat tiegħu.

(9)

Id-disparitajiet leġiżlattivi u l-approċċi regolatorji jew superviżorji nazzjonali mhux uniformi fir-rigward tal-ICT jirriskjaw li joħolqu ostakli għall-funzjonament tas-suq intern fis-servizzi finanzjarji, li jxekklu l-eżerċitar bla xkiel tal-libertà ta’ stabbiliment u l-forniment ta’ servizzi għal entitajiet finanzjarji li joperaw fuq bażi transfruntiera. Il-kompetizzjoni bejn l-istess tip ta’ entitajiet finanzjarji fi Stati Membri differenti tista’ wkoll tiġi distorta. Dan huwa l-każ, b’mod partikolari, għal oqsma fejn l-armonizzazzjoni tal-Unjoni kienet limitata ħafna, bħall-ittestjar tar-reżiljenza operazzjonali diġitali, jew assenti, bħall-monitoraġġ tar-riskju relatat mal-ICT minn partijiet terzi. Id-disparitajiet li jirriżultaw mill-iżviluppi previsti fil-livell nazzjonali jistgħu jiġġeneraw aktar ostakli għall-funzjonament tas-suq intern għad-detriment tal-parteċipanti fis-suq u l-istabbiltà finanzjarja.

(10)

Sa issa, peress li d-dispożizzjonijiet relatati mar-riskju tal-ICT ġew indirizzati biss parzjalment fil-livell tal-Unjoni, hemm lakuni jew sovrapożizzjonijiet f’oqsma importanti, bħar-rapportar ta’ inċidenti relatati mal-ICT u l-ittestjar tar-reżiljenza operazzjonali diġitali, u inkonsistenzi li jirriżultaw minn regoli nazzjonali diverġenti emerġenti jew l-applikazzjoni mhux kosteffettiva ta’ regoli sovraposti. Dan huwa partikolarment detrimentali għal utent li jagħmel użu intensiv mill-ICT, bħas-settur finanzjarju, billi r-riskji tat-teknoloġija ma għandhomx fruntieri u s-settur finanzjarju juża s-servizzi tiegħu fuq bażi transfruntiera wiesgħa fl-Unjoni u barra minnha. L-entitajiet finanzjarji individwali li joperaw fuq bażi transfruntiera jew li għandhom diversi awtorizzazzjonijiet (pereżempju, entità finanzjarja waħda jista’ jkollha liċenzja biex topera bħala entità bankarja, liċenzja ta’ ditta ta’ investiment, u liċenzja ta’ istituzzjoni ta’ pagament, kull waħda maħruġa minn awtorità kompetenti differenti fi Stat Membru wieħed jew f’diversi Stati Membri) jiffaċċjaw sfidi operazzjonali biex jindirizzaw weħidhom u b’mod koerenti u kosteffettiv ir-riskju tal-ICT u biex jimmitigaw l-impatti avversi tal-inċidenti tal-ICT.

(11)

Peress li l-Ġabra Unika tar-Regoli ma kinitx akkumpanjata minn qafas komprensiv tal-ICT jew tar-riskju operazzjonali, hija meħtieġa aktar armonizzazzjoni tar-rekwiżiti ewlenin tar-reżiljenza operazzjonali diġitali għall-entitajiet finanzjarji kollha. L-iżvilupp tal-kapaċitajiet tal-ICT u r-reżiljenza kumplessiva mill-entitajiet finanzjarji, abbażi ta’ dawk ir-rekwiżiti ewlenin, bil-ħsieb li jifilħu għal qtugħ operazzjonali, jgħinu biex jippreservaw l-istabbiltà u l-integrità tas-swieq finanzjarji tal-Unjoni u b’hekk jikkontribwixxu għall-iżgurar ta’ livell għoli ta’ protezzjoni tal-investituri u tal-konsumaturi fl-Unjoni. Billi dan ir-Regolament għandu l-għan li jikkontribwixxi għall-funzjonament bla xkiel tas-suq intern, jenħtieġ li jkun ibbażat fuq id-dispożizzjonijiet tal-Artikolu 114 tat-Trattat dwar il-Funzjonament tal-Unjoni Ewropea (TFUE) kif interpretati f’konformità mal-każistika konsistenti tal-Qorti tal-Ġustizzja tal-Unjoni Ewropea (Qorti tal-Ġustizzja).

(12)

Dan ir-Regolament għandu l-għan li jikkonsolida u jaġġorna r-rekwiżiti tar-riskju tal-ICT bħala parti mir-rekwiżiti tar-riskju operazzjonali li, sa issa, ġew indirizzati separatament f’diversi atti legali tal-Unjoni. Filwaqt li dawk l-atti koprew il-kategoriji ewlenin tar-riskju finanzjarju (pereż. ir-riskju tal-kreditu, ir-riskju tas-suq, ir-riskju tal-kreditu tal-kontroparti u r-riskju tal-likwidità, ir-riskju tal-imġiba tas-suq), ma indirizzawx b’mod komprensiv, fil-mument tal-adozzjoni tagħhom, il-komponenti kollha tar-reżiljenza operazzjonali. Ir-regoli tar-riskju operazzjonali, meta żviluppati aktar f’dawk l-atti legali tal-Unjoni, sikwit kienu jiffavorixxu approċċ kwantitattiv tradizzjonali biex jiġi indirizzat ir-riskju (jiġifieri l-iffissar ta’ rekwiżit kapitali biex ikopri r-riskju tal-ICT) minflok ma inkludew regoli kwalitattivi mmirati għall-kapaċitajiet ta’ protezzjoni, individwazzjoni, trażżin, irkupru u tiswija kontra inċidenti relatati mal-ICT, jew għar-rappurtar u l-ittestjar diġitali. Dawk l-atti kienu primarjament maħsuba biex ikopru u jaġġornaw regoli essenzjali dwar is-superviżjoni prudenzjali, l-integrità tas-suq jew l-imġiba. Permezz tal-konsolidazzjoni u t-titjib tar-regoli differenti dwar ir-riskju tal-ICT, id-dispożizzjonijiet kollha li jindirizzaw ir-riskju diġitali fis-settur finanzjarju jenħtieġ li għall-ewwel darba jinġabru flimkien b’mod konsistenti f’att leġiżlattiv wieħed. Għalhekk, dan ir-Regolament jimla l-lakuni jew isewwi l-inkonsistenzi f’uħud mill-atti legali ta’ qabel, inkluż b’rabta mat-terminoloġija użata fihom, u jirreferi b’mod espliċitu għar-riskju tal-ICT permezz ta’ regoli mmirati dwar il-kapaċitajiet tal-ġestjoni tar-riskju tal-ICT, ir-rappurtar ta’ inċidenti, l-ittestjar tar-reżiljenza operazzjonali u l-monitoraġġ tar-riskju tal-ICT marbut ma’ partijiet terzi. Għalhekk, dan ir-Regolament jenħtieġ ukoll li jqajjem sensibilizzazzjoni dwar ir-riskju tal-ICT u jirrikonoxxi l-fatt li l-inċidenti tal-ICT u nuqqas ta’ reżiljenza operazzjonali għandhom il-possibbiltà li jipperikolaw s-solidità finanzjarja tal-entitajiet finanzjarji.

(13)

Jenħtieġ li l-entitajiet finanzjarji jsegwu l-istess approċċ u l-istess regoli bbażati fuq il-prinċipji meta jindirizzaw ir-riskju tal-ICT filwaqt li jqisu d-daqs u l-profil tar-riskju ġenerali tagħhom, u n-natura, l-iskala u l-kumplessità tas-servizzi, l-attivitajiet u l-operazzjonijiet tagħhom. Il-konsistenza tikkontribwixxi biex tiżdied il-fiduċja fis-sistema finanzjarja u tippreserva l-istabbiltà tagħha speċjalment fi żminijiet ta’ dipendenza kbira mis-sistemi, mill-pjattaformi u mill-infrastrutturi tal-ICT li tinvolvi riskju diġitali akbar. L-osservanza tal-iġjene ċibernetika bażika jenħtieġ ukoll li tiġi evitata l-impożizzjoni ta’ kostijiet kbar fuq l-ekonomija billi jimminimizza l-impatt u l-kostijiet tat-tfixkil tal-ICT.

(14)

Regolament jgħin biex titnaqqas il-kumplessità regolatorja, irawwem il-konverġenza superviżorja u jżid iċ-ċertezza legali, u jikkontribwixxi wkoll għal-limitazzjoni tal-kostijiet tal-konformità, speċjalment għall-entitajiet finanzjarji li joperaw b’mod transfruntier, u għat-tnaqqis tad-distorsjonijiet tal-kompetizzjoni. Għalhekk, l-għażla ta’ Regolament għall-istabbiliment ta’ qafas komuni għar-reżiljenza operazzjonali diġitali tal-entitajiet finanzjarji hija l-aktar mod xieraq biex tiġi ggarantita applikazzjoni omoġenja u koerenti tal-komponenti kollha tal-ġestjoni tar-riskju tal-ICT mis-settur finanzjarju tal-Unjoni.

(15)

Id-Direttiva (UE) 2016/1148 tal-Parlament Ewropew u tal-Kunsill (7) kienet l-ewwel qafas orizzontali taċ-ċibersigurtà promulgat fil-livell tal-Unjoni, li japplika wkoll għal tliet tipi ta’ entitajiet finanzjarji, jiġifieri istituzzjonijiet ta’ kreditu, ċentri ta’ negozjar u kontropartijiet ċentrali. Madankollu, billi d-Direttiva (UE) 2016/1148 stabbiliet mekkaniżmu ta’ identifikazzjoni fil-livell nazzjonali ta’ operaturi ta’ servizzi essenzjali, ċerti istituzzjonijiet ta’ kreditu, ċentri ta’ negozjar u kontropartijiet ċentrali biss li ġew identifikati mill-Istati Membri, iddaħħlu fil-kamp ta’ applikazzjoni tagħha fil-prattika, u għalhekk meħtieġa jikkonformaw mar-rekwiżiti ta’ notifika tal-inċidenti u tas-sigurtà tal-ICT stipulati fiha. Id-Direttiva (UE) 2022/2555 tal-Parlament Ewropew u tal-Kunsill (8) tistabbilixxi kriterju uniformi biex jiġu determinati l-entitajiet li jaqgħu fil-kamp ta’ applikazzjoni tagħha (ir-regola dwar id-daqs massimu) filwaqt li żżomm it-tliet tipi ta’ entitajiet finanzjarji fil-kamp ta’ applikazzjoni tagħha.

(16)

Madankollu, peress li dan ir-Regolament iżid il-livell ta’ armonizzazzjoni tad-diversi komponenti ta’ reżiljenza diġitali, billi jintroduċi rekwiżiti dwar il-ġestjoni tar-riskju tal-ICT u r-rapportar ta’ inċidenti relatati mal-ICT li huma aktar stretti meta mqabbla ma’ dawk stipulati fil-liġi attwali tal-Unjoni dwar is-servizzi finanzjarji, dan il-livell ogħla jikkostitwixxi żieda fl-armonizzazzjoni wkoll meta mqabbel mar-rekwiżiti stipulati fid-Direttiva (UE) 2022/2555. Konsegwentement, dan ir-Regolament jikkostitwixxi lex specialis fir-rigward tad-Direttiva (UE) 2022/2555. Fl-istess ħin, huwa kruċjali li tinżamm relazzjoni b’saħħitha bejn is-settur finanzjarju u l-qafas orizzontali taċ-ċibersigurtà tal-Unjoni kif inhu stabbilit bħalissa fid-Direttiva (UE) 2022/2555 biex tiġi żgurata l-konsistenza mal-istrateġiji taċ-ċibersigurtà adottati mill-Istati Membri, u biex is-superviżuri finanzjarji jkunu jistgħu jsiru konxji mill-inċidenti ċibernetiċi li jaffettwaw setturi oħra koperti minn dik id-Direttiva.

(17)

F’konformità mal-Artikolu 4(2) tat-Trattat dwar l-Unjoni Ewropea u mingħajr preġudizzju għall-istħarriġ ġudizzjarju mill-Qorti tal-Ġustizzja, jenħtieġ li dan ir-Regolament ma jaffettwax ir-responsabbiltà tal-Istati Membri fir-rigward tal-funzjonijiet essenzjali tal-Istat li jikkonċernaw is-sigurtà pubblika, id-difiża u s-salvagwardja tas-sigurtà nazzjonali, pereżempju fir-rigward tal-forniment ta’ informazzjoni li tmur kontra s-salvagwardja tas-sigurtà nazzjonali.

(18)

Biex ikun jista’ jsir tagħlim transsettorjali u biex b’mod effettiv jintużaw l-esperjenzi ta’ setturi oħrajn fl-indirizzar tat-theddid ċibernetiku, l-entitajiet finanzjarji msemmija fid-Direttiva (UE) 2022/2555 jenħtieġ li jibqgħu parti mill-“ekosistema” ta’ dik id-Direttiva (pereżempju, il-Grupp ta’ Kooperazzjoni taħt dik id-Direttiva) u l-iskwadri ta’ rispons għal inċidenti relatati mas-sigurtà tal-kompjuters (CSIRTs)). L-ASE u l-awtoritajiet nazzjonali kompetenti jenħtieġ li jkunu jistgħu jipparteċipaw fid-diskussjonijiet ta’ politika strateġika u fil-funzjonament tekniku tal-Grupp ta’ Kooperazzjoni tal-NIS, u li jiskambjaw informazzjoni u jikkooperaw aktar mal-punti uniċi ta’ kuntatt maħtura jew stabbiliti f’konformità ma’ dik id-Direttiva. L-awtoritajiet kompetenti skont dan ir-Regolament jenħtieġ li jikkonsultaw u jikkooperaw ukoll mas-CSIRTs. Jenħtieġ li l-awtoritajiet kompetenti jkunu jistgħu wkoll jitolbu parir tekniku mill-awtoritajiet kompetenti maħtura jew stabbiliti f’konformità mad-Direttiva (UE) 2022/2555 u jistabbilixxu arranġamenti ta’ kooperazzjoni li jkollhom l-għan li jiżguraw mekkaniżmi ta’ koordinazzjoni ta’ rispons effettiv u rapidu.

(19)

Minħabba l-interkonnessjonijiet b’saħħithom bejn ir-reżiljenza diġitali u r-reżiljenza fiżika tal-entitajiet finanzjarji, huwa meħtieġ approċċ koerenti fir-rigward tar-reżiljenza tal-entitajiet kritiċi f’dan ir-Regolament u d-Direttiva (UE) 2022/2557 tal-Parlament Ewropew u tal-Kunsill (9). Peress li r-reżiljenza fiżika tal-entitajiet finanzjarji hija indirizzata b’mod komprensiv mill-obbligi tal-ġestjoni tar-riskju tal-ICT u tar-rappurtar koperti minn dan ir-Regolament, l-obbligi stabbiliti fil-Kapitoli III u IV tad-Direttiva (UE) 2022/2557 jenħtieġ li ma japplikawx għall-entitajiet finanzjarji li jaqgħu fil-kamp ta’ applikazzjoni ta’ dik id-Direttiva.

(20)

Il-fornituri ta’ servizzi ta’ cloud computing huma waħda mill-kategoriji ta’ infrastruttura diġitali koperta mid-Direttiva (UE) 2022/2555. Il-Qafas ta’ Sorveljanza tal-Unjoni (“Qafas ta’ Sorveljanza”) stabbilit minn dan ir-Regolament japplika għall-fornituri kritiċi kollha tas-servizzi ta’ partijiet terzi tal-ICT, inkluż il-fornituri ta’ servizzi ta’ cloud computing li jipprovdu servizzi tal-ICT lil entitajiet finanzjarji, u jenħtieġ li dan jitqies bħala komplimentari għas-superviżjoni mwettqa skont id-Direttiva (UE) 2022/2555. Barra minn hekk, jenħtieġ li l-Qafas ta’ Sorveljanza stabbilit minn dan ir-Regolament ikopri lill-fornituri ta’ servizzi ta’ cloud computing fin-nuqqas ta’ qafas orizzontali tal-Unjoni li jistabbilixxi awtorità ta’ sorveljanza diġitali.

(21)

Sabiex jinżamm kontroll sħiħ fuq ir-riskju tal-ICT, l-entitajiet finanzjarji jeħtieġ li jkollhom kapaċitajiet komprensivi li jippermettu ġestjoni tar-riskju tal-ICT b’saħħitha u effettiva, kif ukoll mekkaniżmi u politiki speċifiċi għat-trattament tal-inċidenti kollha relatati mal-ICT u għar-rappurtar tal-inċidenti ewlenin relatati mal-ICT. Bl-istess mod, l-entitajiet finanzjarji jenħtieġ li jkollhom fis-seħħ politiki għall-ittestjar ta’ sistemi, kontrolli u proċessi tal-ICT, kif ukoll għall-ġestjoni tar-riskju relatat mal-ICT minn partijiet terzi. Il-linja bażi tar-reżiljenza operazzjonali diġitali għall-entitajiet finanzjarji jenħtieġ li tiżdied filwaqt li tippermetti wkoll applikazzjoni proporzjonata tar-rekwiżiti għal ċerti entitajiet finanzjarji, b’mod partikolari l-mikrointrapriżi, kif ukoll l-entitajiet finanzjarji soġġetti għal qafas simplifikat tal-ġestjoni tar-riskju tal-ICT. Sabiex tiġi ffaċilitata superviżjoni effiċjenti tal-istituzzjonijiet għall-provvista ta’ rtirar okkupazzjonali li tkun proporzjonata u tindirizza l-ħtieġa li jitnaqqsu l-piżijiet amministrattivi fuq l-awtoritajiet kompetenti, l-arranġamenti superviżorji nazzjonali rilevanti fir-rigward ta’ tali entitajiet finanzjarji jenħtieġ li jqisu d-daqs u l-profil tar-riskju ġenerali tagħhom, u n-natura, l-iskala u l-kumplessità tas-servizzi, l-attivitajiet u l-operazzjonijiet tagħhom anke meta jinqabżu l-limiti rilevanti stabbiliti fl-Artikolu 5 tad-Direttiva (UE) 2016/2341 tal-Parlament Ewropew u tal-Kunsill (10). B’mod partikolari, l-attivitajiet superviżorji jenħtieġ li jiffokaw primarjament fuq il-ħtieġa li jiġu indirizzati riskji serji assoċjati mal-ġestjoni tar-riskju tal-ICT ta’ entità partikolari.

Jenħtieġ li l-awtoritajiet kompetenti jżommu wkoll approċċ viġilanti, iżda proporzjonat, fir-rigward tas-superviżjoni tal-istituzzjonijiet għall-provvista ta’ rtirar okkupazzjonali li, f’konformità mal-Artikolu 31 tad-Direttiva (UE) 2016/2341, jesternalizzaw parti sinifikanti tan-negozju ewlieni tagħhom, bħall-ġestjoni tal-assi, il-kalkoli attwarjali, il-kontabbiltà u l-ġestjoni tad-data, lill-fornituri tas-servizzi.

(22)

Il-limiti ta’ rappurtar tal-inċidenti relatati mal-ICT u t-tassonomiji jvarjaw b’mod sinifikanti fil-livell nazzjonali. Filwaqt li tista’ tinkiseb bażi komuni permezz tal-ħidma rilevanti mwettqa mill-Aġenzija tal-Unjoni Ewropea għaċ-Ċibersigurtà (ENISA) stabbilita bir-Regolament (UE) 2019/881 tal-Parlament Ewropew u tal-Kunsill (11) u l-Grupp ta’ Kooperazzjoni skont id-Direttiva (UE) 2022/2555, għadhom jeżistu jew jistgħu jitfaċċaw approċċi diverġenti dwar l-iffissar tal-limiti u l-użu tat-tassonomiji għall-bqija tal-entitajiet finanzjarji. Minħabba dawk id-diverġenzi, hemm bosta rekwiżiti li l-entitajiet finanzjarji jridu jikkonformaw magħhom, speċjalment meta joperaw f’diversi Stati Membri u meta jkunu jagħmlu parti minn grupp finanzjarju. Barra minn hekk, tali diverġenzi għandhom il-potenzjal li jxekklu l-ħolqien ta’ aktar mekkaniżmi uniformi jew ċentralizzati tal-Unjoni li jħaffu l-proċess ta’ rappurtar u jappoġġjaw skambju rapidu u bla xkiel ta’ informazzjoni bejn l-awtoritajiet kompetenti, li huwa kruċjali biex jiġi indirizzat ir-riskju tal-ICT f’każ ta’ attakki fuq skala kbira b’konsegwenzi potenzjalment sistemiċi.

(23)

Sabiex jitnaqqas il-piż amministrattiv u l-obbligi ta’ rappurtar potenzjalment duplikati għal ċerti entitajiet finanzjarji, ir-rekwiżit għar-rappurtar tal-inċidenti skont id-Direttiva (UE) 2015/2366 tal-Parlament Ewropew u tal-Kunsill (12) jenħtieġ li jieqaf japplika għall-fornituri ta’ servizzi ta’ pagament li jaqgħu fil-kamp ta’ applikazzjoni ta’ dan ir-Regolament. Konsegwentement, l-istituzzjonijiet ta’ kreditu, l-istituzzjonijiet tal-flus elettroniċi, l-istituzzjonijiet ta’ pagament u l-fornituri ta’ servizzi ta’ informazzjoni dwar il-kontijiet, kif imsemmija fl-Artikolu 33(1) ta’ dik id-Direttiva, mid-data tal-applikazzjoni ta’ dan ir-Regolament jenħtieġ li jirrappurtaw skont dan ir-Regolament, l-inċidenti kollha operazzjonali jew ta’ sigurtà relatati mal-pagamenti li jkunu ġew irrappurtati qabel skont dik id-Direttiva, irrispettivament minn jekk tali inċidenti jkunux relatati mal-ICT.

(24)

Sabiex l-awtoritajiet kompetenti jkunu jistgħu jaqdu r-rwoli superviżorji tagħhom billi jakkwistaw ħarsa ġenerali kompleta lejn in-natura, il-frekwenza, is-sinifikat u l-impatt tal-inċidenti relatati mal-ICT u jtejbu l-iskambju ta’ informazzjoni bejn l-awtoritajiet pubbliċi rilevanti, inkluż l-awtoritajiet tal-infurzar tal-liġi u l-awtoritajiet tar-riżoluzzjoni, dan ir-Regolament jenħtieġ li jistabbilixxi reġim tar-rappurtar sod ta’ inċidenti relatati mal-ICT li bih ir-rekwiżiti rilevanti jindirizzaw id-diskrepanzi attwali fil-liġi dwar is-servizzi finanzjarji, u jitneħħew is-sovrapożizzjonijiet u d-duplikazzjonijiet eżistenti biex jittaffew il-kostijiet. Huwa essenzjali li r-reġim tar-rappurtar tal-inċidenti relatati mal-ICT jiġi armonizzat billi l-entitajiet finanzjarji kollha jintalbu jirrappurtaw lill-awtoritajiet kompetenti tagħhom permezz ta’ qafas uniku simplifikat kif stipulat f’dan ir-Regolament. Barra minn hekk, jenħtieġ li l-ASE jkollhom is-setgħa li jispeċifikaw aktar elementi rilevanti għall-qafas tar-rappurtar għall-inċidenti relatati mal-ICT, bħat-tassonomija, l-iskedi taż-żmien, is-settijiet tad-data, il-formoli u l-limiti applikabbli. Sabiex tkun żgurata konsistenza sħiħa mad-Direttiva (UE) 2022/2555, jenħtieġ li l-entitajiet finanzjarji jitħallew, fuq bażi volontarja, jinnotifikaw theddidiet ċibernetiċi sinifikanti lill-awtorità kompetenti rilevanti, meta jqisu li t-theddida ċibernetika tkun ta’ rilevanza għas-sistema finanzjarja, għall-utenti tas-servizzi jew għall-klijenti.

(25)

Ir-rekwiżiti tal-ittestjar tar-reżiljenza operazzjonali diġitali ġew żviluppati f’ċerti subsetturi finanzjarji li jistipulaw oqfsa li mhux dejjem ikunu allinjati għalkollox. Dan iwassal għal duplikazzjoni potenzjali tal-kostijiet għall-entitajiet finanzjarji transfruntiera u jagħmel ir-rikonoxximent reċiproku tar-riżultati tal-ittestjar tar-reżiljenza operazzjonali diġitali kumpless li, min-naħa tiegħu, jista’ jifframmenta s-suq intern.

(26)

Barra minn hekk, fejn ma jkun meħtieġ l-ebda ttestjar tal-ICT, il-vulnerabbiltajiet jibqgħu mhux identifikati u jirriżultaw fl-esponiment ta’ entità finanzjarja għar-riskju tal-ICT u fl-aħħar mill-aħħar joħolqu riskju ogħla għall-istabbiltà u l-integrità tas-settur finanzjarju. Mingħajr l-intervent tal-Unjoni, l-ittestjar tar-reżiljenza operazzjonali diġitali jibqa’ jkun inkonsistenti u ma jkollux sistema ta’ rikonoxximent reċiproku tar-riżultati tal-ittestjar tal-ICT f’ġuriżdizzjonijiet differenti. Barra minn hekk, billi mhuwiex probabbli li subsetturi finanzjarji oħrajn jadottaw skemi tal-ittestjar fuq skala sinifikanti, dawn jitilfu l-benefiċċji potenzjali ta’ qafas tal-ittestjar, fir-rigward tal-iżvelar ta’ vulnerabbiltajiet u riskji tal-ICT, u l-ittestjar tal-kapaċitajiet ta’ difiża u l-kontinwità tal-operat, li jikkontribwixxi għal żieda fil-fiduċja tal-klijenti, tal-fornituri u tas-sħab fin-negozju. Sabiex jiġu rrimedjati dawk is-sovrapożizzjonijiet, diverġenzi u lakuni, huwa meħtieġ li jiġu stipulati regoli għal reġim ta’ ttestjar ikkoordinat u b’hekk jiġi ffaċilitat ir-rikonoxximent reċiproku tal-ittestjar avvanzat għal entitajiet finanzjarji li jissodisfaw il-kriterji stabbiliti f’dan ir-Regolament.

(27)

Id-dipendenza tal-entitajiet finanzjarji fuq l-użu ta’ servizzi tal-ICT hija parzjalment xprunata mill-ħtieġa tagħhom li jadattaw għal ekonomija globali diġitali kompetittiva emerġenti, li jagħtu spinta lill-effiċjenza tan-negozju tagħhom u li jissodisfaw id-domanda tal-konsumaturi. In-natura u l-firxa ta’ tali dipendenza kienu qed jevolvu kontinwament fis-snin reċenti, u dan wassal għal tnaqqis tal-kostijiet fl-intermedjazzjoni finanzjarja, li ppermetta l-espansjoni u l-iskalabbiltà tan-negozju fl-iskjerament ta’ attivitajiet finanzjarji, filwaqt li offra firxa wiesgħa ta’ għodod tal-ICT għall-ġestjoni ta’ proċessi interni kumplessi.

(28)

L-użu estensiv tas-servizzi tal-ICT huwa evidenzjat minn arranġamenti kuntrattwali kumplessi, fejn l-entitajiet finanzjarji ħafna drabi jiltaqgħu ma’ diffikultajiet biex jinnegozjaw it-termini kuntrattwali li huma mfassla għall-istandards prudenzjali jew għal rekwiżiti regolatorji oħrajn li huma soġġetti għalihom, jew inkella biex jinfurzaw drittijiet speċifiċi, bħal drittijiet ta’ aċċess jew awditjar, anki meta dawn tal-aħħar ikunu stabbiliti fl-arranġamenti kuntrattwali tagħhom. Minbarra dan, ħafna minn dawk l-arranġamenti kuntrattwali ma jipprevedux salvagwardji suffiċjenti li jippermettu l-monitoraġġ komprensiv tal-proċessi ta’ sottokuntrattar, u b’hekk iċaħħdu lill-entità finanzjarja mill-kapaċità tagħha li tivvaluta r-riskji assoċjati. Barra minn hekk, billi l-fornituri terzi ta’ servizzi tal-ICT spiss jipprovdu servizzi standardizzati lil tipi differenti ta’ klijenti, tali arranġamenti kuntrattwali mhux dejjem jissodisfaw b’mod adegwat il-ħtiġijiet individwali jew speċifiċi tal-atturi tal-industrija finanzjarja.

(29)

Għalkemm il-liġi tal-Unjoni dwar is-servizzi finanzjarji fiha ċerti regoli ġenerali dwar l-esternalizzazzjoni, il-monitoraġġ tad-dimensjoni kuntrattwali mhuwiex kompletament ankrat fil-liġi tal-Unjoni. Fin-nuqqas ta’ standards ċari tal-Unjoni u mfassla apposta li japplikaw għall-arranġamenti kuntrattwali konklużi ma’ fornituri terzi ta’ servizzi tal-ICT, is-sors estern tar-riskju tal-ICT mhuwiex indirizzat b’mod komprensiv. Konsegwentement, jeħtieġ li jiġu stipulati ċerti prinċipji ewlenin biex jiggwidaw il-ġestjoni mill-entitajiet finanzjarji tar-riskju relatat mal-ICT minn partijiet terzi, li huma ta’ importanza partikolari meta l-entitajiet finanzjarji jirrikorru għal fornituri terzi ta’ servizzi tal-ICT biex jappoġġjaw il-funzjonijiet kritiċi jew importanti tagħhom. Jenħtieġ li dawk il-prinċipji jkunu akkumpanjati minn sett ta’ drittijiet kuntrattwali ewlenin fir-rigward ta’ diversi elementi fil-prestazzjoni u t-terminazzjoni tal-arranġamenti kuntrattwali bil-ħsieb li jiġu pprovduti ċerti salvagwardji minimi sabiex isaħħu l-kapaċità tal-entitajiet finanzjarji li jimmonitorjaw b’mod effettiv ir-riskju kollu tal-ICT li jirriżulta fil-livell ta’ fornituri terzi ta’ servizzi. Dawk il-prinċipji huma komplimentari għal-liġi settorjali applikabbli għall-esternalizzazzjoni.

(30)

Ċertu nuqqas ta’ omoġeneità u konverġenza fir-rigward tal-monitoraġġ tar-riskju relatat mal-ICT minn partijiet terzi u d-dipendenzi fuq fornituri terzi ta’ servizzi tal-ICT huwa evidenti llum. Minkejja l-sforzi biex tiġi indirizzata l-esternalizzazzjoni, bħal-Linji gwida tal-EBA dwar l-esternalizzazzjoni tal-2019 u l-Linji gwida tal-ESMA dwar l-esternalizzazzjoni lill-fornituri tas-servizzi ta’ cloud tal-2021 il-kwistjoni usa’ tal-ġlieda kontra r-riskju sistemiku li jista’ jiġi skattat mill-iskopertura tas-settur finanzjarju għal għadd limitat ta’ fornituri terzi kritiċi ta’ servizzi tal-ICT mhijiex indirizzata biżżejjed mil-liġi tal-Unjoni. In-nuqqas ta’ regoli fil-livell tal-Unjoni huwa aggravat min-nuqqas ta’ regoli nazzjonali dwar mandati u għodod li jippermettu lis-superviżuri finanzjarji jiksbu fehim tajjeb tad-dipendenzi fuq fornituri terzi ta’ servizzi tal-ICT u jimmonitorjaw b’mod adegwat ir-riskji li jirriżultaw mill-konċentrazzjoni ta’ dipendenzi fuq fornituri terzi ta’ servizzi tal-ICT.

(31)

Meta jitqies ir-riskju sistemiku potenzjali li jirriżulta minn żieda fil-prassi ta’ esternalizzazzjoni u mill-konċentrazzjoni ta’ partijiet terzi tal-ICT, u minħabba l-insuffiċjenza tal-mekkaniżmi nazzjonali biex jipprovdu lis-superviżuri finanzjarji b’għodod adegwati biex jikkwantifikaw, jikkwalifikaw u jirrimedjaw il-konsegwenzi tar-riskju tal-ICT li jeżistu fil-fornituri terzi kritiċi ta’ servizzi tal-ICT, huwa meħtieġ li jiġi stabbilit Qafas ta’ Sorveljanza xieraq li jippermetti monitoraġġ kontinwu tal-attivitajiet tal-fornituri terzi ta’ servizzi tal-ICT li huma fornituri terzi kritiċi ta’ servizzi tal-ICT għal entitajiet finanzjarji, filwaqt li jiġi żgurat li jinżammu l-kunfidenzjalità u s-sigurtà tal-klijenti li mhumiex entitajiet finanzjarji. Filwaqt li l-forniment intragrupp ta’ servizzi tal-ICT jinvolvi riskji u benefiċċji speċifiċi, jenħtieġ li dan ma jitqiesx awtomatikament bħala inqas riskjuż mill-forniment ta’ servizzi tal-ICT minn fornituri barra minn grupp finanzjarju, u għalhekk jenħtieġ li jkun soġġett għall-istess qafas regolatorju. Madankollu, meta s-servizzi tal-ICT jiġu pprovduti mill-istess grupp finanzjarju, l-entitajiet finanzjarji jista’ jkollhom livell ogħla ta’ kontroll fuq il-fornituri intragrupp, li għandu jitqies fil-valutazzjoni tar-riskju ġenerali.

(32)

Bir-riskju tal-ICT li qed isir dejjem aktar kumpless u sofistikat, miżuri tajbin għall-individwazzjoni u l-prevenzjoni tar-riskju tal-ICT jiddependu ħafna fuq il-kondiviżjoni regolari bejn l-entitajiet finanzjarji ta’ intelligence dwar it-theddid u l-vulnerabbiltà. Il-kondiviżjoni tal-informazzjoni tikkontribwixxi għat-tiswir ta’ aktar sensibilizzazzjoni dwar it-theddid ċibernetiku. Min-naħa tiegħu, dan isaħħaħ il-kapaċità tal-entitajiet finanzjarji biex jipprevjenu t-theddidiet ċibernetiċi milli jsiru inċidenti reali relatati mal-ICT u jippermetti lill-entitajiet finanzjarji jrażżnu b’mod aktar effettiv l-impatt tal-inċidenti relatati mal-ICT u jirkupraw aktar malajr. Fin-nuqqas ta’ gwida fil-livell tal-Unjoni, jidher li diversi fatturi impedew tali kondiviżjoni tal-intelligence, b’mod partikolari l-inċertezza dwar il-kompatibbiltà tagħha mar-regoli dwar il-protezzjoni tad-data, l-antitrust u r-responsabbiltà.

(33)

Barra minn hekk, id-dubji dwar it-tip ta’ informazzjoni li tista’ tiġi kondiviża ma’ parteċipanti oħrajn fis-suq, jew ma’ awtoritajiet mhux superviżorji (bħall-ENISA, għal input analitiku, jew il-Europol, għall-finijiet ta’ infurzar tal-liġi) jwasslu biex ma tiġix kondiviża informazzjoni utli. Għalhekk, il-firxa u l-kwalità tal-kondiviżjoni tal-informazzjoni attwalment jibqgħu limitati u frammentati, fejn l-iskambji rilevanti jsiru l-aktar lokalment (permezz ta’ inizjattivi nazzjonali) u mingħajr arranġamenti konsistenti għall-kondiviżjoni ta’ informazzjoni mal-Unjoni kollha mfassla għall-ħtiġijiet ta’ sistema finanzjarju integrata. Għalhekk huwa importanti li jissaħħu dawk il-kanali ta’ komunikazzjoni.

(34)

Jenħtieġ li l-entitajiet finanzjarji jiġu mħeġġa jiskambjaw bejniethom informazzjoni u intelligence dwar it-theddid ċibernetiku, u jużaw b’mod kollettiv l-għarfien u l-esperjenza prattika individwali tagħhom fil-livell strateġiku, tattiku u operazzjonali bl-għan li jtejbu l-kapaċitajiet tagħhom li jivvalutaw, jimmonitorjaw, jiddefendu kontra, u jirrispondu b’mod adegwat għat-theddid ċibernetiku, billi jipparteċipaw f’arranġamenti għall-kondiviżjoni tal-informazzjoni. Għalhekk, huwa meħtieġ li tkun possibbli l-ħolqien fil-livell tal-Unjoni ta’ mekkaniżmi għal arranġamenti volontarji għall-kondiviżjoni tal-informazzjoni li, meta jitwettqu f’ambjenti ta’ fiduċja, jgħinu lill-komunità tal-industrija finanzjarja tipprevjeni u tirrispondi b’mod kollettiv għat-theddid ċibernetiku billi tillimita malajr it-tixrid tar-riskju tal-ICT u timpedixxi l-kontaġju potenzjali fil-mezzi finanzjarji kollha. Dawk il-mekkaniżmi jenħtieġ li jikkonformaw mar-regoli applikabbli tal-liġi tal-kompetizzjoni tal-Unjoni stabbiliti fil-Komunikazzjoni mill-Kummissjoni tal-14 ta’ Jannar 2011 intitolata “Linji Gwida dwar l-applikabbiltà tal-Artikolu 101 tat-Trattat dwar il-Funzjonament tal-Unjoni Ewropea għall-akkordji dwar kooperazzjoni orizzontali”, kif ukoll mar-regoli tal-Unjoni dwar il-protezzjoni tad-data, b’mod partikolari r-Regolament (UE) 2016/679 tal-Parlament Ewropew u tal-Kunsill (13). Huma jenħtieġ li joperaw abbażi tal-użu ta’ bażi legali waħda jew aktar li huma stabbiliti fl-Artikolu 6 ta’ dak ir-Regolament, bħal fil-kuntest tal-ipproċessar ta’ data personali li huwa meħtieġ għall-finijiet tal-interess leġittimu segwit mill-kontrollur jew minn parti terza, kif imsemmi fl-Artikolu 6(1), il-punt (f), ta’ dak ir-Regolament, kif ukoll fil-kuntest tal-ipproċessar ta’ data personali meħtieġ għall-konformità ma’ obbligu legali li għalih huwa soġġett il-kontrollur, meħtieġ għat-twettiq ta’ kompitu mwettaq fl-interess pubbliku jew fl-eżerċizzju ta’ awtorità uffiċjali vestita fil-kontrollur, kif imsemmi fl-Artikolu 6(1), il-punti (c) u (e), rispettivament, ta’ dak ir-Regolament.

(35)

Sabiex jinżamm livell għoli ta’ reżiljenza operazzjonali diġitali għas-settur finanzjarju kollu, u fl-istess ħin biex jinżamm il-pass mal-iżviluppi teknoloġiċi, dan ir-Regolament jenħtieġ li jindirizza r-riskju li jirriżulta mit-tipi kollha ta’ servizzi tal-ICT. Għal dak il-għan, id-definizzjoni ta’ servizzi tal-ICT fil-kuntest ta’ dan ir-Regolament jenħtieġ li tinftiehem b’mod wiesa’, li tinkludi servizzi diġitali u tad-data pprovduti permezz ta’ sistemi tal-ICT lil utent intern jew estern wieħed jew aktar fuq bażi kontinwa. Jenħtieġ li dik id-definizzjoni, pereżempju, tinkludi l-hekk imsejħa servizzi “over the top”, li jaqgħu fil-kategorija ta’ servizzi ta’ komunikazzjonijiet elettroniċi. Jenħtieġ li teskludi biss il-kategorija limitata ta’ servizzi tat-telefonija analoga tradizzjonali li jikkwalifikaw bħala servizzi ta’ Network Telefoniku Pubbliku Kommutat (PSTN), servizzi ta’ linja fissa, Servizz Telefoniku Tradizzjonali (POTS), jew servizzi tat-telefown b’linja fissa.

(36)

Minkejja l-kopertura wiesgħa prevista minn dan ir-Regolament, l-applikazzjoni tar-regoli dwar ir-reżiljenza operazzjonali diġitali jenħtieġ li tqis id-differenzi sinifikanti bejn l-entitajiet finanzjarji f’termini tad-daqs u l-profil tar-riskju ġenerali tagħhom. Bħala prinċipju ġenerali, meta jiddistribwixxu r-riżorsi u l-kapaċitajiet għall-implimentazzjoni tal-qafas tal-ġestjoni tar-riskju tal-ICT, jenħtieġ li l-entitajiet finanzjarji jibbilanċjaw kif xieraq il-ħtiġijiet tagħhom relatati mal-ICT mad-daqs u l-profil tar-riskju ġenerali tagħhom, u n-natura, l-iskala u l-kumplessità tas-servizzi, l-attivitajiet u l-operazzjonijiet tagħhom, filwaqt li l-awtoritajiet kompetenti jenħtieġ li jkomplu jivvalutaw u jirrieżaminaw l-approċċ ta’ din id-distribuzzjoni.

(37)

Il-fornituri ta’ servizzi ta’ informazzjoni dwar il-kontijiet, imsemmija fl-Artikolu 33(1) tad-Direttiva (UE) 2015/2366, huma espliċitament inklużi fil-kamp ta’ applikazzjoni ta’ dan ir-Regolament, filwaqt li titqies in-natura speċifika tal-attivitajiet tagħhom u r-riskji li jirriżultaw minnhom. Barra minn hekk, l-istituzzjonijiet tal-flus elettroniċi u l-istituzzjonijiet ta’ pagament eżentati skont l-Artikolu 9(1) tad-Direttiva 2009/110/KE (14) tal-Parlament Ewropew u tal-Kunsill u l-Artikolu 32(1) tad-Direttiva (UE) 2015/2366 huma inklużi fil-kamp ta’ applikazzjoni ta’ dan ir-Regolament anki jekk ma jkunux ingħataw awtorizzazzjoni f’konformità mad-Direttiva 2009/110/KE biex joħorġu flus elettroniċi, jew jekk ma jkunux ingħataw awtorizzazzjoni skont id-Direttiva (UE) 2015/2366 biex jipprovdu u jeżegwixxu servizzi ta’ pagament. Madankollu, l-istituzzjonijiet ta’ kontijiet postali fil-forma giro, imsemmija fl-Artikolu 2(5), il-punt (3), tad-Direttiva 2013/36/UE tal-Parlament Ewropew u tal-Kunsill (15), huma esklużi mill-kamp ta’ applikazzjoni ta’ dan ir-Regolament. L-awtorità kompetenti għall-istituzzjonijiet ta’ pagament eżentati skont id-Direttiva (UE) 2015/2366, l-istituzzjonijiet tal-flus elettroniċi eżentati skont id-Direttiva 2009/110/KE, u l-fornituri ta’ servizzi ta’ informazzjoni dwar il-kontijiet kif imsemmija fl-Artikolu 33(1) tad-Direttiva (UE) 2015/2366, jenħtieġ li tkun l-awtorità kompetenti maħtura f’konformità mal-Artikolu 22 tad-Direttiva (UE) 2015/2366.

(38)

Billi entitajiet finanzjarji akbar jistgħu jgawdu minn riżorsi usa’ u jistgħu jużaw fondi b’ħeffa biex jiżviluppaw strutturi ta’ governanza u jistabbilixxu diversi strateġiji korporattivi, huma biss l-entitajiet finanzjarji li mhumiex mikrointrapriżi fis-sens ta’ dan ir-Regolament li jenħtieġ li jkunu meħtieġa jistabbilixxu arranġamenti ta’ governanza aktar kumplessi. Entitajiet bħal dawn huma mgħammra aħjar, b’mod partikolari biex jistabbilixxu funzjonijiet ta’ ġestjoni ddedikati għat-twettiq ta’ superviżjoni tal-arranġamenti ma’ fornituri terzi ta’ servizzi tal-ICT jew biex jittrattaw l-immaniġġjar tal-kriżijiet, biex jorganizzaw il-ġestjoni tar-riskju tal-ICT tagħhom skont it-tliet linji tal-mudell ta’ difiża, jew biex jistabbilixxu mudell intern ta’ kontroll u tal-ġestjoni tar-riskju, u biex jissottomettu l-qafas tal-ġestjoni tar-riskju tal-ICT tagħhom għal awditi interni.

(39)

Xi entitajiet finanzjarji jibbenefikaw minn eżenzjonijiet jew huma soġġetti għal qafas regolatorju ħafif ħafna skont il-liġi rilevanti tal-Unjoni speċifika għas-settur. Tali entitajiet finanzjarji jinkludu maniġers ta’ fondi ta’ investiment alternattivi msemmija fl-Artikolu 3(2) tad-Direttiva 2011/61/UE tal-Parlament Ewropew u tal-Kunsill (16), impriżi tal-assigurazzjoni u tar-riassigurazzjoni msemmija fl-Artikolu 4 tad-Direttiva 2009/138/KE tal-Parlament Ewropew u tal-Kunsill (17), u istituzzjonijiet għall-provvista ta’ rtirar okkupazzjonali li joperaw skemi ta’ pensjoni li b’kollox ma jkollhomx aktar minn 15-il membru b’kollox. Fid-dawl ta’ dawk l-eżenzjonijiet ma jkunx proporzjonat li tali entitajiet finanzjarji jiġu inklużi fil-kamp ta’ applikazzjoni ta’ dan ir-Regolament. Barra minn hekk, dan ir-Regolament jirrikonoxxi l-ispeċifiċitajiet tal-istruttura tas-suq tal-intermedjazzjoni tal-assigurazzjoni, bir-riżultat li l-intermedjarji tal-assigurazzjoni, l-intermedjarji tar-riassigurazzjoni u l-intermedjarji tal-assigurazzjoni anċillari li jikkwalifikaw bħala intrapriżi mikro, jew bħala intrapriżi żgħar jew ta’ daqs medju jenħtieġ li ma jkunux soġġetti għal dan ir-Regolament.

(40)

Peress li l-entitajiet imsemmija fl-Artikolu 2(5), il-punti (4) sa (23), tad-Direttiva 2013/36/UE huma esklużi mill-kamp ta’ applikazzjoni ta’ dik id-Direttiva, jenħtieġ li l-Istati Membri konsegwentement ikunu jistgħu jagħżlu li jeżentaw mill-applikazzjoni ta’ dan ir-Regolament tali entitajiet li jinsabu fit-territorji rispettivi tagħhom.

(41)

Bl-istess mod, sabiex dan ir-Regolament jiġi allinjat mal-kamp ta’ applikazzjoni tad-Direttiva 2014/65/UE tal-Parlament Ewropew u tal-Kunsill (18), huwa wkoll xieraq li jiġu esklużi mill-kamp ta’ applikazzjoni ta’ dan ir-Regolament il-persuni fiżiċi u ġuridiċi msemmija fl-Artikoli 2 u 3 ta’ dik id-Direttiva li jitħallew jipprovdu servizzi ta’ investiment mingħajr ma jkollhom għalfejn jiksbu awtorizzazzjoni skont id-Direttiva 2014/65/UE. Madankollu, l-Artikolu 2 tad-Direttiva 2014/65/UE jeskludi wkoll mill-kamp ta’ applikazzjoni ta’ dik id-Direttiva entitajiet li jikkwalifikaw bħala entitajiet finanzjarji għall-finijiet ta’ dan ir-Regolament bħal, depożitorji ċentrali tat-titoli, impriżi ta’ investiment kollettiv jew impriżi tal-assigurazzjoni u tar-riassigurazzjoni. Jenħtieġ li l- esklużjoni mill-kamp ta’ applikazzjoni ta’ dan ir-Regolament tal-persuni u l-entitajiet imsemmija fl-Artikoli 2 u 3 ta’ dik id-Direttiva ma tinkludix dawk id-depożitorji ċentrali tat-titoli, l-impriżi ta’ investiment kollettiv jew l-impriżi tal-assigurazzjoni u tar-riassigurazzjoni.

(42)

Skont il-liġi tal-Unjoni speċifika għas-settur, xi entitajiet finanzjarji huma soġġetti għal rekwiżiti jew eżenzjonijiet eħfef għal raġunijiet assoċjati mad-daqs tagħhom jew mas-servizzi li jipprovdu. Dik il-kategorija ta’ entitajiet finanzjarji tinkludi ditti tal-investiment żgħar u mhux interkonnessi, istituzzjonijiet żgħar għall-provvista ta’ rtirar okkupazzjonali li jistgħu jiġu esklużi mill-kamp ta’ applikazzjoni tad-Direttiva (UE) 2016/2341 skont il-kondizzjonijiet stabbiliti fl-Artikolu 5 ta’ dik id-Direttiva mill-Istat Membru kkonċernat u joperaw skemi ta’ pensjoni li b’kollox ma għandhomx total ta’ aktar minn 100 membru, kif ukoll istituzzjonijiet eżentati skont id-Direttiva 2013/36/UE. Għalhekk, f’konformità mal-prinċipju tal-proporzjonalità u biex jiġi ppreservat l-ispirtu tal-liġi tal-Unjoni speċifika għas-settur, huwa xieraq ukoll li dawk l-entitajiet finanzjarji jiġu soġġetti għal qafas simplifikat tal-ġestjoni tar-riskju tal-ICT skont dan ir-Regolament. Il-karattru proporzjonat tal-qafas tal-ġestjoni tar-riskju tal-ICT li jkopri dawk l-entitajiet finanzjarji jenħtieġ li ma jinbidilx mill-istandards tekniċi regolatorji li għandhom jiġu żviluppati mill-ASE. Barra minn hekk, f’konformità mal-prinċipju tal-proporzjonalità, huwa xieraq li l-istituzzjonijiet ta’ pagament imsemmija fl-Artikolu 32(1) tad-Direttiva (UE) 2015/2366 u l-istituzzjonijiet tal-flus elettroniċi msemmija fl-Artikolu 9 tad-Direttiva 2009/110/KE eżentati f’konformità mal-liġi nazzjonali li tittrasponi dawk l-atti legali tal-Unjoni jiġu soġġetti għal qafas simplifikat tal-ġestjoni tar-riskju tal-ICT skont dan ir-Regolament, filwaqt li l-istituzzjonijiet ta’ pagament u l-istituzzjonijiet tal-flus elettroniċi li ma ġewx eżentati f’konformità mal-liġi nazzjonali rispettiva tagħhom li tittrasponi l-liġi settorjali tal-Unjoni jenħtieġ li jikkonformaw mal-qafas ġenerali stabbilit minn dan ir-Regolament.

(43)

Bl-istess mod, l-entitajiet finanzjarji li jikkwalifikaw bħala mikrointrapriżi jew li huma soġġetti għall-qafas simplifikat tal-ġestjoni tar-riskju tal-ICT skont dan ir-Regolament, jenħtieġ li ma jkunux meħtieġa li jistabbilixxu rwol ta’ monitoraġġ tal-arranġamenti tagħhom konklużi ma’ fornituri terzi ta’ servizzi tal-ICT dwar l-użu tas-servizzi tal-ICT; jew li jaħtru membru tal-maniġment superjuri biex ikun responsabbli għas-sorveljanza tal-esponiment għar-riskju relatat u d-dokumentazzjoni rilevanti; li jassenjaw ir-responsabbiltà għall-ġestjoni u s-sorveljanza tar-riskju tal-ICT għal funzjoni ta’ kontroll u jiżguraw livell xieraq ta’ indipendenza ta’ tali funzjoni ta’ kontroll sabiex jiġu evitati kunflitti ta’ interess; li jiddokumentaw u jirrieżaminaw mill-inqas darba fis-sena l-qafas tal-ġestjoni tar-riskju tal-ICT; li jissoġġettaw għall-awditu intern fuq bażi regolari l-qafas tal-ġestjoni tar-riskju tal-ICT; li jwettqu valutazzjonijiet fil-fond wara bidliet kbar fl-infrastrutturi u l-proċessi tan-netwerks u tas-sistemi tal-informazzjoni tagħhom; li jwettqu analiżijiet tar-riskju b’mod regolari fuq sistemi tal-ICT li jkunu diġà ntirtu; li jissoġġettaw l-implimentazzjoni tal-Pjanijiet ta’ Rispons u Rkupru għall-ICT għal reviżjonijiet tal-awditu intern indipendenti; li jkollhom funzjoni ta’ ġestjoni tal-kriżijiet, li jespandu l-ittestjar tal-kontinwità tan-negozju u tal-pjanijiet ta’ rispons u rkupru biex jaqbdu xenarji ta’ kommutazzjoni bejn l-infrastruttura primarja tal-ICT u l-faċilitajiet żejda; li jirrappurtaw lill-awtoritajiet kompetenti, fuq talba tagħhom, stima tal-kostijiet u t-telf annwali aggregati kkawżati minn inċidenti kbar relatati mal-ICT, li jinżammu l-kapaċitajiet żejda tal-ICT; li jikkomunikaw lill-awtoritajiet kompetenti nazzjonali l-bidliet implimentati wara r-rieżamijiet tal-inċidenti relatati mal-ICT; li jimmonitorjaw fuq bażi kontinwa l-iżviluppi teknoloġiċi rilevanti, li jistabbilixxu programm komprensiv tal-ittestjar tar-reżiljenza operazzjonali diġitali bħala parti integrali mill-qafas tal-ġestjoni tar-riskju tal-ICT previst f’dan ir-Regolament, jew li jadottaw u jirrieżaminaw regolarment strateġija dwar ir-riskju relatat mal-ICT minn partijiet terzi. Barra minn hekk, jenħtieġ li l-mikrointrapriżi jintalbu jivvalutaw il-ħtieġa li jżommu tali kapaċitajiet żejda tal-ICT abbażi tal-profil tar-riskju tagħhom biss. Jenħtieġ li l-mikrointrapriżi jibbenefikaw minn reġim aktar flessibbli fir-rigward tal-programmi tal-ittestjar tar-reżiljenza operazzjonali diġitali. Meta jitqiesu t-tip u l-frekwenza tal-ittestjar li għandu jitwettaq, jenħtieġ li dawn jibbilanċjaw b’mod xieraq l-objettiv li tinżamm reżiljenza operazzjonali diġitali għolja mar-riżorsi disponibbli u l-profil tar-riskju ġenerali tagħhom. Jenħtieġ li l-mikrointrapriżi u l-entitajiet finanzjarji soġġetti għall-qafas simplifikat tal-ġestjoni tar-riskju tal-ICT skont dan ir-Regolament jiġu eżentati mir-rekwiżit li jwettqu ttestjar avvanzat ta’ għodod, sistemi u proċessi tal-ICT ibbażati fuq l-ittestjar tal-penetrazzjoni bbażat fuq it-theddid (TLPT), peress li huma biss entitajiet finanzjarji li jissodisfaw il-kriterji stabbiliti f’dan ir-Regolament li jenħtieġ li jkunu meħtieġa jwettqu tali ttestjar. Fid-dawl tal-kapaċitajiet limitati tagħhom, jenħtieġ li l-mikrointrapriżi jkunu jistgħu jaqblu mal-fornitur terz ta’ servizzi tal-ICT li jiddelegaw id-drittijiet ta’ aċċess, spezzjoni u awditu tal-entità finanzjarja lil parti terza indipendenti, li għandha tinħatar mill-fornitur terz ta’ servizzi tal-ICT, dment li l-entità finanzjarja tkun tista’ titlob, fi kwalunkwe ħin, l-informazzjoni u l-assigurazzjoni rilevanti kollha dwar il-prestazzjoni tal-fornitur terz ta’ servizzi tal-ICT mill-parti terza indipendenti rispettiva.

(44)

Billi huma biss dawk l-entitajiet finanzjarji identifikati għall-finijiet tal-ittestjar avvanzat tar-reżiljenza diġitali li jenħtieġ li jkunu meħtieġa jwettqu testijiet tal-penetrazzjoni mmexxija mit-theddid, il-proċessi amministrattivi u l-kostijiet finanzjarji li jinvolvi t-twettiq ta’ tali testijiet jenħtieġ li jiġġarrbu minn persentaġġ żgħir ta’ entitajiet finanzjarji.

(45)

Sabiex jiġu żgurati allinjament sħiħ u konsistenza ġenerali bejn l-istrateġiji tan-negozju tal-entitajiet finanzjarji, minn naħa waħda, u t-twettiq tal-ġestjoni tar-riskju tal-ICT, min-naħa l-oħra, il-korpi maniġerjali tal-entitajiet finanzjarji jenħtieġ li jkunu meħtieġa jżommu rwol kruċjali u attiv fit-tmexxija u l-adattament tal-qafas tal-ġestjoni tar-riskju tal-ICT u l-istrateġija ġenerali tar-reżiljenza operazzjonali diġitali. L-approċċ li jrid jittieħed mill-korpi maniġerjali ma għandux jiffoka biss fuq il-mezzi biex tiġi żgurata r-reżiljenza tas-sistemi tal-ICT, iżda jenħtieġ li jkopri wkoll in-nies u l-proċessi permezz ta’ sett ta’ politiki li jikkultivaw, f’kull livell korporattiv, u għall-membri tal-persunal kollha, sens qawwi ta’ sensibilizzazzjoni dwar ir-riskji ċibernetiċi u impenn li tiġi osservata iġjene ċibernetika stretta fil-livelli kollha. Ir-responsabbiltà aħħarija tal-korp maniġerjali fil-ġestjoni tar-riskju tal-ICT ta’ entità finanzjarja għandha tkun prinċipju ġenerali ta’ dak l-approċċ komprensiv, li jkompli jissarraf fl-involviment kontinwu tal-korp maniġerjali fil-kontroll tal-monitoraġġ tal-ġestjoni tar-riskju tal-ICT.

(46)

Barra minn hekk, il-prinċipju tar-responsabbiltà sħiħa u aħħarija tal-korp maniġerjali għall-ġestjoni tar-riskju tal-ICT tal-entità finanzjarja jmur id f’id mal-ħtieġa li jiġi żgurat livell ta’ investimenti relatati mal-ICT u baġit ġenerali għall-entità finanzjarja li jippermettu lill-entità finanzjarja tikseb livell għoli ta’ reżiljenza operazzjonali diġitali.

(47)

Ispirat mill-aħjar prattiki, linji gwida, rakkomandazzjonijiet u approċċi rilevanti nazzjonali, internazzjonali u stabbiliti mill-industrija għall-ġestjoni tar-riskju ċibernetiku, dan ir-Regolament jippromwovi sett ta’ prinċipji li jiffaċilitaw l-istruttura kumplessiva tal-ġestjoni tar-riskju tal-ICT. Konsegwentement, sakemm il-kapaċitajiet ewlenin li jistabbilixxu l-entitajiet finanzjarji jindirizzaw id-diversi funzjonijiet fil-ġestjoni tar-riskju tal-ICT (l-identifikazzjoni, il-protezzjoni u l-prevenzjoni, l-individwazzjoni, ir-rispons u l-irkupru, it-tagħlim u l-evoluzzjoni u l-komunikazzjoni) stabbiliti f’dan ir-Regolament, jenħtieġ li l-entitajiet finanzjarji jibqgħu liberi li jużaw mudelli ta’ ġestjoni tar-riskju tal-ICT li huma inkwadrati jew kategorizzati b’mod differenti.

(48)

Sabiex iżommu l-pass ma’ xenarju tat-theddid ċibernetiku li qed jevolvi, jenħtieġ li l-entitajiet finanzjarji jżommu sistemi tal-ICT aġġornati li jkunu affidabbli u kapaċi mhux biss li jiggarantixxu l-ipproċessar tad-data meħtieġa għas-servizzi tagħhom, iżda wkoll li jiżguraw reżiljenza teknoloġika suffiċjenti biex ikunu jistgħu jittrattaw b’mod adegwat il-ħtiġijiet ta’ pproċessar addizzjonali minħabba kundizzjonijiet tas-suq taħt stress jew sitwazzjonijiet avversi oħra.

(49)

Huma meħtieġa pjanijiet effiċjenti ta’ kontinwità tal-operat u ta’ rkupru biex jippermettu lill-entitajiet finanzjarji jsolvu minnufih u malajr inċidenti relatati mal-ICT, b’mod partikolari attakki ċibernetiċi, billi jillimitaw id-dannu u jagħtu prijorità lit-tkomplija tal-attivitajiet u tal-azzjonijiet ta’ rkupru f’konformità mal-politiki ta’ riżerva tagħhom. Madankollu, jenħtieġ li tali tkomplija bl-ebda mod ma tipperikola l-integrità u s-sigurtà tan-netwerks u tas-sistemi tal-informazzjoni jew id-disponibbiltà, l-awtentiċità, l-integrità jew il-kunfidenzjalità tad-data.

(50)

Filwaqt li dan ir-Regolament jippermetti lill-entitajiet finanzjarji jiddeterminaw il-ħin ta’ rkupru u l-objettivi tal-punt ta’ rkupru tagħhom b’mod flessibbli u b’hekk jistabbilixxu tali objettivi billi jqisu bis-sħiħ in-natura u l-kritikalità tal-funzjonijiet rilevanti u kwalunkwe ħtieġa kummerċjali speċifika, jenħtieġ li r-Regolament madankollu jeżiġi li huma jwettqu valutazzjoni tal-impatt ġenerali potenzjali fuq l-effiċjenza tas-suq meta jiġu ddeterminati tali objettivi.

(51)

Il-propagaturi ta’ attakki ċibernetiċi għandhom it-tendenza li jsegwu gwadanji finanzjarji direttament fis-sors, u b’hekk jesponu lill-entitajiet finanzjarji għal konsegwenzi sinifikanti. Sabiex jiġi evitat li s-sistemi tal-ICT jitilfu l-integrità jew ma jibqgħux disponibbli, u b’hekk jiġi evitat ksur tad-data u ħsara lill-infrastruttura fiżika tal-ICT, ir-rappurtar ta’ inċidenti kbar relatati mal-ICT minn entitajiet finanzjarji jenħtieġ li jittejjeb u jiġi ssimplifikat b’mod sinifikanti. Jenħtieġ li r-rappurtar tal-inċidenti relatati mal-ICT jiġi armonizzat permezz tal-introduzzjoni ta’ rekwiżit għall-entitajiet finanzjarji kollha biex jirrappurtaw direttament lill-awtoritajiet kompetenti rilevanti tagħhom. Meta entità finanzjarja tkun soġġetta għal superviżjoni minn aktar minn awtorità kompetenti nazzjonali waħda, jenħtieġ li l-Istati Membri jaħtru awtorità kompetenti waħda bħala d-destinatarju ta’ tali rappurtar. L-istituzzjonijiet ta’ kreditu kklassifikati bħala sinifikanti skont l-Artikolu 6(4) tar-Regolament tal-Kunsill (UE) Nru 1024/2013 (19) jenħtieġ li jissottomettu tali rappurtar lill-awtoritajiet kompetenti nazzjonali, li jenħtieġ li sussegwentement jittrażmettu r-rapport lill-Bank Ċentrali Ewropew (BĊE).

(52)

Jenħtieġ li r-rappurtar dirett jippermetti lis-superviżuri finanzjarji jkollhom aċċess immedjat għall-informazzjoni dwar inċidenti kbar relatati mal-ICT. Min-naħa tagħhom, is-superviżuri finanzjarji jenħtieġ li jgħaddu d-dettalji ta’ inċidenti kbar relatati mal-ICT lill-awtoritajiet pubbliċi mhux finanzjarji (bħall-awtoritajiet kompetenti u punti uniċi ta’ kuntatt maħtura skont id-Direttiva (UE) 2022/2555, l-awtoritajiet nazzjonali tal-protezzjoni tad-data, u lill-awtoritajiet tal-infurzar tal-liġi għal inċidenti kbar relatati mal-ICT ta’ natura kriminali sabiex tissaħħaħ is-sensibilizzazzjoni ta’ tali awtoritajiet dwar inċidenti bħal dawn u, fil-każ tas-CSIRTs, biex tiġi ffaċilitata l-assistenza fil-pront li tista’ tingħata lill-entitajiet finanzjarji, kif xieraq. Barra minn hekk, l-Istati Membri jenħtieġ li jkunu jistgħu jiddeterminaw li l-entitajiet finanzjarji nfushom jipprovdu tali informazzjoni lill-awtoritajiet pubbliċi barra mill-qasam tas-servizzi finanzjarji. Dawk il-flussi ta’ informazzjoni jenħtieġ li jippermettu lill-entitajiet finanzjarji jibbenefikaw malajr minn kwalunkwe input tekniku rilevanti, parir dwar rimedji, u segwitu sussegwenti minn tali awtoritajiet. L-informazzjoni dwar inċidenti kbar relatati mal-ICT jenħtieġ li tingħata b’mod reċiproku: jenħtieġ li s-superviżuri finanzjarji jipprovdu l-feedback jew il-gwida kollha meħtieġa lill-entità finanzjarja, filwaqt li jenħtieġ li l-ASE jikkondividu data anonimizzata dwar it-theddid ċibernetiku u l-vulnerabbiltajiet relatati ma’ inċident, ħalli tingħata għajnuna lid-difiża kollettiva usa’.

(53)

Filwaqt li l-entitajiet finanzjarji kollha jenħtieġ li jkunu meħtieġa jwettqu rappurtar tal-inċidenti, dak ir-rekwiżit mhuwiex mistenni li jaffettwahom kollha bl-istess mod. Tabilħaqq, il-limiti ta’ materjalità rilevanti, kif ukoll l-iskedi ta’ żmien għar-rappurtar, għandhom jiġu aġġustati kif xieraq, fil-kuntest ta’ atti delegati bbażati fuq l-istandards tekniċi regolatorji li għandhom jiġu żviluppati mill-ASE, bil-ħsieb li jiġu koperti biss inċidenti kbar relatati mal-ICT. Barra minn hekk, jenħtieġ li jitqiesu l-ispeċifiċitajiet tal-entitajiet finanzjarji meta jiġu stabbiliti l-iskedi ta’ żmien għall-obbligi ta’ rappurtar.

(54)

Dan ir-Regolament jenħtieġ li jirrikjedi li l-istituzzjonijiet ta’ kreditu, l-istituzzjonijiet ta’ pagament, il-fornituri ta’ servizzi ta’ informazzjoni dwar il-kontijiet u l-istituzzjonijiet tal-flus elettroniċi jirrappurtaw l-inċidenti operazzjonali jew ta’ sigurtà kollha relatati mal-pagamenti – li qabel kienu rrappurtati skont id-Direttiva (UE) 2015/2366 – irrispettivament min-natura tal-ICT tal-inċident.

(55)

Jenħtieġ li l-ASE jkunu nkarigati li jivvalutaw il-fattibbiltà u l-kundizzjonijiet għal ċentralizzazzjoni possibbli tar-rapporti ta’ inċidenti relatati mal-ICT fil-livell tal-Unjoni. Tali ċentralizzazzjoni tista’ tikkonsisti f’Ċentru uniku tal-UE għar-rappurtar ta’ inċidenti kbar relatati mal-ICT li jew jirċievi direttament rapporti rilevanti u jinnotifika awtomatikament lill-awtoritajiet kompetenti nazzjonali, jew sempliċiment li jiċċentralizza r-rapporti rilevanti mibgħuta mill-awtoritajiet nazzjonali kompetenti u b’hekk jissodisfa rwol ta’ koordinazzjoni. Jenħtieġ li l-ASE jingħataw il-kompitu li jħejju, f’konsultazzjoni mal-BĊE u l-ENISA, rapport konġunt li jesplora l-fattibbiltà li jiġi stabbilit Ċentru uniku tal-UE.

(56)

Sabiex jinkiseb livell għoli ta’ reżiljenza operazzjonali diġitali, u f’konformità kemm mal-istandards internazzjonali rilevanti (eż. l-Elementi Fundamentali tal-G7 għall-Ittestjar tal-Penetrazzjoni Bbażat fuq it-Theddid) kif ukoll mal-oqfsa applikati fl-Unjoni, bħat-TIBER-EU, l-entitajiet finanzjarji jenħtieġ li jittestjaw regolarment is-sistemi tal-ICT tagħhom u l-persunal tagħhom li jkollu responsabbiltajiet relatati mal-ICT fir-rigward tal-effettività tal-kapaċitajiet tagħhom ta’ prevenzjoni, individwazzjoni, rispons u rkupru, biex jikxfu u jindirizzaw vulnerabbiltajiet potenzjali tal-ICT. Sabiex jiġu riflessi d-differenzi li jeżistu bejn, u fi ħdan, id-diversi subsetturi finanzjarji fir-rigward tal-livell ta’ tħejjija taċ-ċibersigurtà tal-entitajiet finanzjarji, jenħtieġ li l-ittestjar jinkludi varjetà wiesgħa ta’ għodod u azzjonijiet, li jvarjaw mill-valutazzjoni tar-rekwiżiti bażiċi (eż. valutazzjonijiet tal-vulnerabbiltà u skennjar, analiżijiet b’sors miftuħ, valutazzjonijiet tas-sigurtà tan-netwerk, analiżijiet tan-nuqqasijiet, rieżamijiet tas-sigurtà fiżika, kwestjonarji u soluzzjonijiet tas-software tal-iskennjar, rieżamijiet tal-kodiċi tas-sors fejn fattibbli, testijiet ibbażati fuq xenarji, ittestjar tal-kompatibbiltà, ittestjar tal-prestazzjoni jew ittestjar minn tarf sa tarf) sa ttestjar aktar avvanzat permezz tat-TLPT. Tali ttestjar avvanzat jenħtieġ li jkun meħtieġ biss għall-entitajiet finanzjarji li huma maturi biżżejjed minn perspettiva tal-ICT biex iwettquh b’mod raġonevoli. B’hekk, jenħtieġ li l-ittestjar tar-reżiljenza operazzjonali diġitali meħtieġ minn dan ir-Regolament ikun aktar esiġenti għal dawk l-entitajiet finanzjarji li jissodisfaw il-kriterji stabbiliti f’dan ir-Regolament (pereżempju, istituzzjonijiet ta’ kreditu, boroż, depożitarji ċentrali tat-titoli u kontropartijiet ċentrali kbar, sistemiċi u maturi f’termini ta’ ICT) milli għal entitajiet finanzjarji oħra. Fl-istess ħin, jenħtieġ li l-ittestjar tar-reżiljenza operazzjonali diġitali permezz ta’ TLPT ikun aktar rilevanti għal entitajiet finanzjarji li joperaw f’subsetturi ta’ servizzi finanzjarji ewlenin u li jkollhom rwol sistemiku (pereżempju, pagamenti, operazzjonijiet bankarji, u ikklerjar u saldu), u inqas rilevanti għal subsetturi oħrajn (pereżempju, maniġers tal-assi u aġenziji ta’ klassifikazzjoni tal-kreditu).

(57)

L-entitajiet finanzjarji involuti f’attivitajiet transfruntiera u li jeżerċitaw il-libertajiet tal-istabbiliment, jew tal-forniment ta’ servizzi fl-Unjoni, jenħtieġ li jikkonformaw ma’ sett uniku ta’ rekwiżiti ta’ ttestjar avvanzat (jiġifieri TLPT) fl-Istat Membru ta’ domiċilju tagħhom, li jenħtieġ li jinkludu l-infrastrutturi tal-ICT fil-ġuriżdizzjonijiet kollha fejn il-grupp finanzjarju transfruntier jopera fl-Unjoni, biex b’hekk tali gruppi finanzjarji transfruntiera jkunu jistgħu jġarrbu kostijiet tal-ittestjar tal-ICT relatati f’ġuriżdizzjoni waħda biss.

(58)

Sabiex isir użu mill-għarfien espert diġà miksub minn ċerti awtoritajiet kompetenti, b’mod partikolari fir-rigward tal-implimentazzjoni tal-qafas TIBER-UE, jenħtieġ li dan ir-Regolament jippermetti lill-Istati Membri jaħtru awtorità pubblika unika bħala responsabbli fis-settur finanzjarju, fil-livell nazzjonali, għall-kwistjonijiet kollha tat-TLPT, jew awtoritajiet kompetenti, biex jiddelegaw, fin-nuqqas ta’ tali ħatra, l-eżerċizzju ta’ kompiti relatati mat-TLPT lil awtorità nazzjonali kompetenti finanzjarja oħra.

(59)

Peress li dan ir-Regolament ma jirrikjedix li l-entitajiet finanzjarji jkopru l-funzjonijiet kritiċi jew importanti kollha f’test wieħed tal-penetrazzjoni bbażat fuq it-theddid, l-entitajiet finanzjarji jenħtieġ li jkunu liberi li jiddeterminaw liema u kemm funzjonijiet kritiċi jew importanti jenħtieġ li jiġu inklużi fil-kamp ta’ applikazzjoni ta’ tali test.

(60)

L-ittestjar aggregat skont it-tifsira ta’ dan ir-Regolament – li jinvolvi l-parteċipazzjoni ta’ diversi entitajiet finanzjarji f’TLPT u li għalih fornitur terz ta’ servizzi tal-ICT jista’ jidħol direttament f’arranġamenti kuntrattwali ma’ tester estern – jenħtieġ li jkun permess biss meta l-kwalità jew is-sigurtà tas-servizzi mogħtija mill-fornitur terz ta’ servizzi tal-ICT lil klijenti li huma entitajiet li jaqgħu barra mill-kamp ta’ applikazzjoni ta’ dan ir-Regolament, jew meta l-kunfidenzjalità tad-data relatata ma’ tali servizzi, ikunu raġonevolment mistennija li jiġu affettwati ħażin. L-ittestjar aggregat jenħtieġ li jkun soġġett ukoll għal salvagwardji (direzzjoni minn entità finanzjarja maħtura waħda, kalibrazzjoni tal-għadd ta’ entitajiet finanzjarji parteċipanti) biex jiġi żgurat eżerċizzju ta’ ttestjar rigoruż għall-entitajiet finanzjarji involuti li jissodisfaw l-objettivi tat-TLPT skont dan ir-Regolament.

(61)

Sabiex jittieħed vantaġġ mir-riżorsi interni disponibbli fil-livell korporattiv, jenħtieġ li dan ir-Regolament jippermetti l-użu ta’ testers interni għall-finijiet tat-twettiq tat-TLPT, dment li jkun hemm approvazzjoni superviżorja, l-ebda kunflitt ta’ interess, u alternanza perjodika tal-użu ta’ testers interni u esterni (kull tliet testijiet), filwaqt li jirrikjedi wkoll li l-fornitur tal-intelligence dwar it-theddid fit-TLPT ikun dejjem estern għall-entità finanzjarja. Ir-responsabbiltà għat-twettiq tat-TLPT jenħtieġ li tibqa’ kompletament f’idejn l-entità finanzjarja. L-attestazzjonijiet ipprovduti mill-awtoritajiet jenħtieġ li jkunu biss għall-fini ta’ rikonoxximent reċiproku u jenħtieġ li ma jipprekludu l-ebda azzjoni ta’ segwitu meħtieġa biex jiġi indirizzat ir-riskju tal-ICT li għalih tkun esposta l-entità finanzjarja, u jenħtieġ li lanqas ma jitqiesu bħala approvazzjoni superviżorja tal-kapaċitajiet ta’ ġestjoni u mitigazzjoni tar-riskju tal-ICT ta’ entità finanzjarja.

(62)

Sabiex jiġi żgurat monitoraġġ sod tar-riskju relatat mal-ICT minn partijiet terzi fis-settur finanzjarju, huwa meħtieġ li jiġi stabbilit sett ta’ regoli bbażati fuq il-prinċipji biex jiggwidaw lill-entitajiet finanzjarji meta jimmonitorjaw ir-riskju li jirriżulta fil-kuntest tal-funzjonijiet esternalizzati lil fornituri terzi ta’ servizzi tal-ICT, b’mod partikolari għas-servizzi tal-ICT li jappoġġjaw funzjonijiet kritiċi jew importanti, kif ukoll b’mod aktar ġenerali fil-kuntest tad-dipendenzi kollha fuq fornituri terzi ta’ servizzi tal-ICT.

(63)

Sabiex tiġi indirizzata l-kumplessità tad-diversi sorsi ta’ riskju tal-ICT, filwaqt li jitqiesu l-għadd kbir u d-diversità ta’ fornituri ta’ soluzzjonijiet teknoloġiċi li jippermettu l-forniment bla xkiel ta’ servizzi finanzjarji, dan ir-Regolament jenħtieġ li jkopri firxa wiesgħa ta’ fornituri terzi ta’ servizzi tal-ICT, inkluż fornituri ta’ servizzi ta’ cloud computing, software, servizzi ta’ analiżi tad-data u fornituri ta’ servizzi ta’ ċentri tad-data. Bl-istess mod, peress li l-entitajiet finanzjarji jenħtieġ li jidentifikaw u jiġġestixxu b’mod effettiv u koerenti t-tipi kollha ta’ riskju, inkluż fil-kuntest ta’ servizzi tal-ICT akkwistati fi grupp finanzjarju, jenħtieġ li jiġi ċċarat li l-impriżi li huma parti minn grupp finanzjarju u li jipprovdu servizzi tal-ICT b’mod predominanti lill-impriża prinċipali tagħhom, jew lil sussidjarji jew fergħat tal-impriża prinċipali tagħhom, kif ukoll entitajiet finanzjarji li jipprovdu servizzi tal-ICT lil entitajiet finanzjarji oħra, jenħtieġ li jitqiesu wkoll bħala fornituri terzi ta’ servizzi tal-ICT skont dan ir-Regolament. Fl-aħħar nett, fid-dawl tal-fatt li s-suq tas-servizzi ta’ pagament li qed jevolvi qed isir dejjem aktar dipendenti fuq soluzzjonijiet tekniċi kumplessi, u fid-dawl tat-tipi emerġenti ta’ servizzi ta’ pagament u soluzzjonijiet relatati mal-pagamenti, jenħtieġ li l-parteċipanti fl-ekosistema tas-servizzi ta’ pagament, li jipprovdu attivitajiet ta’ pproċessar ta’ pagamenti, jew li joperaw infrastrutturi ta’ pagament, jitqiesu wkoll bħala fornituri terzi ta’ servizzi tal-ICT skont dan ir-Regolament, bl-eċċezzjoni tal-banek ċentrali meta joperaw sistemi ta’ saldu ta’ pagamenti jew ta’ titoli, u tal-awtoritajiet pubbliċi meta jipprovdu servizzi relatati mal-ICT fil-kuntest tat-twettiq tal-funzjonijiet tal-Istat.

(64)

Entità finanzjarja jenħtieġ li f’kull ħin tibqa’ kompletament responsabbli għall-konformità mal-obbligi tagħha stabbiliti f’dan ir-Regolament. Jenħtieġ li l-entitajiet finanzjarji japplikaw approċċ proporzjonat għall-monitoraġġ tar-riskji li jinħolqu fil-livell tal-fornituri terzi ta’ servizzi tal-ICT billi jitqiesu debitament in-natura, l-iskala, il-kumplessità u l-importanza tad-dipendenzi relatati mal-ICT tagħhom, il-kritikalità jew l-importanza tas-servizzi, tal-proċessi jew tal-funzjonijiet soġġetti għall-arranġamenti kuntrattwali u, fl-aħħar mill-aħħar, abbażi ta’ valutazzjoni bir-reqqa ta’ kwalunkwe impatt potenzjali fuq il-kontinwità u l-kwalità tas-servizzi finanzjarji fil-livell individwali u fil-livell ta’ grupp, kif xieraq.

(65)

Jenħtieġ li t-twettiq ta’ tali monitoraġġ isegwi approċċ strateġiku għar-riskju relatat mal-ICT minn partijiet terzi formalizzat permezz tal-adozzjoni mill-korp maniġerjali tal-entità finanzjarja ta’ strateġija tar-riskju relatat mal-ICT minn partijiet terzi iddedikata, imsejsa fi skrinjar kontinwu tad-dipendenzi kollha fuq fornituri terzi ta’ servizzi tal-ICT. Sabiex tissaħħaħ is-sensibilizzazzjoni superviżorja tad-dipendenzi fuq fornituri terzi ta’ servizzi tal-ICT, u bil-ħsieb li tkompli tiġi appoġġjata l-ħidma fil-kuntest tal-Qafas ta’ Sorveljanza stabbilit minn dan ir-Regolament, jenħtieġ li l-entitajiet finanzjarji kollha jkunu meħtieġa jżommu reġistru tal-informazzjoni bl-arranġamenti kuntrattwali kollha dwar l-użu tas-servizzi tal-ICT ipprovduti minn fornituri terzi ta’ servizzi tal-ICT. Is-superviżuri finanzjarji jenħtieġ li jkunu jistgħu jitolbu r-reġistru sħiħ, jew jitolbu taqsimiet speċifiċi tiegħu, u b’hekk jiksbu informazzjoni essenzjali biex jiksbu fehim usa’ tad-dipendenzi tal-ICT tal-entitajiet finanzjarji.

(66)

Analiżi bir-reqqa ta’ qabel l-ikkuntrattar jenħtieġ li tirfed u tippreċedi l-konklużjoni formali tal-arranġamenti kuntrattwali, b’mod partikolari billi tiffoka fuq elementi bħall-kritikalità jew l-importanza tas-servizzi appoġġjati mill-kuntratt tal-ICT previst, l-approvazzjonijiet superviżorji meħtieġa jew kondizzjonijiet oħra, ir-riskju ta’ konċentrazzjoni possibbli involut, kif ukoll l-applikazzjoni tad-diliġenza dovuta fil-proċess tal-għażla u l-valutazzjoni ta’ fornituri terzi ta’ servizzi tal-ICT u l-valutazzjoni ta’ kunflitti ta’ interess potenzjali. Għal arranġamenti kuntrattwali li jikkonċernaw funzjonijiet kritiċi jew importanti, l-entitajiet finanzjarji jenħtieġ li jqisu l-użu mill-fornituri terzi ta’ servizzi tal-ICT tal-aktar standards għolja u aġġornati fis-sigurtà tal-informazzjoni. It-terminazzjoni tal-arranġamenti kuntrattwali tista’ tiġi kkawżata mill-inqas minn serje ta’ ċirkostanzi li juru nuqqasijiet fil-livell tal-fornitur terz ta’ servizzi tal-ICT, b’mod partikolari ksur sinifikanti tal-liġijiet jew tat-termini kuntrattwali, ċirkostanzi li jiżvelaw alterazzjoni potenzjali tal-prestazzjoni tal-funzjonijiet previsti fl-arranġamenti kuntrattwali, evidenza ta’ dgħufijiet tal-fornitur terz ta’ servizzi tal-ICT fil-ġestjoni kumplessiva tiegħu tar-riskju tal-ICT, jew ċirkostanzi li jindikaw l-inabbiltà tal-awtorità kompetenti rilevanti li tissorvelja b’mod effettiv l-entità finanzjarja.

(67)

Sabiex jiġi indirizzat l-impatt sistemiku tar-riskju ta’ konċentrazzjoni ta’ servizzi tal-ICT minn partijiet terzi, dan ir-Regolament jippromwovi soluzzjoni bbilanċjata billi jieħu approċċ flessibbli u gradwali għal tali riskju ta’ konċentrazzjoni peress li l-impożizzjoni ta’ kwalunkwe limitu riġidu jew limitazzjoni stretta tista’ tfixkel it-twettiq tan-negozju u trażżan il-libertà kuntrattwali. Jenħtieġ li l-entitajiet finanzjarji jivvalutaw bir-reqqa l-arranġamenti kuntrattwali previsti tagħhom biex jidentifikaw il-probabbiltà li jinħoloq tali riskju, inkluż permezz ta’ analiżi fil-fond tal-arranġamenti ta’ subkuntrattar, b’mod partikolari meta jiġu konklużi ma’ fornituri terzi ta’ servizzi tal-ICT stabbiliti f’pajjiż terz. F’dan l-istadju, u bl-għan li jintlaħaq bilanċ ġust bejn l-imperattiv tal-preservazzjoni tal-libertà kuntrattwali u dak li tiġi ggarantita l-istabbiltà finanzjarja, mhuwiex meqjus xieraq li jiġu stabbiliti regoli dwar limiti massimi u limiti stretti għall-esponiment tal-partijiet terzi tal-ICT. Fil-kuntest tal-Qafas ta’ Sorveljanza, Sorveljant Ewlieni maħtur skont dan ir-Regolament, jenħtieġ li, fir-rigward tal-fornituri terzi kritiċi ta’ servizzi tal-ICT, jagħti attenzjoni partikolari biex jifhem bis-sħiħ id-daqs tal-interdipendenzi, jiskopri każijiet speċifiċi fejn grad għoli ta’ konċentrazzjoni ta’ fornituri terzi kritiċi ta’ servizzi tal-ICT fl-Unjoni x’aktarx li jpoġġi pressjoni fuq l-istabbiltà u l-integrità tas-sistema finanzjarja tal-Unjoni u jkollu djalogu ma’ fornituri terzi kritiċi ta’ servizzi tal-ICT fejn jiġi identifikat dak ir-riskju speċifiku.

(68)

Sabiex tiġi evalwata u mmonitorjata fuq bażi regolari l-kapaċità ta’ fornitur terz ta’ servizzi tal-ICT li jipprovdi servizzi b’mod sigur lil entità finanzjarja mingħajr effetti negattivi fuq ir-reżiljenza operazzjonali diġitali ta’ entità finanzjarja, jenħtieġ li jiġu armonizzati diversi elementi kuntrattwali ewlenin ma’ fornituri terzi ta’ servizzi tal-ICT. Tali armonizzazzjoni jenħtieġ li tkopri oqsma minimi li huma kruċjali biex jippermettu monitoraġġ sħiħ mill-entità finanzjarja tar-riskji li jistgħu jirriżultaw mill-fornitur terz ta’ servizzi tal-ICT, mill-perspettiva tal-ħtieġa ta’ entità finanzjarja li tiżgura r-reżiljenza diġitali tagħha minħabba li hija dipendenti ħafna fuq l-istabbiltà, il-funzjonalità, id-disponibbiltà u s-sigurtà tas-servizzi tal-ICT riċevuti.

(69)

Meta jinnegozjaw mill-ġdid l-arranġamenti kuntrattwali biex ifittxu allinjament mar-rekwiżiti ta’ dan ir-Regolament, l-entitajiet finanzjarji u l-fornituri terzi ta’ servizzi tal-ICT jenħtieġ li jiżguraw il-kopertura tad-dispożizzjonijiet kuntrattwali ewlenin kif previst f’dan ir-Regolament.

(70)

Id-definizzjoni ta’ “funzjoni kritika jew importanti” prevista f’dan ir-Regolament tinkludi l-“funzjonijiet kritiċi” kif definiti fil-punt (35) tal-Artikolu 2(1) tad-Direttiva 2014/59/UE tal-Parlament Ewropew u tal-Kunsill (20). Għaldaqstant, il-funzjonijiet meqjusa bħala kritiċi skont id-Direttiva 2014/59/UE huma inklużi fid-definizzjoni tal-funzjonijiet kritiċi skont it-tifsira ta’ dan ir-Regolament.

(71)

Irrispettivament mill-kritikalità jew l-importanza tal-funzjoni appoġġjata mis-servizzi tal-ICT, jenħtieġ li l-arranġamenti kuntrattwali, b’mod partikolari, jipprevedu speċifikazzjoni tad-deskrizzjonijiet sħaħ tal-funzjonijiet u s-servizzi, tal-postijiet fejn jiġu pprovduti tali funzjonijiet u fejn għandha tiġi pproċessata d-data, kif ukoll indikazzjoni ta’ deskrizzjonijiet tal-livell ta’ servizz. Elementi essenzjali oħra biex jippermettu l-monitoraġġ minn entità finanzjarja tar-riskju relatat mal-ICT minn partijiet terzi huma: dispożizzjonijiet kuntrattwali li jispeċifikaw kif l-aċċessibbiltà, id-disponibbiltà, l-integrità, is-sigurtà u l-protezzjoni tad-data personali huma żgurati mill-fornitur terz ta’ servizzi tal-ICT, dispożizzjonijiet li jistabbilixxu l-garanziji rilevanti li jippermettu l-aċċess, l-irkupru u r-ritorn tad-data fil-każ ta’ insolvenza, riżoluzzjoni jew waqfien tal-operazzjonijiet tan-negozju tal-fornitur terz ta’ servizzi tal-ICT, kif ukoll dispożizzjonijiet li jirrikjedu li l-fornitur terz ta’ servizzi tal-ICT jipprovdi assistenza f’każ ta’ inċidenti tal-ICT b’rabta mas-servizzi pprovduti, mingħajr ebda kost addizzjonali jew bi spiża ddeterminata ex ante; dispożizzjonijiet dwar l-obbligu tal-fornitur terz ta’ servizzi tal-ICT li jikkoopera bis-sħiħ mal-awtoritajiet kompetenti u mal-awtoritajiet ta’ riżoluzzjoni tal-entità finanzjarja; u dispożizzjonijiet dwar id-drittijiet ta’ terminazzjoni u l-perjodi minimi ta’ avviż relatati għat-terminazzjoni tal-arranġamenti kuntrattwali, f’konformità mal-aspettattivi tal-awtoritajiet kompetenti u tal-awtoritajiet ta’ riżoluzzjoni.

(72)

Minbarra tali dispożizzjonijiet kuntrattwali, u bil-ħsieb li jiġi żgurat li l-entitajiet finanzjarji jibqgħu f’kontroll sħiħ tal-iżviluppi kollha li jseħħu fil-livell ta’ parti terza li jistgħu jfixklu s-sigurtà tal-ICT tagħhom, il-kuntratti għall-forniment ta’ servizzi tal-ICT li jappoġġjaw funzjonijiet kritiċi jew importanti jenħtieġ li jipprevedu wkoll dan li ġej: l-ispeċifikazzjoni tad-deskrizzjonijiet sħaħ tal-livell ta’ servizz, b’miri ta’ prestazzjoni kwantitattivi u kwalitattivi preċiżi, biex mingħajr dewmien żejjed ikunu jistgħu jittieħdu azzjonijiet korrettivi xierqa meta l-livelli ta’ servizz miftiehma ma jintlaħqux; il-perjodi ta’ notifika u l-obbligi ta’ rappurtar rilevanti tal-fornitur terz ta’ servizzi tal-ICT fil-każ ta’ żviluppi b’impatt materjali potenzjali fuq il-kapaċità tal-fornitur terz ta’ servizzi tal-ICT li jipprovdi b’mod effettiv is-servizzi tal-ICT rispettivi tiegħu; rekwiżit għall-fornitur terz ta’ servizzi tal-ICT li jimplimenta u jittestja pjanijiet ta’ kontinġenza tan-negozju u jkollu miżuri, għodod u politiki ta’ sigurtà tal-ICT li jippermettu l-forniment sigur ta’ servizzi, u li jipparteċipa u jikkoopera bis-sħiħ fit-TLPT imwettaq mill-entità finanzjarja.

(73)

Jenħtieġ li kuntratti għall-għoti ta’ servizzi tal-ICT li jappoġġjaw funzjonijiet kritiċi jew importanti jkun fihom ukoll dispożizzjonijiet li jippermettu d-drittijiet ta’ aċċess, spezzjoni u awditu mill-entità finanzjarja, jew minn parti terza maħtura, u d-dritt li jittieħdu kopji bħala strumenti kruċjali fil-monitoraġġ kontinwu min-naħa tal-entitajiet finanzjarji tal-prestazzjoni tal-fornitur terz ta’ servizzi tal-ICT, flimkien mal-kooperazzjoni sħiħa tal-fornitur tas-servizzi matul l-ispezzjonijiet. Bl-istess mod, jenħtieġ li l-awtorità kompetenti tal-entità finanzjarja jkollha d-dritt, ibbażat fuq avviżi, biex tispezzjona u tawditja l-fornitur terz ta’ servizzi tal-ICT, soġġett għall-protezzjoni ta’ informazzjoni kunfidenzjali.

(74)

Tali arranġamenti kuntrattwali jenħtieġ li jipprevedu wkoll strateġiji ta’ ħruġ iddedikati biex jippermettu, b’mod partikolari, perjodi ta’ tranżizzjoni obbligatorji li matulhom il-fornituri terzi ta’ servizzi tal-ICT jenħtieġ li jkomplu jipprovdu s-servizzi rilevanti bil-ħsieb li jitnaqqas ir-riskju ta’ tfixkil fil-livell tal-entità finanzjarja, jew biex din tal-aħħar tkun tista’ taqleb b’mod effettiv għall-użu ta’ fornituri terzi oħra ta’ servizzi tal-ICT jew, alternattivament, biex tibdel għal soluzzjonijiet interni, konsistenti mal-kumplessità tas-servizz tal-ICT ipprovdut. Barra minn hekk, l-entitajiet finanzjarji fil-kamp ta’ applikazzjoni tad-Direttiva 2014/59/UE jenħtieġ li jiżguraw li l-kuntratti rilevanti għas-servizzi tal-ICT ikunu robusti u infurzabbli bis-sħiħ fil-każ ta’ riżoluzzjoni ta’ dawk l-entitajiet finanzjarji. Għalhekk, f’konformità mal-aspettattivi tal-awtoritajiet ta’ riżoluzzjoni, dawk l-entitajiet finanzjarji jenħtieġ li jiżguraw li l-kuntratti rilevanti għas-servizzi tal-ICT ikunu reżiljenti għar-riżoluzzjoni. Sakemm dawn ikomplu jissodisfaw l-obbligi ta’ pagament tagħhom, dawk l-entitajiet finanzjarji jenħtieġ li jiżguraw, fost rekwiżiti oħra, li l-kuntratti rilevanti għas-servizzi tal-ICT ikun fihom klawsoli għal nuqqas ta’ terminazzjoni, nuqqas ta’ sospensjoni u nuqqas ta’ modifika għal raġunijiet ta’ ristrutturar jew riżoluzzjoni.

(75)

Barra minn hekk, l-użu volontarju ta’ klawsoli kuntrattwali standard żviluppati mill-awtoritajiet pubbliċi jew mill-istituzzjonijiet tal-Unjoni, b’mod partikolari l-użu ta’ klawsoli kuntrattwali żviluppati mill-Kummissjoni għas-servizzi tal-cloud computing jista’ jipprovdi aktar kumdità lill-entitajiet finanzjarji u lill-fornituri terzi ta’ servizzi tal-ICT, billi jsaħħaħ il-livell tagħhom ta’ ċertezza legali fir-rigward tal-użu tas-servizzi tal-cloud computing fis-settur finanzjarju, f’allinjament sħiħ mar-rekwiżiti u l-aspettattivi stabbiliti mil-dritt tal-Unjoni dwar is-servizzi finanzjarji. L-iżvilupp ta’ klawsoli kuntrattwali standard jibni fuq il-miżuri diġà previsti fil-Pjan ta’ Azzjoni tal-FinTech tal-2018, li ħabbar l-intenzjoni tal-Kummissjoni li tinkoraġġixxi u tiffaċilita l-iżvilupp ta’ klawsoli kuntrattwali standard għall-użu tal-esternalizzazzjoni tas-servizzi ta’ cloud computing minn entitajiet finanzjarji, billi tibbaża fuq l-isforzi tal-partijiet ikkonċernati tas-servizzi ta’ cloud computing transsettorjali, li l-Kummissjoni ffaċilitat bl-għajnuna tal-involviment tas-settur finanzjarju.

(76)

Bil-ħsieb li jiġu promossi l-konverġenza u l-effiċjenza fir-rigward tal-approċċi superviżorji meta jiġi indirizzat ir-riskju relatat mal-ICT minn partijiet terzi fis-settur finanzjarju, kif ukoll biex tissaħħaħ ir-reżiljenza operazzjonali diġitali tal-entitajiet finanzjarji li jiddependu fuq fornituri terzi kritiċi ta’ servizzi tal-ICT għal provvista ta’ -servizzi tal-ICT li jappoġġjaw il-forniment ta’ servizzi finanzjarji, u b’hekk jikkontribwixxu għall-preservazzjoni tal-istabbiltà tas-sistema finanzjarja tal-Unjoni u l-integrità tas-suq intern għas-servizzi finanzjarji, jenħtieġ li l-fornituri terzi kritiċi ta’ servizzi tal-ICT jkunu soġġetti għal Qafas ta’ Sorveljanza tal-Unjoni. Filwaqt li l-istabbiliment tal-Qafas ta’ Sorveljanza huwa ġġustifikat mill-valur miżjud tat-teħid ta’ azzjoni fil-livell tal-Unjoni u minħabba r-rwol inerenti u l-ispeċifiċitajiet tal-użu tas-servizzi tal-ICT fil-forniment ta’ servizzi finanzjarji, jenħtieġ li jiġi mfakkar fl-istess ħin li din is-soluzzjoni tidher xierqa biss fil-kuntest ta’ dan ir-Regolament li jittratta speċifikament ir-reżiljenza operazzjonali diġitali fis-settur finanzjarju. Madankollu, tali Qafas ta’ Sorveljanza jenħtieġ li ma jitqiesx bħala mudell ġdid għas-superviżjoni tal-Unjoni fl-oqsma l-oħra tas-servizzi u l-attivitajiet finanzjarji.

(77)

Il-Qafas ta’ Sorveljanza jenħtieġ li japplika biss għal fornituri terzi kritiċi ta’ servizzi tal-ICT. Għalhekk, jenħtieġ li jkun hemm mekkaniżmu ta’ deżinjazzjoni li jqis id-dimensjoni u n-natura tad-dipendenza tas-settur finanzjarju fuq tali fornituri terzi ta’ servizzi tal-ICT. Dak il-mekkaniżmu jenħtieġ li jinvolvi sett ta’ kriterji kwantitattivi u kwalitattivi biex jiġu stabbiliti l-parametri tal-kritikalità bħala bażi għall-inklużjoni fil-Qafas ta’ Sorveljanza. Sabiex tiġi żgurata l-preċiżjoni ta’ dik il-valutazzjoni, u irrispettivament mill-istruttura korporattiva tal-fornitur terz ta’ servizzi tal-ICT, jenħtieġ li tali kriterji, fil-każ ta’ fornitur terz ta’ servizzi tal-ICT li jkun parti minn grupp usa’, iqisu l-istruttura kollha tal-grupp tal-fornitur terz ta’ servizzi tal-ICT. Minn naħa waħda, fornituri terzi kritiċi ta’ servizzi tal-ICT, li mhumiex deżinjati awtomatikament bis-saħħa tal-applikazzjoni ta’ dawk il-kriterji, jenħtieġ li jkollhom il-possibbiltà li jagħżlu li jipparteċipaw fil-Qafas ta’ Sorveljanza fuq bażi volontarja, min-naħa l-oħra, il-fornituri terzi ta’ servizzi tal-ICT, li diġà huma soġġetti għal oqfsa ta’ mekkaniżmu ta’ sorveljanza li jappoġġjaw it-twettiq tal-kompiti tas- Sistema Ewropea ta’ Banek Ċentrali kif imsemmi fl-Artikolu 127(2) TFUE, jenħtieġ li jiġu eżentati.

(78)

Bl-istess mod, l-entitajiet finanzjarji li jipprovdu servizzi tal-ICT lil entitajiet finanzjarji oħra, filwaqt li jappartjenu għall-kategorija ta’ fornituri terzi ta’ servizzi tal-ICT skont dan ir-Regolament, jenħtieġ li jiġu eżentati wkoll mill-Qafas ta’ Sorveljanza peress li huma diġà soġġetti għal mekkaniżmi superviżorji stabbiliti mil-liġi rilevanti tal-Unjoni dwar is-servizzi finanzjarji. Fejn applikabbli, jenħtieġ li l-awtoritajiet kompetenti jqisu, fil-kuntest tal-attivitajiet superviżorji tagħhom, ir-riskju tal-ICT maħluq għall-entitajiet finanzjarji mill-entitajiet finanzjarji li jipprovdu servizzi tal-ICT. Bl-istess mod, minħabba l-mekkaniżmi eżistenti ta’ monitoraġġ tar-riskju fil-livell tal-grupp, jenħtieġ li tiġi introdotta l-istess eżenzjoni għall-fornituri terzi ta’ servizzi tal-ICT li jfornu servizzi b’mod predominanti lill-entitajiet tal-grupp tagħhom stess. Il-fornituri terzi ta’ servizzi tal-ICT li jipprovdu servizzi tal-ICT fi Stat Membru wieħed biss lil entitajiet finanzjarji li huma attivi biss f’dak l-Istat Membru jenħtieġ li jkunu eżentati wkoll mill-mekkaniżmu ta’ deżinjazzjoni minħabba l-attivitajiet limitati tagħhom u n-nuqqas ta’ impatt transfruntier.

(79)

It-trasformazzjoni diġitali esperjenzata fis-servizzi finanzjarji ġabet livell bla preċedent ta’ użu tas-servizzi tal-ICT, u dipendenza fuqhom. Peress li sar inkonċepibbli li jiġu pprovduti servizzi finanzjarji mingħajr l-użu ta’ servizzi tal-cloud computing, soluzzjonijiet ta’ software u servizzi relatati mad-data, l-ekosistema finanzjarja tal-Unjoni saret intrinsikament kodipendenti fuq ċerti servizzi tal-ICT ipprovduti mill-fornituri tas-servizzi tal-ICT. Xi wħud minn dawk il-fornituri, l-innovaturi fl-iżvilupp u l-applikazzjoni ta’ teknoloġiji bbażati fuq l-ICT, jaqdu rwol sinifikanti fl-għoti ta’ servizzi finanzjarji, jew saru integrati fil-katina tal-valur tas-servizzi finanzjarji. Għalhekk saru kritiċi għall-istabbiltà u l-integrità tas-sistema finanzjarja tal-Unjoni. Din id-dipendenza mifruxa fuq is-servizzi pprovduti minn fornituri terzi kritiċi ta’ servizzi tal-ICT, flimkien mal-interdipendenza tas-sistemi ta’ informazzjoni ta’ diversi operaturi tas-suq, toħloq riskju dirett, u potenzjalment serju, għas-sistema tas-servizzi finanzjarji tal-Unjoni u għall-kontinwità tal-għoti tas-servizzi finanzjarji jekk fornituri terzi kritiċi ta’ servizzi tal-ICT kellhom jiġu affettwati minn tfixkil operazzjonali jew inċidenti ċibernetiċi kbar. L-inċidenti ċibernetiċi għandhom kapaċità distintiva li jimmultiplikaw u jxerrdu fis-sistema finanzjarja kollha b’pass konsiderevolment aktar mgħaġġel minn tipi oħra ta’ riskji mmonitorjati fis-settur finanzjarju u jistgħu jestendu bejn is-setturi u lil hinn mill-fruntieri ġeografiċi. Huma għandhom il-potenzjal li jevolvu fi kriżi sistemika, fejn il-fiduċja fis-sistema finanzjarja tkun tnaqqret minħabba t-tfixkil tal-funzjonijiet li jappoġġjaw l-ekonomija reali, jew minħabba telf finanzjarju sostanzjali, li jilħaq livell li s-sistema finanzjarja ma tkunx kapaċi tiflaħ għalih, jew li jirrikjedi l-użu ta’ miżuri ta’ assorbiment ta’ xokkijiet kbar. Sabiex jiġi evitat li jseħħu dawn ix-xenarji u b’hekk jiġu pperikolati l-istabbiltà u l-integrità finanzjarja tal-Unjoni, huwa essenzjali li tiġi pprovduta l-konverġenza tal-prattiki superviżorji relatati mar-riskju relatat mal-ICT minn partijiet terzi fil-finanzjament, b’mod partikolari permezz ta’ regoli ġodda li jippermettu s-sorveljanza tal-Unjoni ta’ fornituri terzi kritiċi ta’ servizzi tal-ICT.

(80)

Il-Qafas ta’ Sorveljanza jiddependi ħafna fuq il-grad ta’ kollaborazzjoni bejn is-Sorveljant Ewlieni u l-fornitur terz kritiku ta’ servizzi tal-ICT li jipprovdi lill-entitajiet finanzjarji servizzi li jaffettwaw il-forniment ta’ servizzi finanzjarji. Is-sorveljanza b’suċċess hija bbażata, fost l-oħrajn, fuq il-kapaċità tas-Sorveljant Ewlieni li jwettaq b’mod effettiv missjonijiet u spezzjonijiet ta’ monitoraġġ biex jivvaluta r-regoli, il-kontrolli u l-proċessi użati mill-fornituri terzi kritiċi ta’ servizzi tal-ICT, kif ukoll biex jivvaluta l-impatt kumulattiv potenzjali tal-attivitajiet tagħhom fuq l-istabbiltà finanzjarja u l-integrità tas-sistema finanzjarja. Fl-istess ħin, huwa kruċjali li l-fornituri terzi kritiċi ta’ servizzi tal-ICT isegwu r-rakkomandazzjonijiet tas-Sorveljant Ewlieni u jindirizzaw it-tħassib tiegħu. Peress li nuqqas ta’ kooperazzjoni minn fornitur terz kritiku ta’ servizzi tal-ICT li jipprovdi servizzi li jaffettwaw il-forniment ta’ servizzi finanzjarji, bħar-rifjut li jingħata aċċess għall-bini tiegħu jew li jippreżenta informazzjoni, fl-aħħar mill-aħħar iċaħħad lis-Sorveljant Ewlieni mill-għodod essenzjali tiegħu fil-valutazzjoni tar-riskju ta’ partijiet terzi tal-ICT, u jista’ jkollu impatt negattiv fuq l-istabbiltà finanzjarja u l-integrità tas-sistema finanzjarja, huwa meħtieġ li jiġi previst ukoll reġim ta’ sanzjonar proporzjonat.

(81)

F’dan l-isfond, il-ħtieġa tas-Sorveljant Ewlieni li jimponi pagamenti ta’ penali biex iġiegħel lill-fornituri terzi kritiċi ta’ servizzi tal-ICT jikkonformaw mal-obbligi ta’ trasparenza u dawk relatati mal-aċċess stipulati f’dan ir-Regolament jenħtieġ li ma tiġix ipperikolata minn diffikultajiet imqajma mill-infurzar ta’ dawk il-pagamenti ta’ penali fir-rigward ta’ fornituri terzi kritiċi ta’ servizzi tal-ICT stabbiliti f’pajjiżi terzi. Sabiex tiġi żgurata l-infurzabbiltà ta’ tali penali, u biex tkun tista’ ssir introduzzjoni rapida ta’ proċeduri li jirrispettaw id-drittijiet tad-difiża tal-fornituri terzi kritiċi ta’ servizzi tal-ICT fil-kuntest tal-mekkaniżmu ta’ deżinjazzjoni u l-ħruġ ta’ rakkomandazzjonijiet, jenħtieġ li dawk il-fornituri terzi kritiċi ta’ servizzi tal-ICT, li jipprovdu lill-entitajiet finanzjarji servizzi li jaffettwaw il-forniment ta’ servizzi finanzjarji, ikunu meħtieġa jżommu preżenza kummerċjali adegwata fl-Unjoni. Minħabba n-natura tas-sorveljanza, u n-nuqqas ta’ arranġamenti komparabbli f’ġuriżdizzjonijiet oħra, ma hemm l-ebda mekkaniżmu alternattiv xieraq li jiżgura dan l-objettiv permezz ta’ kooperazzjoni effettiva mas-superviżuri finanzjarji f’pajjiżi terzi fir-rigward tal-monitoraġġ tal-impatt tar-riskji operazzjonali diġitali ppreżentati minn fornituri terzi sistemiċi ta’ servizzi tal-ICT, li jikkwalifikaw bħala fornituri terzi kritiċi ta’ servizzi tal-ICT stabbiliti f’pajjiżi terzi. Għalhekk, sabiex ikompli jipprovdi is-servizzi tiegħu tal-ICT lil entitajiet finanzjarji fl-Unjoni, fornitur terz ta’ servizzi tal-ICT stabbilit f’pajjiż terz li jkun ġie ddeżinjat bħala kritiku f’konformità ma’ dan ir-Regolament jenħtieġ li jwettaq, fi żmien 12-il xahar minn tali deżinjazzjoni, l-arranġamenti kollha meħtieġa biex jiżgura l-inkorporazzjoni tiegħu fl-Unjoni, permezz tal-istabbiliment ta’ sussidjarja, kif definit fl-acquis kollu tal-Unjoni, jiġifieri fid-Direttiva 2013/34/UE tal-Parlament Ewropew u tal-Kunsill (21).

(82)

Ir-rekwiżit li tiġi stabbilita sussidjarja fl-Unjoni jenħtieġ li ma jipprevjenix lill-fornitur terz kritiku ta’ servizzi tal-ICT milli jipprovdi servizzi tal-ICT u appoġġ tekniku relatat minn faċilitajiet u infrastruttura li jinsabu barra mill-Unjoni. Dan ir-Regolament ma jimponix obbligu ta’ lokalizzazzjoni tad-data peress li ma jirrikjedix li l-ħżin jew l-ipproċessar tad-data jsir fl-Unjoni.

(83)

Il-fornituri terzi kritiċi ta’ servizzi tal-ICT jenħtieġ li jkunu jistgħu jipprovdu servizzi tal-ICT minn kwalunkwe post fid-dinja, mhux neċessarjament jew mhux biss minn bini li jinsab fl-Unjoni. Jenħtieġ li l-attivitajiet ta’ sorveljanza l-ewwel jitwettqu f’bini li jinsab fl-Unjoni u billi jinteraġixxu ma’ entitajiet li jinsabu fl-Unjoni, inkluż s-sussidjarji stabbiliti minn fornituri terzi kritiċi ta’ servizzi tal-ICT skont dan ir-Regolament. Madankollu, tali azzjonijiet fl-Unjoni jistgħu ma jkunux biżżejjed biex jippermettu lis-Sorveljant Ewlieni jwettaq bis-sħiħ u b’mod effettiv id-dmirijiet tiegħu skont dan ir-Regolament. Għalhekk, jenħtieġ li s-Sorveljant Ewlieni jkun jista’ jeżerċita s-setgħat ta’ sorveljanza rilevanti tiegħu f’pajjiżi terzi. L-eżerċizzju ta’ dawk is-setgħat f’pajjiżi terzi jenħtieġ li jippermetti lis-Sorveljant Ewlieni jeżamina l-faċilitajiet li minnhom is-servizzi tal-ICT jew servizzi ta’ appoġġ tekniku huma fil-fatt ipprovduti jew ġestiti mill-fornitur terz kritiku ta’ servizzi tal-ICT, u, jenħtieġ li jagħti lis-Sorveljant Ewlieni fehim komprensiv u operazzjonali tal-ġestjoni tar-riskju tal-ICT tal-fornitur terz kritiku ta’ servizzi tal-ICT. Il-possibbiltà għas-Sorveljant Ewlieni, bħala aġenzija tal-Unjoni, li jeżerċita setgħat barra mit-territorju tal-Unjoni jenħtieġ li tkun inkwadrata kif xieraq minn kondizzjonijiet rilevanti, b’mod partikolari l-kunsens tal-fornitur terz kritiku ta’ servizzi tal-ICT ikkonċernat. Bl-istess mod, l-awtoritajiet rilevanti tal-pajjiż terz jenħtieġ li jiġu infurmati dwar l-eżerċizzju fit-territorju tagħhom stess tal-attivitajiet tas-Sorveljant Ewlieni u ma joġġezzjonawx għalih. Madankollu, sabiex tiġi żgurata implimentazzjoni effiċjenti, u mingħajr preġudizzju għall-kompetenzi rispettivi tal-istituzzjonijiet tal-Unjoni u tal-Istati Membri, tali setgħat jeħtieġ li jkunu ankrati bis-sħiħ ukoll fil-konklużjoni ta’ arranġamenti ta’ kooperazzjoni amministrattiva mal-awtoritajiet rilevanti tal-pajjiż terz ikkonċernat. Dan ir-Regolament għalhekk jenħtieġ li jippermetti lill-ASE jikkonkludu arranġamenti ta’ kooperazzjoni amministrattiva mal-awtoritajiet rilevanti ta’ pajjiżi terzi, li altrimenti ma għandhomx joħolqu obbligi legali fir-rigward tal-Unjoni u l-Istati Membri tagħha.

(84)

Biex tiġi ffaċilitata l-komunikazzjoni mas-Sorveljant Ewlieni u biex tiġi żgurata rappreżentanza adegwata, il-fornituri terzi kritiċi ta’ servizzi tal-ICT li huma parti minn grupp jenħtieġ li jaħtru persuna ġuridika waħda bħala l-punt ta’ koordinazzjoni tagħhom.

(85)

Il-Qafas ta’ Sorveljanza jenħtieġ li jkun mingħajr preġudizzju għall-kompetenza tal-Istati Membri biex iwettqu missjonijiet ta’ sorveljanza jew monitoraġġ tagħhom stess fir-rigward ta’ fornituri terzi ta’ servizzi tal-ICT li mhumiex deżinjati bħala kritiċi skont dan ir-Regolament, iżda li huma meqjusa bħala importanti fil-livell nazzjonali.

(86)

Sabiex tiġi sfruttata l-arkitettura istituzzjonali b’diversi livelli fil-qasam tas-servizzi finanzjarji, jenħtieġ li l-Kumitat Konġunt tal-ASE jkompli jiżgura koordinazzjoni transsettorjali ġenerali fir-rigward tal-kwistjonijiet kollha li jappartjenu għar-riskju tal-ICT, f’konformità mal-kompiti tiegħu dwar iċ-ċibersigurtà. Jenħtieġ li jkun appoġġjat minn Sottokumitat ġdid (il-Forum ta’ Sorveljanza) li jwettaq ħidma preparatorja kemm għad-deċiżjonijiet individwali indirizzati lill-fornituri terzi kritiċi ta’ servizzi tal-ICT, kif ukoll għall-ħruġ ta’ rakkomandazzjonijiet kollettivi, b’mod partikolari fir-rigward tal-valutazzjoni komparattiva tal-programmi ta’ sorveljanza għal fornituri terzi kritiċi ta’ servizzi tal-ICT, u l-identifikazzjoni tal-aħjar prattiki biex jiġu indirizzati kwistjonijiet ta’ riskju ta’ konċentrazzjoni tal-ICT.

(87)

Sabiex jiġi żgurat li l-fornituri terzi kritiċi ta’ servizzi tal-ICT ikunu sorveljati b’mod xieraq u effettiv fil-livell tal-Unjoni, dan ir-Regolament jipprevedi li kwalunkwe waħda mit-tliet ASE tista’ tinħatar bħala Sorveljant Ewlieni. L-assenjazzjoni individwali ta’ fornitur terz kritiku ta’ servizzi tal-ICT lil waħda mit-tliet ASE jenħtieġ li tirriżulta minn valutazzjoni tal-preponderanza tal-entitajiet finanzjarji li joperaw fis-setturi finanzjarji li għalihom dik l-ASE għandha responsabbiltajiet. Dan l-approċċ jenħtieġ li jwassal għal allokazzjoni bbilanċjata tal-kompiti u r-responsabbiltajiet bejn it-tliet ASE, fil-kuntest tal-eżerċizzju tal-funzjonijiet ta’ sorveljanza, u jenħtieġ li jagħmel l-aħjar użu mir-riżorsi umani u mill-għarfien espert tekniku disponibbli f’kull waħda mit-tliet ASE.

(88)

Jenħtieġ li s-Sorveljanti Ewlenin jingħataw is-setgħat meħtieġa biex iwettqu investigazzjonijiet, biex iwettqu spezzjonijiet fuq il-post u mhux fuq il-post fil-bini u fil-postijiet ta’ fornituri terzi kritiċi ta’ servizzi tal-ICT u biex jiksbu informazzjoni kompluta u aġġornata. Dawk is-setgħat jenħtieġ li jippermettu lis-Sorveljant Ewlieni jikseb għarfien reali dwar it-tip, id-dimensjoni u l-impatt tar-riskju relatat mal-ICT minn partijiet terzi għall-entitajiet finanzjarji u fl-aħħar mill-aħħar għas-sistema finanzjarja tal-Unjoni. Li l-ASE jiġu fdati bir-rwol tas-sorveljanza ewlenija huwa prerekwiżit biex tinftiehem sewwa u tiġi indirizzata d-dimensjoni sistemika tar-riskju tal-ICT fil-finanzi. L-impatt ta’ fornituri terzi kritiċi ta’ servizzi tal-ICT fuq is-settur finanzjarju tal-Unjoni u l-kwistjonijiet potenzjali kkawżati mir-riskju ta’ konċentrazzjoni tal-ICT involut jitolbu li jittieħed approċċ kollettiv fil-livell tal-Unjoni. It-twettiq simultanju ta’ diversi awditi u t-trattament ta’ talbiet għal drittijiet ta’ aċċess, imwettqa separatament minn għadd kbir ta’ awtoritajiet kompetenti, bi ftit jew l-ebda koordinazzjoni bejniethom, jipprevjeni lis-superviżuri finanzjarji milli jiksbu ħarsa ġenerali kompleta u komprensiva tar-riskju relatat mal-ICT minn partijiet terzi fl-Unjoni, filwaqt li joħloq ukoll xogħol żejjed, piż u kumplessità għall-fornituri terzi kritiċi ta’ servizzi tal-ICT jekk dawn jiġu soġġetti għal diversi talbiet ta’ monitoraġġ u spezzjoni.

(89)

Minħabba l-impatt sinifikanti tad-deżinjazzjoni bħala kritiku, dan ir-Regolament jenħtieġ li jiżgura li d-drittijiet ta’ fornituri terzi kritiċi ta’ servizzi tal-ICT jiġu rrispettati fl-implimentazzjoni tal-Qafas ta’ Sorveljanza. Qabel ma jiġu ddeżinjati bħala kritiċi, tali fornituri jenħtieġ li, pereżempju, jkollhom id-dritt li jippreżentaw lis-Sorveljant Ewlieni dikjarazzjoni motivata li jkun fiha kwalunkwe informazzjoni rilevanti għall-finijiet tal-valutazzjoni relatata mad-deżinjazzjoni tagħhom. Peress li s-Sorveljant Ewlieni jenħtieġ li jingħata s-setgħa li jippreżenta rakkomandazzjonijiet dwar kwistjonijiet ta’ riskju tal-ICT u rimedji xierqa għalihom, inkluż is-setgħa li jopponi ċerti arranġamenti kuntrattwali li fl-aħħar mill-aħħar jaffettwaw l-istabbiltà tal-entità finanzjarja jew tas-sistema finanzjarja, il-fornituri terzi kritiċi ta’ servizzi tal-ICT jenħtieġ li jingħataw ukoll l-opportunità li jipprovdu, qabel il-finalizzazzjoni ta’ dawk ir-rakkomandazzjonijiet, spjegazzjonijiet dwar l-impatt mistenni tas-soluzzjonijiet, previsti fir-rakkomandazzjonijiet fuq il-klijenti li huma entitajiet li jaqgħu barra mill-kamp ta’ applikazzjoni ta’ dan ir-Regolament u li jifformulaw soluzzjonijiet biex jittaffew ir-riskji. Il-fornituri terzi kritiċi ta’ servizzi tal-ICT li ma jaqblux mar-rakkomandazzjonijiet jenħtieġ lijippreżentaw spjegazzjoni motivata tal-intenzjoni tagħhom li ma japprovawx ir-rakkomandazzjoni. Fejn tali spjegazzjoni motivata ma tiġix preżentata jew fejn tiġi meqjusa insuffiċjenti, is-Sorveljant Ewlieni jenħtieġ li joħroġ avviż pubbliku li jiddeskrivi fil-qosor il-kwistjoni tan-nuqqas ta’ konformità.

(90)

L-awtoritajiet kompetenti jenħtieġ li jinkludu kif xieraq il-kompitu li jivverifikaw il-konformità sostantiva mar-rakkomandazzjonijiet maħruġa mis-Sorveljant Ewlieni fil-funzjonijiet tagħhom fir-rigward tas-superviżjoni prudenzjali tal-entitajiet finanzjarji. L-awtoritajiet kompetenti jenħtieġ li jkunu jistgħu jirrikjedu li l-entitajiet finanzjarji jieħdu miżuri addizzjonali biex jindirizzaw ir-riskji identifikati fir-rakkomandazzjonijiet tas-Sorveljant Ewlieni, u jenħtieġ li, fi żmien debitu, joħorġu notifiki għal dak il-għan. Meta s-Sorveljant Ewlieni jindirizza rakkomandazzjonijiet lill-fornituri terzi kritiċi ta’ servizzi tal-ICT li huma ssorveljati skont id-Direttiva (UE) 2022/2555, jenħtieġ li l-awtoritajiet kompetenti jkunu jistgħu, fuq bażi volontarja, u qabel ma jadottaw miżuri addizzjonali, jikkonsultaw lill-awtoritajiet kompetenti skont dik id-Direttiva sabiex irawmu approċċ ikkoordinat biex jittratta l-fornituri terzi kritiċi ta’ servizzi tal-ICT inkwistjoni.

(91)

L-eżerċizzju tas-sorveljanza għandu jkun iggwidat minn tliet prinċipji operazzjonali li jfittxu li jiżguraw: (a) koordinazzjoni mill-qrib fost l-ASE fir-rwoli tas-Sorveljant Ewlieni tagħhom, permezz ta’ netwerk konġunt ta’ sorveljanza (JON), (b) konsistenza mal-qafas stabbilit mid-Direttiva (UE) 2022/2555 (permezz ta’ konsultazzjoni volontarja tal-korpi taħt dik id-Direttiva biex tiġi evitata d-duplikazzjoni ta’ miżuri diretti lejn fornituri terzi kritiċi ta’ servizzi tal-ICT), u (c) l-applikazzjoni ta’ diliġenza biex jiġi minimizzat ir-riskju potenzjali ta’ tfixkil għas-servizzi pprovduti mill-fornituri terzi kritiċi ta’ servizzi tal-ICT lil klijenti li huma entitajiet li jaqgħu barra mill-kamp ta’ applikazzjoni ta’ dan ir-Regolament.

(92)

Jenħtieġ li l-Qafas ta’ Sorveljanza ma jissostitwix, jew bl-ebda mod jew għal xi parti jissostitwixxi, ir-rekwiżit għall-entitajiet finanzjarji li jiġġestixxu huma stess ir-riskji involuti fl-użu ta’ fornituri terzi ta’ servizzi tal-ICT, inkluż l-obbligu tagħhom li jżommu monitoraġġ kontinwu tal-arranġamenti kuntrattwali konklużi ma’ fornituri terzi kritiċi ta’ servizzi tal-ICT. Bl-istess mod, il-Qafas ta’ Sorveljanza jenħtieġ li ma jaffettwax ir-responsabbiltà sħiħa tal-entitajiet finanzjarji għall-konformità mal-obbligi legali kollha stabbiliti f’dan ir-Regolament u fil-liġi rilevanti dwar is-servizzi finanzjarji u għall-kwittanza tagħhom.

(93)

Sabiex jiġu evitati duplikazzjonijiet u sovrapożizzjonijiet, jenħtieġ li l-awtoritajiet kompetenti jżommu lura milli jieħdu individwalment kwalunkwe miżura mmirata lejn il-monitoraġġ tar-riskji tal-fornitur terz kritiku ta’ servizzi tal-ICT u jenħtieġ li, f’dak ir-rigward, jiddependu fuq il-valutazzjoni tas-Sorveljant Ewlieni rilevanti. Jenħtieġ li kwalunkwe miżura fi kwalunkwe każ tiġi kkoordinata u maqbula minn qabel mas-Sorveljant Ewlieni fil-kuntest tal-eżerċizzju tal-kompiti fil-Qafas ta’ Sorveljanza.

(94)

Sabiex tiġi promossa l-konverġenza fil-livell internazzjonali fir-rigward tal-użu tal-aħjar prattiki fir-rieżami u l-monitoraġġ tal-ġestjoni tar-riskju diġitali tal-fornituri terzi ta’ servizzi tal-ICT, jenħtieġ li l-ASE jiġu mħeġġa jikkonkludu arranġamenti ta’ kooperazzjoni mal-awtoritajiet superviżorji u regolatorji rilevanti ta’ pajjiżi terzi.

(95)

Sabiex jiġu sfruttati l-kompetenzi speċifiċi, il-ħiliet tekniċi u l-għarfien espert tal-persunal li jispeċjalizza fir-riskju operazzjonali u tal-ICT fi ħdan l-awtoritajiet kompetenti, it-tliet ASE u, fuq bażi volontarja, l-awtoritajiet kompetenti skont id-Direttiva (UE) 2022/2555, is-Sorveljant Ewlieni jenħtieġ li jibbaża fuq il-kapaċitajiet superviżorji u l-għarfien nazzjonali u jistabbilixxi timijiet ta’ eżaminazzjoni ddedikati għal kull fornitur terz kritiku ta’ servizzi tal-ICT, li jiġbru flimkien timijiet multidixxiplinari b’appoġġ għat-tħejjija u t-twettiq ta’ attivitajiet ta’ sorveljanza, inkluż investigazzjonijiet u spezzjonijiet ġenerali ta’ fornituri terzi kritiċi ta’ servizzi tal-ICT, kif ukoll għal kwalunkwe segwitu meħtieġ għalihom.

(96)

Filwaqt li l-kostijiet li jirriżultaw minn kompiti ta’ sorveljanza jkunu ffinanzjati kompletament minn tariffi imposti fuq fornituri terzi kritiċi ta’ servizzi tal-ICT, l-ASE, madankollu, x’aktarx li jġarrbu, qabel il-bidu tal-Qafas ta’ Sorveljanza, kostijiet għall-implimentazzjoni ta’ sistemi tal-ICT iddedikati li jappoġġjaw is-sorveljanza mistennija, peress li jkun meħtieġ li jiġu żviluppati u implimentati minn qabel sistemi tal-ICT iddedikati. Dan ir-Regolament għalhekk jipprevedi mudell ta’ finanzjament ibridu, fejn il-Qafas ta’ Sorveljanza, bħala tali, ikun iffinanzjat kompletament mit-tariffi, filwaqt li l-iżvilupp tas-sistemi tal-ICT tal-ASE jiġi ffinanzjat mill-kontribuzzjonijiet tal-Unjoni u tal-awtoritajiet kompetenti nazzjonali.

(97)

Jenħtieġ li l-awtoritajiet kompetenti jkollhom is-setgħat superviżorji, investigattivi u ta’ sanzjonar kollha meħtieġa biex jiżguraw l-eżerċizzju xieraq tad-dmirijiet tagħhom skont dan ir-Regolament. Fil-prinċipju, jenħtieġ li jippubblikaw avviżi dwar il-penali amministrattivi li jimponu. Peress li l-entitajiet finanzjarji u l-fornituri terzi ta’ servizzi tal-ICT jistgħu jiġu stabbiliti fi Stati Membri differenti u ssorveljati minn awtoritajiet kompetenti differenti, jenħtieġ li l-applikazzjoni ta’ dan ir-Regolament tiġi ffaċilitata, minn naħa, permezz ta’ kooperazzjoni mill-qrib bejn l-awtoritajiet kompetenti rilevanti, inkluż il-BĊE fir-rigward ta’ kompiti speċifiċi kkonferiti lilu bir-Regolament tal-Kunsill (UE) Nru 1024/2013, u, min-naħa l-oħra, permezz ta’ konsultazzjoni mal-ASE permezz tal-iskambju reċiproku ta’ informazzjoni u l-għoti ta’ assistenza fil-kuntest ta’ attivitajiet superviżorji rilevanti.

(98)

Sabiex il-kriterji għad-deżinjazzjoni ta’ fornituri terzi ta’ servizzi tal-ICT jiġu kkwantifikati u kkwalifikati aktar bħala kritiċi u biex jiġu armonizzati t-tariffi tas-sorveljanza, jenħtieġ li tiġi ddelegata lill-Kummissjoni s-setgħa li tadotta atti f’konformità mal-Artikolu 290 TFUE biex tissupplimenta dan ir-Regolament billi tispeċifika aktar l-impatt sistemiku li falliment jew qtugħ operazzjonali ta’ fornitur terz ta’ servizzi tal-ICT jista’ jkollu fuq l-entitajiet finanzjarji li lilhom jipprovdi servizzi tal-ICT, l-għadd ta’ istituzzjonijiet globali sistemikament importanti (G-SIIs), jew istituzzjonijiet oħra sistemikament importanti (O-SIIs), li jiddependu fuq il-fornitur terz ta’ servizzi tal-ICT inkwistjoni, l-għadd ta’ fornituri terzi ta’ servizzi tal-ICT attivi f’suq partikolari, il-kostijiet tal-migrazzjoni tad-data u t-tagħbijiet ta’ xogħol tal-ICT għal fornituri terzi oħra ta’ servizzi tal-ICT, kif ukoll l-ammont tat-tariffi ta’ sorveljanza u l-mod li bih għandhom jitħallsu. Huwa partikolarment importanti li l-Kummissjoni twettaq konsultazzjonijiet xierqa matul il-ħidma preparatorja tagħha, inkluż fil-livell ta’ esperti, u li dawk il-konsultazzjonijiet jitwettqu f’konformità mal-prinċipji stabbiliti fil-Ftehim Interistituzzjonali tat-13 ta’ April 2016 dwar it-Tfassil Aħjar tal-Liġijiet (22). B’mod partikolari, biex tiġi żgurata parteċipazzjoni ugwali fit-tħejjija ta’ atti delegati, jenħtieġ li l-Parlament Ewropew u l-Kunsill jirċievu d-dokumenti kollha fl-istess ħin li jirċevuhom l-esperti tal-Istati Membri, u jenħtieġ li l-esperti tagħhom ikollhom aċċess sistematiku għal-laqgħat tal-gruppi tal-esperti tal-Kummissjoni li jittrattaw it-tħejjija ta’ atti delegati.

(99)

L-istandards tekniċi regolatorji jenħtieġ li jiżguraw armonizzazzjoni konsistenti tar-rekwiżiti stabbiliti f’dan ir-Regolament. Fir-rwoli tagħhom bħala korpi mogħnija b’kompetenza esperta speċjalizzata ħafna, l-ASE jenħtieġ li jiżviluppaw abbozzi ta’ standards tekniċi regolatorji li ma jinvolvux għażliet ta’ politika, biex jiġu ppreżentati lill-Kummissjoni. Jenħtieġ li jiġu żviluppati standards tekniċi regolatorji fl-oqsma tal-ġestjoni tar-riskju tal-ICT, ir-rappurtar ta’ inċidenti kbar relatati mal-ICT, l-ittestjar, kif ukoll fir-rigward tar-rekwiżiti ewlenin għal monitoraġġ tajjeb tar-riskju relatat mal-ICT minn partijiet terzi. Il-Kummissjoni u l-ASE jenħtieġ li jiżguraw li dawk l-istandards u r-rekwiżiti jkunu jistgħu jiġu applikati mill-entitajiet finanzjarji kollha b’mod li jkun proporzjonat għad-daqs u l-profil tar-riskju ġenerali tagħhom, u n-natura, l-iskala u l-kumplessità tas-servizzi, l-attivitajiet u l-operazzjonijiet tagħhom. Il-Kummissjoni jenħtieġ li tingħata s-setgħa tadotta dawk l-istandards tekniċi regolatorji permezz ta’ atti delegati skont l-Artikolu 290 TFUE u skont l-Artikoli 10 sa 14 tar-Regolamenti (UE) Nru 1093/2010, (UE) Nru 1094/2010 u (UE) Nru 1095/2010.

(100)

Sabiex tiġi ffaċilitata l-komparabbiltà tar-rapporti dwar inċidenti kbar relatati mal-ICT u inċidenti operazzjonali jew tas-sigurtà kbar relatati mal-pagamenti, kif ukoll biex tiġi żgurata t-trasparenza fir-rigward tal-arranġamenti kuntrattwali għall-użu ta’ servizzi tal-ICT ipprovduti minn fornituri terzi ta’ servizzi tal-ICT, jenħtieġ li l-ASE jiżviluppaw abbozzi ta’ standards tekniċi ta’ implimentazzjoni li jistabbilixxu mudelli, formoli u proċeduri standardizzati għall-entitajiet finanzjarji biex jirrappurtaw inċident kbir relatat mal-ICT u inċident operazzjonali jew tas-sigurtà kbir relatat mal-pagamenti, kif ukoll mudelli standardizzati għar-reġistru tal-informazzjoni. Meta jiżviluppaw dawk l-istandards, l-ASE jenħtieġ li jqisu wkoll id-daqs u l-profil ġenerali tar-riskju tal-entità finanzjarja, u n-natura, l-iskala u l-kumplessità tas-servizzi, l-attivitajiet u l-operazzjonijiet tagħha. Il-Kummissjoni jenħtieġ li tingħata s-setgħa tadotta dawk l-istandards tekniċi ta’ implimentazzjoni permezz ta’ atti ta’ implimentazzjoni skont l-Artikolu 291 TFUE u skont l-Artikolu 15 tar-Regolamenti (UE) Nru 1093/2010, (UE) Nru 1094/2010 u (UE) Nru 1095/2010.

(101)

Peress li diġà ġew speċifikati aktar rekwiżiti permezz ta’ atti delegati u ta’ implimentazzjoni bbażati fuq standards tekniċi regolatorji u standards tekniċi ta’ implimentazzjoni fir-Regolamenti (KE) Nru 1060/2009 (23), (UE) Nru 648/2012 (24), (UE) Nru 600/2014 (25) u (UE) Nru 909/2014 (26) tal-Parlament Ewropew u tal-Kunsill, huwa xieraq li l-ASE jingħataw mandat, individwalment jew b’mod konġunt permezz tal-Kumitat Konġunt, biex jissottomettu standards tekniċi regolatorji u ta’ implimentazzjoni lill-Kummissjoni għall-adozzjoni ta’ atti delegati u ta’ implimentazzjoni li jittrasferixxu u jaġġornaw ir-regoli eżistenti tal-ġestjoni tar-riskju tal-ICT.

(102)

Billi dan ir-Regolament, flimkien mad-Direttiva (UE) 2022/2556 tal-Parlament Ewropew u tal-Kunsill (27), jinvolvi konsolidazzjoni tad-dispożizzjonijiet tal-ġestjoni tar-riskju tal-ICT f’diversi regolamenti u direttivi tal-acquis tal-Unjoni dwar is-servizzi finanzjarji, inkluż ir-Regolamenti (KE) Nru 1060/2009, (UE) Nru 648/2012, (UE) Nru 600/2014 u (UE) Nru 909/2014, u r-Regolament (UE) 2016/1011 tal-Parlament Ewropew u tal-Kunsill (28), sabiex tiġi żgurata konsistenza sħiħa, dawk ir-Regolamenti jenħtieġ li jiġu emendati biex jiġi ċċarat li d-dispożizzjonijiet applikabbli relatati mar-riskju tal-ICT huma stabbiliti f’dan ir-Regolament.

(103)

Konsegwentement, il-kamp ta’ applikazzjoni tal-artikoli rilevanti relatati mar-riskju operazzjonali, li abbażi tagħhom is-setgħat stabbiliti fir-Regolamenti (KE) Nru 1060/2009, (UE) Nru 648/2012, (UE) Nru 600/2014, (UE) Nru 909/2014, u (UE) 2016/1011 kienu taw mandat għall-adozzjoni ta’ atti delegati u ta’ implimentazzjoni, jenħtieġ li jitnaqqas bil-ħsieb li jiġu riportati f’dan ir-Regolament id-dispożizzjonijiet kollha li jkopru l-aspetti tar-reżiljenza operazzjonali diġitali li llum huma parti minn dawk ir-Regolamenti.

(104)

Ir-riskju ċibernetiku sistemiku potenzjali assoċjat mal-użu tal-infrastrutturi tal-ICT li jippermettu t-tħaddim ta’ sistemi ta’ pagament u l-forniment ta’ attivitajiet ta’ pproċessar ta’ pagamenti jenħtieġ li jiġu indirizzati kif xieraq fil-livell tal-Unjoni permezz ta’ regoli armonizzati dwar ir-reżiljenza diġitali. Għal dak il-għan, jenħtieġ li l-Kummissjoni tivvaluta malajr il-ħtieġa għal rieżami tal-kamp ta’ applikazzjoni ta’ dan ir-Regolament filwaqt li tallinja tali rieżami mal-eżitu tar-rieżami komprensiv previst skont id-Direttiva (UE) 2015/2366. L-għadd kbir ta’ attakki fuq skala kbira matul dawn l-aħħar għaxar snin juru kif is-sistemi ta’ pagament saru esposti għal theddid ċibernetiku. Imqiegħda fil-qalba tal-katina tas-servizzi ta’ pagament u filwaqt li juru interkonnessjonijiet b’saħħithom mas-sistema finanzjarja ġenerali, is-sistemi ta’ pagament u l-attivitajiet ta’ pproċessar ta’ pagamenti kisbu sinifikat kritiku għall-funzjonament tas-swieq finanzjarji tal-Unjoni. L-attakki ċibernetiċi fuq sistemi bħal dawn jistgħu jikkawżaw tfixkil operazzjonali serju fin-negozju b’riperkussjonijiet diretti fuq funzjonijiet ekonomiċi ewlenin, bħall-faċilitazzjoni tal-pagamenti, u effetti indiretti fuq proċessi ekonomiċi relatati. Sakemm jiġu stabbiliti reġim armonizzat u s-superviżjoni tal-operaturi tas-sistemi ta’ pagament u tal-entitajiet ta’ pproċessar fil-livell tal-Unjoni, l-Istati Membri jistgħu, bil-ħsieb li japplikaw prattiki tas-suq simili, jieħdu ispirazzjoni mir-rekwiżiti tar-reżiljenza operazzjonali diġitali stabbiliti minn dan ir-Regolament, meta japplikaw regoli għall-operaturi ta’ sistemi ta’ pagament u għall-entitajiet ta’ pproċessar taħt is-superviżjoni tal-ġuriżdizzjonijiet tagħhom stess.

(105)

Minħabba li l-objettiv ta’ dan ir-Regolament, jiġifieri li jinkiseb livell għoli ta’ reżiljenza operazzjonali diġitali għall-entitajiet finanzjarji regolati, ma jistax jinkiseb b’mod suffiċjenti mill-Istati Membri minħabba li jirrikjedi l-armonizzazzjoni ta’ diversi regoli differenti fil-liġi tal-Unjoni u dik nazzjonali, iżda jista’ pjuttost, minħabba l-iskala u l-effetti tiegħu, jinkiseb aħjar fil-livell tal-Unjoni, l-Unjoni tista’ tadotta miżuri f’konformità mal-prinċipju tas-sussidjarjetà kif stabbilit fl-Artikolu 5 tat-Trattat dwar l-Unjoni Ewropea. F’konformità mal-prinċipju tal-proporzjonalità, kif stabbilit f’dak l-Artikolu, dan ir-Regolament ma jmurx lil hinn minn dak li huwa meħtieġ sabiex jinkiseb dak l-objettiv.

(106)

Il-Kontrollur Ewropew għall-Protezzjoni tad-Data ġie kkonsultat f’konformità mal-Artikolu 42(1) tar-Regolament (UE) 2018/1725 tal-Parlament Ewropew u tal-Kunsill (29) u ta l-opinjoni tiegħu fl-10 ta’ Mejju 2021 (30),

(1)

Id-Direttiva (UE) 2016/1148 tal-Parlament Ewropew u tal-Kunsill (4) kellha l-għan li tibni l-kapaċitajiet taċ-ċibersigurtà madwar l-Unjoni, li timmitiga t-theddid għan-network u s-sistemi tal-informazzjoni użati biex jipprovdu servizzi essenzjali f'setturi ewlenin, u li tiżgura l-kontinwità ta' tali servizzi meta jiffaċċjaw inċidenti, u b'hekk tikkontribwixxi għas-sigurtà tal-Unjoni u għall-funzjonament effettiv tal-ekonomija u s-soċjetà tagħha .

(2)

Mid-dħul fis-seħħ tad-Direttiva (UE) 2016/1148, sar progress sinifikanti biex jiżdied il-livell tar-reżiljenza ċibernetika tal-Unjoni. Ir-rieżami ta' dik id-Direttiva wera li serviet ta' katalist għall-approċċ istituzzjonali u regolatorju għaċ-ċibersigurtà fl-Unjoni, u b'hekk wittiet it-triq għal bidla sinifikanti fil-mentalità. Dik id-Direttiva żgurat it-tlestija tal-oqfsa nazzjonali dwar is-sigurtà tan-networks u tas-sistemi tal-informazzjoni billi stabbiliet strateġiji nazzjonali dwar is-sigurtà tan-networks u tas-sistemi tal-informazzjoni u billi stabbiliet kapaċitajiet nazzjonali u implimentat miżuri regolatorji li jkopru l-infrastrutturi essenzjali u l-entitajiet identifikati minn kull Stat Membru. Id-Direttiva (UE) 2016/1148 ikkontribwiet ukoll għall-kooperazzjoni fil-livell tal-Unjoni permezz tal-istabbiliment tal-Grupp ta' Kooperazzjoni u n-network ta' skwadri nazzjonali ta' rispons għal inċidenti relatati mas-sigurtà tal-kompjuters. Minkejja dawk il-kisbiet, ir-rieżami tad-Direttiva (UE) 2016/1148 żvela nuqqasijiet inerenti li jostakolawha milli tindirizza b'mod effettiv l-isfidi attwali u emerġenti taċ-ċibersigurtà.

(3)

In-network u s-sistemi tal-informazzjoni żviluppaw f'karatteristika ċentrali tal-ħajja ta' kuljum bit-trasformazzjoni diġitali rapida u l-interkonnettività tas-soċjetà, inkluż fi skambji transfruntieri. Dak l-iżvilupp wassal għal espansjoni tax-xenarju tat-theddid ċibernetiku, li rriżulta fi sfidi ġodda, li jeħtieġu risponsi adattati, ikkoordinati u innovattivi fl-Istati Membri kollha. L-għadd, id-daqs, is-sofistikazzjoni, il-frekwenza u l-impatt tal-inċidenti qed jiżdiedu, u qed jippreżentaw theddida mill-akbar għall-funzjonament tan-network u s-sistemi tal-informazzjoni. B'riżultat ta' dan, l-inċidenti jistgħu jostakolaw it-twettiq ta' attivitajiet ekonomiċi fis-suq intern, jiġġeneraw telf finanzjarju, jimminaw il-kunfidenza tal-utenti u jikkawżaw ħsara kbira lill-ekonomija u lis-soċjetà tal-Unjoni. Għalhekk, l-istat ta' tħejjija u l-effettività taċ-ċibersigurtà issa huma essenzjali aktar minn qatt qabel għall-funzjonament tajjeb tas-suq intern. Barra minn hekk, iċ-ċibersigurtà hija faċilitatur ewlieni biex ħafna setturi kritiċi jħaddnu b'suċċess it-trasformazzjoni diġitali u jieħdu vantaġġ sħiħ mill-benefiċċji ekonomiċi, soċjali u sostenibbli tad-diġitalizzazzjoni.

(4)

Il-bażi ġuridika tad-Direttiva (UE) 2016/1148 kienet l-Artikolu 114 tat-Trattat dwar il-Funzjonament tal-Unjoni Ewropea (TFUE), li l-objettiv tiegħu huwa l-istabbiliment u l-funzjonament tas-suq intern permezz tat-tisħiħ tal-miżuri għall-approssimazzjoni tar-regoli nazzjonali. Ir-rekwiżiti taċ-ċibersigurtà imposti fuq l-entitajiet li jipprovdu servizzi jew li jwettqu attivitajiet li huma ekonomikament sinifkanti jvarjaw b'mod konsiderevoli fost l-Istati Membri mil-lat ta' tip ta' rekwiżit, il-livell ta' dettall tagħhom u l-metodu tas-superviżjoni. Dawk id-differenzi jinvolvu kostijiet addizzjonali u joħolqu diffikultajiet għall-entitajiet li joffru prodotti jew servizzi transfruntieri. Rekwiżiti imposti minn Stat Membru li huma differenti minn dawk imposti minn Stat Membru ieħor, jew saħansitra f'kunflitt magħhom, jistgħu jaffettwaw b'mod sostanzjali tali attivitajiet transfruntieri. Barra minn hekk, il-possibbiltà ta' tfassil jew implimentazzjoni inadegwati ta' rekwiżiti taċ-ċibersigurtà fi Stat Membru wieħed aktarx ikollha riperkussjonijiet fuq il-livell taċ-ċibersigurtà ta' Stati Membri oħra, b'mod partikolari minħabba l-intensità tal-iskambji transfruntieri. Ir-rieżami tad-Direttiva (UE) 2016/1148 wera diverġenza wiesgħa fl-implimentazzjoni tagħha mill-Istati Membri, inkluż fir-rigward tal-kamp ta' applikazzjoni tagħha, minħabba li l-Istati Membri ngħataw livell għoli ta' diskrezzjoni dwar id-delimitazzjoni tiegħu. Id-Direttiva (UE) 2016/1148 tat ukoll diskrezzjoni wiesgħa ħafna lill-Istati Membri fir-rigward tal-implimentazzjoni tal-obbligi ta' rapportar dwar is-sigurtà u l-inċidenti, stipulati fiha. Għalhekk, dawk l-obbligi ġew implimentati b'modi ferm differenti fil-livell nazzjonali. Jeżistu diverġenzi simili fl-implimentazzjoni tad-dispożizzjonijiet tad-Direttiva (UE) 2016/1148 dwar s-superviżjoni u l-infurzar.

(5)

Dawk id-diverġenzi kollha jinvolvu frammentazzjoni tas-suq intern u jistgħu jħallu effett preġudizzjarju fuq il-funzjonament tiegħu, li jaffettwa b'mod partikolari l-forniment transfruntier ta' servizzi u l-livell ta' reżiljenza ċibernetika minħabba l-applikazzjoni ta' varjetà ta' miżuri. Fl-aħħar mill-aħħar, dawn id-diverġenzi jistgħu jwasslu biex xi Stati Membri jsiru aktar vulnerabbli għat-theddid ċibernetiku, b'effetti konsegwenzjali potenzjali fl-Unjoni kollha. Din id-Direttiva għandha l-għan li telimina dawn id-diverġenzi wiesgħa minn fost l-Istati Membri, b'mod partikolari billi tistabbilixxi regoli minimi dwar il-funzjonament ta' qafas regolatorju kkoordinat, billi tistabbilixxi mekkaniżmi għal kooperazzjoni effettiva fost l-awtoritajiet responsabbli f'kull Stat Membru, billi taġġorna l-lista ta' setturi u attivitajiet soġġetti għall-obbligi taċ-ċibersigurtà u billi tipprovdi rimedji u miżuri ta' infurzar effettivi li huma kruċjali għall-infurzar effettiv ta' dawk l-obbligi. Għalhekk, id-Direttiva (UE) 2016/1148 jenħtieġ titħassar u tiġi sostitwita b'din id-Direttiva.

(6)

Bir-revoka tad-Direttiva (UE) 2016/1148, il-kamp ta' applikazzjoni skont is-setturi jenħtieġ li jiġi estiż għal parti akbar tal-ekonomija biex jipprovdu kopertura komprensiva tas-setturi u s-servizzi ta' importanza fundamentali għall-attivitajiet soċjetali u ekonomiċi ewlenin fis-suq intern. B'mod partikolari, din id-Direttiva għandha l-għan li tegħleb in-nuqqasijiet tad-divrenzjar bejn operaturi ta' servizzi essenzjali u fornituri ta' servizzi diġitali, li ntwera b'mod ċar li huwa obsolet, għax ma jirriflettix l-importanza tas-setturi jew tas-servizzi għall-attivitajiet soċjetali u ekonomiċi fis-suq intern.

(7)

Taħt id-Direttiva (UE) 2016/1148, l-Istati Membri kellhom ir-responsabbiltà li jidentifikaw l-entitajiet li kienu jissodisfaw il-kriterji biex jikkwalifikaw bħala operaturi ta' servizzi essenzjali. Biex jiġu eliminati d-diverġenzi wiesgħa fost l-Istati Membri f'dak ir-rigward u tiġi żgurata ċ-ċertezza legali fir-rigward tal-miżuri tal-ġestjoni tar-riskji taċ-ċibersigurtà u l-obbligi ta' rapportar għall-entitajiet rilevanti kollha, jenħtieġ li jiġi stabbilit kriterju uniformi li jiddetermina l-entitajiet li jaqgħu fil-kamp ta' applikazzjoni ta' din id-Direttiva. Dak il-kriterju jenħtieġ li jikkonsisti fl-applikazzjoni ta' regola dwar id-daqs massimu, fejn l-entitajiet kollha li jikkwalifikaw bħala intrapriżi żgħar u ta' daqs medju skont l-Artikolu 2 tal-Anness tar-Rakkomandazzjoni tal-Kummissjoni 2003/361/KE (5), jew jaqbżu l-limitu massimu għal intrapriżi żgħar u ta' daqs medju previst fil-paragrafu 1 ta' dak l-Artikolu, u li joperaw fis-setturi u jipprovdu t-tipi ta' servizz jew iwettqu l-attivitajiet koperti minn din id-Direttiva, jaqgħu fil-kamp ta' applikazzjoni tagħha. Jenħtieġ li l-Istati Membri jipprevedu wkoll ċerti intrapriżi żgħar u mikrointrapriżi, kif definit fl-Artikolu 2(2) u (3) ta' dak l-Anness li jissodisfaw kriterji speċifiċi li jindikaw rwol ewlieni għas-soċjetà għall-ekonomiji jew għal setturi jew tipi ta' servizz partikolari jaqgħu fil-kamp ta' applikazzjoni ta' din id-Direttiva.

(8)

L-esklużjoni tal-entitajiet tal-amministrazzjoni pubblika mill-kamp ta' applikazzjoni ta' din id-Direttiva jenħtieġ li tapplika għall-entitajiet li l-attivitajiet tagħhom jitwettqu fil-biċċa l-kbira fl-oqsma tas-sigurtà nazzjonali, is-sigurtà pubblika, id-difiża jew l-infurzar tal-liġi, inkluż il-prevenzjoni, l-investigazzjoni, id-detezzjoni u l-prosekuzzjoni ta' reati kriminali. Madankollu, l-entitajiet tal-amministrazzjoni pubblika li l-attivitajiet tagħhom huma biss marġinalment relatati ma' dawk l-oqsma jenħtieġ li ma jiġux esklużi mill-kamp ta' applikazzjoni ta' din id-Direttiva. Għall-finijiet ta' din id-Direttiva, entitajiet b'kompetenzi regolatorji mhumiex ikkunsidrati li jwettqu attivitajiet fil-qasam tal-infurzar tal-liġi u, għalhekk, mhumiex esklużi għal dik ir-raġuni mill-kamp ta' applikazzjoni ta' din id-Direttiva. L-entitajiet tal-amministrazzjoni pubblika li huma stabbiliti b'mod konġunt ma' pajjiż terz f'konformità ma' ftehim internazzjonali huma esklużi mill-kamp ta' applikazzjoni ta' din id-Direttiva. Din id-Direttiva ma tapplikax għall-missjonijiet diplomatiċi u konsulari tal-Istati Membri f'pajjiżi terzi jew għan-networks u s-sistemi tal-informazzjoni tagħhom, meta tali sistemi jkunu lokalizzati fil-bini tal-missjoni jew jitħaddmu għal utenti f'pajjiż terz.

(9)

Jenħtieġ li l-Istati Membri jkunu jistgħu jieħdu l-miżuri meħtieġa biex jiżguraw il-protezzjoni tal-interessi essenzjali tas-sigurtà nazzjonali, jissalvagwardjaw il-politika pubblika u s-sigurtà pubblika, u jippermettu l-prevenzjoni, l-investigazzjoni, id-detezzjoni u l-prosekuzzjoni ta' reati kriminali. Għal dak il-għan, jenħtieġ li l-Istati Membri jkunu jistgħu jeżentaw lil entitajiet speċifiċi li jwettqu attivitajiet fl-oqsma tas-sigurtà nazzjonali, is-sigurtà pubblika, id-difiża jew l-infurzar tal-liġi, inkluż il-prevenzjoni, l-investigazzjoni, id-detezzjoni u l-prosekuzzjoni ta' reati kriminali, minn ċerti obbligi stipulati f'din id-Direttiva fir-rigward ta' dawk l-attivitajiet. Fejn entità tipprovdi servizzi esklużivament lil entità tal-amministrazzjoni pubblika eskluża mill-kamp ta' applikazzjoni ta' din id-Direttiva, jenħtieġ li l-Istati Membri jkunu jistgħu jeżentaw lil dik l-entità minn ċerti obbligi stipulati f'din id-Direttiva fir-rigward ta' dawk is-servizzi. Barra minn hekk, jenħtieġ li l-ebda Stat Membru ma jkun obbligat jipprovdi informazzjoni li d-divulgazzjoni tagħha tista' tmur kontra l-interessi essenzjali tas-sigurtà nazzjonali, is-sigurtà pubblika jew id-difiża tiegħu. Ir-regoli nazzjonali jew tal-Unjoni għall-protezzjoni tal-informazzjoni klassifikata, il-ftehimiet ta' nondivulgazzjoni, u l-ftehimiet ta' nondivulgazzjoni informali bħall-protokoll dwar il-kondiviżjoni tal-informazzjoni (Traffic Light Protocol), għandhom jitqiesu f'dak il-kuntest. Jenħtieġ li l-protokoll dwar il-kondiviżjoni tal-informazzjoni jinftiehem li huwa mezz biex tingħata informazzjoni dwar kwalunkwe limitazzjoni rigward it-tixrid ulterjuri tal-istess informazzjoni. Jintuża kważi fl-iskwadri ta' rispons għal inċidenti relatati mas-sigurtà tal-kompjuters (CSIRTs) kollha u f'xi ċentri tal-kondiviżjoni u tal-analiżi tal-informazzjoni.

(10)

Għalkemm din id-Direttiva tapplika għall-entitajiet li jwettqu attivitajiet fil-produzzjoni tal-elettriku minn impjanti tal-enerġija nukleari, uħud minn dawk l-attivitajiet jistgħu jkunu marbuta mas-sigurtà nazzjonali. F'dan il-każ, Stat Membru jenħtieġ li jkun jista' jeżerċita r-responsabbiltà tiegħu għas-salvagwardja tas-sigurtà nazzjonali fir-rigward ta' dawk l-attivitajiet, inklużi attivitajiet fil-katina tal-valur nukleari, f'konformità mat-Trattati.

(11)

Xi entitajiet iwettqu attivitajiet fl-oqsma tas-sigurtà nazzjonali, is-sigurtà pubblika, id-difiża jew l-infurzar tal-liġi, inkluż il-prevenzjoni, l-investigazzjoni, id-detezzjoni jew il-prosekuzzjoni ta' reati kriminali, filwaqt li jipprovdu wkoll servizzi fiduċjarji. Il-fornituri ta' servizzi fiduċjarji li jaqgħu fil-kamp ta' applikazzjoni tar-Regolament (UE) Nru 910/2014 tal-Parlament Ewropew u tal-Kunsill (6) jenħtieġ li jaqgħu fil-kamp ta' applikazzjoni ta' din id-Direttiva sabiex jiġi żgurat l-istess livell ta' rekwiżiti tas-sigurtà u superviżjoni bħal dak stabbilit preċedentement f'dak ir-Regolament fir-rigward ta' fornituri ta' servizzi fiduċjarji. F'konformità mal-esklużjoni ta' ċerti servizzi speċifiċi mir-Regolament (UE) Nru 910/2014, jenħtieġ li din id-Direttiva ma tapplikax għall-forniment ta' servizzi fiduċjarji li jintużaw esklużivament f'sistemi magħluqa li jirriżultaw mil-liġi nazzjonali jew minn ftehimiet bejn grupp ta' parteċipanti definit.

(12)

Il-fornituri tas-servizzi postali kif definiti fid-Direttiva 97/67/KE tal-Parlament Ewropew u tal-Kunsill (7), inklużi l-fornituri ta' servizzi tal-kurrier, jenħtieġ li jkunu soġġetti għal din id-Direttiva jekk jipprovdu mill-inqas wieħed mill-istadji fil-katina tat-twassil postali, b'mod partikolari l-ikklerjar, l-issortjar, it-trasport jew id-distribuzzjoni ta' oġġetti postali, inklużi servizzi ta' ġbir, filwaqt li jitqies il-livell ta' dipendenza li jkollhom minn sistemi ta' networks u ta' informazzjoni. Is-servizzi tat-trasport li ma jitwettqux flimkien ma' wieħed minn dawk il-passi jenħtieġ li jkunu esklużi mill-ambitu tas-servizzi postali.

(13)

Fid-dawl tal-intensifikazzjoni u ż-żieda fis-sofistikazzjoni tat-theddid ċibernetiku, jenħtieġ li l-Istati Membri jistinkaw biex jiżguraw li l-entitajiet esklużi mill-kamp ta' applikazzjoni ta' din id-Direttiva jiksbu livell għoli ta' ċibersigurtà, u jappoġġaw l-implimentazzjoni ta' miżuri ta' ġestjoni tar-riskju taċ-ċibersigurtà ekwivalenti li jirriflettu n-natura sensittiva ta' dawk l-entitajiet.

(14)

Il-liġi tal-Unjoni dwar il-protezzjoni tad-data u l-liġi tal-Unjoni dwar il-privatezza tapplika għal kwalunkwe pproċessar tad-data personali skont din id-Direttiva. B'mod partikolari, din id-Direttiva hija mingħajr preġudizzju għar-Regolament (UE) 2016/679 tal-Parlament Ewropew u tal-Kunsill (8) u d-Direttiva 2002/58/KE tal-Parlament Ewropew u tal-Kunsill (9). Għaldaqstant jenħtieġ li din id-Direttiva ma taffettwax, fost l-oħrajn, il-kompiti u s-setgħat tal-awtoritajiet kompetenti għall-monitoraġġ tal-konformità mal-liġi applikabbli tal-Unjoni dwar il-protezzjoni tad-data u l-liġi tal-Unjoni dwar il-privatezza.

(15)

L-entitajiet li jaqgħu fil-kamp ta' applikazzjoni ta' din id-Direttiva għal finijiet ta' konformità mal-miżuri ta' ġestjoni tar-riskji taċ-ċibersigurtà u l-obbligi ta' rapportar jenħtieġ li jiġu kklassifikati f'żewġ kategoriji, jiġifieri entitajiet essenzjali u entitajiet importanti, li jirriflettu l-livell ta' kritikalità tagħhom rigward tas-settur tagħhom jew tat-tip ta' servizz li joffru, kif ukoll id-daqs tagħhom. F'dan ir-rigward, jenħtieġ li jittieħed kont debitu ta' kwalunkwe valutazzjoni tar-riskju jew gwida settorjali rilevanti mill-awtoritajiet kompetenti, fejn applikabbli. Ir-reġimi superviżorji u ta' infurzar għal dawn iż-żewġ kategoriji ta' entitajiet jenħtieġ li jiġu divrenzjati biex jiġi żgurat bilanċ ġust bejn ir-rekwiżiti u l-obbligi bbażati fuq ir-riskju minn naħa, u l-piż amministrattiv li jirriżulta mis-superviżjoni tal-konformità min-naħa l-oħra.

(16)

Sabiex jiġi evitat li entitajiet li għandhom intrapriżi sħab jew li huma intrapriżi assoċjati jitqiesu bħala entitajiet essenzjali jew importanti fejn dan ikun sproporzjonat, l-Istati Membri jistgħu jqisu l-grad ta' indipendenza li entità tgawdi fir-rigward tas-sieħba tagħha jew ta' intrapriżi relatati fl-applikazzjoni tal-Artikolu 6(2) tal-Anness tar-Rakkomandazzjoni 2003/361/KE. B'mod partikolari, l-Istati Membri jistgħu jqisu l-fatt li entità hija indipendenti mis-sieħba tagħha jew mill-intrapriżi assoċjati tagħha f'termini tan-networks u tas-sistemi tal-informazzjoni li dik l-entità tuża fil-forniment tas-servizzi tagħha u f'termini tas-servizzi li tipprovdi l-entità. Fuq dik il-bażi, meta jkun xieraq, l-Istati Membri jistgħu jikkunsidraw li tali entità ma tikkwalifikax bħala intrapriża ta' daqs medju skont l-Artikolu 2 tal-Anness tar-Rakkomandazzjoni 2003/361/KE, jew ma taqbiżx il-limiti massimi għal impriża ta' daqs medju previsti fil-paragrafu 1 ta' dak l-Artikolu, jekk, wara li jittieħed kont tal-grad ta' indipendenza ta' dik l-entità, dik l-entità ma tkunx ġiet ikkunsidrata li tikkwalifika bħala intrapriża ta' daqs medju jew li taqbeż dawk il-limiti massimi fil-każ li tkun ittieħdet inkunsiderazzjoni biss id-data tagħha stess. Dan ma jaffettwax l-obbligi stipulati f'din id-Direttiva tal-intrapriżi sħab u assoċjati li jaqgħu fil-kamp ta' applikazzjoni ta' din id-Direttiva.

(17)

L-Istati Membri jenħtieġ li jkunu jistgħu jiddeċiedu li l-entitajiet identifikati qabel id-dħul fis-seħħ ta' din id-Direttiva bħala operaturi ta' servizzi essenzjali f'konformità mad-Direttiva (UE) 2016/1148 jitqiesu bħala entitajiet essenzjali.

(18)

Sabiex tiġi żgurata ħarsa ġenerali ċara tal-entitajiet li jaqgħu fil-kamp ta' applikazzjoni ta' din id-Direttiva, jenħtieġ li l-Istati Membri jistabbilixxu lista ta' entitajiet essenzjali u importanti kif ukoll entitajiet li jipprovdu servizzi ta' reġistrazzjoni ta' ismijiet ta' dominji. Għal dak l-iskop, jenħtieġ li l-Istati Membri jitolbu lill-entitajiet jissottomettu mill-inqas l-informazzjoni li ġejja lill-awtoritajiet kompetenti, jiġifieri, l-isem, l-indirizz u d-dettalji ta' kuntatt aġġornati, inklużi l-indirizzi tal-posta elettronika, il-meded tal-IP u n-numri tat-telefon tal-entità, u, fejn applikabbli, is-settur u s-sottosettur rilevanti msemmija fl-annessi, kif ukoll, fejn applikabbli, lista tal-Istati Membri fejn jipprovdu servizzi li jaqgħu fil-kamp ta' applikazzjoni ta' din id-Direttiva. Għal dak il-għan jenħtieġ li l-Kummissjoni, bl-għajnuna tal-Aġenzija tal-Unjoni Ewropea għaċ-Ċibersigurtà (ENISA), tipprovdi, mingħajr dewmien żejjed, linji gwida u mudelli rigward l-obbligu ta' għoti ta' informazzjoni. Sabiex jiġu ffaċilitati l-istabbiliment u l-aġġornament tal-lista ta' entitajiet essenzjali u importanti kif ukoll entitajiet li jipprovdu servizzi ta' reġistrazzjoni ta' ismijiet ta' dominji, jenħtieġ li l-Istati Membri jkunu jistgħu jistabbilixxu mekkaniżmi nazzjonali li jippermettu lill-entitajiet jirreġistraw lilhom infushom. Fejn jeżistu reġistri fil-livell nazzjonali, l-Istati Membri jistgħu jiddeċiedu dwar il-mekkaniżmi xierqa li jippermettu l-identifikazzjoni tal-entitajiet li jaqgħu fil-kamp ta' applikazzjoni ta' din id-Direttiva.

(19)

Jenħtieġ li l-Istati Membri jkollhom ir-responsabbiltà li jissottomettu lill-Kummissjoni mill-inqas l-għadd ta' entitajiet essenzjali u importanti għal kull settur u sottosettur imsemmi fl-annessi, kif ukoll l-informazzjoni rilevanti dwar l-għadd ta' entitajiet identifikati u l-forniment, minn fost dawk stabbiliti f'din id-Direttiva, li abbażi tiegħu jkunu ġew identifikati, u t-tip ta' servizz li huma jipprovdu. L-Istati Membri huma mħeġġa jiskambjaw mal-Kummissjoni informazzjoni dwar l-entitajiet essenzjali u importanti u, f'każ ta' inċident ta' ċibersigurtà fuq skala kbira, informazzjoni rilevanti bħal isem l-entità kkonċernata.

(20)

Jenħtieġ li l-Kummissjoni, f'kooperazzjoni mal-Grupp ta' Kooperazzjoni u wara konsultazzjoni mal-partijiet interessati rilevanti, tipprovdi linji gwida dwar l-implimentazzjoni tal-kriterji applikabbli għall-mikrointrapriżi u l-intrapriżi żgħar biex tivvaluta jekk jaqgħux fil-kamp ta' applikazzjoni ta' din id-Direttiva. Il-Kummissjoni jenħtieġ li tiżgura wkoll li tingħata gwida xierqa lill-mikrointrapriżi u l-intrapriżi żgħar li jaqgħu fil-kamp ta' applikazzjoni ta' din id-Direttiva. Jenħtieġ li l-Kummissjoni, bl-appoġġ tal-Istati Membri, tqiegħed għad-dispożizzjoni tal-mikrointrapriżi u l-intrapriżi żgħar informazzjoni f'dan ir-rigward.

(21)

Il-Kummissjoni tista' tagħti gwida biex tassisti lill-Istati Membri fl-implimentazzjoni tad-dispożizzjonijiet ta' din id-Direttiva fir-rigward tal-kamp ta' applikazzjoni u l-evalwazzjoni tal-proporzjonalità tal-miżuri li jridu jittieħdu skont din id-Direttiva, b'mod partikolari fir-rigward ta' entitajiet b'mudelli kummerċjali jew ambjenti operattivi kumplessi, fejn entità tista' simultanjament tissodisfa l-kriterji assenjati kemm għall-entitajiet essenzjali kif ukoll għal dawk importanti, jew tista' simultanjament twettaq attivitajiet li wħud minnhom jaqgħu fil-kamp ta' applikazzjoni ta' din id-Direttiva u oħrajn huma esklużi minnu.

(22)

Din id-Direttiva tistabbilixxi l-linja bażi għall-miżuri ta' ġestjoni tar-riskji taċ-ċibersigurtà u l-obbligi ta' rapportar fis-setturi li jaqgħu fil-kamp ta' applikazzjoni tagħha. Sabiex tiġi evitata l-frammentazzjoni tad-dispożizzjonijiet dwar iċ-ċibersigurtà tal-atti legali tal-Unjoni, meta atti legali tal-Unjoni ulterjuri u speċifiċi għas-settur li jikkonċernaw miżuri ta' ġestjoni tar-riskji taċ-ċibersigurtà u obbligi ta' rapportar jitqiesu neċessarji biex jiġi żgurat livell għoli ta' ċibersigurtà fl-Unjoni kollha, jenħtieġ li l-Kummissjoni tivvaluta jekk tali dispożizzjonijiet ulterjuri jistgħux jiġu stipulati f'att ta' implimentazzjoni skont din id-Direttiva. Jekk tali att ta' implimentazzjoni ma jkunx adatti għal dak il-għan, l-atti legali tal-Unjoni speċifiċi għas-settur jistgħu jikkontribwixxu biex jiġi żgurat livell għoli ta' ċibersigurtà fl-Unjoni kollha, filwaqt li jittieħed kont sħiħ tal-ispeċifiċitajiet u l-kumplessitajiet tas-setturi kkonċernati. Għal dak il-għan, din id-Direttiva ma tipprekludix l-adozzjoni ta' aktar atti tal-Unjoni speċifiċi għas-settur li jindirizzaw miżuri ta' ġestjoni tar-riskji taċ-ċibersigurtà u obbligi ta' rapportar li jqisu kif xieraq il-ħtieġa ta' qafas taċ-ċibersigurtà komprensiv u konsistenti. Din id-Direttiva hija mingħajr preġudizzju għas-setgħat ta' implimentazzjoni eżistenti mogħtija lill-Kummissjoni f'għadd ta' setturi, inkluż it-trasport u l-enerġija.

(23)

Meta att legali tal-Unjoni speċifiku għas-settur ikun fih dispożizzjonijiet li jitolbu li l-entitajiet essenzjali jew importanti jadottaw miżuri ta' ġestjoni tar-riskji taċ-ċibersigurtà jew jinnotifikaw inċidenti sinifikanti, u meta dawk ir-rekwiżiti jkunu tal-anqas ekwivalenti fl-effett għall-obbligi stabbiliti f'din id-Direttiva, dawk id-dispożizzjonijiet, inkluż dwar is-superviżjoni u l-infurzar, jenħtieġ li japplikaw għal tali entitajiet. Jekk att legali tal-Unjoni speċifiku għas-settur ma jkoprix l-entitajiet kollha f'settur speċifiku li jaqa' fil-kamp ta' applikazzjoni ta' din id-Direttiva, id-dispożizzjonijiet rilevanti ta' din id-Direttiva jenħtieġ li jkomplu japplikaw għall-entitajiet li ma jkunux koperti minn dak l-att.

(24)

Meta d-dispożizzjonijiet tal-att legali tal-Unjoni speċifiku għas-settur jirrikjedu li l-entitajiet essenzjali jew importanti jikkonformaw mal-obbligi ta' rapportar li huma mill-inqas ekwivalenti fl-effett tagħhom għall-obbligi ta' rapportar stabbiliti f'din id-Direttiva, jenħtieġ li jiġu żgurati l-konsistenza u l-effikaċja tat-trattament tan-notifiki tal-inċidenti. Għal dak il-għan, id-dispożizzjonijiet li jirrigwardaw in-notifiki tal-inċidenti tal-att legali tal-Unjoni speċifiku għas-settur jenħtieġ li jipprovdu lis-CSIRTs, lill-awtoritajiet kompetenti jew lill-punti uniċi ta' kuntatt dwar iċ-ċibersigurtà (punti uniċi ta' kuntatt) skont din id-Direttiva aċċess immedjat għan-notifiki tal-inċidenti ppreżentati f'konformità mal-att legali tal-Unjoni speċifiku għas-settur. B'mod partikolari, tali aċċess immedjat jista' jiġi żgurat jekk in-notifiki tal-inċidenti jintbagħtu mingħajr dewmien żejjed lis-CSIRT, lill-awtorità kompetenti jew lill-punt uniku ta' kuntatt skont din id-Direttiva. Fejn xieraq, jenħtieġ li l-Istati Membri jistabbilixxu mekkaniżmu ta' rapportar awtomatiku u dirett li jiżgura l-kondiviżjoni sistematika u immedjata ta' informazzjoni mas-CSIRTs, l-awtoritajiet kompetenti jew il-punti uniċi ta' kuntatt dwar it-trattament ta' tali notifiki tal-inċidenti. Għall-fini tas-simplifikazzjoni tar-rapportar u tal-implimentazzjoni tal-mekkaniżmu ta' rapportar awtomatiku u dirett, l-Istati Membri jistgħu, f'konformità mal-att legali tal-Unjoni speċifiku għas-settur, jużaw punt ta' dħul uniku.

(25)

L-atti legali tal-Unjoni speċifiċi għas-settur li jipprevedu miżuri ta' ġestjoni tar-riskji taċ-ċibersigurtà jew obbligi ta' rapportar li huma mill-inqas ekwivalenti fl-effett tagħhom għal dawk stabbiliti f'din id-Direttiva jistgħu jipprevedu li l-awtoritajiet kompetenti taħt tali atti jeżerċitaw is-setgħat superviżorji u ta' infurzar tagħhom fir-rigward ta' tali miżuri jew obbligi bl-assistenza tal-awtoritajiet kompetenti f'konformità ma' din id-Direttiva. L-awtoritajiet kompetenti kkonċernati jistgħu jistabbilixxu arranġamenti ta' kooperazzjoni għal dak l-iskop. Tali arranġamenti ta' kooperazzjoni jistgħu jispeċifikaw, fost l-oħrajn, il-proċeduri li jikkonċernaw il-koordinazzjoni tal-attivitajiet superviżorji, inkluż il-proċeduri tal-investigazzjonijiet u tal-spezzjonijiet fuq il-post f'konformità mal-liġi nazzjonali u mekkaniżmu għall-iskambju ta' informazzjoni rilevanti dwar is-superviżjoni u l-infurzar bejn l-awtoritajiet kompetenti, inkluż l-aċċess għal informazzjoni relatata maċ-ċibernetika mitluba mill-awtoritajiet kompetenti skont din id-Direttiva.

(26)

Fejn atti legali tal-Unjoni speċifiċi għas-settur jirrikjedu jew jipprovdu inċentivi lill-entitajiet biex jinnotifikaw theddid ċibernetiku sinifikanti, jenħtieġ li l-Istati Membri jinkoraġġixxu wkoll il-kondiviżjoni ta' theddid ċibernetiku sinifikanti mas-CSIRTs, l-awtoritajiet kompetenti jew il-punti uniċi ta' kuntatt skont din id-Direttiva, sabiex jiġi żgurat livell ogħla ta' sensibilizzazzjoni ta' dawk il-korpi dwar ix-xenarju tat-theddid ċibernetiku u sabiex ikunu jistgħu jirrispondu b'mod effettiv u f'waqtu jekk it-theddid ċibernetiku sinifikanti jimmaterjalizza ruħu.

(27)

Atti legali futuri tal-Unjoni speċifiċi għas-settur għandhom jieħdu kont debitu tad-definizzjonijiet u l-qafas superviżorju u ta' infurzar stabbiliti f'din id-Direttiva.

(28)

Ir-Regolament (UE) 2022/2554 tal-Parlament Ewropew u tal-Kunsill (10) jenħtieġ li jitqies bħala att legali tal-Unjoni speċifiku għas-settur b'relazzjoni ma' din id-Direttiva fir-rigward tal-entitajiet finanzjarji. Jenħtieġ li minflok dawk previsti f'din id-Direttiva, japplikaw id-dispożizzjonijiet tar-Regolament (UE) 2022/2554 relatati mal-ġestjoni tar-riskji tat-teknoloġija tal-informazzjoni u tal-komunikazzjoni (ICT), il-ġestjoni ta' inċidenti relatati mal-ICT u, b'mod partikolari, ir-rapportar tal-inċidenti maġġuri relatati mal-ICT, kif ukoll dwar l-ittestjar tar-reżiljenza operazzjonali diġitali, l-arranġamenti għall-kondiviżjoni tal-informazzjoni u r-riskju tal-ICT ta' parti terza. Għalhekk jenħtieġ li l-Istati Membri ma japplikawx id-dispożizzjonijiet ta' din id-Direttiva dwar il-ġestjoni tar-riskji taċ-ċibersigurtà u l-obbligi ta' rapportar, is-superviżjoni u l-infurzar għall-entitajiet finanzjarji koperti mir-Regolament (UE) 2022/2554. Fl-istess ħin, huwa importanti li tinżamm relazzjoni b'saħħitha u li jsir l-iskambju ta' informazzjoni mas-settur finanzjarju skont din id-Direttiva. Għal dak il-għan, ir-Regolament (UE) 2022/2554 jippermetti lill-Awtoritajiet Superviżorji Ewropej (ASE) u lill-awtoritajiet kompetenti skont dak ir-Regolament jipparteċipaw fl-attivitajiet tal-Grupp ta' Kooperazzjoni u jiskambjaw informazzjoni u jikkooperaw mal-punti uniċi ta' kuntatt, kif ukoll mas-CSIRTs u mal-awtoritajiet kompetenti skont din id-Direttiva. L-awtoritajiet kompetenti skont ir-Regolament (UE) 2022/2554 jenħtieġ li jittrażmettu wkoll id-dettalji ta' inċidenti kbar relatati mal-ICT u, fejn rilevanti, theddid ċibernetiku sinifikanti lis-CSIRTs, lill-awtoritajiet kompetenti jew lill-punti uniċi ta' kuntatt skont din id-Direttiva. Dan jista'jsir billi jingħata aċċess immedjat għan-notifiki tal-inċidenti u billi dawn jiġu trażmessi direttament jew permezz ta' punt ta' dħul uniku. Barra minn hekk, jenħtieġ li l-Istati Membri jkomplu jinkludu lis-settur finanzjarju fl-istrateġiji taċ-ċibersigurtà tagħhom u s-CSIRTs jistgħu jkopru s-settur finanzjarju fl-attivitajiet tagħhom.

(29)

Sabiex jiġu evitati l-lakuni jew id-duplikazzjonijiet fl-obbligi taċ-ċibersigurtà imposti fuq entitajiet fis-settur tal-avjazzjoni, l-awtoritajiet nazzjonali skont ir-Regolamenti (KE) Nru 300/2008 (11) u (UE) 2018/1139 (12) tal-Parlament Ewropew u tal-Kunsill u l-awtoritajiet kompetenti skont din id-Direttiva jenħtieġ li jikkooperaw fir-rigward tal-implimentazzjoni ta' miżuri għall-ġestjoni tar-riskji taċ-ċibersigurtà u s-superviżjoni tal-konformità ma' dawk il-miżuri fil-livell nazzjonali. Il-konformità ta' entità mar-rekwiżiti tas-sigurtà stabbiliti fir-Regolamenti (KE) Nru 300/2008 u (UE) 2018/1139 u fl-atti delegati u ta' implimentazzjoni rilevanti adottati skont dawk ir-Regolamenti tista' titqies mill-awtoritajiet kompetenti skont din id-Direttiva li tikkostitwixxi konformità mar-rekwiżiti korrispondenti stabbiliti f'din id-Direttiva.

(30)

Fid-dawl tal-interkonnessjonijiet bejn iċ-ċibersigurtà u s-sigurtà fiżika tal-entitajiet, jenħtieġ li jiġi żgurat approċċ koerenti bejn id-Direttiva (UE) 2022/2557 tal-Parlament Ewropew u tal-Kunsill (13) u din id-Direttiva. Biex jinkiseb dan, l-entitajiet identifikati bħala entitajiet kritiċi skont id-Direttiva (UE) 2022/2557 jenħtieġ li jitqiesu bħala entitajiet essenzjali skont din id-Direttiva. Barra minn hekk, kull Stat Membru jenħtieġ li jiżgura li l-istrateġija ta' ċibersigurtà nazzjonali tiegħu jipprevedi qafas ta' politika għal koordinazzjoni msaħħa f'dak l-Istat Membru l bejn l-awtoritajiet kompetenti tiegħu skont din id-Direttiva u dawk skont id-Direttiva (UE) 2022/2557 fil-kuntest tal-kondiviżjoni ta' informazzjoni dwar riskji ċibernetiċi, theddid ċibernetiku, u inċidenti kif ukoll riskji, theddid u inċidenti mhux ċibernetiċi, u l-eżerċizzju ta' kompiti superviżorji. L-awtoritajiet kompetenti skont din id-Direttiva u dawk skont id-Direttiva (UE) 2022/2557 jenħtieġ li jikkooperaw u jiskambjaw informazzjoni mingħajr dewmien żejjed, b'mod partikolari b'rabta mal-identifikazzjoni ta' entitajiet kritiċi, riskji, theddid ċibernetiku, u inċidenti kif ukoll b'rabta ma' riskji, theddid u inċidenti mhux ċibernetiċi li jaffettwaw entitajiet kritiċi, inklużi l-miżuri ta' ċibersigurtà u fiżiċi meħuda minn entitajiet kritiċi kif ukoll ir-riżultati tal-attivitajiet superviżorji mwettqa fir-rigward ta' tali entitajiet.

Barra minn hekk, sabiex jiġu ssimplifikati l-attivitajiet superviżorji bejn l-awtoritajiet kompetenti skont din id-Direttiva u dawk skont id-Direttiva (UE) 2022/2557 u jiġi minimizzat il-piż amministrattiv għall-entitajiet ikkonċernati, dawk l-awtoritajiet kompetenti jenħtieġ li jagħmlu ħilithom biex jarmonizzaw il-mudelli tan-notifika tal-inċidenti u l-proċessi superviżorji. Fejn xieraq, l-awtoritajiet kompetenti skont id-Direttiva (UE) 2022/2557 jenħtieġ li jkunu jistgħu jitolbu lill-awtoritajiet kompetenti skont din id-Direttiva jeżerċitaw is-setgħat superviżorji u ta' infurzar tagħhom fir-rigward ta' entità li hija identifikata bħala entità kritika skont id-Direttiva (UE) 2022/2557. L-awtoritajiet kompetenti skont din id-Direttiva u dawk skont id-Direttiva (UE) 2022/2557 jenħtieġ li, possibbilment f'ħin reali, jikkooperaw u jiskambjaw informazzjoni bejniethom għal dan il-għan.

(31)

L-entitajiet li jappartjenu lis-settur tal-infrastruttura diġitali huma essenzjalment ibbażati fuq in-networks u s-sistemi tal-informazzjoni u għalhekk l-obbligi imposti fuq dawk l-entitajiet skont din id-Direttiva jenħtieġ li jindirizzaw b'mod komprensiv is-sigurtà fiżika ta' tali sistemi bħala parti mill-miżuri ta' ġestjoni tar-riskji taċ-ċibersigurtà u tal-obbligi ta' rapportar tagħhom. Peress li dawk il-kwistjonijiet huma koperti b'din id-Direttiva, l-obbligi stabbiliti fil-Kapitoli III, IV u VI tad-Direttiva (UE) 2022/2557 ma japplikawx għal tali entitajiet.

(32)

Iż-żamma u l-preservazzjoni ta' sistema tal-ismijiet ta' dominji (DNS) affidabbli, reżiljenti u sigura huma fatturi ewlieni fiż-żamma tal-integrità tal-internet u huma essenzjali għat-tħaddim kontinwu u stabbli tiegħu, li fuqu jiddependu l-ekonomija u s-soċjetà diġitali. Għalhekk, jenħtieġ li din id-Direttiva tapplika għar-reġistri tal-ismijiet ta' dominji tal-ogħla livell (TLD), u l-fornituri ta' servizzi ta' DNS li jridu jkunu mifhuma bħala entitajiet li jipprovdu servizzi ta' riżoluzzjoni tal-ismijiet ta' dominji rikursivi disponibbli pubblikament għall-utenti finali tal-internet jew servizzi ta' riżoluzzjoni tal-ismijiet ta' dominji awtorevoli għall-użu ta' partijiet terzi. Jenħtieġ li din id-Direttiva ma tapplikax għar-root name servers.

(33)

Is-servizzi tal-cloud computing jenħtieġ li jkopru servizzi diġitali li jippermettu amministrazzjoni on-demand u aċċess remot wiesa' għal ġabra skalabbli u elastika ta' riżorsi tal-computing kondiviżibbli, inkluż fejn tali riżorsi jkunu distribwiti madwar diversi postijiet. Riżorsi tal-computing jinkludu riżorsi bħal networks, servers jew infrastruttura oħra, sistemi operatorji, software, ħżin, applikazzjonijiet u servizzi. Il-mudelli tas-servizzi tal-cloud computing jinkludu, fost l-oħrajn, Infrastruttura bħala Servizz (IaaS), Pjattaforma bħala Servizz (PaaS), Software bħala Servizz (SaaS) u Network bħala Servizz (NAAs). Il-mudelli ta' implimentazzjoni tal-cloud computing jenħtieġ li jinkludu l-cloud privata, komunitarja, pubblika u ibrida. Is-servizz tal-cloud computing u l-mudelli tal-implimentazzjoni għandhom l-istess tifsira bħat-termini tal-mudelli tas-servizz u tal-implimentazzjoni definiti skont l-istandard ISO/IEC 17788:2014. Il-kapaċità tal-utent tal-cloud computing li unilateralment iforni lilu nnifsu bil-kapaċitajiet tal-computing, bħall-ħin tas-server jew il-ħżin tan-network, mingħajr interazzjoni umana mill-fornitur ta' servizz tal-cloud computing, tista' tiġi deskritta bħala amministrazzjoni on-demand.

It-terminu "aċċess remot wiesa'" jintuża biex jiddeskrivi li l-kapaċitajiet tal-cloud ikunu pprovduti fuq in-network u aċċessati permezz ta' mekkaniżmi li jippromwovu l-użu ta' pjattaformi tal-klijenti rqaq jew ħoxnin eteroġeni, inklużi telefowns ċellulari, tablets, laptops u stazzjonijiet tax-xogħol. It-terminu "skalabbli" jirreferi għar-riżorsi tal-computing li jiġu allokati b'mod flessibbli mill-fornitur tas-servizz tal-cloud, irrispettivament mill-pożizzjoni ġeografika tar-riżorsi, biex ir-riżorsi pprovduti jlaħħqu mal-fluttwazzjonijiet fid-domanda. It-terminu "ġabra elastika" jintuża biex jiddeskrivi r-riżorsi tal-computing li jiġu pprovduti u rilaxxati skont id-domanda biex iżidu u jnaqqsu malajr ir-riżorsi disponibbli skont l-ammont ta' xogħol. It-terminu "kondiviżibbli" jintuża biex jiddeskrivi r-riżorsi tal-computing ipprovduti lil diversi utenti li jkollhom aċċess komuni għas-servizzi, iżda fejn l-ipproċessar isir b'mod separat għal kull utent, għalkemm is-servizz jingħata mill-istess tagħmir elettroniku. It-terminu "distribwit" jintuża biex jiddeskrivi r-riżorsi tal-computing li jkunu jinsabu fuq kompjuters jew apparati differenti mqabbda ma' network u li jikkomunikaw u jikkoordinaw bejniethom billi jgħaddu l-messaġġi.

(34)

Minħabba t-tfaċċar ta' teknoloġiji innovattivi u mudelli kummerċjali ġodda, mudelli ġodda ta' servizz u ta' implimentazzjoni tal-cloud computing huma mistennija jidhru fis-suq intern b'rispons għall-mod kif qed jevolvu l-ħtiġijiet tal-klijenti. F'dak il-kuntest, is-servizzi tal-cloud computing jistgħu jitwasslu f'forma distribwita ħafna, anki eqreb għal fejn tkun qed tiġi ġġenerata jew miġbura d-data, u b'hekk jimxu mill-mudell tradizzjonali għal wieħed distribwit ħafna ("edge computing").

(35)

Is-servizzi offruti mill-fornituri tas-servizzi ta' ċentru tad-data mhux dejjem jistgħu jiġu pprovduti fl-għamla ta' servizz tal-cloud computing. Għaldaqstant, iċ-ċentri tad-data mhux dejjem ikunu jikkostitwixxu parti mill-infrastruttura tal-cloud computing. Biex jiġu ġestiti r-riskji kollha għas-sigurtà tan-network u s-sistemi tal-informazzjoni, jenħtieġ li din id-Direttiva għaldaqstant tkopri l-fornituri tas-servizzi taċ-ċentri tad-data li mhumiex servizzi tal-cloud computing. Għall-finijiet ta' din id-Direttiva, it-terminu "servizz ta' ċentru tad-data" jenħtieġ li jkopri l-forniment ta' servizz li jinkludi strutturi, jew gruppi ta' strutturi, iddedikati għall-akkomodazzjoni ċentralizzata, l-interkonnessjoni u t-tħaddim ta' tagħmir tat-teknoloġija tal-informazzjoni (IT) u tan-network li jipprovdi servizzi ta' ħżin, ipproċessar u trasport tad-data flimkien mal-faċilitajiet u l-infrastrutturi kollha għad-distribuzzjoni tal-enerġija u l-kontroll ambjentali. It-terminu "servizz ta' ċentru tad-data" jenħtieġ li ma japplikax għaċ-ċentri tad-data korporattivi interni li jkunu proprjetà tal-entità kkonċernata u operati minnha għall-finijiet tagħha stess.

(36)

L-attivitajiet ta' riċerka għandhom rwol ewlieni fl-iżvilupp ta' prodotti u proċessi ġodda. Ħafna minn dawk l-attivitajiet jitwettqu minn entitajiet li jikkondividu, ixerrdu jew jisfruttaw ir-riżultati tar-riċerka tagħhom għal skopijiet kummerċjali. Għalhekk, dawk l-entitajiet jistgħu jkunu atturi importanti fil-ktajjen tal-valur, li jagħmel is-sigurtà tan-networks u tas-sistemi tal-informazzjoni tagħhom parti integrali miċ-ċibersigurtà ġenerali tas-suq intern. Organizzazzjonijiet tar-riċerka jenħtieġ li jinftiehmu li jinkludu entitajiet li jiffukaw parti essenzjali mill-attivitajiet tagħhom fuq it-twettiq ta' riċerka applikata jew żvilupp sperimentali, fit-tifsira tal-Manwal ta' Frascati tal-2015 tal-Organizzazzjoni għall-Kooperazzjoni u l-Iżvilupp Ekonomiċi: Linji Gwida għall-Ġbir u r-Rapportar ta' Data dwar ir-Riċerka u l-Iżvilupp Sperimentali, bil-ħsieb li r-riżultati tagħhom jiġu sfruttati għal skopijiet kummerċjali, bħall-manifattura jew l-iżvilupp ta' prodott jew proċess, il-forniment ta' servizz, jew il-kummerċjalizzazzjoni tiegħu.

(37)

L-interdipendenzi li qed jikbru huma r-riżultat ta' network dejjem aktar transfruntier u interdipendenti ta' forniment ta' servizzi li juża infrastrutturi ewlenin madwar l-Unjoni fis-setturi bħall-enerġija, it-trasport, l-infrastruttura diġitali, l-ilma tax-xorb u l-ilma mormi, is-saħħa, ċerti aspetti tal-amministrazzjoni pubblika, kif ukoll l-ispazju fejn jidħol il-forniment ta' ċerti servizzi dipendenti fuq infrastrutturi bbażati fuq l-art li huma proprjetà tal-Istati Membru u ġestiti u operati minnhom jew minn partijiet privati, u għalhekk ma jkoprux infrastrutturi li huma proprjetà tal-Unjoni, ġestiti jew operati minnha jew f'isimha bħala parti mill-programm spazjali tagħha. Dawk l-interdipendenzi jfissru li kull tfixkil, anke wieħed inizjalment limitat għal entità waħda jew għal settur wieħed, jista' jkollhom effetti kaskata b'mod aktar wiesa', li potenzjalment joħolqu impatti negattivi estensivi u dejjiema fit-twassil ta' servizzi madwar is-suq intern kollu. L-attakki ċibernetiċi intensifikati kontra s-sistemi tal-informazzjoni waqt il-pandemija tal-COVID-19 ħarġu fid-dieher il-vulnerabbiltà ta' soċjetajiet dejjem aktar interdipendenti quddiem riskji ta' probabbiltà baxxa.

(38)

Fid-dawl tad-differenzi fl-istrutturi nazzjonali ta' governanza u biex jiġu salvagwardjati l-arranġamenti settorjali jew il-korpi superviżorji u regolatorji tal-Unjoni diġà eżistenti, l-Istati Membri jenħtieġ li jkunu jistgħu jaħtru jew jistabbilixxu awtorità kompetenti waħda jew aktar responsabbli għaċ-ċibersigurtà u għall-kompiti superviżorji skont din id-Direttiva.

(39)

Biex jiġu ffaċilitati l-kooperazzjoni u l-komunikazzjoni transfruntieri fost l-awtoritajiet u biex din id-Direttiva tkun tista' tiġi implimentata b'mod effettiv, huwa meħtieġ li kull Stat Membru jaħtar punt uniku ta' kuntatt responsabbli mill-koordinazzjoni ta' kwistjonijiet relatati mas-sigurtà tan-network u s-sistemi tal-informazzjoni u l-kooperazzjoni transfruntiera fil-livell tal-Unjoni.

(40)

Il-punti uniċi ta' kuntatt jenħtieġ li jiżguraw kooperazzjoni transfruntiera effettiva mal-awtoritajiet rilevanti ta' Stati Membri oħra u, fejn xieraq, mal-Kummissjoni u mal-ENISA. Għalhekk, il-punti uniċi ta' kuntatt jenħtieġ li jingħataw il-kompitu li jibagħtu n-notifiki ta' inċidenti sinifikanti b'impatt transfruntier lill-punti uniċi ta' kuntatt ta' Stati Membri oħra affettwati fuq talba tas-CSIRT jew tal-awtorità kompetenti. Fil-livell nazzjonali, jenħtieġ li l-punti uniċi ta' kuntatt jippermettu kooperazzjoni transsettorjali bla xkiel ma' awtoritajiet kompetenti oħra. Il-punti uniċi ta' kuntatt jistgħu jkunu wkoll id-destinatarji ta' informazzjoni rilevanti dwar inċidenti li jikkonċernaw lil entitajiet tas-settur finanzjarju mill-awtoritajiet kompetenti skont ir-Regolament (UE) 2022/2554 li jenħtieġ li jkunu jistgħu jibagħtu, kif xieraq, lis-CSIRTs jew lill-awtoritajiet kompetenti skont din id-Direttiva.

(41)

L-Istati Membri jenħtieġ li jkunu mgħammra b'mod adegwat, kemm f'dak li jirrigwarda l-kapaċitajiet tekniċi kif ukoll dawk organizzattivi, biex jipprevjenu, jiddetettaw, jirreaġixxu għal, u jtaffu l-inċidenti u r-riskji. Għalhekk, jenħtieġ li l-Istati Membri jistabbilixxu jew jaħtru CSIRT waħda jew aktar skont din id-Direttiva u jiżguraw li dawn ikollhom riżorsi u kapaċitajiet tekniċi adegwati. Is-CSIRTs jenħtieġ li jkunu konformi mar-rekwiżiti stabbiliti f'din id-Direttiva biex jiżguraw kapaċitajiet effettivi u kompatibbli li jindirizzaw l-inċidenti u r-riskji u jiżguraw kooperazzjoni effiċjenti fil-livell tal-Unjoni. L-Istati Membri jenħtieġ li jkunu jistgħu jaħtru skwadri ta' rispons għal emerġenzi relatati mal-kompjuters ("CERTs") eżistenti bħala CSIRTs. Sabiex tittejjeb ir-relazzjoni ta' fiduċja bejn l-entitajiet u s-CSIRTs, meta CSIRT tkun parti mill-awtorità kompetenti, l-Istati Membri jenħtieġ li jkunu jistgħu jikkunsidraw is-separazzjoni funzjonali bejn il-kompiti operazzjonali pprovduti mis-CSIRTs, b'mod partikolari fir-rigward tal-kondiviżjoni tal-informazzjoni u l-assistenza mogħtija lill-entitajiet, u l-attivitajiet superviżorji tal-awtoritajiet kompetenti.

(42)

Is-CSIRTs għandhom il-kompitu li jittrattaw l-inċidenti. Dan jinkludi l-ipproċessar ta' volumi kbar ta' data kultant sensittiva. Jenħtieġ li l-Istati Membri jiżguraw li s-CSIRTs ikollhom infrastruttura għall-kondiviżjoni u l-ipproċessar tal-informazzjoni, kif ukoll persunal mgħammar tajjeb, li jiżgura l-kunfidenzjalità u l-affidabbiltà tal-operazzjonijiet tagħhom. Is-CSIRTs jistgħu jadottaw ukoll kodiċijiet ta' kondotta f'dak ir-rigward.

(43)

Fir-rigward tad-data personali, is-CSIRTs jenħtieġ li jkunu jistgħu jipprovdu, f'konformità mar-Regolament (UE) 2016/679 , fuq talba ta' entità essenzjali jew importanti, skennjar proattiv tan-network u s-sistemi tal-informazzjoni użati għall-forniment tas-servizzi tal-entità. Fejn applikabbli, jenħtieġ li l-Istati Membri jimmiraw li jiżguraw livell ugwali ta' kapaċitajiet tekniċi għas-CSIRTs settorjali kollha. L-Istati Membri jenħtieġ li jkunu jistgħu jitolbu l-assistenza tal-ENISA fl-iżvilupp tas-CSIRTs tagħhom.

(44)

Jenħtieġ li s-CSIRTs, fuq talba ta' entità essenzjali jew importanti, ikollhom il-kapaċità li jimmonitorjaw l-assi kollha tal-entità esposti għall-internet, kemm fuq il-post kif ukoll mhux fuq il-post, sabiex jidentifikaw, jifhmu u jimmaniġġaw ir-riskji organizzattiv ġenerali tal-entità fir-rigward ta' kompromessi jew vulnerabbiltajiet kritiċi ta' ktajjen tal-provvista li jkunu għadhom kif ġew identifikati. Jenħtieġ li l-entità tiġi mħeġġa tikkomunika lis-CSIRT jekk tħaddimx interfaċċa ta' ġestjoni privileġġata, peress li dan jista' jaffettwa l-ħeffa tat-twettiq ta' azzjonijiet ta' mitigazzjoni.

(45)

Minħabba l-importanza tal-kooperazzjoni internazzjonali dwar iċ-ċibersigurtà, is-CSIRTs jenħtieġ li jkunu jistgħu jipparteċipaw f'networks ta' kooperazzjoni internazzjonali, apparti n-network tas-CSIRTs stabbilit b'din id-Direttiva. Għalhekk, għall-finijiet tat-twettiq tal-kompiti tagħhom, is-CSIRTs u l-awtoritajiet kompetenti jenħtieġ li jkunu jistgħu jiskambjaw informazzjoni, inkluża data personali, ma' skwadri ta' rispons għal inċidenti relatati mas-sigurtà tal-kompjuters nazzjonali jew awtoritajiet kompetenti ta' pajjiżi terzi dment li jiġu ssodisfati l-kundizzjonijiet skont il-liġi tal-Unjoni dwar il-protezzjoni tad-data għat-trasferimenti ta' data personali lil pajjiżi terzi, fost l-oħrajn dawk tal-Artikolu 49 tar-Regolament (UE) 2016/679.

(46)

L-iżgurar ta' riżorsi adegwati biex jintlaħqu l-objettivi ta' din id-Direttiva u l-għoti tal-kapaċità lill-awtoritajiet kompetenti u s-CSIRTs li jwettqu l-komptiti stipulati hawnhekk huwa essenzjali. L-Istati Membri jistgħu jintroduċu mekkaniżmu ta' finanzjament fil-livell nazzjonali biex ikopru n-nefqa meħtieġa b'rabta mat-twettiq tal-kompiti tal-entitajiet pubbliċi responsabbli miċ-ċibersigurtà fl-Istat Membru skont din id-Direttiva. Tali mekkaniżmu jenħtieġ li jkun konformi mal-liġi tal-Unjoni u jenħtieġ li jkun proporzjonat u nondiskriminatorju u jenħtieġ li jikkunsidra approċċi differenti għall-forniment ta' servizzi siguri.

(47)

In-network tas-CSIRTs jenħtieġ li jkompli jikkontribwixxi għat-tisħiħ tal-kunfidenza u l-fiduċja u jippromwovi kooperazzjoni operazzjonali rapida u effettiva fost l-Istati Membri. Sabiex tissaħħaħ il-kooperazzjoni operazzjonali fil-livell tal-Unjoni, in-network tas-CSIRTs jenħtieġ li jikkunsidra li jistieden lill-korpi u lill-aġenziji tal-Unjoni involuti fil-politika dwar iċ-ċibersigurtà, bħall-Europol, biex jieħdu sehem fil-ħidma tiegħu.

(48)

Sabiex jintlaħaq u jinżamm livell għoli ta' ċibersigurtà, l-istrateġiji nazzjonali taċ-ċibersigurtà meħtieġa skont din id-Direttiva jenħtieġ li jikkonsistu f'oqfsa koerenti li jipprovdu objettivi u prijoritajiet strateġiċi fil-qasam taċ-ċibersigurtà u l-governanza biex dawn jintlaħqu. Dawk l-istrateġiji jistgħu jkunu magħmula minn strument leġiżlattiv jew mhux leġiżlattiv wieħed jew aktar.

(49)

Il-politiki tal-iġjene ċibernetika jipprovdu l-pedamenti għall-protezzjoni tal-infrastrutturi tas-sistemi tan-networks u tal-informazzjoni, tal-hardware, tas-software u tas-sigurtà tal-applikazzjonijiet online, u d-data kummerċjali jew tal-utent finali li fuqha jiddependu l-entitajiet. Politiki tal-iġjene ċibernetika li jinkludu sett komuni ta' linja bażi ta' prattiki li jinkludu l-aġġornamenti tas-software u tal-hardware, il-bdil ta' passwords, il-ġestjoni ta' installazzjonijiet ġodda, il-limitazzjoni ta' kontijiet ta' aċċess fil-livell ta' amministratur, u l-backup tad-data, jippermettu qafas proattiv ta' stat ta' tħejjija u sikurezza u sigurtà ġenerali f'każ ta' inċidenti jew theddid ċibernetiku. L-ENISA jenħtieġ li timmonitorja u tanalizza l-politiki tal-iġjene ċibernetika tal-Istati Membri.

(50)

Is-sensibilizzazzjoni dwar iċ-ċibersigurtà u l-iġjene ċibernetika huma essenzjali biex jissaħħaħ il-livell taċ-ċibersigurtà fl-Unjoni, b'mod partikolari fid-dawl tal-għadd dejjem akbar ta' apparati konnessi li qed jintużaw dejjem aktar f'attakki ċibernetiċi. Jenħtieġ li jsiru sforzi biex tissaħħaħ is-sensibilizzazzjoni ġenerali tar-riskji relatati ma' tali apparati, filwaqt li l-valutazzjonijiet fil-livell tal-Unjoni jistgħu jgħinu biex jiġi żgurat fehim komuni ta' tali riskji fis-suq intern.

(51)

L-Istati Membri jenħtieġ li jinkoraġġixxu l-użu ta' kwalunkwe teknoloġija innovattiva, inkluża l-intelliġenza artifiċjali, li l-użu tagħha jista' jtejjeb id-detezzjoni u l-prevenzjoni ta' attakki ċibernetiċi, u b'hekk ir-riżorsi jkunu jistgħu jiġu ddevjati lejn attakki ċibernetiċi b'mod aktar effettiv. Għalhekk jenħtieġ li l-Istati Membri jinkoraġġixxu fl-attivitajiet tal-istrateġija nazzjonali taċ-ċibersigurtà tagħhom fir-riċerka u l-iżvilupp biex jiffaċilitaw l-użu ta' tali teknoloġiji, b'mod partikolari dawk relatati ma' għodod awtomatizzati jew semiawtomatizzati fiċ-ċibersigurtà, u, fejn rilevanti, il-kondiviżjoni tad-data meħtieġa għat-taħriġ tal-utenti ta' tali teknoloġija u għat-titjib tagħha. L-użu ta' kwalunkwe teknoloġija innovattiva, inkluża l-intelliġenza artifiċjali, jenħtieġ li jkun konformi mal-liġi tal-Unjoni dwar il-protezzjoni tad-data, inklużi l-prinċipji tal-protezzjoni tad-data tal-akkuratezza tad-data, il-minimizzazzjoni tad-data, il-ġustizzja u t-trasparenza, u s-sigurtà tad-data, bħall-kriptaġġ tal-ogħla livell ta' żvilupp tekniku. Ir-rekwiżiti tal-protezzjoni tad-data mid-disinn u b'mod awtomatiku stabbiliti fir-Regolament (UE) 2016/679 jenħtieġ li jiġu sfruttati bis-sħiħ.

(52)

Għodod u applikazzjonijiet taċ-ċibersigurtà b'sors miftuħ jistgħu jikkontribwixxu għal livell ogħla ta' ftuħ u jista' jkollhom impatt pożittiv fuq l-effiċjenza tal-innovazzjoni industrijali. Standards miftuħa jiffaċilitaw l-interoperabbiltà bejn l-għodod tas-sigurtà, għall-benefiċċju tas-sigurtà tal-partijiet interessati industrijali. Għodod u applikazzjonijiet taċ-ċibersigurtà b'sors miftuħ jistgħu jisfruttaw il-komunità usa' ta' żviluppaturi, u b'hekk jippermettu d-diversifikazzjoni tal-fornituri. Sors miftuħ jista' jwassal għal proċess ta' verifika aktar trasparenti tal-għodod relatati maċ-ċibersigurtà u proċess xprunat mill-komunità biex jiġu skoperti l-vulnerabbiltajiet. Għaldaqstant, l-Istati Membri jenħtieġ li jkunu jistgħu jippromwovu l-użu ta' software b'sors miftuħ u standards miftuħa billi jfittxu li jsegwu politiki relatati mal-użu ta' data miftuħa u sors miftuħ bħala parti mis-sigurtà permezz tat-trasparenza. Politiki li jippromwovu l-introduzzjoni u l-użu sostenibbli ta' għodod taċ-ċibersigurtà b'sors miftuħ huma ta' importanza partikolari għall-intrapriżi żgħar u ta' daqs medju li jħabbtu wiċċhom ma' spejjeż sinifikanti għall-implimentazzjoni, li jistgħu jiġu minimizzati billi titnaqqas il-ħtieġa ta' applikazzjonijiet jew għodod speċifiċi.

(53)

L-utilitajiet qed jiġu konnessi dejjem aktar man-networks diġitali fil-bliet, bil-għan li jittejbu n-networks tat-trasport urban, jittejbu l-faċilitajiet tal-provvista tal-ilma u tar-rimi tal-iskart u tiżdied l-effiċjenza tat-tidwil u t-tisħin tal-bini. Dawk l-utilitajiet diġitalizzati huma vulnerabbli għal attakki ċibernetiċi u f'każ ta' attakk ċibernetiku jirriskjaw li jagħmlu ħsara liċ-ċittadini fuq skala kbira minħabba l-interkonnettività tagħhom. L-Istati Membri jenħtieġ li jiżviluppaw politika li tindirizza l-iżvilupp ta' tali bliet konnessi jew intelliġenti, u l-effetti potenzjali tagħhom fuq is-soċjetà, bħala parti mill-istrateġija nazzjonali taċ-ċibersigurtà tagħhom.

(54)

F'dawn l-aħħar snin, l-Unjoni ffaċċjat żieda esponenzjali fl-attakki tar-ransomware, li fihom il-malware jikkripta d-data u s-sistemi u jitlob il-pagament ta' riskatt għar-rilaxx. Il-frekwenza u s-severità dejjem akbar tal-attakki tar-ransomware jistgħu jiġu xprunati minn diversi fatturi, bħal xejriet differenti ta' attakki, mudelli kummerċjali kriminali marbuta mar-"ransomware bħala servizz" u l-kriptovaluti, domandi ta' riskatt, u ż-żieda fl-attakki fil-katina tal-provvista. Jenħtieġ li l-Istati Membri jiżviluppaw politika li tindirizza ż-żieda f'attakki tar-ransomware bħala parti mill-istrateġija nazzjonali tagħhom dwar iċ-ċibersigurtà.

(55)

Sħubijiet pubbliċi-privati (PPPs) fil-qasam taċ-ċibersigurtà jistgħu jipprovdu qafas xieraq għall-iskambju tal-għarfien, il-kondiviżjoni tal-aħjar prattiki u l-istabbiliment ta' livell komuni ta' fehim fost il-partijiet interessati. Jenħtieġ li l-Istati Membri jippromwovu politiki li jirfdu l-istabbiliment ta' PPPs speċifiċi għaċ-ċibersigurtà. Dawn il-politiki jenħtieġ li jiċċaraw, fost oħrajn, il-kamp ta' applikazzjoni u l-partijiet interessati involuti, il-mudell ta' governanza, l-għażliet ta' finanzjament disponibbli, u l-interazzjoni fost il-partijiet interessati parteċipanti fir-rigward tal-PPPs. Il-PPPs jistgħu jisfruttaw l-għarfien espert ta' entitajiet tas-settur privat biex jassistu lill-awtoritajiet kompetenti fl-iżvilupp ta' servizzi u proċessi tal-ogħla livell ta' żvilupp tekniku inklużi l-iskambju ta' informazzjoni, twissijiet bikrija, eżerċizzji rigward theddid u inċidenti ċibernetiċi, il-ġestjoni tal-kriżijiet u l-ippjanar għar-reżiljenza.

(56)

Jenħtieġ li l-Istati Membri, fl-istrateġiji nazzjonali tagħhom taċ-ċibersigurtà, jindirizzaw il-ħtiġijiet speċifiċi taċ-ċibersigurtà tal-intrapriżi żgħar u medji. L-intrapriżi żgħar u medji jirrappreżentaw, fl-Unjoni kollha, perċentwal kbir tas-suq industrijali u kummerċjali u sikwit jitħabtu biex jadattaw ruħhom għal prattiki kummerċjali ġodda f'dinja aktar konnessa u li jinnavigaw l-ambjent diġitali, u l-impjegati jaħdmu mid-dar u n-negozju qed isir dejjem aktar online. Xi intrapriżi żgħar u medji jiffaċċjaw sfidi speċifiċi taċ-ċibersigurtà bħal għarfien ċibernetiku baxx, nuqqas ta' sigurtà tal-IT remota, l-ispiża għolja tas-soluzzjonijiet taċ-ċibersigurtà u livell ogħla ta' theddid, bħar-ransomware, li għalihom jenħtieġ li jirċievu gwida u assistenza. L-intrapriżi żgħar u medji qed isiru dejjem aktar il-mira ta' attakki fuq il-katina tal-provvista minħabba l-miżuri inqas rigorużi tagħhom f'dak li għandu x'jaqsam mal-ġestjoni tar-riskji taċ-ċibersigurtà u l-ġestjoni tal-attakki, u l-fatt li għandhom riżorsi tas-sigurtà limitati. Tali attakki fuq il-katina tal-provvista mhux biss għandhom impatt fuq l-intrapriżi żgħar u medji u l-operazzjonijiet tagħhom waħedhom iżda jista' jkollhom ukoll effett kaskata f'termini ta' attakki akbar fuq entitajiet fornuti minnhom. Jenħtieġ li l-Istati Membri, permezz tal-istrateġiji nazzjonali tagħhom dwar iċ-ċibersigurtà, jgħinu lill-intrapriżi żgħar u medji jindirizzaw l-isfidi li jiffaċċjaw fil-ktajjen tal-provvista tagħhom. Jenħtieġ li l-Istati Membri jkollhom punt ta' kuntatt għall-intrapriżi żgħar u medji fil-livell nazzjonali jew reġjonali, li jew jipprovdi gwida u assistenza lill-intrapriżi żgħar u medji jew jidderiġihom lill-korpi xierqa għal gwida u assistenza fir-rigward ta' kwistjonijiet relatati maċ-ċibersigurtà. L-Istati Membri huma mħeġġa wkoll joffru servizzi bħall-konfigurazzjoni ta' siti web u l-abilitazzjoni tal-illoggjar lill-mikrointrapriżi u l-intrapriżi żgħar li ma għandhomx dawn il-kapaċitajiet.

(57)

Bħala parti mill-istrateġiji nazzjonali tagħhom dwar iċ-ċibersigurtà, jenħtieġ li l-Istati Membri jadottaw politiki dwar il-promozzjoni ta' protezzjoni ċibernetika attiva bħala parti minn strateġija difensiva usa'. Minflok risposta reattiva, il-protezzjoni ċibernetika attiva hija l-prevenzjoni, id-detezzjoni, il-monitoraġġ, l-analiżi u l-mitigazzjoni b'mod attiv tal-ksur tas-sigurtà tan-network, flimkien mal-użu ta' kapaċitajiet installati fin-network tal-vittmi u lil hinn minnu. Dan jista' jinkludi li l-Istati Membri joffru servizzi jew għodod bla ħlas lil ċerti entitajiet, inklużi kontrolli, għodod ta' detezzjoni u servizzi ta' tneħħija self-service. Il-kapaċità ta' kondiviżjoni u komprensjoni rapidi u awtomatiċi tal-informazzjoni u l-analiżi dwar it-theddid, it-twissijiet dwar l-attività ċibernetika u l-azzjoni ta' rispons hija kruċjali biex ikun hemm unità fl-isforz biex l-attakki fuq in-networks u s-sistemi tal-informazzjoni jiġu pprevenuti, detetti, indirizzati u mblukkati b'suċċess. Il-protezzjoni ċibernetika attiva hija bbażata fuq strateġija difensiva li teskludi miżuri offensivi.

(58)

Peress li l-isfruttament tal-vulnerabbiltajiet fin-network u s-sistemi tal-informazzjoni jista' jikkawża tfixkil u ħsara sinifikanti, l-identifikazzjoni u r-rimedju malajr ta' tali vulnerabbiltajiet huma fattur importanti biex jonqos ir-riskju. Għalhekk jenħtieġ li l-entitajiet li jiżviluppaw jew jamministraw networks u sistemi ta' informazzjoni jistabbilixxu proċeduri xierqa biex jittrattaw il-vulnerabbiltajiet meta jiġu skoperti. Peress li l-vulnerabbiltajiet spiss jiġu skoperti u żvelati minn partijiet terzi, il-manifattur jew il-fornitur ta' prodotti tal-ICT jew servizzi tal-ICT jenħtieġ li jistabbilixxi wkoll il-proċeduri meħtieġa biex jirċievi informazzjoni dwar il-vulnerabbiltà mingħand partijiet terzi. F'dan ir-rigward, l-istandards internazzjonali ISO/IEC 30111 u ISO/IEC 29147 jipprovdu gwida dwar it-trattament tal-vulnerabbiltajiet u d-divulgazzjoni tal-vulnerabbiltajiet. It-tisħiħ tal-koordinazzjoni bejn il-persuni fiżiċi u ġuridiċi relatriċi u l-manifatturi jew il-fornituri ta' prodotti tal-ICT jew servizzi tal-ICT hija partikolarment importanti biex jiġi ffaċilitat il-qafas volontarju tad-divulgazzjoni tal-vulnerabbiltajiet. Id-divulgazzjoni kkoordinata tal-vulnerabbiltajiet tispeċifika proċess strutturat għar-rapportar tal-vulnerabbiltajiet lill-manifattur jew lill-fornitur tal-prodotti tal-ICT jew is-servizzi tal-ICT potenzjalment vulnerabbli b'tali mod li jkun jista' jwettaq dijanjostika u rimedju għall-vulnerabbiltà qabel ma tiġi żvelata informazzjoni dettaljata dwar il-vulnerabbiltà lil partijiet terzi jew lill-pubbliku. Id-divulgazzjoni kkoordinata tal-vulnerabbiltajiet jenħtieġ li tinkludi wkoll koordinazzjoni bejn il-persuna fiżika jew ġuridika relatriċi u l-manifattur jew il-fornitur tal-prodotti tal-ICT jew is-servizzi tal-ICT potenzjalment vulnerabbli fir-rigward tat-twaqqit tar-rimedju u l-pubblikazzjoni tal-vulnerabbiltajiet.

(59)

Il-Kummissjoni, l-ENISA u l-Istati Membri jenħtieġ li jkomplu jrawmu allinjamenti mal-istandards internazzjonali u l-aħjar prattiki eżistenti tal-industrija fil-qasam tal-ġestjoni tar-riskji taċ-ċibersigurtà, pereżempju fl-oqsma tal-valutazzjonijiet tas-sigurtà tal-ktajjen tal-provvista, il-kondiviżjoni tal-informazzjoni u d-divulgazzjoni tal-vulnerabbiltajiet.

(60)

Jenħtieġ li l-Istati Membri, f'kooperazzjoni mal-ENISA, jieħdu miżuri biex jiffaċilitaw id-divulgazzjoni kkoordinata tal-vulnerabbiltajiet billi jistabbilixxu politika nazzjonali rilevanti. Bħala parti mill-politika nazzjonali tagħhom, l-Istati Membri jenħtieġ li jimmiraw li jindirizzaw, sa fejn ikun possibbli, l-isfidi ffaċċjati mir-riċerkaturi vulnerabbli, inkluż l-esponiment potenzjali tagħhom għal responsabbiltà kriminali, f'konformità mal-leġiżlazzjoni nazzjonali. Peress li l-persuni fiżiċi u ġuridiċi li jagħmlu r-riċerka dwar il-vulnerabbiltajiet jistgħu f'xi Stati Membri jkunu esposti għal responsabbiltà kriminali u ċivili, l-Istati Membri huma mħeġġa jadottaw linji gwida fir-rigward tan-nuqqas ta' prosekuzzjoni tar-riċerkaturi dwar is-sigurtà tal-informazzjoni u eżenzjoni mir-responsabbiltà ċivili għall-attivitajiet tagħhom.

(61)

Jenħtieġ li l-Istati Membri jaħtru waħda mis-CSIRTs tagħhom bħala koordinatur, li taġixxi bħala intermedjarju fdat bejn il-persuni relatriċi fiżiċi jew ġuridiċi u l-manifatturi jew il-fornituri ta' prodotti tal-ICT jew servizzi tal-ICT, li x'aktarx ikunu affettwati mill-vulnerabbiltà, meta jkun meħtieġ. Il-kompiti tas-CSIRT maħtura bħala koordinatur jenħtieġ li jinkludu l-identifikazzjoni u l-ikkuntattar tal-entitajiet ikkonċernati, l-assistenza lill-entitajiet relatriċi fiżiċi jew ġuridiċi, in-negozjar tal-iskedi ta' żmien tad-divulgazzjoni, u l-ġestjoni tal-vulnerabbiltajiet li jaffettwaw entitajiet multipli (divulgazzjoni koordinata ta' vulnerabbiltajiet multipartitika). F'każ li l-vulnerabbiltà rrapportata jkun jista' jkollha impatt sinifikanti fuq entitajiet f'aktar minn Stat Membru wieħed, jenħtieġ li s-CSIRTs maħturin bħala koordinaturi jikkooperaw fl-ambitu tan-network tas-CSIRTs, fejn ikun xieraq.

(62)

L-aċċess għal informazzjoni korretta u f'waqtha dwar il-vulnerabbiltajiet li jaffettwaw il-prodotti tal-ICT u s-servizzi tal-ICT jikkontribwixxi għal ġestjoni mtejba tar-riskji taċ-ċibersigurtà. Is-sorsi tal-informazzjoni disponibbli pubblikament dwar il-vulnerabbiltajiet huma għodda importanti għall-entitajiet u għall-utenti tas-servizzi tagħhom, iżda wkoll għall-awtoritajiet kompetenti u għas-CSIRTs. Għal dik ir-raġuni, l-ENISA jenħtieġ li tistabbilixxi bażi tad-data tal-vulnerabbiltajiet fejn l-entitajiet, irrispettivament minn jekk jaqgħux taħt il-kamp ta' applikazzjoni ta' din id-Direttiva, u l-fornituri ta' networks u sistemi ta' informazzjoni, kif ukoll l-awtoritajiet kompetenti u s-CSIRTs, ikunu jistgħu, b'mod volontarju, jiżvelaw u jirreġistraw vulnerabbiltajiet magħrufin pubblikament bl-iskop li l-utenti jkunu jistgħu jieħdu miżuri xierqa ta' mitigazzjoni. L-għan ta' dik il-bażi tad-data huwa li tindirizza l-isfidi uniċi maħluqa mir-riskji għall-entitajiet Ewropej. Barra minn hekk, jenħtieġ li l-ENISA tistabbilixxi proċedura xierqa fir-rigward tal-proċess tal-pubblikazzjoni sabiex tagħti lill-entitajiet iż-żmien li jieħdu miżuri ta' mitigazzjoni fir-rigward tal-vulnerabbiltajiet tagħhom u biex jużaw miżuri ta' ġestjoni taċ-ċibersigurtà tal-ogħla livell ta' żvilupp tekniku, kif ukoll settijiet tad-data li jistgħu jinqraw mill-magni u interfaċċi korrispondenti. Biex tiġi mħeġġa kultura ta' divulgazzjoni tal-vulnerabbiltajiet, jenħtieġ li d-divulgazzjoni ma jkollhiex effetti ta' detriment għall-persuna fiżika jew ġuridika relatriċi.

(63)

Għalkemm jeżistu reġistri jew bażijiet tad-data simili tal-vulnerabbiltajiet, dawn huma ospitati u miżmuma minn entitajiet li mhumiex stabbiliti fl-Unjoni. Bażi tad-data Ewropea tal-vulnerabbiltajiet miżmuma mill-ENISA tipprovdi trasparenza mtejba fir-rigward tal-proċess tal-pubblikazzjoni qabel ma l-vulnerabbiltà tiġi żvelata pubblikament, u reżiljenza f'każijiet ta' tfixkil jew interruzzjoni tal-forniment ta' servizzi simili. Biex, kemm jista' jkun, tiġi evitata d-duplikazzjoni tal-isforzi u titfittex il-komplementarjetà, jenħtieġ li l-ENISA tesplora l-possibbiltà li tidħol fi ftehimiet ta' kooperazzjoni strutturata ma' reġistri jew bażijiet tad-data simili li jaqgħu f'ġuriżdizzjonijiet ta' pajjiżi terz. B'mod partikolari, l-ENISA jenħtieġ li tesplora l-possibbiltà ta' kooperazzjoni mill-qrib mal-operaturi tas-sistema ta' vulnerabbiltajiet u esponimenti komuni (CVE).

(64)

Il-Grupp ta' Kooperazzjoni jenħtieġ li jappoġġa u jiffaċilita l-kooperazzjoni strateġika u l-iskambju ta' informazzjoni fost l-Istati Membri, kif ukoll isaħħaħ il-fiduċja u l-kunfidenza bejniethom. Il-Grupp ta' Kooperazzjoni jenħtieġ li jistabbilixxi programm ta' ħidma kull sentejn. Il-programm ta' ħidma jenħtieġ li jinkludi l-azzjonijiet li jridu jittieħdu mill-Grupp ta' Kooperazzjoni biex jimplimenta l-objettivi u l-kompiti tiegħu. Il-perjodu ta' żmien għall-ħolqien tal-ewwel programm skont din id-Direttiva jenħtieġ li jiġi allinjat mal-perjodu ta' żmien tal-aħħar programm stabbilit skont id-Direttiva (UE) 2016/1148 biex jiġi evitat tfixkil potenzjali fil-ħidma tal-Grupp ta' Kooperazzjoni.

(65)

Meta jkun qed jiżviluppa dokumenti ta' gwida, il-Grupp ta' Kooperazzjoni jenħtieġ li konsistentement jimmappja s-soluzzjonijiet u l-esperjenzi nazzjonali, jivvaluta l-impatt tar-riżultati tanġibbli tal-Grupp ta' Kooperazzjoni fuq l-approċċi nazzjonali, jiddiskuti l-isfidi tal-implimentazzjoni u jifformula rakkomandazzjonijiet speċifiċi li jridu jiġu indirizzati b'implimentazzjoni aħjar tar-regoli eżistenti, partikolarment rigward l-iffaċilitar tal-allinjament tat-traspożizzjoni ta' din id-Direttiva fost l-Istati Membri. Il-Grupp ta' Kooperazzjoni jista' jimmappja wkoll is-soluzzjonijiet nazzjonali sabiex jippromwovi l-kompatibbiltà tas-soluzzjonijiet taċ-ċibersigurtà applikati għal kull settur speċifiku fl-Unjoni kollha. Dan huwa partikolarment rilevanti għas-setturi li huma ta' natura internazzjonali jew transfruntiera.

(66)

Il-Grupp ta' Kooperazzjoni jenħtieġ li jibqa' forum flessibbli u jkun jista' jirreaġixxi għal prijoritajiet u sfidi ta' politika ġodda u li qed jinbidlu filwaqt li jqis id-disponibbiltà tar-riżorsi. Jista' jorganizza laqgħat konġunti regolari ma' partijiet interessati privati rilevanti minn madwar l-Unjoni biex jiddiskuti l-attivitajiet imwettqa mill-Grupp ta' Kooperazzjoni u jiġbor data u tagħrif dwar l-isfidi ta' politiki li qed jitfaċċaw. Barra minn hekk, il-Grupp ta' Kooperazzjoni jenħtieġ li jwettaq valutazzjoni regolari tas-sitwazzjoni attwali tat-theddid jew l-inċidenti ċibernetiċi, bħar-ransomware. Biex tissaħħaħ il-kooperazzjoni fil-livell tal-Unjoni, il-Grupp ta' Kooperazzjoni jenħtieġ li jikkunsidra li jistieden lil istituzzjonijiet, korpi, uffiċċji u aġenziji rilevanti tal-Unjoni involuti fil-politika taċ-ċibersigurtà, bħall-Parlament Ewropew, l-Europol, il-Bord Ewropew għall-Protezzjoni tad-Data, l-Aġenzija tas-Sikurezza tal-Avjazzjoni tal-Unjoni Ewropea, stabbilita bir-Regolament (UE) 2018/1139 u l-Aġenzija tal-Unjoni Ewropea għall-Programm Spazjali, stabbilita bir-Regolament (UE) 2021/696 tal-Parlament Ewropew u tal-Kunsill (14) biex jipparteċipaw fil-ħidma tiegħu.

(67)

L-awtoritajiet kompetenti u s-CSIRTs jenħtieġ li jkunu jistgħu jipparteċipaw fi skemi ta' skambju għal uffiċjali minn Stati Membri oħra, f'qafas speċifiku u, fejn applikabbli, soġġett għall-approvazzjoni tas-sigurtà meħtieġa tal-uffiċjali li jipparteċipaw f'tali skemi ta' skambju, biex titjieb il-kooperazzjoni u tissaħħaħ il-fiduċja fost l-Istati Membri. L-awtoritajiet kompetenti jenħtieġ li jieħdu l-miżuri meħtieġa biex uffiċjali minn Stati Membri oħra jkunu jistgħu jaqdu rwol effettiv fl-attivitajiet tal-awtorità kompetenti ospitanti jew tas-CSIRT ospitanti.

(68)

L-Istati Membri jenħtieġ li jikkontribwixxu għall-istabbiliment tal-Qafas ta' Rispons għall-Kriżijiet taċ-Ċibersigurtà tal-UE stabbilit fir-Rakkomandazzjoni tal-Kummissjoni (UE) 2017/1584 (15) permezz tan-networks ta' kooperazzjoni eżistenti, b'mod partikolari n-Network Ewropew ta' Organizzazzjoni ta' Kollegament f'każ ta' Ċiberkriżijiet (EU-CyCLONe - European cyber crisis liaison organisation network), in-network tas-CSIRTs u l-Grupp ta' Kooperazzjoni. Jenħtieġ li l-EU-CyCLONe u n-network tas-CSIRTs jikkooperaw abbażi ta' arranġamenti proċedurali li jispeċifikaw id-dettalji ta' dik il-kooperazzjoni u jevitaw kwalunkwe duplikazzjoni ta' kompiti. Ir-regoli ta' proċedura tal-EU-CyCLONe jenħtieġ li jispeċifikaw f'aktar dettall l-arranġamenti li permezz tagħhom dak in-network jenħtieġ li jiffunzjona, inkluż ir-rwoli tan-network, il-mezzi ta' kooperazzjoni, l-interazzjonijiet ma' atturi rilevanti oħra u l-mudelli għall-kondiviżjoni tal-informazzjoni, kif ukoll il-mezzi ta' komunikazzjoni. Għall-ġestjoni tal-kriżijiet fil-livell tal-Unjoni, il-partijiet rilevanti jenħtieġ li jkunu jiddependu fuq l-Arranġamenti Integrati tal-UE għal Rispons Politiku f'Sitwazzjonijiet ta' Kriżi skont id-Deċiżjoni ta' Implimentazzjoni tal-Kunsill (UE) 2018/1993 (16) (arranġamenti IPCR). Il-Kummissjoni jenħtieġ li tuża l-proċess transsettorjali ta' livell għoli ARGUS għall-koordinazzjoni f'sitwazzjonijiet ta' kriżi għal dak il-għan. Jekk il-kriżi tinvolvi dimensjoni esterna importanti jew waħda marbuta mal-Politika ta' Sigurtà u ta' Difiża Komuni, jenħtieġ li jiġi attivat il-Mekkaniżmu ta' Rispons għall-Kriżijiet tas-Servizz Ewropew għall-Azzjoni Esterna.

(69)

F'konformità mal-Anness tar-Rakkomandazzjoni (UE) 2017/1584, inċident taċ-ċibersigurtà fuq skala kbira jenħtieġ li tfisser inċident li jikkawża livell ta' tfixkil li jaqbeż il-kapaċità ta' Stat Membru li jirrispondi għalih jew li jkollu impatt sinifikanti fuq mill-inqas żewġ Stati Membri. Skont il-kawża u l-impatt tagħhom, inċidenti taċ-ċibersigurtà fuq skala kbira jistgħu jeskalaw u jinbidlu fi kriżijiet sħaħ li ma jippermettux il-funzjonament tajjeb tas-suq intern jew li joħolqu riskji serji għas-sigurtà u s-sikurezza pubblika għall-entitajiet u ċ-ċittadini f'għadd ta' Stati Membri jew fl-Unjoni kollha kemm hi. Minħabba l-ambitu wiesa' u, fil-biċċa l-kbira tal-każijiet, in-natura transfruntiera ta' inċidenti bħal dawn, jenħtieġ li l-Istati Membri u l-istituzzjonijiet, il-korpi, l-uffiċċji u l-aġenziji rilevanti tal-Unjoni jikkooperaw fil-livell tekniku, operazzjonali u politiku biex jikkoordinaw sew ir-rispons madwar l-Unjoni.

(70)

Inċidenti taċ-ċibersigurtà fuq skala kbira u kriżijiet fil-livell tal-Unjoni jirrikjedu azzjoni kkoordinata biex jiġi żgurat rispons rapidu u effettiv minħabba l-livell għoli ta' interdipendenza bejn is-setturi u l-Istati Membri. Id-disponibbiltà ta' networks u sistemi ta' informazzjoni reżiljenti għaċ-ċibernetika u d-disponibbiltà, il-kunfidenzjalità u l-integrità tad-data huma fundamentali għas-sigurtà tal-Unjoni u għall-protezzjoni taċ-ċittadini, in-negozji u l-istituzzjonijiet tagħha kontra inċidenti u theddid ċibernetiku, kif ukoll għat-tisħiħ tal-fiduċja tal-individwi u l-organizzazzjonijiet fil-kapaċità tal-Unjoni li tippromwovi u tipproteġi ċiberspazju globali, miftuħ, liberu, stabbli u sigur ibbażat fuq id-drittijiet tal-bniedem, il-libertajiet fundamentali, id-demokrazija u l-istat tad-dritt.

(71)

L-EU-CyCLONe jenħtieġ li taħdem bħala intermedjarju bejn il-livell tekniku u dak politiku waqt inċidenti u kriżijiet taċ-ċibersigurtà fuq skala kbira u għandha ssaħħaħ il-kooperazzjoni fil-livell operazzjonali u tappoġġa l-proċess deċiżjonali fil-livell politiku. F'kooperazzjoni mal-Kummissjoni, b'kont meħud tal-kompetenza tal-Kummissjoni fil-qasam tal-ġestjoni tal-kriżijiet, jenħtieġ li l-EU-CyCLONe tibni fuq is-sejbiet tan-network tas-CSIRTs u tuża l-kapaċitajiet tagħha stess biex toħloq analiżi tal-impatt ta' inċidenti u kriżijiet taċ-ċibersigurtà fuq skala kbira.

(72)

L-attakki ċibernetiċi huma ta' natura transfruntiera, u inċident sinifikanti jista' jfixkel u jagħmel ħsara lill-infrastrutturi kritiċi tal-informazzjoni li fuqhom jiddependi l-funzjonament bla xkiel tas-suq intern. Ir-Rakkomandazzjoni (UE) 2017/1584 tindirizza r-rwol tal-atturi rilevanti kollha. Barra minn hekk, il-Kummissjoni hija responsabbli, fil-qafas tal-Mekkaniżmu tal-Unjoni għall-Protezzjoni Ċivili, stabbilit bid-Deċiżjoni Nru 1313/2013/UE tal-Parlament Ewropew u tal-Kunsill (17), għal azzjonijiet ta' tħejjija ġenerali fosthom il-ġestjoni taċ-Ċentru ta' Koordinazzjoni tar-Reazzjoni f'każ ta' Emerġenza u s-Sistema Komuni ta' Komunikazzjoni u Informazzjoni f'każ ta' Emerġenza, iż-żamma u l-iżvilupp ulterjuri tal-għarfien tas-sitwazzjoni u l-kapaċità ta' analiżi, u l-istabbiliment u l-ġestjoni tal-kapaċità li jiġu mobilizzati u mibgħuta timijiet ta' esperti fil-każ ta' talba għall-assistenza minn Stat Membru jew pajjiż terz. Il-Kummissjoni għandha wkoll ir-responsabbiltà li tipprovdi rapporti analitiċi għall-arranġamenti tal-IPCR skont id-Deċiżjoni ta' Implimentazzjoni (UE) 2018/1993, inkluż fir-rigward tal-għarfien tas-sitwazzjoni taċ-ċibersigurtà u t-tħejjija għaliha, kif ukoll għall-għarfien tas-sitwazzjoni u r-rispons għall-kriżijiet fl-oqsma tal-agrikoltura, il-kundizzjonijiet tat-temp avversi, l-immappjar u t-tbassir tal-kunflitti, is-sistemi ta' twissija bikrija għal diżastri naturali, l-emerġenzi tas-saħħa, is-sorveljanza tal-mard infettiv, is-saħħa tal-pjanti, l-inċidenti kimiċi, is-sikurezza tal-ikel u tal-għalf, is-saħħa tal-annimali, il-migrazzjoni, id-dwana, l-emerġenzi nukleari u radjoloġiċi, u l-enerġija.

(73)

Meta jkun xieraq, l-Unjoni tista' tikkonkludi ftehimiet internazzjonali f'konformità mal-Artikolu 218 tat-TFUE ma' pajjiżi terzi jew organizzazzjonijiet internazzjonali li jippermettu u jorganizzaw il-parteċipazzjoni tagħhom f'attivitajiet partikolari tal-Grupp ta' Kooperazzjoni, in-network tas-CSIRTs u l-EU-CyCLONe. Ftehimiet bħal dawn jenħtieġ li jiżguraw l-interessi tal-Unjoni u l-protezzjoni adegwata tad-data. Dan jenħtieġ li ma jipprekludix id-dritt tal-Istati Membri li jikkooperaw ma' pajjiżi terzi fuq il-ġestjoni tal-vulnerabbiltajiet u l-ġestjoni tar-riskji għaċ-ċibersigurtà, biex jiġu ffaċilitati r-rapportar u l-informazzjoni ġenerali skont il-liġi tal-Unjoni.

(74)

Sabiex tiġi ffaċilitata l-implimentazzjoni effettiva ta' din id-Direttiva fir-rigward, fost l-oħrajn, tal-ġestjoni tal-vulnerabbiltajiet, il-miżuri ta' ġestjoni tar-riskji taċ-ċibersigurtà, l-obbligi ta' rapportar u l-arranġamenti għall-kondiviżjoni tal-informazzjoni dwar iċ-ċibersigurtà, l-Istati Membri jistgħu jikkooperaw ma' pajjiżi terzi u jwettqu attivitajiet li jitqiesu xierqa għal dak il-għan, fosthom skambji ta' informazzjoni dwar theddid ċibernetiku, inċidenti, vulnerabbiltajiet, għodod u metodi, tattiċi, tekniki u proċeduri, tħejjija u eżerċizzji għall-ġestjoni tal-kriżijiet taċ-ċibersigurtà, taħriġ, bini ta' fiduċja u arranġamenti strutturati għall-kondiviżjoni tal-informazzjoni.

(75)

Jenħtieġ li jiġu introdotti evalwazzjonijiet bejn il-pari biex jinsiltu tagħlimiet mill-esperjenzi kondiviżi, tissaħħaħ il-fiduċja reċiproka u jintlaħaq livell komuni għoli ta' ċibersigurtà. L-evalwazzjonijiet bejn il-pari jistgħu jwasslu għal għarfien u rakkomandazzjonijiet siewja li jsaħħu l-kapaċitajiet ġenerali ta' ċibersigurtà, joħolqu perkors funzjonali ieħor għall-kondiviżjoni tal-aħjar prattiki fost l-Istati Membri u jikkontribwixxu għat-tisħiħ tal-livelli ta' maturità tal-Istati Membri fiċ-ċibersigurtà. Barra minn hekk, jenħtieġ li l-evalwazzjonijiet bejn il-pari jqisu r-riżultati ta' mekkaniżmi simili, bħas-sistema ta' evalwazzjoni bejn il-pari tan-network tas-CSIRTs, u jenħtieġ li jżidu l-valur u jevitaw id-duplikazzjoni. L-implimentazzjoni tal-evalwazzjonijiet bejn il-pari jenħtieġ li tkun mingħajr preġudizzju għal-liġi tal-Unjoni jew dik nazzjonali dwar il-protezzjoni ta' informazzjoni kunfidenzjali jew klassifikata.