ISSN 1977-074X

Il-Ġurnal Uffiċjali

tal-Unjoni Ewropea

L 333

European flag  

Edizzjoni bil-Malti

Leġiżlazzjoni

Volum 65
27 ta' Diċembru 2022


Werrej

 

I   Atti leġiżlattivi

Paġna

 

 

REGOLAMENTI

 

*

Regolament (UE) 2022/2554 tal-Parlament Ewropew u tal-Kunsill tal-14 ta’ Diċembru 2022 dwar ir-reżiljenza operazzjonali diġitali għas-settur finanzjarju u li jemenda r-Regolamenti (KE) Nru 1060/2009, (UE) Nru 648/2012, (UE) Nru 600/2014, (UE) Nru 909/2014 u (UE) 2016/1011 ( 1 )

1

 

 

DIRETTIVI

 

*

Direttiva (UE) 2022/2555 tal-Parlament Ewropew u tal-Kunsill tal-14 ta’ Diċembru 2022 dwar miżuri għal livell għoli komuni ta’ ċibersigurtà madwar l-Unjoni kollha, li temenda r-Regolament (UE) Nru 910/2014 u d-Direttiva (UE) 2018/1972, u li tħassar id-Direttiva (UE) 2016/1148 (Direttiva NIS 2) ( 1 )

80

 

*

Direttiva (UE) 2022/2556 tal-Parlament Ewropew u tal-Kunsill tal-14 ta' Diċembru 2022 li temenda d-Direttivi 2009/65/KE, 2009/138/KE, 2011/61/UE, 2013/36/UE, 2014/59/UE, 2014/65/UE, (UE) 2015/2366 u (UE) 2016/2341 fir-rigward tar-reżiljenza operazzjonali diġitali għas-settur finanzjarju ( 1 )

153

 

*

Direttiva (UE) 2022/2557 tal-Parlament Ewropew u tal-Kunsill tal-14 ta’ Diċembru 2022 dwar ir-reżiljenza tal-entitajiet kritiċi u li tħassar id-Direttiva tal-Kunsill 2008/114/KE ( 1 )

164

 


 

(1)   Test b'rilevanza għaż-ŻEE.

MT

L-Atti li t-titoli tagħhom huma stampati b'tipa ċara huma dawk li għandhom x'jaqsmu mal-maniġment ta' kuljum ta' materji agrikoli, u li ġeneralment huma validi għal perijodu limitat.

It-titoli ta'l-atti l-oħra kollha huma stampati b'tipa skura u mmarkati b'asterisk quddiemhom.


I Atti leġiżlattivi

REGOLAMENTI

27.12.2022   

MT

Il-Ġurnal Uffiċjali tal-Unjoni Ewropea

L 333/1


REGOLAMENT (UE) 2022/2554 TAL-PARLAMENT EWROPEW U TAL-KUNSILL

tal-14 ta’ Diċembru 2022

dwar ir-reżiljenza operazzjonali diġitali għas-settur finanzjarju u li jemenda r-Regolamenti (KE) Nru 1060/2009, (UE) Nru 648/2012, (UE) Nru 600/2014, (UE) Nru 909/2014 u (UE) 2016/1011

(Test b’rilevanza għaż-ŻEE)

IL-PARLAMENT EWROPEW U L-KUNSILL TAL-UNJONI EWROPEA,

Wara li kkunsidraw it-Trattat dwar il-Funzjonament tal-Unjoni Ewropea u, b’mod partikolari, l-Artikolu 114 tiegħu,

Wara li kkunsidraw il-proposta tal-Kummissjoni Ewropea,

Wara li l-abbozz tal-att leġiżlattiv intbagħat lill-parlamenti nazzjonali,

Wara li kkunsidraw l-opinjoni tal-Bank Ċentrali Ewropew (1),

Wara li kkunsidraw l-opinjoni tal-Kumitat Ekonomiku u Soċjali Ewropew (2),

Filwaqt li jaġixxu skont il-proċedura leġiżlattiva ordinarja (3),

Billi:

(1)

Fl-era diġitali, it-teknoloġija tal-informazzjoni u tal-komunikazzjoni (ICT) tappoġġja s-sistemi kumplessi użati għall-attivitajiet ta’ kuljum. Din it-teknoloġija żżomm l-ekonomiji tagħna għaddejjin f’setturi ewlenin, inkluż is-settur finanzjarju, u ttejjeb il-funzjonament tas-suq intern. Id-diġitalizzazzjoni u l-interkonnettività miżjuda jamplifikaw ukoll ir-riskju tal-ICT, u b’hekk is-soċjetà kollha kemm hi, u s-sistema finanzjarja b’mod partikolari, issir aktar vulnerabbli għat-theddid ċibernetiku jew għat-tfixkil fis-settur tal-ICT. Filwaqt li l-użu kullimkien tas-sistemi tal-ICT u d-diġitalizzazzjoni u l-konnettività għolja llum il-ġurnata huma karatteristiċi ewlenin tal-attivitajiet tal-entitajiet finanzjarji tal-Unjoni, ir-reżiljenza diġitali tagħhom għad trid tiġi indirizzata u integrata aħjar fl-oqsma operazzjonali usa’ tagħhom.

(2)

F’dawn l-aħħar għexieren ta’ snin l-użu tal-ICT kiseb rwol kruċjali fil-forniment ta’ servizzi finanzjarji, tant li issa akkwista importanza kritika fl-operat tal-funzjonijiet tipiċi ta’ kuljum tal-entitajiet finanzjarji kollha. Id-diġitalizzazzjoni issa tkopri, pereżempju, pagamenti, li aktar ma għadda żmien aktar imxew minn metodi bbażati fuq il-flus kontanti u l-karti għall-użu ta’ soluzzjonijiet diġitali, kif ukoll l-ikklerjar u s-saldu ta’ titoli, kummerċ elettroniku u algoritmiku, operazzjonijiet ta’ self u finanzjament, finanzjament bejn il-pari, klassifikazzjoni tal-kreditu, ġestjoni tal-pretensjonijiet u operazzjonijiet tal-back-office. Is-settur tal-assigurazzjoni wkoll ġie ttrasformat bl-użu tal-ICT, mill-emerġenza ta’ intermedjarji tal-assigurazzjoni li joffru s-servizzi tagħhom online li joperaw ma’ InsurTech, għal sottoskrizzjoni tal-assigurazzjoni diġitali. Il-finanzi mhux biss saru fil-biċċa l-kbira diġitali fis-settur kollu, iżda d-diġitalizzazzjoni approfondiet ukoll l-interkonnessjonijiet u d-dipendenzi fis-settur finanzjarju u ma’ fornituri terzi ta’ servizzi u infrastruttura.

(3)

Il-Bord Ewropew dwar ir-Riskju Sistemiku (BERS) irriafferma f’rapport tal-2020 li jindirizza r-riskju ċibernetiku sistemiku kif il-livell għoli eżistenti ta’ interkonnettività bejn l-entitajiet finanzjarji, is-swieq finanzjarji u l-infrastrutturi tas-swieq finanzjarji u, b’mod partikolari, l-interdipendenzi tas-sistemi tal-ICT tagħhom, jistgħu potenzjalment jikkostitwixxu vulnerabbiltà sistemika għax l-inċidenti ċibernetiċi lokalizzati jistgħu jinxterdu malajr minn kwalunkwe waħda mill-madwar 22 000 entità finanzjarja tal-Unjoni għas-sistema finanzjarja kollha kemm hi, mingħajr ma jiġu mxekkla mill-fruntieri ġeografiċi. Ksur serju tas-sigurtà tal-ICT li jseħħ fis-settur finanzjarju ma jaffettwax biss lill-entitajiet finanzjarji b’mod iżolat. Tali ksur iwitti wkoll it-triq għall-propagazzjoni ta’ vulnerabbiltajiet lokalizzati fil-mezzi kollha ta’ trażmissjoni finanzjarja u potenzjalment iwassal għal konsegwenzi negattivi għall-istabbiltà tas-sistema finanzjarja tal-Unjoni, pereżempju billi jiġġenera nuqqas ta’ likwidità u telf ġenerali ta’ fiduċja fis-swieq finanzjarji.

(4)

F’dawn l-aħħar snin, ir-riskju tal-ICT ġibed l-attenzjoni ta’ dawk li jfasslu l-politika, tar-regolaturi u tal-korpi li jiffissaw l-istandards internazzjonali, tal-Unjoni u nazzjonali, f’tentattiv biex itejbu r-reżiljenza diġitali, jiffissaw l-istandards u jikkoordinaw il-ħidma regolatorja jew superviżorja. Fil-livell internazzjonali, il-Kumitat ta’ Basel dwar is-Superviżjoni Bankarja, il-Kumitat dwar il-Pagamenti u l-Infrastrutturi tas-Suq, il-Bord għall-Istabbiltà Finanzjarja, l-Istitut għall-Istabbiltà Finanzjarja, kif ukoll il-G7 u l-G20 għandhom l-għan li jipprovdu lill-awtoritajiet kompetenti u lill-operaturi tas-suq f’ġuriżdizzjonijiet varji b’għodod maħsuba biex isaħħu r-reżiljenza tas-sistemi finanzjarji tagħhom. Dik il-ħidma ġiet xprunata wkoll mill-ħtieġa li jiġi kkunsidrat kif xieraq ir-riskju tal-ICT fil-kuntest ta’ sistema finanzjarja globali interkonnessa ħafna u li titfittex aktar konsistenza fl-aħjar prattiki rilevanti.

(5)

Minkejja l-inizjattivi politiċi u leġiżlattivi tal-Unjoni u nazzjonali mmirati, ir-riskju tal-ICT ikompli jippreżenta sfida għar-reżiljenza operazzjonali, il-prestazzjoni u l-istabbiltà tas-sistema finanzjarja tal-Unjoni. Ir-riformi li saru wara l-kriżi finanzjarja tal-2008 saħħet primarjament ir-reżiljenza finanzjarja tas-settur finanzjarju tal-Unjoni u kellhom l-għan li jissalvagwardjaw il-kompetittività u l-istabbiltà tal-Unjoni minn perspettivi ekonomiċi, prudenzjali u ta’ kondotta fis-suq. Għalkemm is-sigurtà tal-ICT u r-reżiljenza diġitali huma parti mir-riskju operazzjonali, dawn kienu inqas fl-attenzjoni tal-aġenda regolatorja ta’ wara l-kriżi finanzjarja, u żviluppaw biss f’xi oqsma tal-politika tas-servizzi finanzjarji u tax-xenarju regolatorju tal-Unjoni, jew fi ftit Stati Membri biss.

(6)

Fil-Komunikazzjoni tat-8 ta’ Marzu 2018 intitolata “Pjan ta’ Azzjoni tal-FinTech: Għal settur finanzjarju Ewropew iktar kompetittiv u innovattiv”, il-Kummissjoni enfasizzat l-importanza fundamentali li s-settur finanzjarju tal-Unjoni jsir aktar reżiljenti, inkluż minn perspettiva operazzjonali biex jiġu żgurati s-sikurezza teknoloġika u l-funzjonament tajjeb tiegħu, l-irkupru rapidu tiegħu minn ksur u inċidenti tas-sigurtà tal-ICT, li fl-aħħar mill-aħħar jippermettu l-forniment effettiv u mingħajr xkiel tas-servizzi finanzjarji madwar l-Unjoni kollha, inkluż f’sitwazzjonijiet ta’ stress, filwaqt li jiġu ppreservati wkoll il-fiduċja u l-kunfidenza tal-konsumaturi u tas-suq.

(7)

F’April 2019, l-Awtorità Superviżorja Ewropea (Awtorità Bankarja Ewropea) (EBA) stabbilita bir-Regolament (UE) Nru 1093/2010 tal-Parlament Ewropew u tal-Kunsill (4), l-Awtorità Superviżorja Ewropea (Awtorità Ewropea tal-Assigurazzjoni u l-Pensjonijiet tax-Xogħol (EIOPA) stabbilita bir-Regolament (UE) Nru 1094/2010 tal-Parlament Ewropew u tal-Kunsill (5) u l-Awtorità Superviżorja Ewropea (Awtorità Ewropea tat-Titoli u s-Swieq), (ESMA) stabbilita bir-Regolament (UE) Nru 1095/2010 tal-Parlament Ewropew u tal-Kunsill (6) (magħrufa kollettivament bħala “Awtoritajiet Superviżorji Ewropej” jew “ASE”) ħarġu b’mod konġunt parir tekniku li jitlob approċċ koerenti għar-riskju tal-ICT fil-finanzi u li jirrakkomanda li tissaħħaħ, b’mod proporzjonat, ir-reżiljenza operazzjonali diġitali tal-industrija tas-servizzi finanzjarji permezz ta’ inizjattiva tal-Unjoni speċifika għas-settur.

(8)

Is-settur finanzjarju tal-Unjoni huwa rregolat minn Ġabra Unika tar-Regoli u minn sistema Ewropea ta’ superviżjoni finanzjarja. Madankollu, id-dispożizzjonijiet li jindirizzaw ir-reżiljenza operazzjonali diġitali u s-sigurtà tal-ICT għadhom mhumiex armonizzati għalkollox jew b’mod konsistenti, minkejja li r-reżiljenza operazzjonali diġitali hija vitali biex jiġu żgurati l-istabbiltà finanzjarja u l-integrità tas-suq fl-era diġitali, u mhux inqas importanti minn, pereżempju, standards ta’ kondotta fis-suq jew prudenzjali komuni. Għalhekk, jenħtieġ li l-Ġabra Unika tar-Regoli u s-sistema ta’ superviżjoni jiġu żviluppati biex ikopru wkoll ir-reżiljenza operazzjonali diġitali, billi jsaħħu l-mandati tal-awtoritajiet kompetenti biex ikunu jistgħu jissorveljaw il-ġestjoni tar-riskju tal-ICT fis-settur finanzjarju sabiex jipproteġu l-integrità u l-effiċjenza tas-suq intern, u jiffaċilitaw il-funzjonament ordnat tiegħu.

(9)

Id-disparitajiet leġiżlattivi u l-approċċi regolatorji jew superviżorji nazzjonali mhux uniformi fir-rigward tal-ICT jirriskjaw li joħolqu ostakli għall-funzjonament tas-suq intern fis-servizzi finanzjarji, li jxekklu l-eżerċitar bla xkiel tal-libertà ta’ stabbiliment u l-forniment ta’ servizzi għal entitajiet finanzjarji li joperaw fuq bażi transfruntiera. Il-kompetizzjoni bejn l-istess tip ta’ entitajiet finanzjarji fi Stati Membri differenti tista’ wkoll tiġi distorta. Dan huwa l-każ, b’mod partikolari, għal oqsma fejn l-armonizzazzjoni tal-Unjoni kienet limitata ħafna, bħall-ittestjar tar-reżiljenza operazzjonali diġitali, jew assenti, bħall-monitoraġġ tar-riskju relatat mal-ICT minn partijiet terzi. Id-disparitajiet li jirriżultaw mill-iżviluppi previsti fil-livell nazzjonali jistgħu jiġġeneraw aktar ostakli għall-funzjonament tas-suq intern għad-detriment tal-parteċipanti fis-suq u l-istabbiltà finanzjarja.

(10)

Sa issa, peress li d-dispożizzjonijiet relatati mar-riskju tal-ICT ġew indirizzati biss parzjalment fil-livell tal-Unjoni, hemm lakuni jew sovrapożizzjonijiet f’oqsma importanti, bħar-rapportar ta’ inċidenti relatati mal-ICT u l-ittestjar tar-reżiljenza operazzjonali diġitali, u inkonsistenzi li jirriżultaw minn regoli nazzjonali diverġenti emerġenti jew l-applikazzjoni mhux kosteffettiva ta’ regoli sovraposti. Dan huwa partikolarment detrimentali għal utent li jagħmel użu intensiv mill-ICT, bħas-settur finanzjarju, billi r-riskji tat-teknoloġija ma għandhomx fruntieri u s-settur finanzjarju juża s-servizzi tiegħu fuq bażi transfruntiera wiesgħa fl-Unjoni u barra minnha. L-entitajiet finanzjarji individwali li joperaw fuq bażi transfruntiera jew li għandhom diversi awtorizzazzjonijiet (pereżempju, entità finanzjarja waħda jista’ jkollha liċenzja biex topera bħala entità bankarja, liċenzja ta’ ditta ta’ investiment, u liċenzja ta’ istituzzjoni ta’ pagament, kull waħda maħruġa minn awtorità kompetenti differenti fi Stat Membru wieħed jew f’diversi Stati Membri) jiffaċċjaw sfidi operazzjonali biex jindirizzaw weħidhom u b’mod koerenti u kosteffettiv ir-riskju tal-ICT u biex jimmitigaw l-impatti avversi tal-inċidenti tal-ICT.

(11)

Peress li l-Ġabra Unika tar-Regoli ma kinitx akkumpanjata minn qafas komprensiv tal-ICT jew tar-riskju operazzjonali, hija meħtieġa aktar armonizzazzjoni tar-rekwiżiti ewlenin tar-reżiljenza operazzjonali diġitali għall-entitajiet finanzjarji kollha. L-iżvilupp tal-kapaċitajiet tal-ICT u r-reżiljenza kumplessiva mill-entitajiet finanzjarji, abbażi ta’ dawk ir-rekwiżiti ewlenin, bil-ħsieb li jifilħu għal qtugħ operazzjonali, jgħinu biex jippreservaw l-istabbiltà u l-integrità tas-swieq finanzjarji tal-Unjoni u b’hekk jikkontribwixxu għall-iżgurar ta’ livell għoli ta’ protezzjoni tal-investituri u tal-konsumaturi fl-Unjoni. Billi dan ir-Regolament għandu l-għan li jikkontribwixxi għall-funzjonament bla xkiel tas-suq intern, jenħtieġ li jkun ibbażat fuq id-dispożizzjonijiet tal-Artikolu 114 tat-Trattat dwar il-Funzjonament tal-Unjoni Ewropea (TFUE) kif interpretati f’konformità mal-każistika konsistenti tal-Qorti tal-Ġustizzja tal-Unjoni Ewropea (Qorti tal-Ġustizzja).

(12)

Dan ir-Regolament għandu l-għan li jikkonsolida u jaġġorna r-rekwiżiti tar-riskju tal-ICT bħala parti mir-rekwiżiti tar-riskju operazzjonali li, sa issa, ġew indirizzati separatament f’diversi atti legali tal-Unjoni. Filwaqt li dawk l-atti koprew il-kategoriji ewlenin tar-riskju finanzjarju (pereż. ir-riskju tal-kreditu, ir-riskju tas-suq, ir-riskju tal-kreditu tal-kontroparti u r-riskju tal-likwidità, ir-riskju tal-imġiba tas-suq), ma indirizzawx b’mod komprensiv, fil-mument tal-adozzjoni tagħhom, il-komponenti kollha tar-reżiljenza operazzjonali. Ir-regoli tar-riskju operazzjonali, meta żviluppati aktar f’dawk l-atti legali tal-Unjoni, sikwit kienu jiffavorixxu approċċ kwantitattiv tradizzjonali biex jiġi indirizzat ir-riskju (jiġifieri l-iffissar ta’ rekwiżit kapitali biex ikopri r-riskju tal-ICT) minflok ma inkludew regoli kwalitattivi mmirati għall-kapaċitajiet ta’ protezzjoni, individwazzjoni, trażżin, irkupru u tiswija kontra inċidenti relatati mal-ICT, jew għar-rappurtar u l-ittestjar diġitali. Dawk l-atti kienu primarjament maħsuba biex ikopru u jaġġornaw regoli essenzjali dwar is-superviżjoni prudenzjali, l-integrità tas-suq jew l-imġiba. Permezz tal-konsolidazzjoni u t-titjib tar-regoli differenti dwar ir-riskju tal-ICT, id-dispożizzjonijiet kollha li jindirizzaw ir-riskju diġitali fis-settur finanzjarju jenħtieġ li għall-ewwel darba jinġabru flimkien b’mod konsistenti f’att leġiżlattiv wieħed. Għalhekk, dan ir-Regolament jimla l-lakuni jew isewwi l-inkonsistenzi f’uħud mill-atti legali ta’ qabel, inkluż b’rabta mat-terminoloġija użata fihom, u jirreferi b’mod espliċitu għar-riskju tal-ICT permezz ta’ regoli mmirati dwar il-kapaċitajiet tal-ġestjoni tar-riskju tal-ICT, ir-rappurtar ta’ inċidenti, l-ittestjar tar-reżiljenza operazzjonali u l-monitoraġġ tar-riskju tal-ICT marbut ma’ partijiet terzi. Għalhekk, dan ir-Regolament jenħtieġ ukoll li jqajjem sensibilizzazzjoni dwar ir-riskju tal-ICT u jirrikonoxxi l-fatt li l-inċidenti tal-ICT u nuqqas ta’ reżiljenza operazzjonali għandhom il-possibbiltà li jipperikolaw s-solidità finanzjarja tal-entitajiet finanzjarji.

(13)

Jenħtieġ li l-entitajiet finanzjarji jsegwu l-istess approċċ u l-istess regoli bbażati fuq il-prinċipji meta jindirizzaw ir-riskju tal-ICT filwaqt li jqisu d-daqs u l-profil tar-riskju ġenerali tagħhom, u n-natura, l-iskala u l-kumplessità tas-servizzi, l-attivitajiet u l-operazzjonijiet tagħhom. Il-konsistenza tikkontribwixxi biex tiżdied il-fiduċja fis-sistema finanzjarja u tippreserva l-istabbiltà tagħha speċjalment fi żminijiet ta’ dipendenza kbira mis-sistemi, mill-pjattaformi u mill-infrastrutturi tal-ICT li tinvolvi riskju diġitali akbar. L-osservanza tal-iġjene ċibernetika bażika jenħtieġ ukoll li tiġi evitata l-impożizzjoni ta’ kostijiet kbar fuq l-ekonomija billi jimminimizza l-impatt u l-kostijiet tat-tfixkil tal-ICT.

(14)

Regolament jgħin biex titnaqqas il-kumplessità regolatorja, irawwem il-konverġenza superviżorja u jżid iċ-ċertezza legali, u jikkontribwixxi wkoll għal-limitazzjoni tal-kostijiet tal-konformità, speċjalment għall-entitajiet finanzjarji li joperaw b’mod transfruntier, u għat-tnaqqis tad-distorsjonijiet tal-kompetizzjoni. Għalhekk, l-għażla ta’ Regolament għall-istabbiliment ta’ qafas komuni għar-reżiljenza operazzjonali diġitali tal-entitajiet finanzjarji hija l-aktar mod xieraq biex tiġi ggarantita applikazzjoni omoġenja u koerenti tal-komponenti kollha tal-ġestjoni tar-riskju tal-ICT mis-settur finanzjarju tal-Unjoni.

(15)

Id-Direttiva (UE) 2016/1148 tal-Parlament Ewropew u tal-Kunsill (7) kienet l-ewwel qafas orizzontali taċ-ċibersigurtà promulgat fil-livell tal-Unjoni, li japplika wkoll għal tliet tipi ta’ entitajiet finanzjarji, jiġifieri istituzzjonijiet ta’ kreditu, ċentri ta’ negozjar u kontropartijiet ċentrali. Madankollu, billi d-Direttiva (UE) 2016/1148 stabbiliet mekkaniżmu ta’ identifikazzjoni fil-livell nazzjonali ta’ operaturi ta’ servizzi essenzjali, ċerti istituzzjonijiet ta’ kreditu, ċentri ta’ negozjar u kontropartijiet ċentrali biss li ġew identifikati mill-Istati Membri, iddaħħlu fil-kamp ta’ applikazzjoni tagħha fil-prattika, u għalhekk meħtieġa jikkonformaw mar-rekwiżiti ta’ notifika tal-inċidenti u tas-sigurtà tal-ICT stipulati fiha. Id-Direttiva (UE) 2022/2555 tal-Parlament Ewropew u tal-Kunsill (8) tistabbilixxi kriterju uniformi biex jiġu determinati l-entitajiet li jaqgħu fil-kamp ta’ applikazzjoni tagħha (ir-regola dwar id-daqs massimu) filwaqt li żżomm it-tliet tipi ta’ entitajiet finanzjarji fil-kamp ta’ applikazzjoni tagħha.

(16)

Madankollu, peress li dan ir-Regolament iżid il-livell ta’ armonizzazzjoni tad-diversi komponenti ta’ reżiljenza diġitali, billi jintroduċi rekwiżiti dwar il-ġestjoni tar-riskju tal-ICT u r-rapportar ta’ inċidenti relatati mal-ICT li huma aktar stretti meta mqabbla ma’ dawk stipulati fil-liġi attwali tal-Unjoni dwar is-servizzi finanzjarji, dan il-livell ogħla jikkostitwixxi żieda fl-armonizzazzjoni wkoll meta mqabbel mar-rekwiżiti stipulati fid-Direttiva (UE) 2022/2555. Konsegwentement, dan ir-Regolament jikkostitwixxi lex specialis fir-rigward tad-Direttiva (UE) 2022/2555. Fl-istess ħin, huwa kruċjali li tinżamm relazzjoni b’saħħitha bejn is-settur finanzjarju u l-qafas orizzontali taċ-ċibersigurtà tal-Unjoni kif inhu stabbilit bħalissa fid-Direttiva (UE) 2022/2555 biex tiġi żgurata l-konsistenza mal-istrateġiji taċ-ċibersigurtà adottati mill-Istati Membri, u biex is-superviżuri finanzjarji jkunu jistgħu jsiru konxji mill-inċidenti ċibernetiċi li jaffettwaw setturi oħra koperti minn dik id-Direttiva.

(17)

F’konformità mal-Artikolu 4(2) tat-Trattat dwar l-Unjoni Ewropea u mingħajr preġudizzju għall-istħarriġ ġudizzjarju mill-Qorti tal-Ġustizzja, jenħtieġ li dan ir-Regolament ma jaffettwax ir-responsabbiltà tal-Istati Membri fir-rigward tal-funzjonijiet essenzjali tal-Istat li jikkonċernaw is-sigurtà pubblika, id-difiża u s-salvagwardja tas-sigurtà nazzjonali, pereżempju fir-rigward tal-forniment ta’ informazzjoni li tmur kontra s-salvagwardja tas-sigurtà nazzjonali.

(18)

Biex ikun jista’ jsir tagħlim transsettorjali u biex b’mod effettiv jintużaw l-esperjenzi ta’ setturi oħrajn fl-indirizzar tat-theddid ċibernetiku, l-entitajiet finanzjarji msemmija fid-Direttiva (UE) 2022/2555 jenħtieġ li jibqgħu parti mill-“ekosistema” ta’ dik id-Direttiva (pereżempju, il-Grupp ta’ Kooperazzjoni taħt dik id-Direttiva) u l-iskwadri ta’ rispons għal inċidenti relatati mas-sigurtà tal-kompjuters (CSIRTs)). L-ASE u l-awtoritajiet nazzjonali kompetenti jenħtieġ li jkunu jistgħu jipparteċipaw fid-diskussjonijiet ta’ politika strateġika u fil-funzjonament tekniku tal-Grupp ta’ Kooperazzjoni tal-NIS, u li jiskambjaw informazzjoni u jikkooperaw aktar mal-punti uniċi ta’ kuntatt maħtura jew stabbiliti f’konformità ma’ dik id-Direttiva. L-awtoritajiet kompetenti skont dan ir-Regolament jenħtieġ li jikkonsultaw u jikkooperaw ukoll mas-CSIRTs. Jenħtieġ li l-awtoritajiet kompetenti jkunu jistgħu wkoll jitolbu parir tekniku mill-awtoritajiet kompetenti maħtura jew stabbiliti f’konformità mad-Direttiva (UE) 2022/2555 u jistabbilixxu arranġamenti ta’ kooperazzjoni li jkollhom l-għan li jiżguraw mekkaniżmi ta’ koordinazzjoni ta’ rispons effettiv u rapidu.

(19)

Minħabba l-interkonnessjonijiet b’saħħithom bejn ir-reżiljenza diġitali u r-reżiljenza fiżika tal-entitajiet finanzjarji, huwa meħtieġ approċċ koerenti fir-rigward tar-reżiljenza tal-entitajiet kritiċi f’dan ir-Regolament u d-Direttiva (UE) 2022/2557 tal-Parlament Ewropew u tal-Kunsill (9). Peress li r-reżiljenza fiżika tal-entitajiet finanzjarji hija indirizzata b’mod komprensiv mill-obbligi tal-ġestjoni tar-riskju tal-ICT u tar-rappurtar koperti minn dan ir-Regolament, l-obbligi stabbiliti fil-Kapitoli III u IV tad-Direttiva (UE) 2022/2557 jenħtieġ li ma japplikawx għall-entitajiet finanzjarji li jaqgħu fil-kamp ta’ applikazzjoni ta’ dik id-Direttiva.

(20)

Il-fornituri ta’ servizzi ta’ cloud computing huma waħda mill-kategoriji ta’ infrastruttura diġitali koperta mid-Direttiva (UE) 2022/2555. Il-Qafas ta’ Sorveljanza tal-Unjoni (“Qafas ta’ Sorveljanza”) stabbilit minn dan ir-Regolament japplika għall-fornituri kritiċi kollha tas-servizzi ta’ partijiet terzi tal-ICT, inkluż il-fornituri ta’ servizzi ta’ cloud computing li jipprovdu servizzi tal-ICT lil entitajiet finanzjarji, u jenħtieġ li dan jitqies bħala komplimentari għas-superviżjoni mwettqa skont id-Direttiva (UE) 2022/2555. Barra minn hekk, jenħtieġ li l-Qafas ta’ Sorveljanza stabbilit minn dan ir-Regolament ikopri lill-fornituri ta’ servizzi ta’ cloud computing fin-nuqqas ta’ qafas orizzontali tal-Unjoni li jistabbilixxi awtorità ta’ sorveljanza diġitali.

(21)

Sabiex jinżamm kontroll sħiħ fuq ir-riskju tal-ICT, l-entitajiet finanzjarji jeħtieġ li jkollhom kapaċitajiet komprensivi li jippermettu ġestjoni tar-riskju tal-ICT b’saħħitha u effettiva, kif ukoll mekkaniżmi u politiki speċifiċi għat-trattament tal-inċidenti kollha relatati mal-ICT u għar-rappurtar tal-inċidenti ewlenin relatati mal-ICT. Bl-istess mod, l-entitajiet finanzjarji jenħtieġ li jkollhom fis-seħħ politiki għall-ittestjar ta’ sistemi, kontrolli u proċessi tal-ICT, kif ukoll għall-ġestjoni tar-riskju relatat mal-ICT minn partijiet terzi. Il-linja bażi tar-reżiljenza operazzjonali diġitali għall-entitajiet finanzjarji jenħtieġ li tiżdied filwaqt li tippermetti wkoll applikazzjoni proporzjonata tar-rekwiżiti għal ċerti entitajiet finanzjarji, b’mod partikolari l-mikrointrapriżi, kif ukoll l-entitajiet finanzjarji soġġetti għal qafas simplifikat tal-ġestjoni tar-riskju tal-ICT. Sabiex tiġi ffaċilitata superviżjoni effiċjenti tal-istituzzjonijiet għall-provvista ta’ rtirar okkupazzjonali li tkun proporzjonata u tindirizza l-ħtieġa li jitnaqqsu l-piżijiet amministrattivi fuq l-awtoritajiet kompetenti, l-arranġamenti superviżorji nazzjonali rilevanti fir-rigward ta’ tali entitajiet finanzjarji jenħtieġ li jqisu d-daqs u l-profil tar-riskju ġenerali tagħhom, u n-natura, l-iskala u l-kumplessità tas-servizzi, l-attivitajiet u l-operazzjonijiet tagħhom anke meta jinqabżu l-limiti rilevanti stabbiliti fl-Artikolu 5 tad-Direttiva (UE) 2016/2341 tal-Parlament Ewropew u tal-Kunsill (10). B’mod partikolari, l-attivitajiet superviżorji jenħtieġ li jiffokaw primarjament fuq il-ħtieġa li jiġu indirizzati riskji serji assoċjati mal-ġestjoni tar-riskju tal-ICT ta’ entità partikolari.

Jenħtieġ li l-awtoritajiet kompetenti jżommu wkoll approċċ viġilanti, iżda proporzjonat, fir-rigward tas-superviżjoni tal-istituzzjonijiet għall-provvista ta’ rtirar okkupazzjonali li, f’konformità mal-Artikolu 31 tad-Direttiva (UE) 2016/2341, jesternalizzaw parti sinifikanti tan-negozju ewlieni tagħhom, bħall-ġestjoni tal-assi, il-kalkoli attwarjali, il-kontabbiltà u l-ġestjoni tad-data, lill-fornituri tas-servizzi.

(22)

Il-limiti ta’ rappurtar tal-inċidenti relatati mal-ICT u t-tassonomiji jvarjaw b’mod sinifikanti fil-livell nazzjonali. Filwaqt li tista’ tinkiseb bażi komuni permezz tal-ħidma rilevanti mwettqa mill-Aġenzija tal-Unjoni Ewropea għaċ-Ċibersigurtà (ENISA) stabbilita bir-Regolament (UE) 2019/881 tal-Parlament Ewropew u tal-Kunsill (11) u l-Grupp ta’ Kooperazzjoni skont id-Direttiva (UE) 2022/2555, għadhom jeżistu jew jistgħu jitfaċċaw approċċi diverġenti dwar l-iffissar tal-limiti u l-użu tat-tassonomiji għall-bqija tal-entitajiet finanzjarji. Minħabba dawk id-diverġenzi, hemm bosta rekwiżiti li l-entitajiet finanzjarji jridu jikkonformaw magħhom, speċjalment meta joperaw f’diversi Stati Membri u meta jkunu jagħmlu parti minn grupp finanzjarju. Barra minn hekk, tali diverġenzi għandhom il-potenzjal li jxekklu l-ħolqien ta’ aktar mekkaniżmi uniformi jew ċentralizzati tal-Unjoni li jħaffu l-proċess ta’ rappurtar u jappoġġjaw skambju rapidu u bla xkiel ta’ informazzjoni bejn l-awtoritajiet kompetenti, li huwa kruċjali biex jiġi indirizzat ir-riskju tal-ICT f’każ ta’ attakki fuq skala kbira b’konsegwenzi potenzjalment sistemiċi.

(23)

Sabiex jitnaqqas il-piż amministrattiv u l-obbligi ta’ rappurtar potenzjalment duplikati għal ċerti entitajiet finanzjarji, ir-rekwiżit għar-rappurtar tal-inċidenti skont id-Direttiva (UE) 2015/2366 tal-Parlament Ewropew u tal-Kunsill (12) jenħtieġ li jieqaf japplika għall-fornituri ta’ servizzi ta’ pagament li jaqgħu fil-kamp ta’ applikazzjoni ta’ dan ir-Regolament. Konsegwentement, l-istituzzjonijiet ta’ kreditu, l-istituzzjonijiet tal-flus elettroniċi, l-istituzzjonijiet ta’ pagament u l-fornituri ta’ servizzi ta’ informazzjoni dwar il-kontijiet, kif imsemmija fl-Artikolu 33(1) ta’ dik id-Direttiva, mid-data tal-applikazzjoni ta’ dan ir-Regolament jenħtieġ li jirrappurtaw skont dan ir-Regolament, l-inċidenti kollha operazzjonali jew ta’ sigurtà relatati mal-pagamenti li jkunu ġew irrappurtati qabel skont dik id-Direttiva, irrispettivament minn jekk tali inċidenti jkunux relatati mal-ICT.

(24)

Sabiex l-awtoritajiet kompetenti jkunu jistgħu jaqdu r-rwoli superviżorji tagħhom billi jakkwistaw ħarsa ġenerali kompleta lejn in-natura, il-frekwenza, is-sinifikat u l-impatt tal-inċidenti relatati mal-ICT u jtejbu l-iskambju ta’ informazzjoni bejn l-awtoritajiet pubbliċi rilevanti, inkluż l-awtoritajiet tal-infurzar tal-liġi u l-awtoritajiet tar-riżoluzzjoni, dan ir-Regolament jenħtieġ li jistabbilixxi reġim tar-rappurtar sod ta’ inċidenti relatati mal-ICT li bih ir-rekwiżiti rilevanti jindirizzaw id-diskrepanzi attwali fil-liġi dwar is-servizzi finanzjarji, u jitneħħew is-sovrapożizzjonijiet u d-duplikazzjonijiet eżistenti biex jittaffew il-kostijiet. Huwa essenzjali li r-reġim tar-rappurtar tal-inċidenti relatati mal-ICT jiġi armonizzat billi l-entitajiet finanzjarji kollha jintalbu jirrappurtaw lill-awtoritajiet kompetenti tagħhom permezz ta’ qafas uniku simplifikat kif stipulat f’dan ir-Regolament. Barra minn hekk, jenħtieġ li l-ASE jkollhom is-setgħa li jispeċifikaw aktar elementi rilevanti għall-qafas tar-rappurtar għall-inċidenti relatati mal-ICT, bħat-tassonomija, l-iskedi taż-żmien, is-settijiet tad-data, il-formoli u l-limiti applikabbli. Sabiex tkun żgurata konsistenza sħiħa mad-Direttiva (UE) 2022/2555, jenħtieġ li l-entitajiet finanzjarji jitħallew, fuq bażi volontarja, jinnotifikaw theddidiet ċibernetiċi sinifikanti lill-awtorità kompetenti rilevanti, meta jqisu li t-theddida ċibernetika tkun ta’ rilevanza għas-sistema finanzjarja, għall-utenti tas-servizzi jew għall-klijenti.

(25)

Ir-rekwiżiti tal-ittestjar tar-reżiljenza operazzjonali diġitali ġew żviluppati f’ċerti subsetturi finanzjarji li jistipulaw oqfsa li mhux dejjem ikunu allinjati għalkollox. Dan iwassal għal duplikazzjoni potenzjali tal-kostijiet għall-entitajiet finanzjarji transfruntiera u jagħmel ir-rikonoxximent reċiproku tar-riżultati tal-ittestjar tar-reżiljenza operazzjonali diġitali kumpless li, min-naħa tiegħu, jista’ jifframmenta s-suq intern.

(26)

Barra minn hekk, fejn ma jkun meħtieġ l-ebda ttestjar tal-ICT, il-vulnerabbiltajiet jibqgħu mhux identifikati u jirriżultaw fl-esponiment ta’ entità finanzjarja għar-riskju tal-ICT u fl-aħħar mill-aħħar joħolqu riskju ogħla għall-istabbiltà u l-integrità tas-settur finanzjarju. Mingħajr l-intervent tal-Unjoni, l-ittestjar tar-reżiljenza operazzjonali diġitali jibqa’ jkun inkonsistenti u ma jkollux sistema ta’ rikonoxximent reċiproku tar-riżultati tal-ittestjar tal-ICT f’ġuriżdizzjonijiet differenti. Barra minn hekk, billi mhuwiex probabbli li subsetturi finanzjarji oħrajn jadottaw skemi tal-ittestjar fuq skala sinifikanti, dawn jitilfu l-benefiċċji potenzjali ta’ qafas tal-ittestjar, fir-rigward tal-iżvelar ta’ vulnerabbiltajiet u riskji tal-ICT, u l-ittestjar tal-kapaċitajiet ta’ difiża u l-kontinwità tal-operat, li jikkontribwixxi għal żieda fil-fiduċja tal-klijenti, tal-fornituri u tas-sħab fin-negozju. Sabiex jiġu rrimedjati dawk is-sovrapożizzjonijiet, diverġenzi u lakuni, huwa meħtieġ li jiġu stipulati regoli għal reġim ta’ ttestjar ikkoordinat u b’hekk jiġi ffaċilitat ir-rikonoxximent reċiproku tal-ittestjar avvanzat għal entitajiet finanzjarji li jissodisfaw il-kriterji stabbiliti f’dan ir-Regolament.

(27)

Id-dipendenza tal-entitajiet finanzjarji fuq l-użu ta’ servizzi tal-ICT hija parzjalment xprunata mill-ħtieġa tagħhom li jadattaw għal ekonomija globali diġitali kompetittiva emerġenti, li jagħtu spinta lill-effiċjenza tan-negozju tagħhom u li jissodisfaw id-domanda tal-konsumaturi. In-natura u l-firxa ta’ tali dipendenza kienu qed jevolvu kontinwament fis-snin reċenti, u dan wassal għal tnaqqis tal-kostijiet fl-intermedjazzjoni finanzjarja, li ppermetta l-espansjoni u l-iskalabbiltà tan-negozju fl-iskjerament ta’ attivitajiet finanzjarji, filwaqt li offra firxa wiesgħa ta’ għodod tal-ICT għall-ġestjoni ta’ proċessi interni kumplessi.

(28)

L-użu estensiv tas-servizzi tal-ICT huwa evidenzjat minn arranġamenti kuntrattwali kumplessi, fejn l-entitajiet finanzjarji ħafna drabi jiltaqgħu ma’ diffikultajiet biex jinnegozjaw it-termini kuntrattwali li huma mfassla għall-istandards prudenzjali jew għal rekwiżiti regolatorji oħrajn li huma soġġetti għalihom, jew inkella biex jinfurzaw drittijiet speċifiċi, bħal drittijiet ta’ aċċess jew awditjar, anki meta dawn tal-aħħar ikunu stabbiliti fl-arranġamenti kuntrattwali tagħhom. Minbarra dan, ħafna minn dawk l-arranġamenti kuntrattwali ma jipprevedux salvagwardji suffiċjenti li jippermettu l-monitoraġġ komprensiv tal-proċessi ta’ sottokuntrattar, u b’hekk iċaħħdu lill-entità finanzjarja mill-kapaċità tagħha li tivvaluta r-riskji assoċjati. Barra minn hekk, billi l-fornituri terzi ta’ servizzi tal-ICT spiss jipprovdu servizzi standardizzati lil tipi differenti ta’ klijenti, tali arranġamenti kuntrattwali mhux dejjem jissodisfaw b’mod adegwat il-ħtiġijiet individwali jew speċifiċi tal-atturi tal-industrija finanzjarja.

(29)

Għalkemm il-liġi tal-Unjoni dwar is-servizzi finanzjarji fiha ċerti regoli ġenerali dwar l-esternalizzazzjoni, il-monitoraġġ tad-dimensjoni kuntrattwali mhuwiex kompletament ankrat fil-liġi tal-Unjoni. Fin-nuqqas ta’ standards ċari tal-Unjoni u mfassla apposta li japplikaw għall-arranġamenti kuntrattwali konklużi ma’ fornituri terzi ta’ servizzi tal-ICT, is-sors estern tar-riskju tal-ICT mhuwiex indirizzat b’mod komprensiv. Konsegwentement, jeħtieġ li jiġu stipulati ċerti prinċipji ewlenin biex jiggwidaw il-ġestjoni mill-entitajiet finanzjarji tar-riskju relatat mal-ICT minn partijiet terzi, li huma ta’ importanza partikolari meta l-entitajiet finanzjarji jirrikorru għal fornituri terzi ta’ servizzi tal-ICT biex jappoġġjaw il-funzjonijiet kritiċi jew importanti tagħhom. Jenħtieġ li dawk il-prinċipji jkunu akkumpanjati minn sett ta’ drittijiet kuntrattwali ewlenin fir-rigward ta’ diversi elementi fil-prestazzjoni u t-terminazzjoni tal-arranġamenti kuntrattwali bil-ħsieb li jiġu pprovduti ċerti salvagwardji minimi sabiex isaħħu l-kapaċità tal-entitajiet finanzjarji li jimmonitorjaw b’mod effettiv ir-riskju kollu tal-ICT li jirriżulta fil-livell ta’ fornituri terzi ta’ servizzi. Dawk il-prinċipji huma komplimentari għal-liġi settorjali applikabbli għall-esternalizzazzjoni.

(30)

Ċertu nuqqas ta’ omoġeneità u konverġenza fir-rigward tal-monitoraġġ tar-riskju relatat mal-ICT minn partijiet terzi u d-dipendenzi fuq fornituri terzi ta’ servizzi tal-ICT huwa evidenti llum. Minkejja l-sforzi biex tiġi indirizzata l-esternalizzazzjoni, bħal-Linji gwida tal-EBA dwar l-esternalizzazzjoni tal-2019 u l-Linji gwida tal-ESMA dwar l-esternalizzazzjoni lill-fornituri tas-servizzi ta’ cloud tal-2021 il-kwistjoni usa’ tal-ġlieda kontra r-riskju sistemiku li jista’ jiġi skattat mill-iskopertura tas-settur finanzjarju għal għadd limitat ta’ fornituri terzi kritiċi ta’ servizzi tal-ICT mhijiex indirizzata biżżejjed mil-liġi tal-Unjoni. In-nuqqas ta’ regoli fil-livell tal-Unjoni huwa aggravat min-nuqqas ta’ regoli nazzjonali dwar mandati u għodod li jippermettu lis-superviżuri finanzjarji jiksbu fehim tajjeb tad-dipendenzi fuq fornituri terzi ta’ servizzi tal-ICT u jimmonitorjaw b’mod adegwat ir-riskji li jirriżultaw mill-konċentrazzjoni ta’ dipendenzi fuq fornituri terzi ta’ servizzi tal-ICT.

(31)

Meta jitqies ir-riskju sistemiku potenzjali li jirriżulta minn żieda fil-prassi ta’ esternalizzazzjoni u mill-konċentrazzjoni ta’ partijiet terzi tal-ICT, u minħabba l-insuffiċjenza tal-mekkaniżmi nazzjonali biex jipprovdu lis-superviżuri finanzjarji b’għodod adegwati biex jikkwantifikaw, jikkwalifikaw u jirrimedjaw il-konsegwenzi tar-riskju tal-ICT li jeżistu fil-fornituri terzi kritiċi ta’ servizzi tal-ICT, huwa meħtieġ li jiġi stabbilit Qafas ta’ Sorveljanza xieraq li jippermetti monitoraġġ kontinwu tal-attivitajiet tal-fornituri terzi ta’ servizzi tal-ICT li huma fornituri terzi kritiċi ta’ servizzi tal-ICT għal entitajiet finanzjarji, filwaqt li jiġi żgurat li jinżammu l-kunfidenzjalità u s-sigurtà tal-klijenti li mhumiex entitajiet finanzjarji. Filwaqt li l-forniment intragrupp ta’ servizzi tal-ICT jinvolvi riskji u benefiċċji speċifiċi, jenħtieġ li dan ma jitqiesx awtomatikament bħala inqas riskjuż mill-forniment ta’ servizzi tal-ICT minn fornituri barra minn grupp finanzjarju, u għalhekk jenħtieġ li jkun soġġett għall-istess qafas regolatorju. Madankollu, meta s-servizzi tal-ICT jiġu pprovduti mill-istess grupp finanzjarju, l-entitajiet finanzjarji jista’ jkollhom livell ogħla ta’ kontroll fuq il-fornituri intragrupp, li għandu jitqies fil-valutazzjoni tar-riskju ġenerali.

(32)

Bir-riskju tal-ICT li qed isir dejjem aktar kumpless u sofistikat, miżuri tajbin għall-individwazzjoni u l-prevenzjoni tar-riskju tal-ICT jiddependu ħafna fuq il-kondiviżjoni regolari bejn l-entitajiet finanzjarji ta’ intelligence dwar it-theddid u l-vulnerabbiltà. Il-kondiviżjoni tal-informazzjoni tikkontribwixxi għat-tiswir ta’ aktar sensibilizzazzjoni dwar it-theddid ċibernetiku. Min-naħa tiegħu, dan isaħħaħ il-kapaċità tal-entitajiet finanzjarji biex jipprevjenu t-theddidiet ċibernetiċi milli jsiru inċidenti reali relatati mal-ICT u jippermetti lill-entitajiet finanzjarji jrażżnu b’mod aktar effettiv l-impatt tal-inċidenti relatati mal-ICT u jirkupraw aktar malajr. Fin-nuqqas ta’ gwida fil-livell tal-Unjoni, jidher li diversi fatturi impedew tali kondiviżjoni tal-intelligence, b’mod partikolari l-inċertezza dwar il-kompatibbiltà tagħha mar-regoli dwar il-protezzjoni tad-data, l-antitrust u r-responsabbiltà.

(33)

Barra minn hekk, id-dubji dwar it-tip ta’ informazzjoni li tista’ tiġi kondiviża ma’ parteċipanti oħrajn fis-suq, jew ma’ awtoritajiet mhux superviżorji (bħall-ENISA, għal input analitiku, jew il-Europol, għall-finijiet ta’ infurzar tal-liġi) jwasslu biex ma tiġix kondiviża informazzjoni utli. Għalhekk, il-firxa u l-kwalità tal-kondiviżjoni tal-informazzjoni attwalment jibqgħu limitati u frammentati, fejn l-iskambji rilevanti jsiru l-aktar lokalment (permezz ta’ inizjattivi nazzjonali) u mingħajr arranġamenti konsistenti għall-kondiviżjoni ta’ informazzjoni mal-Unjoni kollha mfassla għall-ħtiġijiet ta’ sistema finanzjarju integrata. Għalhekk huwa importanti li jissaħħu dawk il-kanali ta’ komunikazzjoni.

(34)

Jenħtieġ li l-entitajiet finanzjarji jiġu mħeġġa jiskambjaw bejniethom informazzjoni u intelligence dwar it-theddid ċibernetiku, u jużaw b’mod kollettiv l-għarfien u l-esperjenza prattika individwali tagħhom fil-livell strateġiku, tattiku u operazzjonali bl-għan li jtejbu l-kapaċitajiet tagħhom li jivvalutaw, jimmonitorjaw, jiddefendu kontra, u jirrispondu b’mod adegwat għat-theddid ċibernetiku, billi jipparteċipaw f’arranġamenti għall-kondiviżjoni tal-informazzjoni. Għalhekk, huwa meħtieġ li tkun possibbli l-ħolqien fil-livell tal-Unjoni ta’ mekkaniżmi għal arranġamenti volontarji għall-kondiviżjoni tal-informazzjoni li, meta jitwettqu f’ambjenti ta’ fiduċja, jgħinu lill-komunità tal-industrija finanzjarja tipprevjeni u tirrispondi b’mod kollettiv għat-theddid ċibernetiku billi tillimita malajr it-tixrid tar-riskju tal-ICT u timpedixxi l-kontaġju potenzjali fil-mezzi finanzjarji kollha. Dawk il-mekkaniżmi jenħtieġ li jikkonformaw mar-regoli applikabbli tal-liġi tal-kompetizzjoni tal-Unjoni stabbiliti fil-Komunikazzjoni mill-Kummissjoni tal-14 ta’ Jannar 2011 intitolata “Linji Gwida dwar l-applikabbiltà tal-Artikolu 101 tat-Trattat dwar il-Funzjonament tal-Unjoni Ewropea għall-akkordji dwar kooperazzjoni orizzontali”, kif ukoll mar-regoli tal-Unjoni dwar il-protezzjoni tad-data, b’mod partikolari r-Regolament (UE) 2016/679 tal-Parlament Ewropew u tal-Kunsill (13). Huma jenħtieġ li joperaw abbażi tal-użu ta’ bażi legali waħda jew aktar li huma stabbiliti fl-Artikolu 6 ta’ dak ir-Regolament, bħal fil-kuntest tal-ipproċessar ta’ data personali li huwa meħtieġ għall-finijiet tal-interess leġittimu segwit mill-kontrollur jew minn parti terza, kif imsemmi fl-Artikolu 6(1), il-punt (f), ta’ dak ir-Regolament, kif ukoll fil-kuntest tal-ipproċessar ta’ data personali meħtieġ għall-konformità ma’ obbligu legali li għalih huwa soġġett il-kontrollur, meħtieġ għat-twettiq ta’ kompitu mwettaq fl-interess pubbliku jew fl-eżerċizzju ta’ awtorità uffiċjali vestita fil-kontrollur, kif imsemmi fl-Artikolu 6(1), il-punti (c) u (e), rispettivament, ta’ dak ir-Regolament.

(35)

Sabiex jinżamm livell għoli ta’ reżiljenza operazzjonali diġitali għas-settur finanzjarju kollu, u fl-istess ħin biex jinżamm il-pass mal-iżviluppi teknoloġiċi, dan ir-Regolament jenħtieġ li jindirizza r-riskju li jirriżulta mit-tipi kollha ta’ servizzi tal-ICT. Għal dak il-għan, id-definizzjoni ta’ servizzi tal-ICT fil-kuntest ta’ dan ir-Regolament jenħtieġ li tinftiehem b’mod wiesa’, li tinkludi servizzi diġitali u tad-data pprovduti permezz ta’ sistemi tal-ICT lil utent intern jew estern wieħed jew aktar fuq bażi kontinwa. Jenħtieġ li dik id-definizzjoni, pereżempju, tinkludi l-hekk imsejħa servizzi “over the top”, li jaqgħu fil-kategorija ta’ servizzi ta’ komunikazzjonijiet elettroniċi. Jenħtieġ li teskludi biss il-kategorija limitata ta’ servizzi tat-telefonija analoga tradizzjonali li jikkwalifikaw bħala servizzi ta’ Network Telefoniku Pubbliku Kommutat (PSTN), servizzi ta’ linja fissa, Servizz Telefoniku Tradizzjonali (POTS), jew servizzi tat-telefown b’linja fissa.

(36)

Minkejja l-kopertura wiesgħa prevista minn dan ir-Regolament, l-applikazzjoni tar-regoli dwar ir-reżiljenza operazzjonali diġitali jenħtieġ li tqis id-differenzi sinifikanti bejn l-entitajiet finanzjarji f’termini tad-daqs u l-profil tar-riskju ġenerali tagħhom. Bħala prinċipju ġenerali, meta jiddistribwixxu r-riżorsi u l-kapaċitajiet għall-implimentazzjoni tal-qafas tal-ġestjoni tar-riskju tal-ICT, jenħtieġ li l-entitajiet finanzjarji jibbilanċjaw kif xieraq il-ħtiġijiet tagħhom relatati mal-ICT mad-daqs u l-profil tar-riskju ġenerali tagħhom, u n-natura, l-iskala u l-kumplessità tas-servizzi, l-attivitajiet u l-operazzjonijiet tagħhom, filwaqt li l-awtoritajiet kompetenti jenħtieġ li jkomplu jivvalutaw u jirrieżaminaw l-approċċ ta’ din id-distribuzzjoni.

(37)

Il-fornituri ta’ servizzi ta’ informazzjoni dwar il-kontijiet, imsemmija fl-Artikolu 33(1) tad-Direttiva (UE) 2015/2366, huma espliċitament inklużi fil-kamp ta’ applikazzjoni ta’ dan ir-Regolament, filwaqt li titqies in-natura speċifika tal-attivitajiet tagħhom u r-riskji li jirriżultaw minnhom. Barra minn hekk, l-istituzzjonijiet tal-flus elettroniċi u l-istituzzjonijiet ta’ pagament eżentati skont l-Artikolu 9(1) tad-Direttiva 2009/110/KE (14) tal-Parlament Ewropew u tal-Kunsill u l-Artikolu 32(1) tad-Direttiva (UE) 2015/2366 huma inklużi fil-kamp ta’ applikazzjoni ta’ dan ir-Regolament anki jekk ma jkunux ingħataw awtorizzazzjoni f’konformità mad-Direttiva 2009/110/KE biex joħorġu flus elettroniċi, jew jekk ma jkunux ingħataw awtorizzazzjoni skont id-Direttiva (UE) 2015/2366 biex jipprovdu u jeżegwixxu servizzi ta’ pagament. Madankollu, l-istituzzjonijiet ta’ kontijiet postali fil-forma giro, imsemmija fl-Artikolu 2(5), il-punt (3), tad-Direttiva 2013/36/UE tal-Parlament Ewropew u tal-Kunsill (15), huma esklużi mill-kamp ta’ applikazzjoni ta’ dan ir-Regolament. L-awtorità kompetenti għall-istituzzjonijiet ta’ pagament eżentati skont id-Direttiva (UE) 2015/2366, l-istituzzjonijiet tal-flus elettroniċi eżentati skont id-Direttiva 2009/110/KE, u l-fornituri ta’ servizzi ta’ informazzjoni dwar il-kontijiet kif imsemmija fl-Artikolu 33(1) tad-Direttiva (UE) 2015/2366, jenħtieġ li tkun l-awtorità kompetenti maħtura f’konformità mal-Artikolu 22 tad-Direttiva (UE) 2015/2366.

(38)

Billi entitajiet finanzjarji akbar jistgħu jgawdu minn riżorsi usa’ u jistgħu jużaw fondi b’ħeffa biex jiżviluppaw strutturi ta’ governanza u jistabbilixxu diversi strateġiji korporattivi, huma biss l-entitajiet finanzjarji li mhumiex mikrointrapriżi fis-sens ta’ dan ir-Regolament li jenħtieġ li jkunu meħtieġa jistabbilixxu arranġamenti ta’ governanza aktar kumplessi. Entitajiet bħal dawn huma mgħammra aħjar, b’mod partikolari biex jistabbilixxu funzjonijiet ta’ ġestjoni ddedikati għat-twettiq ta’ superviżjoni tal-arranġamenti ma’ fornituri terzi ta’ servizzi tal-ICT jew biex jittrattaw l-immaniġġjar tal-kriżijiet, biex jorganizzaw il-ġestjoni tar-riskju tal-ICT tagħhom skont it-tliet linji tal-mudell ta’ difiża, jew biex jistabbilixxu mudell intern ta’ kontroll u tal-ġestjoni tar-riskju, u biex jissottomettu l-qafas tal-ġestjoni tar-riskju tal-ICT tagħhom għal awditi interni.

(39)

Xi entitajiet finanzjarji jibbenefikaw minn eżenzjonijiet jew huma soġġetti għal qafas regolatorju ħafif ħafna skont il-liġi rilevanti tal-Unjoni speċifika għas-settur. Tali entitajiet finanzjarji jinkludu maniġers ta’ fondi ta’ investiment alternattivi msemmija fl-Artikolu 3(2) tad-Direttiva 2011/61/UE tal-Parlament Ewropew u tal-Kunsill (16), impriżi tal-assigurazzjoni u tar-riassigurazzjoni msemmija fl-Artikolu 4 tad-Direttiva 2009/138/KE tal-Parlament Ewropew u tal-Kunsill (17), u istituzzjonijiet għall-provvista ta’ rtirar okkupazzjonali li joperaw skemi ta’ pensjoni li b’kollox ma jkollhomx aktar minn 15-il membru b’kollox. Fid-dawl ta’ dawk l-eżenzjonijiet ma jkunx proporzjonat li tali entitajiet finanzjarji jiġu inklużi fil-kamp ta’ applikazzjoni ta’ dan ir-Regolament. Barra minn hekk, dan ir-Regolament jirrikonoxxi l-ispeċifiċitajiet tal-istruttura tas-suq tal-intermedjazzjoni tal-assigurazzjoni, bir-riżultat li l-intermedjarji tal-assigurazzjoni, l-intermedjarji tar-riassigurazzjoni u l-intermedjarji tal-assigurazzjoni anċillari li jikkwalifikaw bħala intrapriżi mikro, jew bħala intrapriżi żgħar jew ta’ daqs medju jenħtieġ li ma jkunux soġġetti għal dan ir-Regolament.

(40)

Peress li l-entitajiet imsemmija fl-Artikolu 2(5), il-punti (4) sa (23), tad-Direttiva 2013/36/UE huma esklużi mill-kamp ta’ applikazzjoni ta’ dik id-Direttiva, jenħtieġ li l-Istati Membri konsegwentement ikunu jistgħu jagħżlu li jeżentaw mill-applikazzjoni ta’ dan ir-Regolament tali entitajiet li jinsabu fit-territorji rispettivi tagħhom.

(41)

Bl-istess mod, sabiex dan ir-Regolament jiġi allinjat mal-kamp ta’ applikazzjoni tad-Direttiva 2014/65/UE tal-Parlament Ewropew u tal-Kunsill (18), huwa wkoll xieraq li jiġu esklużi mill-kamp ta’ applikazzjoni ta’ dan ir-Regolament il-persuni fiżiċi u ġuridiċi msemmija fl-Artikoli 2 u 3 ta’ dik id-Direttiva li jitħallew jipprovdu servizzi ta’ investiment mingħajr ma jkollhom għalfejn jiksbu awtorizzazzjoni skont id-Direttiva 2014/65/UE. Madankollu, l-Artikolu 2 tad-Direttiva 2014/65/UE jeskludi wkoll mill-kamp ta’ applikazzjoni ta’ dik id-Direttiva entitajiet li jikkwalifikaw bħala entitajiet finanzjarji għall-finijiet ta’ dan ir-Regolament bħal, depożitorji ċentrali tat-titoli, impriżi ta’ investiment kollettiv jew impriżi tal-assigurazzjoni u tar-riassigurazzjoni. Jenħtieġ li l- esklużjoni mill-kamp ta’ applikazzjoni ta’ dan ir-Regolament tal-persuni u l-entitajiet imsemmija fl-Artikoli 2 u 3 ta’ dik id-Direttiva ma tinkludix dawk id-depożitorji ċentrali tat-titoli, l-impriżi ta’ investiment kollettiv jew l-impriżi tal-assigurazzjoni u tar-riassigurazzjoni.

(42)

Skont il-liġi tal-Unjoni speċifika għas-settur, xi entitajiet finanzjarji huma soġġetti għal rekwiżiti jew eżenzjonijiet eħfef għal raġunijiet assoċjati mad-daqs tagħhom jew mas-servizzi li jipprovdu. Dik il-kategorija ta’ entitajiet finanzjarji tinkludi ditti tal-investiment żgħar u mhux interkonnessi, istituzzjonijiet żgħar għall-provvista ta’ rtirar okkupazzjonali li jistgħu jiġu esklużi mill-kamp ta’ applikazzjoni tad-Direttiva (UE) 2016/2341 skont il-kondizzjonijiet stabbiliti fl-Artikolu 5 ta’ dik id-Direttiva mill-Istat Membru kkonċernat u joperaw skemi ta’ pensjoni li b’kollox ma għandhomx total ta’ aktar minn 100 membru, kif ukoll istituzzjonijiet eżentati skont id-Direttiva 2013/36/UE. Għalhekk, f’konformità mal-prinċipju tal-proporzjonalità u biex jiġi ppreservat l-ispirtu tal-liġi tal-Unjoni speċifika għas-settur, huwa xieraq ukoll li dawk l-entitajiet finanzjarji jiġu soġġetti għal qafas simplifikat tal-ġestjoni tar-riskju tal-ICT skont dan ir-Regolament. Il-karattru proporzjonat tal-qafas tal-ġestjoni tar-riskju tal-ICT li jkopri dawk l-entitajiet finanzjarji jenħtieġ li ma jinbidilx mill-istandards tekniċi regolatorji li għandhom jiġu żviluppati mill-ASE. Barra minn hekk, f’konformità mal-prinċipju tal-proporzjonalità, huwa xieraq li l-istituzzjonijiet ta’ pagament imsemmija fl-Artikolu 32(1) tad-Direttiva (UE) 2015/2366 u l-istituzzjonijiet tal-flus elettroniċi msemmija fl-Artikolu 9 tad-Direttiva 2009/110/KE eżentati f’konformità mal-liġi nazzjonali li tittrasponi dawk l-atti legali tal-Unjoni jiġu soġġetti għal qafas simplifikat tal-ġestjoni tar-riskju tal-ICT skont dan ir-Regolament, filwaqt li l-istituzzjonijiet ta’ pagament u l-istituzzjonijiet tal-flus elettroniċi li ma ġewx eżentati f’konformità mal-liġi nazzjonali rispettiva tagħhom li tittrasponi l-liġi settorjali tal-Unjoni jenħtieġ li jikkonformaw mal-qafas ġenerali stabbilit minn dan ir-Regolament.

(43)

Bl-istess mod, l-entitajiet finanzjarji li jikkwalifikaw bħala mikrointrapriżi jew li huma soġġetti għall-qafas simplifikat tal-ġestjoni tar-riskju tal-ICT skont dan ir-Regolament, jenħtieġ li ma jkunux meħtieġa li jistabbilixxu rwol ta’ monitoraġġ tal-arranġamenti tagħhom konklużi ma’ fornituri terzi ta’ servizzi tal-ICT dwar l-użu tas-servizzi tal-ICT; jew li jaħtru membru tal-maniġment superjuri biex ikun responsabbli għas-sorveljanza tal-esponiment għar-riskju relatat u d-dokumentazzjoni rilevanti; li jassenjaw ir-responsabbiltà għall-ġestjoni u s-sorveljanza tar-riskju tal-ICT għal funzjoni ta’ kontroll u jiżguraw livell xieraq ta’ indipendenza ta’ tali funzjoni ta’ kontroll sabiex jiġu evitati kunflitti ta’ interess; li jiddokumentaw u jirrieżaminaw mill-inqas darba fis-sena l-qafas tal-ġestjoni tar-riskju tal-ICT; li jissoġġettaw għall-awditu intern fuq bażi regolari l-qafas tal-ġestjoni tar-riskju tal-ICT; li jwettqu valutazzjonijiet fil-fond wara bidliet kbar fl-infrastrutturi u l-proċessi tan-netwerks u tas-sistemi tal-informazzjoni tagħhom; li jwettqu analiżijiet tar-riskju b’mod regolari fuq sistemi tal-ICT li jkunu diġà ntirtu; li jissoġġettaw l-implimentazzjoni tal-Pjanijiet ta’ Rispons u Rkupru għall-ICT għal reviżjonijiet tal-awditu intern indipendenti; li jkollhom funzjoni ta’ ġestjoni tal-kriżijiet, li jespandu l-ittestjar tal-kontinwità tan-negozju u tal-pjanijiet ta’ rispons u rkupru biex jaqbdu xenarji ta’ kommutazzjoni bejn l-infrastruttura primarja tal-ICT u l-faċilitajiet żejda; li jirrappurtaw lill-awtoritajiet kompetenti, fuq talba tagħhom, stima tal-kostijiet u t-telf annwali aggregati kkawżati minn inċidenti kbar relatati mal-ICT, li jinżammu l-kapaċitajiet żejda tal-ICT; li jikkomunikaw lill-awtoritajiet kompetenti nazzjonali l-bidliet implimentati wara r-rieżamijiet tal-inċidenti relatati mal-ICT; li jimmonitorjaw fuq bażi kontinwa l-iżviluppi teknoloġiċi rilevanti, li jistabbilixxu programm komprensiv tal-ittestjar tar-reżiljenza operazzjonali diġitali bħala parti integrali mill-qafas tal-ġestjoni tar-riskju tal-ICT previst f’dan ir-Regolament, jew li jadottaw u jirrieżaminaw regolarment strateġija dwar ir-riskju relatat mal-ICT minn partijiet terzi. Barra minn hekk, jenħtieġ li l-mikrointrapriżi jintalbu jivvalutaw il-ħtieġa li jżommu tali kapaċitajiet żejda tal-ICT abbażi tal-profil tar-riskju tagħhom biss. Jenħtieġ li l-mikrointrapriżi jibbenefikaw minn reġim aktar flessibbli fir-rigward tal-programmi tal-ittestjar tar-reżiljenza operazzjonali diġitali. Meta jitqiesu t-tip u l-frekwenza tal-ittestjar li għandu jitwettaq, jenħtieġ li dawn jibbilanċjaw b’mod xieraq l-objettiv li tinżamm reżiljenza operazzjonali diġitali għolja mar-riżorsi disponibbli u l-profil tar-riskju ġenerali tagħhom. Jenħtieġ li l-mikrointrapriżi u l-entitajiet finanzjarji soġġetti għall-qafas simplifikat tal-ġestjoni tar-riskju tal-ICT skont dan ir-Regolament jiġu eżentati mir-rekwiżit li jwettqu ttestjar avvanzat ta’ għodod, sistemi u proċessi tal-ICT ibbażati fuq l-ittestjar tal-penetrazzjoni bbażat fuq it-theddid (TLPT), peress li huma biss entitajiet finanzjarji li jissodisfaw il-kriterji stabbiliti f’dan ir-Regolament li jenħtieġ li jkunu meħtieġa jwettqu tali ttestjar. Fid-dawl tal-kapaċitajiet limitati tagħhom, jenħtieġ li l-mikrointrapriżi jkunu jistgħu jaqblu mal-fornitur terz ta’ servizzi tal-ICT li jiddelegaw id-drittijiet ta’ aċċess, spezzjoni u awditu tal-entità finanzjarja lil parti terza indipendenti, li għandha tinħatar mill-fornitur terz ta’ servizzi tal-ICT, dment li l-entità finanzjarja tkun tista’ titlob, fi kwalunkwe ħin, l-informazzjoni u l-assigurazzjoni rilevanti kollha dwar il-prestazzjoni tal-fornitur terz ta’ servizzi tal-ICT mill-parti terza indipendenti rispettiva.

(44)

Billi huma biss dawk l-entitajiet finanzjarji identifikati għall-finijiet tal-ittestjar avvanzat tar-reżiljenza diġitali li jenħtieġ li jkunu meħtieġa jwettqu testijiet tal-penetrazzjoni mmexxija mit-theddid, il-proċessi amministrattivi u l-kostijiet finanzjarji li jinvolvi t-twettiq ta’ tali testijiet jenħtieġ li jiġġarrbu minn persentaġġ żgħir ta’ entitajiet finanzjarji.

(45)

Sabiex jiġu żgurati allinjament sħiħ u konsistenza ġenerali bejn l-istrateġiji tan-negozju tal-entitajiet finanzjarji, minn naħa waħda, u t-twettiq tal-ġestjoni tar-riskju tal-ICT, min-naħa l-oħra, il-korpi maniġerjali tal-entitajiet finanzjarji jenħtieġ li jkunu meħtieġa jżommu rwol kruċjali u attiv fit-tmexxija u l-adattament tal-qafas tal-ġestjoni tar-riskju tal-ICT u l-istrateġija ġenerali tar-reżiljenza operazzjonali diġitali. L-approċċ li jrid jittieħed mill-korpi maniġerjali ma għandux jiffoka biss fuq il-mezzi biex tiġi żgurata r-reżiljenza tas-sistemi tal-ICT, iżda jenħtieġ li jkopri wkoll in-nies u l-proċessi permezz ta’ sett ta’ politiki li jikkultivaw, f’kull livell korporattiv, u għall-membri tal-persunal kollha, sens qawwi ta’ sensibilizzazzjoni dwar ir-riskji ċibernetiċi u impenn li tiġi osservata iġjene ċibernetika stretta fil-livelli kollha. Ir-responsabbiltà aħħarija tal-korp maniġerjali fil-ġestjoni tar-riskju tal-ICT ta’ entità finanzjarja għandha tkun prinċipju ġenerali ta’ dak l-approċċ komprensiv, li jkompli jissarraf fl-involviment kontinwu tal-korp maniġerjali fil-kontroll tal-monitoraġġ tal-ġestjoni tar-riskju tal-ICT.

(46)

Barra minn hekk, il-prinċipju tar-responsabbiltà sħiħa u aħħarija tal-korp maniġerjali għall-ġestjoni tar-riskju tal-ICT tal-entità finanzjarja jmur id f’id mal-ħtieġa li jiġi żgurat livell ta’ investimenti relatati mal-ICT u baġit ġenerali għall-entità finanzjarja li jippermettu lill-entità finanzjarja tikseb livell għoli ta’ reżiljenza operazzjonali diġitali.

(47)

Ispirat mill-aħjar prattiki, linji gwida, rakkomandazzjonijiet u approċċi rilevanti nazzjonali, internazzjonali u stabbiliti mill-industrija għall-ġestjoni tar-riskju ċibernetiku, dan ir-Regolament jippromwovi sett ta’ prinċipji li jiffaċilitaw l-istruttura kumplessiva tal-ġestjoni tar-riskju tal-ICT. Konsegwentement, sakemm il-kapaċitajiet ewlenin li jistabbilixxu l-entitajiet finanzjarji jindirizzaw id-diversi funzjonijiet fil-ġestjoni tar-riskju tal-ICT (l-identifikazzjoni, il-protezzjoni u l-prevenzjoni, l-individwazzjoni, ir-rispons u l-irkupru, it-tagħlim u l-evoluzzjoni u l-komunikazzjoni) stabbiliti f’dan ir-Regolament, jenħtieġ li l-entitajiet finanzjarji jibqgħu liberi li jużaw mudelli ta’ ġestjoni tar-riskju tal-ICT li huma inkwadrati jew kategorizzati b’mod differenti.

(48)

Sabiex iżommu l-pass ma’ xenarju tat-theddid ċibernetiku li qed jevolvi, jenħtieġ li l-entitajiet finanzjarji jżommu sistemi tal-ICT aġġornati li jkunu affidabbli u kapaċi mhux biss li jiggarantixxu l-ipproċessar tad-data meħtieġa għas-servizzi tagħhom, iżda wkoll li jiżguraw reżiljenza teknoloġika suffiċjenti biex ikunu jistgħu jittrattaw b’mod adegwat il-ħtiġijiet ta’ pproċessar addizzjonali minħabba kundizzjonijiet tas-suq taħt stress jew sitwazzjonijiet avversi oħra.

(49)

Huma meħtieġa pjanijiet effiċjenti ta’ kontinwità tal-operat u ta’ rkupru biex jippermettu lill-entitajiet finanzjarji jsolvu minnufih u malajr inċidenti relatati mal-ICT, b’mod partikolari attakki ċibernetiċi, billi jillimitaw id-dannu u jagħtu prijorità lit-tkomplija tal-attivitajiet u tal-azzjonijiet ta’ rkupru f’konformità mal-politiki ta’ riżerva tagħhom. Madankollu, jenħtieġ li tali tkomplija bl-ebda mod ma tipperikola l-integrità u s-sigurtà tan-netwerks u tas-sistemi tal-informazzjoni jew id-disponibbiltà, l-awtentiċità, l-integrità jew il-kunfidenzjalità tad-data.

(50)

Filwaqt li dan ir-Regolament jippermetti lill-entitajiet finanzjarji jiddeterminaw il-ħin ta’ rkupru u l-objettivi tal-punt ta’ rkupru tagħhom b’mod flessibbli u b’hekk jistabbilixxu tali objettivi billi jqisu bis-sħiħ in-natura u l-kritikalità tal-funzjonijiet rilevanti u kwalunkwe ħtieġa kummerċjali speċifika, jenħtieġ li r-Regolament madankollu jeżiġi li huma jwettqu valutazzjoni tal-impatt ġenerali potenzjali fuq l-effiċjenza tas-suq meta jiġu ddeterminati tali objettivi.

(51)

Il-propagaturi ta’ attakki ċibernetiċi għandhom it-tendenza li jsegwu gwadanji finanzjarji direttament fis-sors, u b’hekk jesponu lill-entitajiet finanzjarji għal konsegwenzi sinifikanti. Sabiex jiġi evitat li s-sistemi tal-ICT jitilfu l-integrità jew ma jibqgħux disponibbli, u b’hekk jiġi evitat ksur tad-data u ħsara lill-infrastruttura fiżika tal-ICT, ir-rappurtar ta’ inċidenti kbar relatati mal-ICT minn entitajiet finanzjarji jenħtieġ li jittejjeb u jiġi ssimplifikat b’mod sinifikanti. Jenħtieġ li r-rappurtar tal-inċidenti relatati mal-ICT jiġi armonizzat permezz tal-introduzzjoni ta’ rekwiżit għall-entitajiet finanzjarji kollha biex jirrappurtaw direttament lill-awtoritajiet kompetenti rilevanti tagħhom. Meta entità finanzjarja tkun soġġetta għal superviżjoni minn aktar minn awtorità kompetenti nazzjonali waħda, jenħtieġ li l-Istati Membri jaħtru awtorità kompetenti waħda bħala d-destinatarju ta’ tali rappurtar. L-istituzzjonijiet ta’ kreditu kklassifikati bħala sinifikanti skont l-Artikolu 6(4) tar-Regolament tal-Kunsill (UE) Nru 1024/2013 (19) jenħtieġ li jissottomettu tali rappurtar lill-awtoritajiet kompetenti nazzjonali, li jenħtieġ li sussegwentement jittrażmettu r-rapport lill-Bank Ċentrali Ewropew (BĊE).

(52)

Jenħtieġ li r-rappurtar dirett jippermetti lis-superviżuri finanzjarji jkollhom aċċess immedjat għall-informazzjoni dwar inċidenti kbar relatati mal-ICT. Min-naħa tagħhom, is-superviżuri finanzjarji jenħtieġ li jgħaddu d-dettalji ta’ inċidenti kbar relatati mal-ICT lill-awtoritajiet pubbliċi mhux finanzjarji (bħall-awtoritajiet kompetenti u punti uniċi ta’ kuntatt maħtura skont id-Direttiva (UE) 2022/2555, l-awtoritajiet nazzjonali tal-protezzjoni tad-data, u lill-awtoritajiet tal-infurzar tal-liġi għal inċidenti kbar relatati mal-ICT ta’ natura kriminali sabiex tissaħħaħ is-sensibilizzazzjoni ta’ tali awtoritajiet dwar inċidenti bħal dawn u, fil-każ tas-CSIRTs, biex tiġi ffaċilitata l-assistenza fil-pront li tista’ tingħata lill-entitajiet finanzjarji, kif xieraq. Barra minn hekk, l-Istati Membri jenħtieġ li jkunu jistgħu jiddeterminaw li l-entitajiet finanzjarji nfushom jipprovdu tali informazzjoni lill-awtoritajiet pubbliċi barra mill-qasam tas-servizzi finanzjarji. Dawk il-flussi ta’ informazzjoni jenħtieġ li jippermettu lill-entitajiet finanzjarji jibbenefikaw malajr minn kwalunkwe input tekniku rilevanti, parir dwar rimedji, u segwitu sussegwenti minn tali awtoritajiet. L-informazzjoni dwar inċidenti kbar relatati mal-ICT jenħtieġ li tingħata b’mod reċiproku: jenħtieġ li s-superviżuri finanzjarji jipprovdu l-feedback jew il-gwida kollha meħtieġa lill-entità finanzjarja, filwaqt li jenħtieġ li l-ASE jikkondividu data anonimizzata dwar it-theddid ċibernetiku u l-vulnerabbiltajiet relatati ma’ inċident, ħalli tingħata għajnuna lid-difiża kollettiva usa’.

(53)

Filwaqt li l-entitajiet finanzjarji kollha jenħtieġ li jkunu meħtieġa jwettqu rappurtar tal-inċidenti, dak ir-rekwiżit mhuwiex mistenni li jaffettwahom kollha bl-istess mod. Tabilħaqq, il-limiti ta’ materjalità rilevanti, kif ukoll l-iskedi ta’ żmien għar-rappurtar, għandhom jiġu aġġustati kif xieraq, fil-kuntest ta’ atti delegati bbażati fuq l-istandards tekniċi regolatorji li għandhom jiġu żviluppati mill-ASE, bil-ħsieb li jiġu koperti biss inċidenti kbar relatati mal-ICT. Barra minn hekk, jenħtieġ li jitqiesu l-ispeċifiċitajiet tal-entitajiet finanzjarji meta jiġu stabbiliti l-iskedi ta’ żmien għall-obbligi ta’ rappurtar.

(54)

Dan ir-Regolament jenħtieġ li jirrikjedi li l-istituzzjonijiet ta’ kreditu, l-istituzzjonijiet ta’ pagament, il-fornituri ta’ servizzi ta’ informazzjoni dwar il-kontijiet u l-istituzzjonijiet tal-flus elettroniċi jirrappurtaw l-inċidenti operazzjonali jew ta’ sigurtà kollha relatati mal-pagamenti – li qabel kienu rrappurtati skont id-Direttiva (UE) 2015/2366 – irrispettivament min-natura tal-ICT tal-inċident.

(55)

Jenħtieġ li l-ASE jkunu nkarigati li jivvalutaw il-fattibbiltà u l-kundizzjonijiet għal ċentralizzazzjoni possibbli tar-rapporti ta’ inċidenti relatati mal-ICT fil-livell tal-Unjoni. Tali ċentralizzazzjoni tista’ tikkonsisti f’Ċentru uniku tal-UE għar-rappurtar ta’ inċidenti kbar relatati mal-ICT li jew jirċievi direttament rapporti rilevanti u jinnotifika awtomatikament lill-awtoritajiet kompetenti nazzjonali, jew sempliċiment li jiċċentralizza r-rapporti rilevanti mibgħuta mill-awtoritajiet nazzjonali kompetenti u b’hekk jissodisfa rwol ta’ koordinazzjoni. Jenħtieġ li l-ASE jingħataw il-kompitu li jħejju, f’konsultazzjoni mal-BĊE u l-ENISA, rapport konġunt li jesplora l-fattibbiltà li jiġi stabbilit Ċentru uniku tal-UE.

(56)

Sabiex jinkiseb livell għoli ta’ reżiljenza operazzjonali diġitali, u f’konformità kemm mal-istandards internazzjonali rilevanti (eż. l-Elementi Fundamentali tal-G7 għall-Ittestjar tal-Penetrazzjoni Bbażat fuq it-Theddid) kif ukoll mal-oqfsa applikati fl-Unjoni, bħat-TIBER-EU, l-entitajiet finanzjarji jenħtieġ li jittestjaw regolarment is-sistemi tal-ICT tagħhom u l-persunal tagħhom li jkollu responsabbiltajiet relatati mal-ICT fir-rigward tal-effettività tal-kapaċitajiet tagħhom ta’ prevenzjoni, individwazzjoni, rispons u rkupru, biex jikxfu u jindirizzaw vulnerabbiltajiet potenzjali tal-ICT. Sabiex jiġu riflessi d-differenzi li jeżistu bejn, u fi ħdan, id-diversi subsetturi finanzjarji fir-rigward tal-livell ta’ tħejjija taċ-ċibersigurtà tal-entitajiet finanzjarji, jenħtieġ li l-ittestjar jinkludi varjetà wiesgħa ta’ għodod u azzjonijiet, li jvarjaw mill-valutazzjoni tar-rekwiżiti bażiċi (eż. valutazzjonijiet tal-vulnerabbiltà u skennjar, analiżijiet b’sors miftuħ, valutazzjonijiet tas-sigurtà tan-netwerk, analiżijiet tan-nuqqasijiet, rieżamijiet tas-sigurtà fiżika, kwestjonarji u soluzzjonijiet tas-software tal-iskennjar, rieżamijiet tal-kodiċi tas-sors fejn fattibbli, testijiet ibbażati fuq xenarji, ittestjar tal-kompatibbiltà, ittestjar tal-prestazzjoni jew ittestjar minn tarf sa tarf) sa ttestjar aktar avvanzat permezz tat-TLPT. Tali ttestjar avvanzat jenħtieġ li jkun meħtieġ biss għall-entitajiet finanzjarji li huma maturi biżżejjed minn perspettiva tal-ICT biex iwettquh b’mod raġonevoli. B’hekk, jenħtieġ li l-ittestjar tar-reżiljenza operazzjonali diġitali meħtieġ minn dan ir-Regolament ikun aktar esiġenti għal dawk l-entitajiet finanzjarji li jissodisfaw il-kriterji stabbiliti f’dan ir-Regolament (pereżempju, istituzzjonijiet ta’ kreditu, boroż, depożitarji ċentrali tat-titoli u kontropartijiet ċentrali kbar, sistemiċi u maturi f’termini ta’ ICT) milli għal entitajiet finanzjarji oħra. Fl-istess ħin, jenħtieġ li l-ittestjar tar-reżiljenza operazzjonali diġitali permezz ta’ TLPT ikun aktar rilevanti għal entitajiet finanzjarji li joperaw f’subsetturi ta’ servizzi finanzjarji ewlenin u li jkollhom rwol sistemiku (pereżempju, pagamenti, operazzjonijiet bankarji, u ikklerjar u saldu), u inqas rilevanti għal subsetturi oħrajn (pereżempju, maniġers tal-assi u aġenziji ta’ klassifikazzjoni tal-kreditu).

(57)

L-entitajiet finanzjarji involuti f’attivitajiet transfruntiera u li jeżerċitaw il-libertajiet tal-istabbiliment, jew tal-forniment ta’ servizzi fl-Unjoni, jenħtieġ li jikkonformaw ma’ sett uniku ta’ rekwiżiti ta’ ttestjar avvanzat (jiġifieri TLPT) fl-Istat Membru ta’ domiċilju tagħhom, li jenħtieġ li jinkludu l-infrastrutturi tal-ICT fil-ġuriżdizzjonijiet kollha fejn il-grupp finanzjarju transfruntier jopera fl-Unjoni, biex b’hekk tali gruppi finanzjarji transfruntiera jkunu jistgħu jġarrbu kostijiet tal-ittestjar tal-ICT relatati f’ġuriżdizzjoni waħda biss.

(58)

Sabiex isir użu mill-għarfien espert diġà miksub minn ċerti awtoritajiet kompetenti, b’mod partikolari fir-rigward tal-implimentazzjoni tal-qafas TIBER-UE, jenħtieġ li dan ir-Regolament jippermetti lill-Istati Membri jaħtru awtorità pubblika unika bħala responsabbli fis-settur finanzjarju, fil-livell nazzjonali, għall-kwistjonijiet kollha tat-TLPT, jew awtoritajiet kompetenti, biex jiddelegaw, fin-nuqqas ta’ tali ħatra, l-eżerċizzju ta’ kompiti relatati mat-TLPT lil awtorità nazzjonali kompetenti finanzjarja oħra.

(59)

Peress li dan ir-Regolament ma jirrikjedix li l-entitajiet finanzjarji jkopru l-funzjonijiet kritiċi jew importanti kollha f’test wieħed tal-penetrazzjoni bbażat fuq it-theddid, l-entitajiet finanzjarji jenħtieġ li jkunu liberi li jiddeterminaw liema u kemm funzjonijiet kritiċi jew importanti jenħtieġ li jiġu inklużi fil-kamp ta’ applikazzjoni ta’ tali test.

(60)

L-ittestjar aggregat skont it-tifsira ta’ dan ir-Regolament – li jinvolvi l-parteċipazzjoni ta’ diversi entitajiet finanzjarji f’TLPT u li għalih fornitur terz ta’ servizzi tal-ICT jista’ jidħol direttament f’arranġamenti kuntrattwali ma’ tester estern – jenħtieġ li jkun permess biss meta l-kwalità jew is-sigurtà tas-servizzi mogħtija mill-fornitur terz ta’ servizzi tal-ICT lil klijenti li huma entitajiet li jaqgħu barra mill-kamp ta’ applikazzjoni ta’ dan ir-Regolament, jew meta l-kunfidenzjalità tad-data relatata ma’ tali servizzi, ikunu raġonevolment mistennija li jiġu affettwati ħażin. L-ittestjar aggregat jenħtieġ li jkun soġġett ukoll għal salvagwardji (direzzjoni minn entità finanzjarja maħtura waħda, kalibrazzjoni tal-għadd ta’ entitajiet finanzjarji parteċipanti) biex jiġi żgurat eżerċizzju ta’ ttestjar rigoruż għall-entitajiet finanzjarji involuti li jissodisfaw l-objettivi tat-TLPT skont dan ir-Regolament.

(61)

Sabiex jittieħed vantaġġ mir-riżorsi interni disponibbli fil-livell korporattiv, jenħtieġ li dan ir-Regolament jippermetti l-użu ta’ testers interni għall-finijiet tat-twettiq tat-TLPT, dment li jkun hemm approvazzjoni superviżorja, l-ebda kunflitt ta’ interess, u alternanza perjodika tal-użu ta’ testers interni u esterni (kull tliet testijiet), filwaqt li jirrikjedi wkoll li l-fornitur tal-intelligence dwar it-theddid fit-TLPT ikun dejjem estern għall-entità finanzjarja. Ir-responsabbiltà għat-twettiq tat-TLPT jenħtieġ li tibqa’ kompletament f’idejn l-entità finanzjarja. L-attestazzjonijiet ipprovduti mill-awtoritajiet jenħtieġ li jkunu biss għall-fini ta’ rikonoxximent reċiproku u jenħtieġ li ma jipprekludu l-ebda azzjoni ta’ segwitu meħtieġa biex jiġi indirizzat ir-riskju tal-ICT li għalih tkun esposta l-entità finanzjarja, u jenħtieġ li lanqas ma jitqiesu bħala approvazzjoni superviżorja tal-kapaċitajiet ta’ ġestjoni u mitigazzjoni tar-riskju tal-ICT ta’ entità finanzjarja.

(62)

Sabiex jiġi żgurat monitoraġġ sod tar-riskju relatat mal-ICT minn partijiet terzi fis-settur finanzjarju, huwa meħtieġ li jiġi stabbilit sett ta’ regoli bbażati fuq il-prinċipji biex jiggwidaw lill-entitajiet finanzjarji meta jimmonitorjaw ir-riskju li jirriżulta fil-kuntest tal-funzjonijiet esternalizzati lil fornituri terzi ta’ servizzi tal-ICT, b’mod partikolari għas-servizzi tal-ICT li jappoġġjaw funzjonijiet kritiċi jew importanti, kif ukoll b’mod aktar ġenerali fil-kuntest tad-dipendenzi kollha fuq fornituri terzi ta’ servizzi tal-ICT.

(63)

Sabiex tiġi indirizzata l-kumplessità tad-diversi sorsi ta’ riskju tal-ICT, filwaqt li jitqiesu l-għadd kbir u d-diversità ta’ fornituri ta’ soluzzjonijiet teknoloġiċi li jippermettu l-forniment bla xkiel ta’ servizzi finanzjarji, dan ir-Regolament jenħtieġ li jkopri firxa wiesgħa ta’ fornituri terzi ta’ servizzi tal-ICT, inkluż fornituri ta’ servizzi ta’ cloud computing, software, servizzi ta’ analiżi tad-data u fornituri ta’ servizzi ta’ ċentri tad-data. Bl-istess mod, peress li l-entitajiet finanzjarji jenħtieġ li jidentifikaw u jiġġestixxu b’mod effettiv u koerenti t-tipi kollha ta’ riskju, inkluż fil-kuntest ta’ servizzi tal-ICT akkwistati fi grupp finanzjarju, jenħtieġ li jiġi ċċarat li l-impriżi li huma parti minn grupp finanzjarju u li jipprovdu servizzi tal-ICT b’mod predominanti lill-impriża prinċipali tagħhom, jew lil sussidjarji jew fergħat tal-impriża prinċipali tagħhom, kif ukoll entitajiet finanzjarji li jipprovdu servizzi tal-ICT lil entitajiet finanzjarji oħra, jenħtieġ li jitqiesu wkoll bħala fornituri terzi ta’ servizzi tal-ICT skont dan ir-Regolament. Fl-aħħar nett, fid-dawl tal-fatt li s-suq tas-servizzi ta’ pagament li qed jevolvi qed isir dejjem aktar dipendenti fuq soluzzjonijiet tekniċi kumplessi, u fid-dawl tat-tipi emerġenti ta’ servizzi ta’ pagament u soluzzjonijiet relatati mal-pagamenti, jenħtieġ li l-parteċipanti fl-ekosistema tas-servizzi ta’ pagament, li jipprovdu attivitajiet ta’ pproċessar ta’ pagamenti, jew li joperaw infrastrutturi ta’ pagament, jitqiesu wkoll bħala fornituri terzi ta’ servizzi tal-ICT skont dan ir-Regolament, bl-eċċezzjoni tal-banek ċentrali meta joperaw sistemi ta’ saldu ta’ pagamenti jew ta’ titoli, u tal-awtoritajiet pubbliċi meta jipprovdu servizzi relatati mal-ICT fil-kuntest tat-twettiq tal-funzjonijiet tal-Istat.

(64)

Entità finanzjarja jenħtieġ li f’kull ħin tibqa’ kompletament responsabbli għall-konformità mal-obbligi tagħha stabbiliti f’dan ir-Regolament. Jenħtieġ li l-entitajiet finanzjarji japplikaw approċċ proporzjonat għall-monitoraġġ tar-riskji li jinħolqu fil-livell tal-fornituri terzi ta’ servizzi tal-ICT billi jitqiesu debitament in-natura, l-iskala, il-kumplessità u l-importanza tad-dipendenzi relatati mal-ICT tagħhom, il-kritikalità jew l-importanza tas-servizzi, tal-proċessi jew tal-funzjonijiet soġġetti għall-arranġamenti kuntrattwali u, fl-aħħar mill-aħħar, abbażi ta’ valutazzjoni bir-reqqa ta’ kwalunkwe impatt potenzjali fuq il-kontinwità u l-kwalità tas-servizzi finanzjarji fil-livell individwali u fil-livell ta’ grupp, kif xieraq.

(65)

Jenħtieġ li t-twettiq ta’ tali monitoraġġ isegwi approċċ strateġiku għar-riskju relatat mal-ICT minn partijiet terzi formalizzat permezz tal-adozzjoni mill-korp maniġerjali tal-entità finanzjarja ta’ strateġija tar-riskju relatat mal-ICT minn partijiet terzi iddedikata, imsejsa fi skrinjar kontinwu tad-dipendenzi kollha fuq fornituri terzi ta’ servizzi tal-ICT. Sabiex tissaħħaħ is-sensibilizzazzjoni superviżorja tad-dipendenzi fuq fornituri terzi ta’ servizzi tal-ICT, u bil-ħsieb li tkompli tiġi appoġġjata l-ħidma fil-kuntest tal-Qafas ta’ Sorveljanza stabbilit minn dan ir-Regolament, jenħtieġ li l-entitajiet finanzjarji kollha jkunu meħtieġa jżommu reġistru tal-informazzjoni bl-arranġamenti kuntrattwali kollha dwar l-użu tas-servizzi tal-ICT ipprovduti minn fornituri terzi ta’ servizzi tal-ICT. Is-superviżuri finanzjarji jenħtieġ li jkunu jistgħu jitolbu r-reġistru sħiħ, jew jitolbu taqsimiet speċifiċi tiegħu, u b’hekk jiksbu informazzjoni essenzjali biex jiksbu fehim usa’ tad-dipendenzi tal-ICT tal-entitajiet finanzjarji.

(66)

Analiżi bir-reqqa ta’ qabel l-ikkuntrattar jenħtieġ li tirfed u tippreċedi l-konklużjoni formali tal-arranġamenti kuntrattwali, b’mod partikolari billi tiffoka fuq elementi bħall-kritikalità jew l-importanza tas-servizzi appoġġjati mill-kuntratt tal-ICT previst, l-approvazzjonijiet superviżorji meħtieġa jew kondizzjonijiet oħra, ir-riskju ta’ konċentrazzjoni possibbli involut, kif ukoll l-applikazzjoni tad-diliġenza dovuta fil-proċess tal-għażla u l-valutazzjoni ta’ fornituri terzi ta’ servizzi tal-ICT u l-valutazzjoni ta’ kunflitti ta’ interess potenzjali. Għal arranġamenti kuntrattwali li jikkonċernaw funzjonijiet kritiċi jew importanti, l-entitajiet finanzjarji jenħtieġ li jqisu l-użu mill-fornituri terzi ta’ servizzi tal-ICT tal-aktar standards għolja u aġġornati fis-sigurtà tal-informazzjoni. It-terminazzjoni tal-arranġamenti kuntrattwali tista’ tiġi kkawżata mill-inqas minn serje ta’ ċirkostanzi li juru nuqqasijiet fil-livell tal-fornitur terz ta’ servizzi tal-ICT, b’mod partikolari ksur sinifikanti tal-liġijiet jew tat-termini kuntrattwali, ċirkostanzi li jiżvelaw alterazzjoni potenzjali tal-prestazzjoni tal-funzjonijiet previsti fl-arranġamenti kuntrattwali, evidenza ta’ dgħufijiet tal-fornitur terz ta’ servizzi tal-ICT fil-ġestjoni kumplessiva tiegħu tar-riskju tal-ICT, jew ċirkostanzi li jindikaw l-inabbiltà tal-awtorità kompetenti rilevanti li tissorvelja b’mod effettiv l-entità finanzjarja.

(67)

Sabiex jiġi indirizzat l-impatt sistemiku tar-riskju ta’ konċentrazzjoni ta’ servizzi tal-ICT minn partijiet terzi, dan ir-Regolament jippromwovi soluzzjoni bbilanċjata billi jieħu approċċ flessibbli u gradwali għal tali riskju ta’ konċentrazzjoni peress li l-impożizzjoni ta’ kwalunkwe limitu riġidu jew limitazzjoni stretta tista’ tfixkel it-twettiq tan-negozju u trażżan il-libertà kuntrattwali. Jenħtieġ li l-entitajiet finanzjarji jivvalutaw bir-reqqa l-arranġamenti kuntrattwali previsti tagħhom biex jidentifikaw il-probabbiltà li jinħoloq tali riskju, inkluż permezz ta’ analiżi fil-fond tal-arranġamenti ta’ subkuntrattar, b’mod partikolari meta jiġu konklużi ma’ fornituri terzi ta’ servizzi tal-ICT stabbiliti f’pajjiż terz. F’dan l-istadju, u bl-għan li jintlaħaq bilanċ ġust bejn l-imperattiv tal-preservazzjoni tal-libertà kuntrattwali u dak li tiġi ggarantita l-istabbiltà finanzjarja, mhuwiex meqjus xieraq li jiġu stabbiliti regoli dwar limiti massimi u limiti stretti għall-esponiment tal-partijiet terzi tal-ICT. Fil-kuntest tal-Qafas ta’ Sorveljanza, Sorveljant Ewlieni maħtur skont dan ir-Regolament, jenħtieġ li, fir-rigward tal-fornituri terzi kritiċi ta’ servizzi tal-ICT, jagħti attenzjoni partikolari biex jifhem bis-sħiħ id-daqs tal-interdipendenzi, jiskopri każijiet speċifiċi fejn grad għoli ta’ konċentrazzjoni ta’ fornituri terzi kritiċi ta’ servizzi tal-ICT fl-Unjoni x’aktarx li jpoġġi pressjoni fuq l-istabbiltà u l-integrità tas-sistema finanzjarja tal-Unjoni u jkollu djalogu ma’ fornituri terzi kritiċi ta’ servizzi tal-ICT fejn jiġi identifikat dak ir-riskju speċifiku.

(68)

Sabiex tiġi evalwata u mmonitorjata fuq bażi regolari l-kapaċità ta’ fornitur terz ta’ servizzi tal-ICT li jipprovdi servizzi b’mod sigur lil entità finanzjarja mingħajr effetti negattivi fuq ir-reżiljenza operazzjonali diġitali ta’ entità finanzjarja, jenħtieġ li jiġu armonizzati diversi elementi kuntrattwali ewlenin ma’ fornituri terzi ta’ servizzi tal-ICT. Tali armonizzazzjoni jenħtieġ li tkopri oqsma minimi li huma kruċjali biex jippermettu monitoraġġ sħiħ mill-entità finanzjarja tar-riskji li jistgħu jirriżultaw mill-fornitur terz ta’ servizzi tal-ICT, mill-perspettiva tal-ħtieġa ta’ entità finanzjarja li tiżgura r-reżiljenza diġitali tagħha minħabba li hija dipendenti ħafna fuq l-istabbiltà, il-funzjonalità, id-disponibbiltà u s-sigurtà tas-servizzi tal-ICT riċevuti.

(69)

Meta jinnegozjaw mill-ġdid l-arranġamenti kuntrattwali biex ifittxu allinjament mar-rekwiżiti ta’ dan ir-Regolament, l-entitajiet finanzjarji u l-fornituri terzi ta’ servizzi tal-ICT jenħtieġ li jiżguraw il-kopertura tad-dispożizzjonijiet kuntrattwali ewlenin kif previst f’dan ir-Regolament.

(70)

Id-definizzjoni ta’ “funzjoni kritika jew importanti” prevista f’dan ir-Regolament tinkludi l-“funzjonijiet kritiċi” kif definiti fil-punt (35) tal-Artikolu 2(1) tad-Direttiva 2014/59/UE tal-Parlament Ewropew u tal-Kunsill (20). Għaldaqstant, il-funzjonijiet meqjusa bħala kritiċi skont id-Direttiva 2014/59/UE huma inklużi fid-definizzjoni tal-funzjonijiet kritiċi skont it-tifsira ta’ dan ir-Regolament.

(71)

Irrispettivament mill-kritikalità jew l-importanza tal-funzjoni appoġġjata mis-servizzi tal-ICT, jenħtieġ li l-arranġamenti kuntrattwali, b’mod partikolari, jipprevedu speċifikazzjoni tad-deskrizzjonijiet sħaħ tal-funzjonijiet u s-servizzi, tal-postijiet fejn jiġu pprovduti tali funzjonijiet u fejn għandha tiġi pproċessata d-data, kif ukoll indikazzjoni ta’ deskrizzjonijiet tal-livell ta’ servizz. Elementi essenzjali oħra biex jippermettu l-monitoraġġ minn entità finanzjarja tar-riskju relatat mal-ICT minn partijiet terzi huma: dispożizzjonijiet kuntrattwali li jispeċifikaw kif l-aċċessibbiltà, id-disponibbiltà, l-integrità, is-sigurtà u l-protezzjoni tad-data personali huma żgurati mill-fornitur terz ta’ servizzi tal-ICT, dispożizzjonijiet li jistabbilixxu l-garanziji rilevanti li jippermettu l-aċċess, l-irkupru u r-ritorn tad-data fil-każ ta’ insolvenza, riżoluzzjoni jew waqfien tal-operazzjonijiet tan-negozju tal-fornitur terz ta’ servizzi tal-ICT, kif ukoll dispożizzjonijiet li jirrikjedu li l-fornitur terz ta’ servizzi tal-ICT jipprovdi assistenza f’każ ta’ inċidenti tal-ICT b’rabta mas-servizzi pprovduti, mingħajr ebda kost addizzjonali jew bi spiża ddeterminata ex ante; dispożizzjonijiet dwar l-obbligu tal-fornitur terz ta’ servizzi tal-ICT li jikkoopera bis-sħiħ mal-awtoritajiet kompetenti u mal-awtoritajiet ta’ riżoluzzjoni tal-entità finanzjarja; u dispożizzjonijiet dwar id-drittijiet ta’ terminazzjoni u l-perjodi minimi ta’ avviż relatati għat-terminazzjoni tal-arranġamenti kuntrattwali, f’konformità mal-aspettattivi tal-awtoritajiet kompetenti u tal-awtoritajiet ta’ riżoluzzjoni.

(72)

Minbarra tali dispożizzjonijiet kuntrattwali, u bil-ħsieb li jiġi żgurat li l-entitajiet finanzjarji jibqgħu f’kontroll sħiħ tal-iżviluppi kollha li jseħħu fil-livell ta’ parti terza li jistgħu jfixklu s-sigurtà tal-ICT tagħhom, il-kuntratti għall-forniment ta’ servizzi tal-ICT li jappoġġjaw funzjonijiet kritiċi jew importanti jenħtieġ li jipprevedu wkoll dan li ġej: l-ispeċifikazzjoni tad-deskrizzjonijiet sħaħ tal-livell ta’ servizz, b’miri ta’ prestazzjoni kwantitattivi u kwalitattivi preċiżi, biex mingħajr dewmien żejjed ikunu jistgħu jittieħdu azzjonijiet korrettivi xierqa meta l-livelli ta’ servizz miftiehma ma jintlaħqux; il-perjodi ta’ notifika u l-obbligi ta’ rappurtar rilevanti tal-fornitur terz ta’ servizzi tal-ICT fil-każ ta’ żviluppi b’impatt materjali potenzjali fuq il-kapaċità tal-fornitur terz ta’ servizzi tal-ICT li jipprovdi b’mod effettiv is-servizzi tal-ICT rispettivi tiegħu; rekwiżit għall-fornitur terz ta’ servizzi tal-ICT li jimplimenta u jittestja pjanijiet ta’ kontinġenza tan-negozju u jkollu miżuri, għodod u politiki ta’ sigurtà tal-ICT li jippermettu l-forniment sigur ta’ servizzi, u li jipparteċipa u jikkoopera bis-sħiħ fit-TLPT imwettaq mill-entità finanzjarja.

(73)

Jenħtieġ li kuntratti għall-għoti ta’ servizzi tal-ICT li jappoġġjaw funzjonijiet kritiċi jew importanti jkun fihom ukoll dispożizzjonijiet li jippermettu d-drittijiet ta’ aċċess, spezzjoni u awditu mill-entità finanzjarja, jew minn parti terza maħtura, u d-dritt li jittieħdu kopji bħala strumenti kruċjali fil-monitoraġġ kontinwu min-naħa tal-entitajiet finanzjarji tal-prestazzjoni tal-fornitur terz ta’ servizzi tal-ICT, flimkien mal-kooperazzjoni sħiħa tal-fornitur tas-servizzi matul l-ispezzjonijiet. Bl-istess mod, jenħtieġ li l-awtorità kompetenti tal-entità finanzjarja jkollha d-dritt, ibbażat fuq avviżi, biex tispezzjona u tawditja l-fornitur terz ta’ servizzi tal-ICT, soġġett għall-protezzjoni ta’ informazzjoni kunfidenzjali.

(74)

Tali arranġamenti kuntrattwali jenħtieġ li jipprevedu wkoll strateġiji ta’ ħruġ iddedikati biex jippermettu, b’mod partikolari, perjodi ta’ tranżizzjoni obbligatorji li matulhom il-fornituri terzi ta’ servizzi tal-ICT jenħtieġ li jkomplu jipprovdu s-servizzi rilevanti bil-ħsieb li jitnaqqas ir-riskju ta’ tfixkil fil-livell tal-entità finanzjarja, jew biex din tal-aħħar tkun tista’ taqleb b’mod effettiv għall-użu ta’ fornituri terzi oħra ta’ servizzi tal-ICT jew, alternattivament, biex tibdel għal soluzzjonijiet interni, konsistenti mal-kumplessità tas-servizz tal-ICT ipprovdut. Barra minn hekk, l-entitajiet finanzjarji fil-kamp ta’ applikazzjoni tad-Direttiva 2014/59/UE jenħtieġ li jiżguraw li l-kuntratti rilevanti għas-servizzi tal-ICT ikunu robusti u infurzabbli bis-sħiħ fil-każ ta’ riżoluzzjoni ta’ dawk l-entitajiet finanzjarji. Għalhekk, f’konformità mal-aspettattivi tal-awtoritajiet ta’ riżoluzzjoni, dawk l-entitajiet finanzjarji jenħtieġ li jiżguraw li l-kuntratti rilevanti għas-servizzi tal-ICT ikunu reżiljenti għar-riżoluzzjoni. Sakemm dawn ikomplu jissodisfaw l-obbligi ta’ pagament tagħhom, dawk l-entitajiet finanzjarji jenħtieġ li jiżguraw, fost rekwiżiti oħra, li l-kuntratti rilevanti għas-servizzi tal-ICT ikun fihom klawsoli għal nuqqas ta’ terminazzjoni, nuqqas ta’ sospensjoni u nuqqas ta’ modifika għal raġunijiet ta’ ristrutturar jew riżoluzzjoni.

(75)

Barra minn hekk, l-użu volontarju ta’ klawsoli kuntrattwali standard żviluppati mill-awtoritajiet pubbliċi jew mill-istituzzjonijiet tal-Unjoni, b’mod partikolari l-użu ta’ klawsoli kuntrattwali żviluppati mill-Kummissjoni għas-servizzi tal-cloud computing jista’ jipprovdi aktar kumdità lill-entitajiet finanzjarji u lill-fornituri terzi ta’ servizzi tal-ICT, billi jsaħħaħ il-livell tagħhom ta’ ċertezza legali fir-rigward tal-użu tas-servizzi tal-cloud computing fis-settur finanzjarju, f’allinjament sħiħ mar-rekwiżiti u l-aspettattivi stabbiliti mil-dritt tal-Unjoni dwar is-servizzi finanzjarji. L-iżvilupp ta’ klawsoli kuntrattwali standard jibni fuq il-miżuri diġà previsti fil-Pjan ta’ Azzjoni tal-FinTech tal-2018, li ħabbar l-intenzjoni tal-Kummissjoni li tinkoraġġixxi u tiffaċilita l-iżvilupp ta’ klawsoli kuntrattwali standard għall-użu tal-esternalizzazzjoni tas-servizzi ta’ cloud computing minn entitajiet finanzjarji, billi tibbaża fuq l-isforzi tal-partijiet ikkonċernati tas-servizzi ta’ cloud computing transsettorjali, li l-Kummissjoni ffaċilitat bl-għajnuna tal-involviment tas-settur finanzjarju.

(76)

Bil-ħsieb li jiġu promossi l-konverġenza u l-effiċjenza fir-rigward tal-approċċi superviżorji meta jiġi indirizzat ir-riskju relatat mal-ICT minn partijiet terzi fis-settur finanzjarju, kif ukoll biex tissaħħaħ ir-reżiljenza operazzjonali diġitali tal-entitajiet finanzjarji li jiddependu fuq fornituri terzi kritiċi ta’ servizzi tal-ICT għal provvista ta’ -servizzi tal-ICT li jappoġġjaw il-forniment ta’ servizzi finanzjarji, u b’hekk jikkontribwixxu għall-preservazzjoni tal-istabbiltà tas-sistema finanzjarja tal-Unjoni u l-integrità tas-suq intern għas-servizzi finanzjarji, jenħtieġ li l-fornituri terzi kritiċi ta’ servizzi tal-ICT jkunu soġġetti għal Qafas ta’ Sorveljanza tal-Unjoni. Filwaqt li l-istabbiliment tal-Qafas ta’ Sorveljanza huwa ġġustifikat mill-valur miżjud tat-teħid ta’ azzjoni fil-livell tal-Unjoni u minħabba r-rwol inerenti u l-ispeċifiċitajiet tal-użu tas-servizzi tal-ICT fil-forniment ta’ servizzi finanzjarji, jenħtieġ li jiġi mfakkar fl-istess ħin li din is-soluzzjoni tidher xierqa biss fil-kuntest ta’ dan ir-Regolament li jittratta speċifikament ir-reżiljenza operazzjonali diġitali fis-settur finanzjarju. Madankollu, tali Qafas ta’ Sorveljanza jenħtieġ li ma jitqiesx bħala mudell ġdid għas-superviżjoni tal-Unjoni fl-oqsma l-oħra tas-servizzi u l-attivitajiet finanzjarji.

(77)

Il-Qafas ta’ Sorveljanza jenħtieġ li japplika biss għal fornituri terzi kritiċi ta’ servizzi tal-ICT. Għalhekk, jenħtieġ li jkun hemm mekkaniżmu ta’ deżinjazzjoni li jqis id-dimensjoni u n-natura tad-dipendenza tas-settur finanzjarju fuq tali fornituri terzi ta’ servizzi tal-ICT. Dak il-mekkaniżmu jenħtieġ li jinvolvi sett ta’ kriterji kwantitattivi u kwalitattivi biex jiġu stabbiliti l-parametri tal-kritikalità bħala bażi għall-inklużjoni fil-Qafas ta’ Sorveljanza. Sabiex tiġi żgurata l-preċiżjoni ta’ dik il-valutazzjoni, u irrispettivament mill-istruttura korporattiva tal-fornitur terz ta’ servizzi tal-ICT, jenħtieġ li tali kriterji, fil-każ ta’ fornitur terz ta’ servizzi tal-ICT li jkun parti minn grupp usa’, iqisu l-istruttura kollha tal-grupp tal-fornitur terz ta’ servizzi tal-ICT. Minn naħa waħda, fornituri terzi kritiċi ta’ servizzi tal-ICT, li mhumiex deżinjati awtomatikament bis-saħħa tal-applikazzjoni ta’ dawk il-kriterji, jenħtieġ li jkollhom il-possibbiltà li jagħżlu li jipparteċipaw fil-Qafas ta’ Sorveljanza fuq bażi volontarja, min-naħa l-oħra, il-fornituri terzi ta’ servizzi tal-ICT, li diġà huma soġġetti għal oqfsa ta’ mekkaniżmu ta’ sorveljanza li jappoġġjaw it-twettiq tal-kompiti tas- Sistema Ewropea ta’ Banek Ċentrali kif imsemmi fl-Artikolu 127(2) TFUE, jenħtieġ li jiġu eżentati.

(78)

Bl-istess mod, l-entitajiet finanzjarji li jipprovdu servizzi tal-ICT lil entitajiet finanzjarji oħra, filwaqt li jappartjenu għall-kategorija ta’ fornituri terzi ta’ servizzi tal-ICT skont dan ir-Regolament, jenħtieġ li jiġu eżentati wkoll mill-Qafas ta’ Sorveljanza peress li huma diġà soġġetti għal mekkaniżmi superviżorji stabbiliti mil-liġi rilevanti tal-Unjoni dwar is-servizzi finanzjarji. Fejn applikabbli, jenħtieġ li l-awtoritajiet kompetenti jqisu, fil-kuntest tal-attivitajiet superviżorji tagħhom, ir-riskju tal-ICT maħluq għall-entitajiet finanzjarji mill-entitajiet finanzjarji li jipprovdu servizzi tal-ICT. Bl-istess mod, minħabba l-mekkaniżmi eżistenti ta’ monitoraġġ tar-riskju fil-livell tal-grupp, jenħtieġ li tiġi introdotta l-istess eżenzjoni għall-fornituri terzi ta’ servizzi tal-ICT li jfornu servizzi b’mod predominanti lill-entitajiet tal-grupp tagħhom stess. Il-fornituri terzi ta’ servizzi tal-ICT li jipprovdu servizzi tal-ICT fi Stat Membru wieħed biss lil entitajiet finanzjarji li huma attivi biss f’dak l-Istat Membru jenħtieġ li jkunu eżentati wkoll mill-mekkaniżmu ta’ deżinjazzjoni minħabba l-attivitajiet limitati tagħhom u n-nuqqas ta’ impatt transfruntier.

(79)

It-trasformazzjoni diġitali esperjenzata fis-servizzi finanzjarji ġabet livell bla preċedent ta’ użu tas-servizzi tal-ICT, u dipendenza fuqhom. Peress li sar inkonċepibbli li jiġu pprovduti servizzi finanzjarji mingħajr l-użu ta’ servizzi tal-cloud computing, soluzzjonijiet ta’ software u servizzi relatati mad-data, l-ekosistema finanzjarja tal-Unjoni saret intrinsikament kodipendenti fuq ċerti servizzi tal-ICT ipprovduti mill-fornituri tas-servizzi tal-ICT. Xi wħud minn dawk il-fornituri, l-innovaturi fl-iżvilupp u l-applikazzjoni ta’ teknoloġiji bbażati fuq l-ICT, jaqdu rwol sinifikanti fl-għoti ta’ servizzi finanzjarji, jew saru integrati fil-katina tal-valur tas-servizzi finanzjarji. Għalhekk saru kritiċi għall-istabbiltà u l-integrità tas-sistema finanzjarja tal-Unjoni. Din id-dipendenza mifruxa fuq is-servizzi pprovduti minn fornituri terzi kritiċi ta’ servizzi tal-ICT, flimkien mal-interdipendenza tas-sistemi ta’ informazzjoni ta’ diversi operaturi tas-suq, toħloq riskju dirett, u potenzjalment serju, għas-sistema tas-servizzi finanzjarji tal-Unjoni u għall-kontinwità tal-għoti tas-servizzi finanzjarji jekk fornituri terzi kritiċi ta’ servizzi tal-ICT kellhom jiġu affettwati minn tfixkil operazzjonali jew inċidenti ċibernetiċi kbar. L-inċidenti ċibernetiċi għandhom kapaċità distintiva li jimmultiplikaw u jxerrdu fis-sistema finanzjarja kollha b’pass konsiderevolment aktar mgħaġġel minn tipi oħra ta’ riskji mmonitorjati fis-settur finanzjarju u jistgħu jestendu bejn is-setturi u lil hinn mill-fruntieri ġeografiċi. Huma għandhom il-potenzjal li jevolvu fi kriżi sistemika, fejn il-fiduċja fis-sistema finanzjarja tkun tnaqqret minħabba t-tfixkil tal-funzjonijiet li jappoġġjaw l-ekonomija reali, jew minħabba telf finanzjarju sostanzjali, li jilħaq livell li s-sistema finanzjarja ma tkunx kapaċi tiflaħ għalih, jew li jirrikjedi l-użu ta’ miżuri ta’ assorbiment ta’ xokkijiet kbar. Sabiex jiġi evitat li jseħħu dawn ix-xenarji u b’hekk jiġu pperikolati l-istabbiltà u l-integrità finanzjarja tal-Unjoni, huwa essenzjali li tiġi pprovduta l-konverġenza tal-prattiki superviżorji relatati mar-riskju relatat mal-ICT minn partijiet terzi fil-finanzjament, b’mod partikolari permezz ta’ regoli ġodda li jippermettu s-sorveljanza tal-Unjoni ta’ fornituri terzi kritiċi ta’ servizzi tal-ICT.

(80)

Il-Qafas ta’ Sorveljanza jiddependi ħafna fuq il-grad ta’ kollaborazzjoni bejn is-Sorveljant Ewlieni u l-fornitur terz kritiku ta’ servizzi tal-ICT li jipprovdi lill-entitajiet finanzjarji servizzi li jaffettwaw il-forniment ta’ servizzi finanzjarji. Is-sorveljanza b’suċċess hija bbażata, fost l-oħrajn, fuq il-kapaċità tas-Sorveljant Ewlieni li jwettaq b’mod effettiv missjonijiet u spezzjonijiet ta’ monitoraġġ biex jivvaluta r-regoli, il-kontrolli u l-proċessi użati mill-fornituri terzi kritiċi ta’ servizzi tal-ICT, kif ukoll biex jivvaluta l-impatt kumulattiv potenzjali tal-attivitajiet tagħhom fuq l-istabbiltà finanzjarja u l-integrità tas-sistema finanzjarja. Fl-istess ħin, huwa kruċjali li l-fornituri terzi kritiċi ta’ servizzi tal-ICT isegwu r-rakkomandazzjonijiet tas-Sorveljant Ewlieni u jindirizzaw it-tħassib tiegħu. Peress li nuqqas ta’ kooperazzjoni minn fornitur terz kritiku ta’ servizzi tal-ICT li jipprovdi servizzi li jaffettwaw il-forniment ta’ servizzi finanzjarji, bħar-rifjut li jingħata aċċess għall-bini tiegħu jew li jippreżenta informazzjoni, fl-aħħar mill-aħħar iċaħħad lis-Sorveljant Ewlieni mill-għodod essenzjali tiegħu fil-valutazzjoni tar-riskju ta’ partijiet terzi tal-ICT, u jista’ jkollu impatt negattiv fuq l-istabbiltà finanzjarja u l-integrità tas-sistema finanzjarja, huwa meħtieġ li jiġi previst ukoll reġim ta’ sanzjonar proporzjonat.

(81)

F’dan l-isfond, il-ħtieġa tas-Sorveljant Ewlieni li jimponi pagamenti ta’ penali biex iġiegħel lill-fornituri terzi kritiċi ta’ servizzi tal-ICT jikkonformaw mal-obbligi ta’ trasparenza u dawk relatati mal-aċċess stipulati f’dan ir-Regolament jenħtieġ li ma tiġix ipperikolata minn diffikultajiet imqajma mill-infurzar ta’ dawk il-pagamenti ta’ penali fir-rigward ta’ fornituri terzi kritiċi ta’ servizzi tal-ICT stabbiliti f’pajjiżi terzi. Sabiex tiġi żgurata l-infurzabbiltà ta’ tali penali, u biex tkun tista’ ssir introduzzjoni rapida ta’ proċeduri li jirrispettaw id-drittijiet tad-difiża tal-fornituri terzi kritiċi ta’ servizzi tal-ICT fil-kuntest tal-mekkaniżmu ta’ deżinjazzjoni u l-ħruġ ta’ rakkomandazzjonijiet, jenħtieġ li dawk il-fornituri terzi kritiċi ta’ servizzi tal-ICT, li jipprovdu lill-entitajiet finanzjarji servizzi li jaffettwaw il-forniment ta’ servizzi finanzjarji, ikunu meħtieġa jżommu preżenza kummerċjali adegwata fl-Unjoni. Minħabba n-natura tas-sorveljanza, u n-nuqqas ta’ arranġamenti komparabbli f’ġuriżdizzjonijiet oħra, ma hemm l-ebda mekkaniżmu alternattiv xieraq li jiżgura dan l-objettiv permezz ta’ kooperazzjoni effettiva mas-superviżuri finanzjarji f’pajjiżi terzi fir-rigward tal-monitoraġġ tal-impatt tar-riskji operazzjonali diġitali ppreżentati minn fornituri terzi sistemiċi ta’ servizzi tal-ICT, li jikkwalifikaw bħala fornituri terzi kritiċi ta’ servizzi tal-ICT stabbiliti f’pajjiżi terzi. Għalhekk, sabiex ikompli jipprovdi is-servizzi tiegħu tal-ICT lil entitajiet finanzjarji fl-Unjoni, fornitur terz ta’ servizzi tal-ICT stabbilit f’pajjiż terz li jkun ġie ddeżinjat bħala kritiku f’konformità ma’ dan ir-Regolament jenħtieġ li jwettaq, fi żmien 12-il xahar minn tali deżinjazzjoni, l-arranġamenti kollha meħtieġa biex jiżgura l-inkorporazzjoni tiegħu fl-Unjoni, permezz tal-istabbiliment ta’ sussidjarja, kif definit fl-acquis kollu tal-Unjoni, jiġifieri fid-Direttiva 2013/34/UE tal-Parlament Ewropew u tal-Kunsill (21).

(82)

Ir-rekwiżit li tiġi stabbilita sussidjarja fl-Unjoni jenħtieġ li ma jipprevjenix lill-fornitur terz kritiku ta’ servizzi tal-ICT milli jipprovdi servizzi tal-ICT u appoġġ tekniku relatat minn faċilitajiet u infrastruttura li jinsabu barra mill-Unjoni. Dan ir-Regolament ma jimponix obbligu ta’ lokalizzazzjoni tad-data peress li ma jirrikjedix li l-ħżin jew l-ipproċessar tad-data jsir fl-Unjoni.

(83)

Il-fornituri terzi kritiċi ta’ servizzi tal-ICT jenħtieġ li jkunu jistgħu jipprovdu servizzi tal-ICT minn kwalunkwe post fid-dinja, mhux neċessarjament jew mhux biss minn bini li jinsab fl-Unjoni. Jenħtieġ li l-attivitajiet ta’ sorveljanza l-ewwel jitwettqu f’bini li jinsab fl-Unjoni u billi jinteraġixxu ma’ entitajiet li jinsabu fl-Unjoni, inkluż s-sussidjarji stabbiliti minn fornituri terzi kritiċi ta’ servizzi tal-ICT skont dan ir-Regolament. Madankollu, tali azzjonijiet fl-Unjoni jistgħu ma jkunux biżżejjed biex jippermettu lis-Sorveljant Ewlieni jwettaq bis-sħiħ u b’mod effettiv id-dmirijiet tiegħu skont dan ir-Regolament. Għalhekk, jenħtieġ li s-Sorveljant Ewlieni jkun jista’ jeżerċita s-setgħat ta’ sorveljanza rilevanti tiegħu f’pajjiżi terzi. L-eżerċizzju ta’ dawk is-setgħat f’pajjiżi terzi jenħtieġ li jippermetti lis-Sorveljant Ewlieni jeżamina l-faċilitajiet li minnhom is-servizzi tal-ICT jew servizzi ta’ appoġġ tekniku huma fil-fatt ipprovduti jew ġestiti mill-fornitur terz kritiku ta’ servizzi tal-ICT, u, jenħtieġ li jagħti lis-Sorveljant Ewlieni fehim komprensiv u operazzjonali tal-ġestjoni tar-riskju tal-ICT tal-fornitur terz kritiku ta’ servizzi tal-ICT. Il-possibbiltà għas-Sorveljant Ewlieni, bħala aġenzija tal-Unjoni, li jeżerċita setgħat barra mit-territorju tal-Unjoni jenħtieġ li tkun inkwadrata kif xieraq minn kondizzjonijiet rilevanti, b’mod partikolari l-kunsens tal-fornitur terz kritiku ta’ servizzi tal-ICT ikkonċernat. Bl-istess mod, l-awtoritajiet rilevanti tal-pajjiż terz jenħtieġ li jiġu infurmati dwar l-eżerċizzju fit-territorju tagħhom stess tal-attivitajiet tas-Sorveljant Ewlieni u ma joġġezzjonawx għalih. Madankollu, sabiex tiġi żgurata implimentazzjoni effiċjenti, u mingħajr preġudizzju għall-kompetenzi rispettivi tal-istituzzjonijiet tal-Unjoni u tal-Istati Membri, tali setgħat jeħtieġ li jkunu ankrati bis-sħiħ ukoll fil-konklużjoni ta’ arranġamenti ta’ kooperazzjoni amministrattiva mal-awtoritajiet rilevanti tal-pajjiż terz ikkonċernat. Dan ir-Regolament għalhekk jenħtieġ li jippermetti lill-ASE jikkonkludu arranġamenti ta’ kooperazzjoni amministrattiva mal-awtoritajiet rilevanti ta’ pajjiżi terzi, li altrimenti ma għandhomx joħolqu obbligi legali fir-rigward tal-Unjoni u l-Istati Membri tagħha.

(84)

Biex tiġi ffaċilitata l-komunikazzjoni mas-Sorveljant Ewlieni u biex tiġi żgurata rappreżentanza adegwata, il-fornituri terzi kritiċi ta’ servizzi tal-ICT li huma parti minn grupp jenħtieġ li jaħtru persuna ġuridika waħda bħala l-punt ta’ koordinazzjoni tagħhom.

(85)

Il-Qafas ta’ Sorveljanza jenħtieġ li jkun mingħajr preġudizzju għall-kompetenza tal-Istati Membri biex iwettqu missjonijiet ta’ sorveljanza jew monitoraġġ tagħhom stess fir-rigward ta’ fornituri terzi ta’ servizzi tal-ICT li mhumiex deżinjati bħala kritiċi skont dan ir-Regolament, iżda li huma meqjusa bħala importanti fil-livell nazzjonali.

(86)

Sabiex tiġi sfruttata l-arkitettura istituzzjonali b’diversi livelli fil-qasam tas-servizzi finanzjarji, jenħtieġ li l-Kumitat Konġunt tal-ASE jkompli jiżgura koordinazzjoni transsettorjali ġenerali fir-rigward tal-kwistjonijiet kollha li jappartjenu għar-riskju tal-ICT, f’konformità mal-kompiti tiegħu dwar iċ-ċibersigurtà. Jenħtieġ li jkun appoġġjat minn Sottokumitat ġdid (il-Forum ta’ Sorveljanza) li jwettaq ħidma preparatorja kemm għad-deċiżjonijiet individwali indirizzati lill-fornituri terzi kritiċi ta’ servizzi tal-ICT, kif ukoll għall-ħruġ ta’ rakkomandazzjonijiet kollettivi, b’mod partikolari fir-rigward tal-valutazzjoni komparattiva tal-programmi ta’ sorveljanza għal fornituri terzi kritiċi ta’ servizzi tal-ICT, u l-identifikazzjoni tal-aħjar prattiki biex jiġu indirizzati kwistjonijiet ta’ riskju ta’ konċentrazzjoni tal-ICT.

(87)

Sabiex jiġi żgurat li l-fornituri terzi kritiċi ta’ servizzi tal-ICT ikunu sorveljati b’mod xieraq u effettiv fil-livell tal-Unjoni, dan ir-Regolament jipprevedi li kwalunkwe waħda mit-tliet ASE tista’ tinħatar bħala Sorveljant Ewlieni. L-assenjazzjoni individwali ta’ fornitur terz kritiku ta’ servizzi tal-ICT lil waħda mit-tliet ASE jenħtieġ li tirriżulta minn valutazzjoni tal-preponderanza tal-entitajiet finanzjarji li joperaw fis-setturi finanzjarji li għalihom dik l-ASE għandha responsabbiltajiet. Dan l-approċċ jenħtieġ li jwassal għal allokazzjoni bbilanċjata tal-kompiti u r-responsabbiltajiet bejn it-tliet ASE, fil-kuntest tal-eżerċizzju tal-funzjonijiet ta’ sorveljanza, u jenħtieġ li jagħmel l-aħjar użu mir-riżorsi umani u mill-għarfien espert tekniku disponibbli f’kull waħda mit-tliet ASE.

(88)

Jenħtieġ li s-Sorveljanti Ewlenin jingħataw is-setgħat meħtieġa biex iwettqu investigazzjonijiet, biex iwettqu spezzjonijiet fuq il-post u mhux fuq il-post fil-bini u fil-postijiet ta’ fornituri terzi kritiċi ta’ servizzi tal-ICT u biex jiksbu informazzjoni kompluta u aġġornata. Dawk is-setgħat jenħtieġ li jippermettu lis-Sorveljant Ewlieni jikseb għarfien reali dwar it-tip, id-dimensjoni u l-impatt tar-riskju relatat mal-ICT minn partijiet terzi għall-entitajiet finanzjarji u fl-aħħar mill-aħħar għas-sistema finanzjarja tal-Unjoni. Li l-ASE jiġu fdati bir-rwol tas-sorveljanza ewlenija huwa prerekwiżit biex tinftiehem sewwa u tiġi indirizzata d-dimensjoni sistemika tar-riskju tal-ICT fil-finanzi. L-impatt ta’ fornituri terzi kritiċi ta’ servizzi tal-ICT fuq is-settur finanzjarju tal-Unjoni u l-kwistjonijiet potenzjali kkawżati mir-riskju ta’ konċentrazzjoni tal-ICT involut jitolbu li jittieħed approċċ kollettiv fil-livell tal-Unjoni. It-twettiq simultanju ta’ diversi awditi u t-trattament ta’ talbiet għal drittijiet ta’ aċċess, imwettqa separatament minn għadd kbir ta’ awtoritajiet kompetenti, bi ftit jew l-ebda koordinazzjoni bejniethom, jipprevjeni lis-superviżuri finanzjarji milli jiksbu ħarsa ġenerali kompleta u komprensiva tar-riskju relatat mal-ICT minn partijiet terzi fl-Unjoni, filwaqt li joħloq ukoll xogħol żejjed, piż u kumplessità għall-fornituri terzi kritiċi ta’ servizzi tal-ICT jekk dawn jiġu soġġetti għal diversi talbiet ta’ monitoraġġ u spezzjoni.

(89)

Minħabba l-impatt sinifikanti tad-deżinjazzjoni bħala kritiku, dan ir-Regolament jenħtieġ li jiżgura li d-drittijiet ta’ fornituri terzi kritiċi ta’ servizzi tal-ICT jiġu rrispettati fl-implimentazzjoni tal-Qafas ta’ Sorveljanza. Qabel ma jiġu ddeżinjati bħala kritiċi, tali fornituri jenħtieġ li, pereżempju, jkollhom id-dritt li jippreżentaw lis-Sorveljant Ewlieni dikjarazzjoni motivata li jkun fiha kwalunkwe informazzjoni rilevanti għall-finijiet tal-valutazzjoni relatata mad-deżinjazzjoni tagħhom. Peress li s-Sorveljant Ewlieni jenħtieġ li jingħata s-setgħa li jippreżenta rakkomandazzjonijiet dwar kwistjonijiet ta’ riskju tal-ICT u rimedji xierqa għalihom, inkluż is-setgħa li jopponi ċerti arranġamenti kuntrattwali li fl-aħħar mill-aħħar jaffettwaw l-istabbiltà tal-entità finanzjarja jew tas-sistema finanzjarja, il-fornituri terzi kritiċi ta’ servizzi tal-ICT jenħtieġ li jingħataw ukoll l-opportunità li jipprovdu, qabel il-finalizzazzjoni ta’ dawk ir-rakkomandazzjonijiet, spjegazzjonijiet dwar l-impatt mistenni tas-soluzzjonijiet, previsti fir-rakkomandazzjonijiet fuq il-klijenti li huma entitajiet li jaqgħu barra mill-kamp ta’ applikazzjoni ta’ dan ir-Regolament u li jifformulaw soluzzjonijiet biex jittaffew ir-riskji. Il-fornituri terzi kritiċi ta’ servizzi tal-ICT li ma jaqblux mar-rakkomandazzjonijiet jenħtieġ lijippreżentaw spjegazzjoni motivata tal-intenzjoni tagħhom li ma japprovawx ir-rakkomandazzjoni. Fejn tali spjegazzjoni motivata ma tiġix preżentata jew fejn tiġi meqjusa insuffiċjenti, is-Sorveljant Ewlieni jenħtieġ li joħroġ avviż pubbliku li jiddeskrivi fil-qosor il-kwistjoni tan-nuqqas ta’ konformità.

(90)

L-awtoritajiet kompetenti jenħtieġ li jinkludu kif xieraq il-kompitu li jivverifikaw il-konformità sostantiva mar-rakkomandazzjonijiet maħruġa mis-Sorveljant Ewlieni fil-funzjonijiet tagħhom fir-rigward tas-superviżjoni prudenzjali tal-entitajiet finanzjarji. L-awtoritajiet kompetenti jenħtieġ li jkunu jistgħu jirrikjedu li l-entitajiet finanzjarji jieħdu miżuri addizzjonali biex jindirizzaw ir-riskji identifikati fir-rakkomandazzjonijiet tas-Sorveljant Ewlieni, u jenħtieġ li, fi żmien debitu, joħorġu notifiki għal dak il-għan. Meta s-Sorveljant Ewlieni jindirizza rakkomandazzjonijiet lill-fornituri terzi kritiċi ta’ servizzi tal-ICT li huma ssorveljati skont id-Direttiva (UE) 2022/2555, jenħtieġ li l-awtoritajiet kompetenti jkunu jistgħu, fuq bażi volontarja, u qabel ma jadottaw miżuri addizzjonali, jikkonsultaw lill-awtoritajiet kompetenti skont dik id-Direttiva sabiex irawmu approċċ ikkoordinat biex jittratta l-fornituri terzi kritiċi ta’ servizzi tal-ICT inkwistjoni.

(91)

L-eżerċizzju tas-sorveljanza għandu jkun iggwidat minn tliet prinċipji operazzjonali li jfittxu li jiżguraw: (a) koordinazzjoni mill-qrib fost l-ASE fir-rwoli tas-Sorveljant Ewlieni tagħhom, permezz ta’ netwerk konġunt ta’ sorveljanza (JON), (b) konsistenza mal-qafas stabbilit mid-Direttiva (UE) 2022/2555 (permezz ta’ konsultazzjoni volontarja tal-korpi taħt dik id-Direttiva biex tiġi evitata d-duplikazzjoni ta’ miżuri diretti lejn fornituri terzi kritiċi ta’ servizzi tal-ICT), u (c) l-applikazzjoni ta’ diliġenza biex jiġi minimizzat ir-riskju potenzjali ta’ tfixkil għas-servizzi pprovduti mill-fornituri terzi kritiċi ta’ servizzi tal-ICT lil klijenti li huma entitajiet li jaqgħu barra mill-kamp ta’ applikazzjoni ta’ dan ir-Regolament.

(92)

Jenħtieġ li l-Qafas ta’ Sorveljanza ma jissostitwix, jew bl-ebda mod jew għal xi parti jissostitwixxi, ir-rekwiżit għall-entitajiet finanzjarji li jiġġestixxu huma stess ir-riskji involuti fl-użu ta’ fornituri terzi ta’ servizzi tal-ICT, inkluż l-obbligu tagħhom li jżommu monitoraġġ kontinwu tal-arranġamenti kuntrattwali konklużi ma’ fornituri terzi kritiċi ta’ servizzi tal-ICT. Bl-istess mod, il-Qafas ta’ Sorveljanza jenħtieġ li ma jaffettwax ir-responsabbiltà sħiħa tal-entitajiet finanzjarji għall-konformità mal-obbligi legali kollha stabbiliti f’dan ir-Regolament u fil-liġi rilevanti dwar is-servizzi finanzjarji u għall-kwittanza tagħhom.

(93)

Sabiex jiġu evitati duplikazzjonijiet u sovrapożizzjonijiet, jenħtieġ li l-awtoritajiet kompetenti jżommu lura milli jieħdu individwalment kwalunkwe miżura mmirata lejn il-monitoraġġ tar-riskji tal-fornitur terz kritiku ta’ servizzi tal-ICT u jenħtieġ li, f’dak ir-rigward, jiddependu fuq il-valutazzjoni tas-Sorveljant Ewlieni rilevanti. Jenħtieġ li kwalunkwe miżura fi kwalunkwe każ tiġi kkoordinata u maqbula minn qabel mas-Sorveljant Ewlieni fil-kuntest tal-eżerċizzju tal-kompiti fil-Qafas ta’ Sorveljanza.

(94)

Sabiex tiġi promossa l-konverġenza fil-livell internazzjonali fir-rigward tal-użu tal-aħjar prattiki fir-rieżami u l-monitoraġġ tal-ġestjoni tar-riskju diġitali tal-fornituri terzi ta’ servizzi tal-ICT, jenħtieġ li l-ASE jiġu mħeġġa jikkonkludu arranġamenti ta’ kooperazzjoni mal-awtoritajiet superviżorji u regolatorji rilevanti ta’ pajjiżi terzi.

(95)

Sabiex jiġu sfruttati l-kompetenzi speċifiċi, il-ħiliet tekniċi u l-għarfien espert tal-persunal li jispeċjalizza fir-riskju operazzjonali u tal-ICT fi ħdan l-awtoritajiet kompetenti, it-tliet ASE u, fuq bażi volontarja, l-awtoritajiet kompetenti skont id-Direttiva (UE) 2022/2555, is-Sorveljant Ewlieni jenħtieġ li jibbaża fuq il-kapaċitajiet superviżorji u l-għarfien nazzjonali u jistabbilixxi timijiet ta’ eżaminazzjoni ddedikati għal kull fornitur terz kritiku ta’ servizzi tal-ICT, li jiġbru flimkien timijiet multidixxiplinari b’appoġġ għat-tħejjija u t-twettiq ta’ attivitajiet ta’ sorveljanza, inkluż investigazzjonijiet u spezzjonijiet ġenerali ta’ fornituri terzi kritiċi ta’ servizzi tal-ICT, kif ukoll għal kwalunkwe segwitu meħtieġ għalihom.

(96)

Filwaqt li l-kostijiet li jirriżultaw minn kompiti ta’ sorveljanza jkunu ffinanzjati kompletament minn tariffi imposti fuq fornituri terzi kritiċi ta’ servizzi tal-ICT, l-ASE, madankollu, x’aktarx li jġarrbu, qabel il-bidu tal-Qafas ta’ Sorveljanza, kostijiet għall-implimentazzjoni ta’ sistemi tal-ICT iddedikati li jappoġġjaw is-sorveljanza mistennija, peress li jkun meħtieġ li jiġu żviluppati u implimentati minn qabel sistemi tal-ICT iddedikati. Dan ir-Regolament għalhekk jipprevedi mudell ta’ finanzjament ibridu, fejn il-Qafas ta’ Sorveljanza, bħala tali, ikun iffinanzjat kompletament mit-tariffi, filwaqt li l-iżvilupp tas-sistemi tal-ICT tal-ASE jiġi ffinanzjat mill-kontribuzzjonijiet tal-Unjoni u tal-awtoritajiet kompetenti nazzjonali.

(97)

Jenħtieġ li l-awtoritajiet kompetenti jkollhom is-setgħat superviżorji, investigattivi u ta’ sanzjonar kollha meħtieġa biex jiżguraw l-eżerċizzju xieraq tad-dmirijiet tagħhom skont dan ir-Regolament. Fil-prinċipju, jenħtieġ li jippubblikaw avviżi dwar il-penali amministrattivi li jimponu. Peress li l-entitajiet finanzjarji u l-fornituri terzi ta’ servizzi tal-ICT jistgħu jiġu stabbiliti fi Stati Membri differenti u ssorveljati minn awtoritajiet kompetenti differenti, jenħtieġ li l-applikazzjoni ta’ dan ir-Regolament tiġi ffaċilitata, minn naħa, permezz ta’ kooperazzjoni mill-qrib bejn l-awtoritajiet kompetenti rilevanti, inkluż il-BĊE fir-rigward ta’ kompiti speċifiċi kkonferiti lilu bir-Regolament tal-Kunsill (UE) Nru 1024/2013, u, min-naħa l-oħra, permezz ta’ konsultazzjoni mal-ASE permezz tal-iskambju reċiproku ta’ informazzjoni u l-għoti ta’ assistenza fil-kuntest ta’ attivitajiet superviżorji rilevanti.

(98)

Sabiex il-kriterji għad-deżinjazzjoni ta’ fornituri terzi ta’ servizzi tal-ICT jiġu kkwantifikati u kkwalifikati aktar bħala kritiċi u biex jiġu armonizzati t-tariffi tas-sorveljanza, jenħtieġ li tiġi ddelegata lill-Kummissjoni s-setgħa li tadotta atti f’konformità mal-Artikolu 290 TFUE biex tissupplimenta dan ir-Regolament billi tispeċifika aktar l-impatt sistemiku li falliment jew qtugħ operazzjonali ta’ fornitur terz ta’ servizzi tal-ICT jista’ jkollu fuq l-entitajiet finanzjarji li lilhom jipprovdi servizzi tal-ICT, l-għadd ta’ istituzzjonijiet globali sistemikament importanti (G-SIIs), jew istituzzjonijiet oħra sistemikament importanti (O-SIIs), li jiddependu fuq il-fornitur terz ta’ servizzi tal-ICT inkwistjoni, l-għadd ta’ fornituri terzi ta’ servizzi tal-ICT attivi f’suq partikolari, il-kostijiet tal-migrazzjoni tad-data u t-tagħbijiet ta’ xogħol tal-ICT għal fornituri terzi oħra ta’ servizzi tal-ICT, kif ukoll l-ammont tat-tariffi ta’ sorveljanza u l-mod li bih għandhom jitħallsu. Huwa partikolarment importanti li l-Kummissjoni twettaq konsultazzjonijiet xierqa matul il-ħidma preparatorja tagħha, inkluż fil-livell ta’ esperti, u li dawk il-konsultazzjonijiet jitwettqu f’konformità mal-prinċipji stabbiliti fil-Ftehim Interistituzzjonali tat-13 ta’ April 2016 dwar it-Tfassil Aħjar tal-Liġijiet (22). B’mod partikolari, biex tiġi żgurata parteċipazzjoni ugwali fit-tħejjija ta’ atti delegati, jenħtieġ li l-Parlament Ewropew u l-Kunsill jirċievu d-dokumenti kollha fl-istess ħin li jirċevuhom l-esperti tal-Istati Membri, u jenħtieġ li l-esperti tagħhom ikollhom aċċess sistematiku għal-laqgħat tal-gruppi tal-esperti tal-Kummissjoni li jittrattaw it-tħejjija ta’ atti delegati.

(99)

L-istandards tekniċi regolatorji jenħtieġ li jiżguraw armonizzazzjoni konsistenti tar-rekwiżiti stabbiliti f’dan ir-Regolament. Fir-rwoli tagħhom bħala korpi mogħnija b’kompetenza esperta speċjalizzata ħafna, l-ASE jenħtieġ li jiżviluppaw abbozzi ta’ standards tekniċi regolatorji li ma jinvolvux għażliet ta’ politika, biex jiġu ppreżentati lill-Kummissjoni. Jenħtieġ li jiġu żviluppati standards tekniċi regolatorji fl-oqsma tal-ġestjoni tar-riskju tal-ICT, ir-rappurtar ta’ inċidenti kbar relatati mal-ICT, l-ittestjar, kif ukoll fir-rigward tar-rekwiżiti ewlenin għal monitoraġġ tajjeb tar-riskju relatat mal-ICT minn partijiet terzi. Il-Kummissjoni u l-ASE jenħtieġ li jiżguraw li dawk l-istandards u r-rekwiżiti jkunu jistgħu jiġu applikati mill-entitajiet finanzjarji kollha b’mod li jkun proporzjonat għad-daqs u l-profil tar-riskju ġenerali tagħhom, u n-natura, l-iskala u l-kumplessità tas-servizzi, l-attivitajiet u l-operazzjonijiet tagħhom. Il-Kummissjoni jenħtieġ li tingħata s-setgħa tadotta dawk l-istandards tekniċi regolatorji permezz ta’ atti delegati skont l-Artikolu 290 TFUE u skont l-Artikoli 10 sa 14 tar-Regolamenti (UE) Nru 1093/2010, (UE) Nru 1094/2010 u (UE) Nru 1095/2010.

(100)

Sabiex tiġi ffaċilitata l-komparabbiltà tar-rapporti dwar inċidenti kbar relatati mal-ICT u inċidenti operazzjonali jew tas-sigurtà kbar relatati mal-pagamenti, kif ukoll biex tiġi żgurata t-trasparenza fir-rigward tal-arranġamenti kuntrattwali għall-użu ta’ servizzi tal-ICT ipprovduti minn fornituri terzi ta’ servizzi tal-ICT, jenħtieġ li l-ASE jiżviluppaw abbozzi ta’ standards tekniċi ta’ implimentazzjoni li jistabbilixxu mudelli, formoli u proċeduri standardizzati għall-entitajiet finanzjarji biex jirrappurtaw inċident kbir relatat mal-ICT u inċident operazzjonali jew tas-sigurtà kbir relatat mal-pagamenti, kif ukoll mudelli standardizzati għar-reġistru tal-informazzjoni. Meta jiżviluppaw dawk l-istandards, l-ASE jenħtieġ li jqisu wkoll id-daqs u l-profil ġenerali tar-riskju tal-entità finanzjarja, u n-natura, l-iskala u l-kumplessità tas-servizzi, l-attivitajiet u l-operazzjonijiet tagħha. Il-Kummissjoni jenħtieġ li tingħata s-setgħa tadotta dawk l-istandards tekniċi ta’ implimentazzjoni permezz ta’ atti ta’ implimentazzjoni skont l-Artikolu 291 TFUE u skont l-Artikolu 15 tar-Regolamenti (UE) Nru 1093/2010, (UE) Nru 1094/2010 u (UE) Nru 1095/2010.

(101)

Peress li diġà ġew speċifikati aktar rekwiżiti permezz ta’ atti delegati u ta’ implimentazzjoni bbażati fuq standards tekniċi regolatorji u standards tekniċi ta’ implimentazzjoni fir-Regolamenti (KE) Nru 1060/2009 (23), (UE) Nru 648/2012 (24), (UE) Nru 600/2014 (25) u (UE) Nru 909/2014 (26) tal-Parlament Ewropew u tal-Kunsill, huwa xieraq li l-ASE jingħataw mandat, individwalment jew b’mod konġunt permezz tal-Kumitat Konġunt, biex jissottomettu standards tekniċi regolatorji u ta’ implimentazzjoni lill-Kummissjoni għall-adozzjoni ta’ atti delegati u ta’ implimentazzjoni li jittrasferixxu u jaġġornaw ir-regoli eżistenti tal-ġestjoni tar-riskju tal-ICT.

(102)

Billi dan ir-Regolament, flimkien mad-Direttiva (UE) 2022/2556 tal-Parlament Ewropew u tal-Kunsill (27), jinvolvi konsolidazzjoni tad-dispożizzjonijiet tal-ġestjoni tar-riskju tal-ICT f’diversi regolamenti u direttivi tal-acquis tal-Unjoni dwar is-servizzi finanzjarji, inkluż ir-Regolamenti (KE) Nru 1060/2009, (UE) Nru 648/2012, (UE) Nru 600/2014 u (UE) Nru 909/2014, u r-Regolament (UE) 2016/1011 tal-Parlament Ewropew u tal-Kunsill (28), sabiex tiġi żgurata konsistenza sħiħa, dawk ir-Regolamenti jenħtieġ li jiġu emendati biex jiġi ċċarat li d-dispożizzjonijiet applikabbli relatati mar-riskju tal-ICT huma stabbiliti f’dan ir-Regolament.

(103)

Konsegwentement, il-kamp ta’ applikazzjoni tal-artikoli rilevanti relatati mar-riskju operazzjonali, li abbażi tagħhom is-setgħat stabbiliti fir-Regolamenti (KE) Nru 1060/2009, (UE) Nru 648/2012, (UE) Nru 600/2014, (UE) Nru 909/2014, u (UE) 2016/1011 kienu taw mandat għall-adozzjoni ta’ atti delegati u ta’ implimentazzjoni, jenħtieġ li jitnaqqas bil-ħsieb li jiġu riportati f’dan ir-Regolament id-dispożizzjonijiet kollha li jkopru l-aspetti tar-reżiljenza operazzjonali diġitali li llum huma parti minn dawk ir-Regolamenti.

(104)

Ir-riskju ċibernetiku sistemiku potenzjali assoċjat mal-użu tal-infrastrutturi tal-ICT li jippermettu t-tħaddim ta’ sistemi ta’ pagament u l-forniment ta’ attivitajiet ta’ pproċessar ta’ pagamenti jenħtieġ li jiġu indirizzati kif xieraq fil-livell tal-Unjoni permezz ta’ regoli armonizzati dwar ir-reżiljenza diġitali. Għal dak il-għan, jenħtieġ li l-Kummissjoni tivvaluta malajr il-ħtieġa għal rieżami tal-kamp ta’ applikazzjoni ta’ dan ir-Regolament filwaqt li tallinja tali rieżami mal-eżitu tar-rieżami komprensiv previst skont id-Direttiva (UE) 2015/2366. L-għadd kbir ta’ attakki fuq skala kbira matul dawn l-aħħar għaxar snin juru kif is-sistemi ta’ pagament saru esposti għal theddid ċibernetiku. Imqiegħda fil-qalba tal-katina tas-servizzi ta’ pagament u filwaqt li juru interkonnessjonijiet b’saħħithom mas-sistema finanzjarja ġenerali, is-sistemi ta’ pagament u l-attivitajiet ta’ pproċessar ta’ pagamenti kisbu sinifikat kritiku għall-funzjonament tas-swieq finanzjarji tal-Unjoni. L-attakki ċibernetiċi fuq sistemi bħal dawn jistgħu jikkawżaw tfixkil operazzjonali serju fin-negozju b’riperkussjonijiet diretti fuq funzjonijiet ekonomiċi ewlenin, bħall-faċilitazzjoni tal-pagamenti, u effetti indiretti fuq proċessi ekonomiċi relatati. Sakemm jiġu stabbiliti reġim armonizzat u s-superviżjoni tal-operaturi tas-sistemi ta’ pagament u tal-entitajiet ta’ pproċessar fil-livell tal-Unjoni, l-Istati Membri jistgħu, bil-ħsieb li japplikaw prattiki tas-suq simili, jieħdu ispirazzjoni mir-rekwiżiti tar-reżiljenza operazzjonali diġitali stabbiliti minn dan ir-Regolament, meta japplikaw regoli għall-operaturi ta’ sistemi ta’ pagament u għall-entitajiet ta’ pproċessar taħt is-superviżjoni tal-ġuriżdizzjonijiet tagħhom stess.

(105)

Minħabba li l-objettiv ta’ dan ir-Regolament, jiġifieri li jinkiseb livell għoli ta’ reżiljenza operazzjonali diġitali għall-entitajiet finanzjarji regolati, ma jistax jinkiseb b’mod suffiċjenti mill-Istati Membri minħabba li jirrikjedi l-armonizzazzjoni ta’ diversi regoli differenti fil-liġi tal-Unjoni u dik nazzjonali, iżda jista’ pjuttost, minħabba l-iskala u l-effetti tiegħu, jinkiseb aħjar fil-livell tal-Unjoni, l-Unjoni tista’ tadotta miżuri f’konformità mal-prinċipju tas-sussidjarjetà kif stabbilit fl-Artikolu 5 tat-Trattat dwar l-Unjoni Ewropea. F’konformità mal-prinċipju tal-proporzjonalità, kif stabbilit f’dak l-Artikolu, dan ir-Regolament ma jmurx lil hinn minn dak li huwa meħtieġ sabiex jinkiseb dak l-objettiv.

(106)

Il-Kontrollur Ewropew għall-Protezzjoni tad-Data ġie kkonsultat f’konformità mal-Artikolu 42(1) tar-Regolament (UE) 2018/1725 tal-Parlament Ewropew u tal-Kunsill (29) u ta l-opinjoni tiegħu fl-10 ta’ Mejju 2021 (30),

ADOTTAW DAN IR-REGOLAMENT:

KAPITOLU I

Dispożizzjonijiet ġenerali

Artikolu 1

Suġġett

1.   Sabiex jinkiseb livell komuni għoli ta’ reżiljenza operazzjonali diġitali, dan ir-Regolament jistabbilixxi rekwiżiti uniformi dwar is-sigurtà tan-netwerks u tas-sistemi tal-informazzjoni li jappoġġjaw il-proċessi tan-negozju tal-entitajiet finanzjarji kif ġej:

(a)

ir-rekwiżiti applikabbli għall-entitajiet finanzjarji b’rabta ma’:

(i)

il-ġestjoni tar-riskju tat-Teknoloġija tal-Informazzjoni u tal-Komunikazzjoni (ICT);

(ii)

ir-rappurtar ta’ inċidenti kbar relatati mal-ICT u n-notifika, fuq bażi volontarja, ta’ theddid ċibernetiku sinifikanti lill-awtoritajiet kompetenti;

(iii)

ir-rappurtar ta’ inċidenti operazzjonali jew tas-sigurtà kbar relatati mal-pagamenti lill-awtoritajiet kompetenti mill-entitajiet finanzjarji msemmija fl-Artikolu 2(1), il-punti (a) sa (d);

(iv)

l-ittestjar tar-reżiljenza operazzjonali diġitali;

(v)

il-kondiviżjoni tal-informazzjoni u tal-intelliġenza b’rabta mat-theddid ċibernetiku u l-vulnerabbiltajiet;

(vi)

il-miżuri mill-entitajiet finanzjarji għall-ġestjoni tajba ta’ riskju relatat mal-ICT;

(b)

ir-rekwiżiti fir-rigward tal-arranġamenti kuntrattwali konklużi bejn il-fornituri terzi ta’ servizzi tal-ICT u l-entitajiet finanzjarji;

(c)

ir-regoli għall-istabbiliment u t-twettiq tal-Qafas ta’ Sorveljanza għal fornituri terzi kritiċi ta’ servizzi tal-ICT meta jipprovdu servizzi lil entitajiet finanzjarji;

(d)

ir-regoli dwar il-kooperazzjoni bejn l-awtoritajiet kompetenti u r-regoli dwar is-superviżjoni u l-infurzar mill-awtoritajiet kompetenti b’rabta mal-kwistjonijiet kollha koperti minn dan ir-Regolament.

2.   B’rabta mal-entitajiet finanzjarji identifikati bħala entitajiet essenzjali jew importanti skont ir-regoli nazzjonali li jittrasponu l-Artikolu 3 tad-Direttiva (UE) 2022/2555, dan ir-Regolament għandu jitqies bħala att legali tal-Unjoni speċifiku għas-settur għall-finijiet tal-Artikolu 4 ta’ dik id-Direttiva.

3.   Dan ir-Regolament huwa mingħajr preġudizzju għar-responsabbiltà tal-Istati Membri rigward il-funzjonijiet essenzjali tal-Istat li jikkonċernaw is-sigurtà pubblika, id-difiża u s-sigurtà nazzjonali f’konformità mad-dritt tal-Unjoni.

Artikolu 2

Kamp ta’ applikazzjoni

1.   Mingħajr preġudizzju għall-paragrafi 3 u 4, dan ir-Regolament japplika għall-entitajiet li ġejjin:

(a)

istituzzjonijiet ta’ kreditu;

(b)

istituzzjonijiet ta’ pagament, inkluż istituzzjonijiet ta’ pagament eżentati skont id-Direttiva (UE) 2015/2366;

(c)

fornituri ta’ servizzi ta’ informazzjoni dwar il-kontijiet;

(d)

istituzzjonijiet tal-flus elettroniċi, inkluż istituzzjonijiet tal-flus elettroniċi eżentati skont id-Direttiva 2009/110/KE;

(e)

ditti ta’ investiment;

(f)

fornituri ta’ servizzi tal-kriptoassi kif awtorizzati skont ir-Regolament tal-Parlament Ewropew u tal-Kunsill dwar is-swieq fil-kriptoassi, u r-Regolamenti emendatorji (UE) Nru 1093/2010 u (UE) Nru 1095/2010 u d-Direttivi 2013/36/UE u (UE) 2019/1937 (‘ir-Regolament dwar is-swieq fil-kriptoassi’) u l-emittenti tat-tokens irreferenzjati ma’ assi;

(g)

depożitorji ċentrali tat-titoli;

(h)

kontropartijiet ċentrali;

(i)

ċentri ta’ negozjar;

(j)

repożitorju tat-tranżazzjonijiet;

(k)

maniġers ta’ fondi ta’ investiment alternattivi;

(l)

kumpaniji maniġerjali;

(m)

fornituri ta’ servizzi ta’ rappurtar ta’ data;

(n)

impriżi tal-assigurazzjoni u tar-riassigurazzjoni;

(o)

intermedjarji tal-assigurazzjoni, intermedjarji tar-riassigurazzjoni u intermedjarji tal-assigurazzjoni anċillari;

(p)

istituzzjonijiet għall-provvista ta’ rtirar okkupazzjonali;

(q)

aġenziji ta’ klassifikazzjoni tal-kreditu;

(r)

amministraturi ta’ parametri referenzjarji ta’ importanza kritika;

(s)

fornituri ta’ servizzi ta’ finanzjament kollettiv;

(t)

repożitorji tat-titolizzazzjoni;

(u)

fornituri terzi ta’ servizzi tal-ICT.

2.   Għall-finijiet ta’ dan ir-Regolament, l-entitajiet imsemmija fil-paragrafu 1, il-punti (a) sa (t), għandhom kollettivament jissejħu “entitajiet finanzjarji”.

3.   Dan ir-Regolament ma japplikax għal:

(a)

maniġers ta’ fondi ta’ investiment alternattivi kif imsemmi fl-Artikolu 3(2) tad-Direttiva 2011/61/UE;

(b)

l-impriżi tal-assigurazzjoni u tar-riassigurazzjoni kif imsemmi fl-Artikolu 4 tad-Direttiva 2009/138/KE;

(c)

istituzzjonijiet għall-provvista ta’ rtirar okkupazzjonali li joperaw skemi ta’ pensjoni li flimkien ma għandhomx aktar minn 15-il membru b’kollox;

(d)

persuni fiżiċi jew ġuridiċi eżentati skont l-Artikoli 2 u 3 tad-Direttiva 2014/65/UE;

(e)

intermedjarji tal-assigurazzjoni, intermedjarji tar-riassigurazzjoni u intermedjarji tal-assigurazzjoni anċillari li huma intrapriżi mikro, jew intrapriżi żgħar jew ta’ daqs medju;

(f)

istituzzjonijiet ta’ kontijiet postali fil-forma giro kif imsemmija fl-Artikolu 2(5), il-punt (3), tad-Direttiva 2013/36/UE.

4.   L-Istati Membri jistgħu jeskludu mill-kamp ta’ applikazzjoni ta’ dan ir-Regolament l-entitajiet imsemmija fl-Artikolu 2(5), il-punti (4) sa (23), tad-Direttiva 2013/36/UE li jinsabu fit-territorji rispettivi tagħhom. Fejn Stat Membru jagħmel użu minn tali għażla, huwa għandu jinforma lill-Kummissjoni b’dan kif ukoll bi kwalunkwe bidla sussegwenti għal dan. Il-Kummissjoni għandha tagħmel dik l-informazzjoni disponibbli għall-pubbliku fuq is-sit web tagħha jew mezzi oħra faċilment aċċessibbli.

Artikolu 3

Definizzjonijiet

Għall-finijiet ta’ dan ir-Regolament, għandhom japplikaw id-definizzjonijiet li ġejjin:

(1)

“reżiljenza operazzjonali diġitali” tfisser il-kapaċità ta’ entità finanzjarja li tibni, tiggarantixxi u tirrieżamina l-integrità operazzjonali u l-affidabbiltà tagħha billi tiżgura, direttament jew indirettament permezz tal-użu ta’ servizzi pprovduti minn fornituri terzi ta’ servizzi tal-ICT, il-firxa sħiħa ta’ kapaċitajiet relatati mal-ICT meħtieġa biex tiġi indirizzata s-sigurtà tan-netwerks u tas-sistemi tal-informazzjoni li tuża entità finanzjarja, u li jsostnu l-forniment kontinwu ta’ servizzi finanzjarji u l-kwalità tagħhom, inkluż matul it-tfixkil;

(2)

“netwerk u sistema tal-informazzjoni” tfisser netwerk u sistema tal-informazzjoni kif definit fl-Artikolu 6, punt 1, tad-Direttiva (UE) 2022/2555;

(3)

“sistema tal-ICT miruta” tfisser sistema tal-ICT li tkun laħqet tmiem iċ-ċiklu tal-ħajja tagħha (tmiem tal-ħajja), li ma tkunx adattata għal titjib jew tiswija, għal raġunijiet teknoloġiċi jew kummerċjali, jew li ma tkunx għadha appoġġjata mill-fornitur tagħha jew minn fornitur terz ta’ servizzi tal-ICT, iżda li tkun għadha qed tintuża u tappoġġja l-funzjonijiet tal-entità finanzjarja;

(4)

“sigurtà tan-netwerks u tas-sistemi tal-informazzjoni” tfisser is-sigurtà tan-netwerks u tas-sistemi tal-informazzjoni kif definit fl-Artikolu 6, punt 2, tad-Direttiva (UE) 2022/2555;

(5)

“riskju tal-ICT” tfisser kwalunkwe ċirkostanza identifikabbli b’mod raġonevoli fir-rigward tal-użu tan-netwerk u tas-sistemi tal-informazzjoni li, jekk isseħħ, tista’ tikkomprometti s-sigurtà tan-netwerk u tas-sistemi tal-informazzjoni, ta’ kwalunkwe għodda jew proċess dipendenti mit-teknoloġija, ta’ operazzjonijiet u proċessi, jew tal-forniment ta’ servizzi billi tipproduċi effetti negattivi fl-ambjent diġitali jew fiżiku;

(6)

“assi ta’ informazzjoni” tfisser ġabra ta’ informazzjoni, tanġibbli jew intanġibbli, li timmerita protezzjoni;

(7)

“assi tal-ICT” tfisser assi ta’ software jew hardware fin-netwerk u fis-sistemi tal-informazzjoni użati mill-entità finanzjarja;

(8)

“inċident relatat mal-ICT” tfisser avveniment wieħed jew sensiela ta’ avvenimenti relatati ma’ xulxin mhux ippjanati mill-entità finanzjarja li jikkompromettu s-sigurtà tan-netwerks u tas-sistemi tal-informazzjoni, u li jkollhom impatt negattiv fuq id-disponibbiltà, l-awtentiċità, l-integrità jew il-kunfidenzjalità tad-data, jew fuq is-servizzi pprovduti mill-entità finanzjarja;

(9)

“inċident operazzjonali jew tas-sigurtà relatat ma’ pagamenti” tfisser avveniment wieħed jew sensiela ta’ avvenimenti relatati mhux ippjanati mill-entitajiet finanzjarji msemmija fl-Artikolu 2(1), il-punti (a) sa (d), kemm jekk relatati mal-ICT kif ukoll jekk le, li jkollhom impatt negattiv fuq id-disponibbiltà, l-awtentiċità, l-integrità jew il-kunfidenzjalità ta’ data relatata ma’ pagamenti, jew fuq is-servizzi pprovduti mill-entità finanzjarja;

(10)

“inċident kbir relatat mal-ICT” tfisser inċident relatat mal-ICT li għandu impatt avvers għoli fuq in-netwerk u s-sistemi tal-informazzjoni li jsostnu funzjonijiet kritiċi jew importanti tal-entità finanzjarja;

(11)

“inċident operazzjonali jew tas-sigurtà kbir relatat ma’ pagamenti” tfisser inċident operazzjonali jew tas-sigurtà relatat mal-ħlas li għandu impatt avvers għoli fuq is-servizzi pprovduti relatati ma’ pagamenti;

(12)

“theddida ċibernetika” tfisser “theddida ċibernetika” kif definit fl-Artikolu 2, il-punt (8), tar-Regolament (UE) 2019/881;

(13)

“theddida ċibernetika sinifikanti” tfisser theddida ċibernetika li l-karatteristiċi tekniċi tagħha jindikaw li jista’ jkollha l-potenzjal li tirriżulta f’inċident kbir relatat mal-ICT jew inċident operazzjonali jew tas-sigurtà kbir relatat ma’ pagamenti;

(14)

“attakk ċibernetiku” tfisser inċident malizzjuż relatat mal-ICT ikkawżat minn tentattiv imwettaq minn kwalunkwe attur ta’ theddid biex jeqred, jesponi, ibiddel, jiddiżattiva, jisraq jew jikseb aċċess mhux awtorizzat għal assi, jew jagħmel użu mhux awtorizzat minnu;

(15)

“intelligence dwar it-theddid” tfisser informazzjoni li tkun ġiet aggregata, ittrasformata, analizzata, interpretata jew arrikkita biex tipprovdi l-kuntest meħtieġ għat-teħid tad-deċiżjonijiet u li tippermetti fehim rilevanti u suffiċjenti sabiex jiġi mitigat l-impatt ta’ inċident relatat mal-ICT jew ta’ theddida ċibernetika, inkluż id-dettalji tekniċi tal-attakk ċibernetiku, dawk responsabbli għall-attakk u l-modus operandi u l-motivazzjonijiet tagħhom;

(16)

“vulnerabbiltà” tfisser dgħufija, suxxettibbiltà jew difett ta’ assi, sistema, proċess jew kontroll li jistgħu jiġu sfruttati;

(17)

“ittestjar tal-penetrazzjoni bbażat fuq it-theddid (TLPT)” tfisser qafas li jimita t-tattiki, it-tekniki u l-proċeduri ta’ atturi ta’ theddid fil-ħajja reali perċepiti bħala li jippreżentaw theddida ċibernetika ġenwina, u li jwettaq test ikkontrollat, personalizzat u mmexxi mill-intelligence (it-tim l-aħmar) tas-sistemi kritiċi ta’ produzzjoni waqt l-operat tal-entità finanzjarja;

(18)

“riskju relatat mal-ICT minn partijiet terzi” tfisser riskju tal-ICT li jista’ jinħoloq għal entità finanzjarja b’rabta mal-użu minnha ta’ servizzi tal-ICT ipprovduti minn fornituri terzi ta’ servizzi tal-ICT jew minn sottokuntratturi ta’ dawn tal-aħħar, inkluż permezz ta’ arranġamenti ta’ esternalizzazzjoni;

(19)

“fornitur terz ta’ servizzi tal-ICT” tfisser impriża li tipprovdi servizzi tal-ICT;

(20)

“fornitur intragrupp ta’ servizzi tal-ICT” tfisser impriża li tagħmel parti minn grupp finanzjarju u li fil-biċċa l-kbira tipprovdi servizzi tal-ICT lil entitajiet finanzjarji fl-istess grupp jew lil entitajiet finanzjarji li jagħmlu parti mill-istess skema ta’ protezzjoni istituzzjonali, inkluż lill-impriżi, lis-sussidjarji u lill-fergħat omm tagħhom jew entitajiet oħra li huma taħt sjieda jew kontroll komuni;

(21)

“servizzi tal-ICT” tfisser servizzi diġitali u tad-data pprovduti permezz ta’ sistemi tal-ICT lil utenti interni jew esterni, wieħed jew aktar, fuq bażi kontinwa, inkluż hardware bħala servizz u servizzi ta’ hardware li jinkludi l-forniment ta’ appoġġ tekniku permezz ta’ aġġornamenti tas-software jew tal-firmware mill-fornitur tal-hardware, esklużi s-servizzi telefoniċi analogi tradizzjonali;

(22)

“funzjoni kritika jew importanti” tfisser funzjoni li t-tfikxil tagħha xxekkel materjalment il-prestazzjoni finanzjarja ta’ entità finanzjarja, jew is-solidità jew il-kontinwità tas-servizzi u tal-attivitajiet tagħha, jew funzjoni li jekk il-prestazzjoni tagħha titwaqqaf, tkun difettuża jew tfalli xxekkel materjalment il-konformità kontinwa ta’ entità finanzjarja mal-kondizzjonijiet u l-obbligi tal-awtorizzazzjoni tagħha, jew mal-obbligi l-oħra tagħha skont il-liġi applikabbli dwar is-servizzi finanzjarji;

(23)

“fornitur terz kritiku ta’ servizzi tal-ICT” tfisser fornitur terz ta’ servizzi tal-ICT iddeżinjat bħala kritiku skont l-Artikolu 31;

(24)

“fornitur terz ta’ servizzi tal-ICT stabbilit f’pajjiż terz” tfisser fornitur terz ta’ servizzi tal-ICT li jkun persuna ġuridika stabbilita f’pajjiż terz u li tkun daħlet f’arranġament kuntrattwali ma’ entità finanzjarja għall-forniment ta’ servizzi tal-ICT;

(25)

“sussidjarja” tfisser impriża sussidjarja skont it-tifsira tal-Artikolu 2, il-punt (10), u tal-Artikolu 22 tad-Direttiva 2013/34/UE;

(26)

“grupp” tfisser grupp kif definit fl-Artikolu 2, il-punt (11), tad-Direttiva 2013/34/UE;

(27)

“impriża prinċipali” tfisser impriża prinċipali skont it-tifsira tal-Artikolu 2, il-punt (9), u tal-Artikolu 22 tad-Direttiva 2013/34/UE;

(28)

“sottokuntrattur tal-ICT stabbilit f’pajjiż terz” tfisser sottokuntrattur tal-ICT li jkun persuna ġuridika stabbilita f’pajjiż terz u li tkun daħlet f’arranġament kuntrattwali ma’ fornitur terz ta’ servizzi tal-ICT, jew ma’ fornitur terz ta’ servizzi tal-ICT stabbilit f’pajjiż terz;

(29)

“riskju ta’ konċentrazzjoni tal-ICT” tfisser esponiment għal fornituri terzi kritiċi, individwali jew multipli relatati, ta’ servizzi tal-ICT liema esponiment joħloq livell ta’ dipendenza fuq tali fornituri b’mod li l-indisponibbiltà, il-falliment jew xorta oħra ta’ nuqqas ta’ fornitur bħal dan jistgħu potenzjalment jipperikolaw il-kapaċità ta’ entità finanzjarja milli twettaq funzjonijiet kritiċi jew importanti, jew iwasslu biex iġġarrab tipi oħra ta’ effetti negattivi, inkluż telf kbir, jew li l-istabbiltà finanzjarja tal-Unjoni kollha kemm hi titqiegħed fil-periklu;

(30)

“korp maniġerjali” tfisser korp maniġerjali kif definit fl-Artikolu 4(1), il-punt (36), tad-Direttiva 2014/65/UE, fl-Artikolu 3(1), il-punt (7), tad-Direttiva 2013/36/UE, fl-Artikolu 2(1), il-punt (s), tad-Direttiva 2009/65/KE tal-Parlament Ewropew u tal-Kunsill (31), fl-Artikolu 2(1), il-punt (45), tar-Regolament (UE) Nru 909/2014, fl-Artikolu 3(1), il-punt (20), tar-Regolament (UE) 2016/1011 u fid-dispożizzjoni rilevanti “tar-Regolament dwar is-swieq fil-kriptoassi” jew il-persuni ekwivalenti li effettivament imexxu l-entità jew jaqdu funzjonijiet prinċipali skont il-liġi rilevanti tal-Unjoni jew dik nazzjonali;

(31)

“istituzzjoni ta’ kreditu” tfisser istituzzjoni tal-kreditu kif definita fl-Artikolu 4(1), il-punt (1), tar-Regolament (UE) Nru 575/2013 tal-Parlament Ewropew u tal-Kunsill (32);

(32)

“istituzzjoni ta’ kreditu eżentata skont id-Direttiva 2013/36/UE” tfisser entita’ kif imsemmija fl-Artikolu 2(5), il-punti (4) sa (23), tad-Direttiva 2013/36/UE;

(33)

“ditta tal-investiment” tfisser ditta ta’ investiment kif definita fl-Artikolu 4(1), il-punt (1), tad-Direttiva 2014/65/UE;

(34)

“ditta tal-investiment żgħira u mhux interkonnessa” tfisser ditta tal-investiment li tissodisfa l-kundizzjonijiet stabbiliti fl-Artikolu 12(1) tar-Regolament (UE) 2019/2033 tal-Parlament Ewropew u tal-Kunsill (33);

(35)

“istituzzjoni ta’ pagament” tfisser istituzzjoni ta’ pagament kif definita fl-Artikolu 4, il-punt (4), tad-Direttiva (UE) 2015/2366;

(36)

“istituzzjoni ta’ pagament eżentata skont id-Direttiva (UE) 2015/2366” tfisser istituzzjoni ta’ pagament eżentata skont l-Artikolu 32(1) tad-Direttiva (UE) 2015/2366;

(37)

“fornitur ta’ servizzi ta’ informazzjoni dwar il-kontijiet” tfisser fornitur ta’ servizzi ta’ informazzjoni dwar il-kontijiet kif imsemmi fl-Artikolu 33(1) tad-Direttiva (UE) 2015/2366;

(38)

“istituzzjoni tal-flus elettroniċi” tfisser istituzzjoni tal-flus elettroniċi kif definita fl-Artikolu 2, il-punt (1), tad-Direttiva 2009/110/KE tal-Parlament Ewropew u tal-Kunsill;

(39)

“istituzzjoni tal-flus elettroniċi eżentata skont id-Direttiva 2009/110/KE” tfisser istituzzjoni tal-flus elettroniċi li tibbenefika minn eżenzjoni kif imsemmi fl-Artikolu 9(1) tad-Direttiva 2009/110/KE;

(40)

“kontroparti ċentrali” tfisser kontroparti ċentrali kif definita fl-Artikolu 2, il-punt (1), tar-Regolament (UE) Nru 648/2012;

(41)

“repożitorju tat-tranżazzjonijiet” tfisser repożitorju tad-data dwar it-tranżazzjonijiet kif definit fl-Artikolu 2, il-punt (2), tar-Regolament (UE) Nru 648/2012;

(42)

“depożitorju ċentrali tat-titoli” tfisser depożitorju ċentrali tat-titoli kif definit fl-Artikolu 2(1), il-punt (1), tar-Regolament (UE) Nru 909/2014;

(43)

“ċentru ta’ negozjar” tfisser ċentru ta’ negozjar kif definit fl-Artikolu 4(1), il-punt (24), tad-Direttiva 2014/65/UE;

(44)

“maniġer ta’ fondi ta’ investiment alternattivi” tfisser maniġer ta’ fondi ta’ investiment alternattivi kif definit fl-Artikolu 4(1), il-punt (b), tad-Direttiva 2011/61/UE;

(45)

“kumpanija maniġerjali” tfisser kumpanija tal-maniġment kif definita fl-Artikolu 2(1), il-punt (b), tad-Direttiva 2009/65/KE;

(46)

“fornitur ta’ servizzi ta’ rappurtar ta’ data” tfisser fornitur ta’ servizzi ta’ rappurtar ta’ data fit-tifsira tar-Regolament (UE) Nru 600/2014, kif imsemmi fl-Artikolu 2(1), il-punti (34) sa (36) tiegħu;

(47)

“impriża tal-assigurazzjoni” tfisser impriża tal-assigurazzjoni kif definita fl-Artikolu 13, il-punt (1), tad-Direttiva 2009/138/KE;

(48)

“impriża tar-riassigurazzjoni” tfisser impriża tar-riassigurazzjoni kif definita fl-Artikolu 13, il-punt (4), tad-Direttiva 2009/138/KE;

(49)

“intermedjarju tal-assigurazzjoni” tfisser intermedjarju tal-assigurazzjoni kif definit fl-Artikolu 2(1), il-punt (3), tad-Direttiva (UE) 2016/97 tal-Parlament Ewropew u tal-Kunsill (34);

(50)

“intermedjarju tal-assigurazzjoni anċillari” tfisser intermedjarju tal-assigurazzjoni anċillari kif definit fl-Artikolu 2(1), il-punt (4), tad-Direttiva (UE) 2016/97;

(51)

“intermedjarju tar-riassigurazzjoni” tfisser intermedjarju tar-riassigurazzjoni kif definit fl-Artikolu 2(1), il-punt (5), tad-Direttiva (UE) 2016/97;

(52)

“istituzzjoni għall-provvista ta’ rtirar okkupazzjonali” tfisser istituzzjoni għall-provvista ta’ rtirar okkupazzjonali kif definita fl-Artikolu 6, il-punt (1), tad-Direttiva (UE) 2016/2341;

(53)

“istituzzjoni żgħira għall-provvista ta’ rtirar okkupazzjonali” tfisser istituzzjoni għall-provvista ta’ rtirar okkupazzjonali li topera skemi ta’ pensjoni li flimkien għandhom total ta’ inqas minn 100 membru;

(54)

“aġenzija ta’ klassifikazzjoni tal-kreditu” tfisser aġenzija li tiggrada l-kreditu kif definita fl-Artikolu 3(1), il-punt (b), tar-Regolament (KE) Nru 1060/2009;

(55)

“fornitur ta’ servizzi tal-kriptoassi” tfisser fornitur ta’ servizzi ta’ kriptoassi kif definit fid-dispożizzjoni rilevanti tar-Regolament dwar is-swieq fil-kriptoassi;

(56)

“emittent ta’ tokens irreferenzjati ma’ assi” tfisser emittent ta’ tokens irreferenzjati ma’ assi kif definit fid-dispożizzjoni rilevanti tar-Regolament dwar is-swieq fil-kriptoassi;

(57)

“amministratur ta’ parametri referenzjarji ta’ importanza kritika” tfisser amministratur ta’ “parametri referenzjarji ta’ importanza kritika” kif definiti fl-Artikolu 3(1), il-punt (25), tar-Regolament (UE) 2016/1011;

(58)

“fornitur ta’ servizz ta’ finanzjament kollettiv” tfisser fornitur ta’ servizz ta’ finanzjament kollettiv kif definit fl-Artikolu 2(1), il-punt (e), tar-Regolament (UE) 2020/1503 tal-Parlament Ewropew u tal-Kunsill (35);

(59)

“repożitorju tat-titolizzazzjoni” tfisser repożitorju tat-titolizzazzjoni kif definit fl-Artikolu 2, il-punt (23), tar-Regolament (UE) 2017/2402 tal-Parlament Ewropew u tal-Kunsill (36);

(60)

“mikrointrapriża” tfisser entità finanzjarja, għajr ċentru tan-negozjar, kontroparti ċentrali, repożitorju tat-tranżazzjonijiet jew depożitorju ċentrali tat-titoli, li timpjega inqas minn 10 persuni u li għandha fatturat annwali u/jew total tal-karta tal-bilanċ annwali li ma jaqbiżx EUR 2 miljun;

(61)

Sorveljant Ewlieni tfisser l-Awtorità Superviżorja Ewropea maħtura skont l-Artikolu 31(1), il-punt (b), ta’ dan ir-Regolament;

(62)

“Kumitat Konġunt” tfisser il-kumitat imsemmi fl-Artikolu 54 tar-Regolamenti (UE) Nru 1093/2010, (UE) Nru 1094/2010 u (UE) Nru 1095/2010;

(63)

“intrapriża żgħira” tfisser entità finanzjarja li timpjega 10 persuni jew aktar, iżda inqas minn 50 persuna, u li għandha fatturat annwali u/jew total tal-karta tal-bilanċ annwali li jaqbeż EUR 2 miljuni, iżda li ma jaqbiżx EUR 10 miljun;

(64)

“intrapriża ta’ daqs medju” tfisser entità finanzjarja li mhijiex intrapriża żgħira u li timpjega inqas minn 250 persuna u li għandha fatturat annwali li ma jaqbiżx EUR 50 miljun u/jew karta tal-bilanċ annwali li ma taqbiżx EUR 43 miljun;

(65)

“awtorità pubblika” tfisser kwalunkwe gvern jew entità oħra tal-amministrazzjoni pubblika, inkluż il-banek ċentrali nazzjonali.

Artikolu 4

Prinċipju tal-proporzjonalità

1.   L-entitajiet finanzjarji għandhom jimplimentaw ir-regoli stabbiliti fil-Kapitolu II f’konformità mal-prinċipju tal-proporzjonalità, waqt li jqisu d-daqs u l-profil ġenerali tar-riskju tagħhom, u n-natura, l-iskala u l-kumplessità tas-servizzi, l-attivitajiet u l-operazzjonijiet tagħhom.

2.   Barra minn hekk, l-applikazzjoni mill-entitajiet finanzjarji tal-Kapitoli III, IV u V, Taqsima I, għandha tkun proporzjonali għad-daqs u l-profil ġenerali tar-riskju tagħhom, u għan-natura, l-iskala u l-kumplessità tas-servizzi, l-attivitajiet u l-operazzjonijiet tagħhom, kif previst speċifikament fir-regoli rilevanti ta’ dawk il-Kapitoli.

3.   L-awtoritajiet kompetenti għandhom jikkunsidraw l-applikazzjoni tal-prinċipju tal-proporzjonalità mill-entitajiet finanzjarji meta jirrieżaminaw il-konsistenza tal-qafas tal-ġestjoni tar-riskju tal-ICT abbażi tar-rapporti ppreżentati fuq it-talba tal-awtoritajiet kompetenti skont l-Artikolu 6(5) u l-Artikolu 16(2).

KAPITOLU II

Ġestjoni tar-riskju tal-ICT

Taqsima I

Artikolu 5

Governanza u organizzazzjoni

1.   L-entitajiet finanzjarji għandu jkollhom fis-seħħ qafas intern ta’ governanza u kontroll li jiżgura l-ġestjoni effettiva u prudenti tar-riskju tal-ICT, f’konformità mal-Artikolu 6(4), sabiex jinkiseb livell għoli ta’ reżiljenza operazzjonali diġitali.

2.   Il-korp maniġerjali tal-entità finanzjarja għandu jiddefinixxi, japprova, jissorvelja u jkun responsabbli għall-implimentazzjoni tal-arranġamenti kollha relatati mal-qafas ta’ ġestjoni tar-riskju tal-ICT imsemmi fl-Artikolu 6(1).

Għall-finijiet tal-ewwel subparagrafu, il-korp maniġerjali għandu:

(a)

jerfa’ r-responsabbiltà aħħarija għall-ġestjoni tar-riskji tal-ICT tal-entità finanzjarja;

(b)

jistabbilixxi politiki li għandhom l-għan li jiżguraw iż-żamma ta’ standards għolja ta’ disponibbiltà, awtentiċità, integrità u kunfidenzjalità tad-data;

(c)

jistabbilixxi rwoli u responsabbiltajiet ċari għall-funzjonijiet kollha marbuta mal-ICT u jistabbilixxi arranġamenti xierqa ta’ governanza sabiex jiżgura l-komunikazzjoni, il-kooperazzjoni u l-koordinazzjoni effettivi u f’waqthom fost dawk il-funzjonijiet;

(d)

jerfa’ r-responsabbiltà globali għall-istabbiliment u l-approvazzjoni tal-istrateġija ta’ reżiljenza operazzjonali diġitali kif imsemmija fl-Artikolu 6(8), inkluż id-determinazzjoni tal-livell xieraq ta’ tolleranza għar-riskju tal-ICT tal-entità finanzjarja, kif imsemmi fl-Artikolu 6(8), il-punt (b);

(e)

japprova, jissorvelja u jirrieżamina perjodikament l-implimentazzjoni tal-politika ta’ kontinwità ta’ negozju tal-ICT tal-entità finanzjarja u tal-pjanijiet ta’ rispons u ta’ rkupru għall-ICT, imsemmija, rispettivament, fl-Artikolu 11(1) u (3), li jistgħu jiġu adottati bħala politika speċifika ddedikata li tifforma parti integrali mill-politika globali ta’ kontinwità ta’ negozju tal-entità finanzjarja u mill-pjan ta’ rispons u ta’ rkupru;

(f)

japprova u jirrieżamina perjodikament il-pjanijiet tal-entità finanzjarja tal-awditu intern tal-ICT, l-awditi tal-ICT u l-modifiki materjali għalihom;

(g)

jalloka u jirrevedi perjodikament il-baġit xieraq biex jissodisfa l-ħtiġijiet ta’ reżiljenza operazzjonali diġitali tal-entità finanzjarja fir-rigward tat-tipi kollha ta’ riżorsi, inkluż programmi rilevanti ta’ sensibilizzazzjoni dwar is-sigurtà tal-ICT u taħriġ fir-reżiljenza operazzjonali diġitali kif imsemmi fl-Artikolu 13(6), u ħiliet fl-ICT għall-persunal kollu;

(h)

japprova u jirrieżamina perjodikament il-politika tal-entità finanzjarja dwar l-arranġamenti rigward l-użu tas-servizzi tal-ICT ipprovduti minn fornituri terzi ta’ servizzi tal-ICT;

(i)

jistabbilixxi, fil-livell korporattiv, kanali ta’ rapportar li permezz tagħhom jiġi infurmat kif xieraq dwar dan li ġej:

(i)

l-arranġamenti konklużi ma’ fornituri terzi ta’ servizzi tal-ICT dwar l-użu ta’ servizzi tal-ICT,

(ii)

kwalunkwe bidla materjali rilevanti ppjanata fir-rigward tal-fornituri terzi ta’ servizzi tal-ICT,

(iii)

l-impatt potenzjali ta’ tali bidliet fuq il-funzjonijiet kritiċi jew importanti soġġetti għal dawk l-arranġamenti, inkluż sommarju tal-analiżi tar-riskju li tivvaluta l-impatt ta’ dawk il-bidliet, u l-inċidenti marbuta mal-ICT, tal-anqas dawk kbar, u l-impatt tagħhom, kif ukoll il-miżuri ta’ rispons, irkupru u rimedju.

3.   L-entitajiet finanzjarji, għajr il-mikrointrapriżi, għandhom jistabbilixxu rwol sabiex jimmonitorjaw l-arranġamenti konklużi mal-fornituri terzi ta’ servizzi tal-ICT dwar l-użu tas-servizzi tal-ICT, jew għandhom jaħtru membru tal-maniġment superjuri bħala responsabbli għas-sorveljanza tal-esponiment għar-riskju u d-dokumentazzjoni rilevanti marbuta miegħu.

4.   Il-membri tal-korp maniġerjali tal-entità finanzjarja għandhom b’mod attiv ikunu aġġornati b’għarfien u b’ħiliet biżżejjed biex jifhmu u jivvalutaw ir-riskji tal-ICT u l-impatt tiegħu fuq l-operazzjonijiet tal-entità finanzjarja, inkluż billi jsegwu taħriġ speċifiku fuq bażi regolari, proporzjonat għar-riskji tal-ICT li jkunu qed jiġu ġestiti.

Taqsima II

Artikolu 6

Qafas tal-ġestjoni tar-riskju tal-ICT

1.   L-entitajiet finanzjarji għandu jkollhom qafas sod, komprensiv u ddokumentat sewwa għall-ġestjoni tar-riskju tal-ICT bħala parti mis-sistema globali tagħhom għall-ġestjoni tar-riskju, li jippermettilhom jindirizzaw ir-riskju tal-ICT malajr, b’mod effiċjenti u komprensiv, u jiżguraw livell għoli ta’ reżiljenza operazzjonali diġitali.

2.   Il-qafas għall-ġestjoni tar-riskju tal-ICT għandu jinkludi tal-anqas l-istrateġiji, il-politiki, il-proċeduri, il-protokolli tal-ICT u l-għodod li huma meħtieġa biex b’mod debitu u adegwat jiġu protetti l-assi kollha ta’ informazzjoni u l-assi kollha tal-ICT, fosthom is-software tal-kompjuters, il-hardware u s-servers, kif ukoll biex jiġu protetti l-komponenti fiżiċi u l-infrastrutturi rilevanti kollha, bħall-bini, iċ-ċentri tad-data u ż-żoni kklassifikati bħala sensittivi, sabiex jiġi żgurat li l-assi kollha ta’ informazzjoni u l-assi kollha tal-ICT ikunu protetti b’mod adegwat mir-riskji inkluż il-ħsara u l-aċċess jew l-użu mhux awtorizzat.

3.   F’konformità mal-qafas tagħhom għall-ġestjoni tar-riskju tal-ICT, l-entitajiet finanzjarji għandhom jimminimizzaw l-impatt tar-riskju tal-ICT billi jużaw strateġiji, politiki, proċeduri, protokolli tal-ICT u għodod xierqa. Huma għandhom jipprovdu informazzjoni kompleta u aġġornata dwar ir-riskju tal-ICT u dwar il-qafas tal-ġestjoni tar-riskju tal-ICT tagħhom lill-awtoritajiet kompetenti fuq talba tagħhom.

4.   L-entitajiet finanzjarji, għajr il-mikrointrapriżi, għandhom jassenjaw ir-responsabbiltà għall-ġestjoni u s-sorveljanza ta’ riskju tal-ICT lil funzjoni ta’ kontroll u jiżguraw livell xieraq ta’ indipendenza ta’ tali funzjoni ta’ kontroll sabiex jevitaw kunflitti ta’ interess. L-entitajiet finanzjarji għandhom jiżguraw segregazzjoni u indipendenza xierqa tal-funzjonijiet tal-ġestjoni tar-riskju tal-ICT, tal-funzjonijiet ta’ kontroll u tal-funzjonijiet tal-awditjar intern, skont it-tliet linji tal-mudell ta’ difiża, jew mudell intern ta’ kontroll u tal-ġestjoni tar-riskji.

5.   Il-qafas tal-ġestjoni tar-riskju tal-ICT għandu jiġi ddokumentat u rieżaminat mill-inqas darba fis-sena, jew perjodikament fil-każ tal-mikrointrapriżi, kif ukoll mal-okkorrenza ta’ inċidenti kbar relatati mal-ICT, u wara struzzjonijiet superviżorji jew konklużjonijiet derivati mill-ittestjar tar-reżiljenza operazzjonali diġitali jew il-proċessi tal-awditjar rilevanti. Huwa għandu jittejjeb kontinwament abbażi tal-lezzjonijiet meħuda mill-implimentazzjoni u l-monitoraġġ. Rapport dwar ir-rieżami tal-qafas tal-ġestjoni tar-riskju tal-ICT għandu jiġi ppreżentat lill-awtorità kompetenti fuq talba tagħha.

6.   Il-qafas tal-ġestjoni tar-riskju tal-ICT tal-entitajiet finanzjarji, għajr il-mikrointrapriżi, għandu jkun soġġett għal awditu intern minn awdituri fuq bażi regolari skont il-pjan ta’ awditu tal-entitajiet finanzjarji. Dawk l-awdituri għandu jkollhom biżżejjed għarfien, ħiliet u għarfien espert fir-riskju tal-ICT, kif ukoll indipendenza xierqa. Il-frekwenza u l-enfasi tal-awditi tal-ICT għandhom ikunu proporzjonati mar-riskju tal-ICT tal-entità finanzjarja.

7.   Abbażi tal-konklużjonijiet tar-rieżami intern tal-awditu, l-entitajiet finanzjarji għandhom jistabbilixxu proċess formali ta’ segwitu, inkluż regoli għall-verifika u r-rimedju f’waqthom tas-sejbiet kruċjali tal-awditu tal-ICT.

8.   Il-qafas tal-ġestjoni tar-riskju tal-ICT għandu jinkludi strateġija ta’ reżiljenza operazzjonali diġitali li turi kif għandu jiġi implimentat il-qafas. Għal dak l-għan, l-istrateġija ta’ reżiljenza operazzjonali diġitali għandha tinkludi l-metodi biex jiġi indirizzat ir-riskju tal-ICT u biex jintlaħqu l-objettivi speċifiċi tal-ICT, billi:

(a)

tispjega kif il-qafas tal-ġestjoni tar-riskju tal-ICT jappoġġja l-istrateġija u l-objettivi tan-negozju tal-entità finanzjarja;

(b)

tistabbilixxi l-livell ta’ tolleranza tar-riskju għar-riskju tal-ICT, f’konformità mal-predispożizzjoni għar-riskju tal-entità finanzjarja, u tiġi analizzata t-tolleranza tal-impatt għal tfixkil fl-ICT;

(c)

tistabbilixxi l-objettivi ċari għas-sigurtà tal-informazzjoni, inkluż indikaturi ewlenin tal-prestazzjoni u metriċi tar-riskju ewlenin;

(d)

tispjega l-arkitettura ta’ referenza tal-ICT u kwalunkwe bidla meħtieġa biex jintlaħqu objettivi speċifiċi tan-negozju;

(e)

tiddeskrivi l-mekkaniżmi differenti implimentati biex jindividwaw inċidenti relatati mal-ICT, jipprevjenu l-impatt tagħhom u jipprovdu protezzjoni minnu;

(f)

turi l-evidenza għas-sitwazzjoni attwali tar-reżiljenza operazzjonali diġitali abbażi tal-għadd ta’ inċidenti kbar marbuta mal-ICT irrappurtati u l-effikaċja tal-miżuri preventivi;

(g)

timplimenta l-ittestjar tar-reżiljenza operazzjonali diġitali, f’konformità mal-Kapitolu IV ta’ dan ir-Regolament;

(h)

tiddeskrivi strateġija ta’ komunikazzjoni f’każ ta’ inċidenti marbuta mal-ICT li d-divulgazzjoni tagħhom hija meħtieġa f’konformità mal-Artikolu 14.

9.   L-entitajiet finazjarji jistgħu, fil-kuntest tal-istrateġija ta’ reżiljenza operazzjonali diġitali msemmija fil-paragrafu 8, jiddefinixxu strateġija olistika tal-ICT b’diversi bejjiegħa, fil-livell ta’ grupp jew entità, waqt li juru d-dipendenzi ewlenin fuq fornituri terzi ta’ servizzi tal-ICT u jispjegaw ir-raġunament wara l-akkwist imħallat ta’ fornituri terzi ta’ servizzi tal-ICT.

10.   L-entitajiet finanzjarji jistgħu, f’konformità mal-liġi settorjali tal-Unjoni u dik nazzjonali, jesternalizzaw il-kompiti tal-verifika tal-konformità mar-rekwiżiti tal-ġestjoni tar-riskju tal-ICT lil impriżi intragrupp jew esterni. Fil-każ ta’ tali esternalizzazzjoni, l-entità finanzjarja tibqa’ terfa’ r-responsabbiltà aħħarija għall-verifika tal-konformità mar-rekwiżiti tal-ġestjoni tar-riskju tal-ICT.

Artikolu 7

Sistemi, protokolli u għodod tal-ICT

Sabiex jindirizzaw u jimmaniġġaw ir-riskju tal-ICT, l-entitajiet finanzjarji għandhom jużaw u jżommu sistemi, protokolli u għodod tal-ICT aġġornati li huma:

(a)

xierqa għad-daqs tal-operazzjonijiet li jappoġġjawhom fit-twettiq tal-attivitajiet tagħhom, f’konformità mal-prinċipju tal-proporzjonalità kif imsemmi fl-Artikolu 4;

(b)

affidabbli;

(c)

mgħammra b’kapaċità suffiċjenti biex jipproċessaw b’mod preċiż id-data meħtieġa għat-twettiq tal-attivitajiet u l-forniment ta’ servizzi fil-ħin, u biex jittrattaw l-ogħla volumi ta’ ordnijiet, messaġġi jew tranżazzjonijiet, kif meħtieġ, inkluż fil-każ tal-introduzzjoni ta’ teknoloġija ġdida;

(d)

teknoloġikament reżiljenti biex jittrattaw b’mod adegwat il-ħtiġijiet addizzjonali tal-ipproċessar tal-informazzjoni kif meħtieġ f’kundizzjonijiet ta’ stress fis-suq jew f’sitwazzjonijiet ħżiena oħra.

Artikolu 8

Identifikazzjoni

1.   Bħala parti mill-qafas tal-ġestjoni tar-riskju tal-ICT imsemmi fl-Artikolu 6(1), l-entitajiet finanzjarji għandhom jidentifikaw, jikklassifikaw u jiddokumentaw b’mod adegwat il-funzjonijiet tan-negozju kollha appoġġjati mill-ICT, ir-rwoli u r-responsabbiltajiet, l-assi ta’ informazzjoni u l-assi tal-ICT li jappoġġjaw dawk il-funzjonijiet, u r-rwoli u d-dipendenzi tagħhom fir-rigward tar-riskju tal-ICT. L-entitajiet finanzjarji għandhom jirrieżaminaw kif meħtieġ, u mill-inqas darba fis-sena, l-adegwatezza ta’ din il-klassifikazzjoni u ta’ kwalunkwe dokumentazzjoni rilevanti.

2.   L-entitajiet finanzjarji għandhom jidentifikaw, fuq bażi kontinwa, is-sorsi kollha tar-riskju tal-ICT, b’mod partikolari l-esponiment għar-riskju għal u minn entitajiet finanzjarji oħra, u jivvalutaw it-theddid ċibernetiku u l-vulnerabbiltajiet tal-ICT rilevanti għall-funzjonijiet tan-negozju tagħhom appoġġjati mill-ICT, u għall-assi tal-informazzjoni u l-assi tal-ICT. L-entitajiet finanzjarji għandhom jirrieżaminaw fuq bażi regolari, u mill-inqas darba fis-sena, ix-xenarji tar-riskju li jħallu impatt fuqhom.

3.   L-entitajiet finanzjarji, għajr il-mikrointrapriżi, għandhom iwettqu valutazzjoni tar-riskju fuq kull bidla kbira fin-netwerk u fl-infrastruttura tas-sistema ta’ informazzjoni, fil-proċessi jew fil-proċeduri li jaffettwaw il-funzjonijiet tan-negozju tagħhom appoġġjati mill-ICT, l-assi tal-informazzjoni jew l-assi tal-ICT.

4.   L-entitajiet finanzjarji għandhom jidentifikaw l-assi kollha tal-informazzjoni u l-assi kollha tal-ICT, inkluż dawk fuq siti remoti, riżorsi tan-netwerk u t-tagħmir tal-hardware, u għandhom jimmappjaw dawk meqjusa kritiċi. Huma għandhom jimmappjaw il-konfigurazzjoni tal-assi tal-informazzjoni u l-assi tal-ICT u r-rabtiet u l-interdipendenzi bejn l-assi differenti tal-informazzjoni u l-assi tal-ICT.

5.   L-entitajiet finanzjarji għandhom jidentifikaw u jiddokumentaw il-proċessi kollha li jiddependu fuq fornituri terzi ta’ servizzi tal-ICT, u għandhom jidentifikaw l-interkonnessjonijiet ma’ fornituri terzi ta’ servizzi tal-ICT li jipprovdu servizzi li jappoġġjaw funzjonijiet kritiċi jew importanti.

6.   Għall-finijiet tal-paragrafi 1, 4 u 5, l-entitajiet finanzjarji għandhom iżommu inventarji rilevanti u jaġġornawhom perjodikament u kull darba li sseħħ kwalunkwe bidla kbira kif imsemmi fil-paragrafu 3.

7.   L-entitajiet finanzjarji, għajr il-mikrointrapriżi, għandhom fuq bażi regolari, u mill-inqas darba fis-sena, iwettqu valutazzjoni tar-riskju tal-ICT speċifika fuq is-sistemi tal-ICT miruta kollha u, fi kwalunkwe każ qabel u wara ma t-teknoloġiji, l-applikazzjonijiet jew is-sistemi jiġu konnessi.

Artikolu 9

Protezzjoni u prevenzjoni

1.   Għall-finijiet ta’ protezzjoni adegwata tas-sistemi tal-ICT u bl-għan li jiġu organizzati miżuri ta’ rispons, l-entitajiet finanzjarji għandhom jimmonitorjaw u jikkontrollaw kontinwament is-sigurtà u l-funzjonament tas-sistemi u tal-għodod tal-ICT u għandhom jimminimizzaw l-impatt tar-riskju tal-ICT fuq is-sistemi tal-ICT bl-użu ta’ għodod, politiki u proċeduri xierqa tas-sigurtà tal-ICT.

2.   L-entitajiet finanzjarji għandhom ifasslu, jakkwistaw u jimplimentaw politiki, proċeduri, protokolli u għodod tas-sigurtà tal-ICT li għandhom l-għan li jiżguraw ir-reżiljenza, il-kontinwità u d-disponibbiltà tas-sistemi tal-ICT, b’mod partikolari għal dawk li jappoġġjaw funzjonijiet kritiċi jew importanti, u li jżommu standards għolja ta’ disponibbiltà, awtentiċità, integrità u kunfidenzjalità tad-data, kemm jekk tkun wieqfa, użata jew fi tranżitu.

3.   Sabiex jintlaħqu l-objettivi msemmija fil-paragrafu 2, l-entitajiet finanzjarji għandhom jużaw soluzzjonijiet u proċessi tal-ICT li huma xierqa f’konformità mal-Artikolu 4. Dawk is-soluzzjonijiet u l-proċessi tal-ICT għandhom:

(a)

jiżguraw is-sigurtà tal-mezzi tat-trasferiment tad-data;

(b)

jimminimizzaw ir-riskju ta’ korruzzjoni jew telf ta’ data, ta’ aċċess mhux awtorizzat u ta’ difetti tekniċi li jistgħu jfixklu l-attività tan-negozju;

(c)

jipprevjenu n-nuqqas ta’ disponibbiltà, it-tnaqqis fl-awtentiċità u fl-integrità, il-ksur ta’ kunfidenzjalità u t-telf ta’ data;

(d)

jiżguraw li d-data tkun protetta minn riskji li jirriżultaw mill-ġestjoni tad-data, fosthom l-amministrazzjoni ħażina, riskji relatati mal-ipproċessar u żbalji umani.

4.   Bħala parti mill-qafas tal-ġestjoni tar-riskju tal-ICT imsemmi fl-Artikolu 6(1), l-entitajiet finanzjarji għandhom:

(a)

jiżviluppaw u jiddokumentaw politika tas-sigurtà tal-informazzjoni li tiddefinixxi r-regoli għall-protezzjoni tad-disponibbiltà, l-awtentiċità, l-integrità u l-kunfidenzjalità tad-data, l-assi tal-informazzjoni u l-assi tal-ICT, inkluż dawk tal-klijenti tagħhom, fejn applikabbli;

(b)

waqt li jsegwu approċċ ibbażat fuq ir-riskju, jistabbilixxu struttura għaqlija għall-ġestjoni tan-netwerk u tal-infrastruttura bl-użu ta’ tekniki, metodi u protokolli xierqa li jistgħu jinkludu l-implimentazzjoni ta’ mekkaniżmi awtomatizzati biex jiżolaw l-assi tal-informazzjoni fil-każ li jintlaqtu minn ċiberattakki;

(c)

jimplimentaw politiki li jillimitaw l-aċċess fiżiku jew loġiku għall-assi tal-informazzjoni u għall-assi tal-ICT għal dak li huwa meħtieġ għall-funzjonijiet u l-attivitajiet leġittimi u approvati biss, u għal dak il-għan jistabbilixxu sett ta’ politiki, proċeduri u kontrolli li jindirizzaw id-drittijiet tal-aċċess u jiżguraw l-amministrazzjoni għaqlija tagħhom;

(d)

jimplimentaw politiki u protokolli għal mekkaniżmi ta’ awtentikazzjoni b’saħħithom, ibbażati fuq standards rilevanti u sistemi ta’ kontroll dedikati, u miżuri ta’ protezzjoni ta’ ċwievet kriptografiċi li bihom id-data tiġi kriptata abbażi tar-riżultati ta’ proċessi approvati ta’ klassifikazzjoni tad-data u ta’ valutazzjoni tar-riskju tal-ICT;

(e)

jimplimentaw politiki, proċeduri u kontrolli dokumentati għall-ġestjoni tal-bidliet fl-ICT, inkluż bidliet fis-software, fil-hardware, fil-komponenti tal-firmware, parametri ta’ sistemi jew sigurtà, li jkunu bbażati fuq approċċ ta’ valutazzjoni tar-riskju u li huma parti integrali mill-proċess globali ta’ ġestjoni tat-tibdil tal-entità finanzjarja, sabiex jiżguraw li l-bidliet kollha fis-sistemi tal-ICT jiġu rreġistrati, ittestjati, ivvalutati, approvati, implimentati u vverifikati b’mod ikkontrollat;

(f)

ikollhom politiki dokumentati xierqa u komprensivi għal software korrettiv u ta’ aġġornament.

Għall-finijiet tal-ewwel subparagrafu, il-punt (b), l-entitajiet finanzjarji għandhom ifasslu l-infrastruttura tal-konnessjoni tan-netwerk b’tali mod li din tkun tista’ tinqata’ b’mod istantanju jew tiġi segmentata sabiex jimminimizzaw u jipprevjenu l-kontaġju, speċjalment tal-proċessi finanzjarji interkonnessi.

Għall-finijiet tal- ewwel subparagrafu, il-punt (e), il-proċess ta’ ġestjoni tat-tibdil fl-ICT għandu jiġi approvat mil-livelli xierqa tal-maniġment u għandu jkollu protokolli speċifiċi stabbiliti.

Artikolu 10

Individwazzjoni

1.   L-entitajiet finanzjarji għandu jkollhom fis-seħħ mekkaniżmi biex jindividwaw fil-pront attivitajiet anomali, skont l-Artikolu 17, inkluż kwistjonijiet ta’ prestazzjoni tan-netwerk tal-ICT u inċidenti relatati mal-ICT, u biex jidentifikaw il-punti uniċi materjali potenzjali ta’ falliment.

Il-mekkaniżmi ta’ individwazzjoni kollha msemmija fl-ewwel subparagrafu għandhom jiġu ttestjati regolarment f’konformità mal-Artikolu 25.

2.   Il-mekkaniżmi ta’ individwazzjoni msemmija fil-paragrafu 1 għandhom jippermettu diversi saffi ta’ kontroll, jiddefinixxu l-limiti ta’ twissija u l-kriterji għall-iskattar u għall-bidu tal-proċessi ta’ rispons għal inċidenti relatati mal-ICT, inkluż mekkaniżmi ta’ twissija awtomatiċi għall-persunal rilevanti responsabbli mir-rispons għal inċidenti relatati mal-ICT.

3.   L-entitajiet finanzjarji għandhom jiddedikaw riżorsi u kapaċitajiet suffiċjenti biex jimmonitorjaw l-attività tal-utenti, l-okkorrenza ta’ anomaliji tal-ICT u inċidenti relatati mal-ICT, b’mod partikolari ċ-ċiberattakki.

4.   Barra minn hekk, fornituri ta’ servizzi ta’ rappurtar ta’ data, għandu jkollhom fis-seħħ sistemi li jistgħu jivverifikaw b’mod effettiv ir-rapporti kummerċjali għall-kompletezza, jidentifikaw omissjonijiet u żbalji ovvji, u jitolbu ritrażmissjoni ta’ dawk ir-rapporti.

Artikolu 11

Rispons u rkupru

1.   Bħala parti mill-qafas tal-ġestjoni tar-riskju tal-ICT imsemmi fl-Artikolu 6(1) u abbażi tar-rekwiżiti ta’ identifikazzjoni li jinsabu fl-Artikolu 8, l-entitajiet finanzjarji għandhom jistabbilixxu politika komprensiva tal-kontinwità tal-operat tal-ICT, li tista’ tiġi adottata bħala politika speċifika dedikata, li tifforma parti integrali mill-politika globali tal-kontinwità tal-operat tal-entità finanzjarja.

2.   L-entitajiet finanzjarji għandhom jimplimentaw il-politika tal-kontinwità tal-operat tal-ICT permezz ta’ arranġamenti, pjanijiet, proċeduri u mekkaniżmi ddedikati, xierqa u ddokumentati bil-għan li:

(a)

jiżguraw il-kontinwità tal-funzjonijiet kritiċi jew importanti tal-entità finanzjarja;

(b)

jirrispondu malajr, b’mod xieraq u effettiv għall-inċidenti kollha relatati mal-ICT, u jirriżolvuhom, b’mod li jillimita l-ħsara u jagħti prijorità lit-tkomplija tal-attivitajiet u tal-azzjonijiet ta’ rkupru;

(c)

jattivaw, mingħajr dewmien, pjanijiet iddedikati li jippermettu miżuri ta’ trażżin, proċessi u teknoloġiji adatti għal kull tip ta’ inċident relatat mal-ICT u jipprevjenu aktar ħsara, kif ukoll proċeduri ta’ rispons u rkupru mfassla apposta stabbiliti f’konformità mal-Artikolu 12;

(d)

jagħtu stima preliminari tal-impatti, il-ħsarat u t-telf;

(e)

jistipulaw azzjonijiet ta’ komunikazzjoni u ta’ ġestjoni ta’ kriżijiet li jiżguraw li l-informazzjoni aġġornata tintbagħat lill-persunal intern u lill-partijiet ikkonċernati esterni rilevanti kollha f’konformità mal-Artikolu 14, u jirrapportaw lill-awtoritajiet kompetenti f’konformità mal-Artikolu 19.

3.   Bħala parti mill-qafas ta’ ġestjoni tar-riskju tal-ICT imsemmi fl-Artikolu 6(1), l-entitajiet finanzjarji għandhom jimplimentaw pjanijiet ta’ rispons u rkupru għall-ICT assoċjati, li fil-każ ta’ entitajiet finanzjarji għajr il-mikrointrapriżi, għandhom ikunu soġġetti għal rieżamijiet ta’ awditjar intern.

4.   L-entitajiet finanzjarji għandhom jistabbilixxu, iżommu u jittestjaw perjodikament il-pjanijiet xierqa tal-kontinwità tal-operat tal-ICT, b’mod partikolari fir-rigward ta’ funzjonijiet kritiċi jew importanti esternalizzati jew ikkuntrattati permezz ta’ arranġamenti ma’ fornituri terzi ta’ servizzi tal-ICT.

5.   Bħala parti mill-politika ġenerali tal-kontinwità tal-operat, l-entitajiet finanzjarji għandhom iwettqu valutazzjoni tal-impatt fuq in-negozju (BIA) tal-esponiment tagħhom għal tqallib serju fl-operat. Skont il-BIA, l-entitajiet finanzjarji għandhom jivvalutaw l-impatt potenzjali ta’ tqallib serju fl-operat permezz ta’ kriterji kwantitattivi u kwalitattivi, bl-użu ta’ data interna u esterna u analiżi tax-xenarji, kif xieraq. Il-BIA għandha tikkunsidra l-kritikalità tal-funzjonijiet tan-negozju identifikati u mmappjati, il-proċessi ta’ appoġġ, id-dipendenzi ta’ partijiet terzi u l-assi tal-informazzjoni, u l-interdipendenzi tagħhom. L-entitajiet finanzjarji għandhom jiżguraw li l-assi tal-ICT u s-servizzi tal-ICT jitfasslu u jintużaw f’allinjament sħiħ mal-BIA, b’mod partikolari sabiex jiżguraw kif xieraq ir-ridondanza tal-komponenti kritiċi kollha.

6.   Bħala parti mill-ġestjoni komprensiva tar-riskju tal-ICT tagħhom, l-entitajiet finanzjarji għandhom:

(a)

jittestjaw il-pjanijiet ta’ kontinwità tal-operat tal-ICT u l-pjanijiet ta’ rispons u rkupru għall-ICT fir-rigward tas-sistemi tal-ICT li jappoġġjaw il-funzjonijiet kollha mill-anqas darba f’sena, kif ukoll fil-każ ta’ kwalunkwe bidla sostantiva fis-sistemi tal-ICT li jappoġġjaw funzjonijiet kritiċi jew importanti;

(b)

jittestjaw il-pjanijiet ta’ komunikazzjoni tal-kriżijiet stabbiliti f’konformità mal-Artikolu 14.

Għall-finijiet tal-ewwel subparagrafu, il-punt (a), l-entitajiet finanzjarji, għajr il-mikrointrapriżi, għandhom jinkludu fil-pjanijiet tal-ittestjar xenarji ta’ ċiberattakki u l-qlib minn infrastruttura primarja tal-ICT għall-oħra u l-kapaċità żejda, il-backups u l-faċilitajiet żejda meħtieġa biex jiġu ssodisfati l-obbligi stabbiliti fl-Artikolu 12.

L-entitajiet finanzjarji għandhom jirrevedu regolarment il-politika tagħhom tal-kontinwità tal-operat tal-ICT u l-pjanijiet tagħhom ta’ rispons u rkupru għall-ICT, filwaqt li jqisu r-riżultati tat-testijiet imwettqa f’konformità mal-ewwel subparagrafu u mar-rakkomandazzjonijiet li jirriżultaw minn kontrolli tal-awditjar jew rieżamijiet superviżorji.

7.   L-entitajiet finanzjarji, għajr il-mikrointrapriżi, għandu jkollhom funzjoni ta’ ġestjoni tal-kriżijiet, li, f’każ ta’ attivazzjoni tal-pjanijiet tagħhom ta’ kontinwità tal-operat tal-ICT jew tal-pjanijiet tagħhom ta’ rispons u rkupru għall-ICT, għandha, fost oħrajn, tistabbilixxi proċeduri ċari għall-ġestjoni tal-komunikazzjonijiet interni u esterni għall-kriżijiet f’konformità mal-Artikolu 14.

8.   L-entitajiet finanzjarji għandhom iżommu rekords aċċessibbli fil-pront tal-attivitajiet qabel u waqt każijiet ta’ tfixkil meta jiġu attivati l-pjanijiet tagħhom ta’ kontinwità tal-operat tal-ICT u l-pjanijiet tagħhom ta’ rispons u ta’ rkupru għall-ICT.

9.   Id-depożitorji ċentrali tat-titoli għandhom jipprovdu lill-awtoritajiet kompetenti bil-kopji tar-riżultati tat-testijiet tal-kontinwità tal-operat tal-ICT, jew ta’ eżerċizzji simili.

10.   L-entitajiet finanzjarji, għajr il-mikrointrapriżi, għandhom jirrapportaw lill-awtoritajiet kompetenti, fuq talba tagħhom, stima annwali aggregata tal-kostijiet u tat-telf ikkawżati minn inċidenti kbar relatati mal-ICT.

11.   F’konformità mal-Artikolu 16 tar-Regolamenti (UE) Nru 1093/2010, (UE) Nru 1094/2010 u (UE) Nru 1095/2010, l-ASE, permezz tal-Kumitat Konġunt, għandhom, sas-17 ta’ Lulju 2024 jiżviluppaw linji gwida komuni dwar l-istima tal-kostijiet u tat-telf annwali msemmija fil-paragrafu 10.

Artikolu 12

Politiki u proċeduri ta’ backup, proċeduri u metodi ta’ restawr u rkupru

1.   Sabiex jiġi żgurat ir-restawr tas-sistemi tal-ICT u tad-data bl-iqsar perjodu ta’ qtugħ, tfixkil u telf limitati, bħala parti mill-qafas tagħhom ta’ ġestjoni tar-riskju tal-ICT, l-entitajiet finanzjarji għandhom jiżviluppaw u jiddokumentaw:

(a)

politiki u proċeduri ta’ backup li jispeċifikaw l-ambitu tad-data li tkun soġġetta għall-backup u l-frekwenza minima tal-backup, abbażi tal-kritikalità tal-informazzjoni jew il-livell ta’ kunfidenzjalità tad-data;

(b)

proċeduri u metodi ta’ restawr u rkupru.

2.   L-entitajiet finanzjarji għandhom jistabbilixxu sistemi ta’ backup li jistgħu jiġu attivati skont il-politiki u l-proċeduri ta’ backup, kif ukoll il-proċeduri u l-metodi ta’ restawr u rkupru. L-attivazzjoni tas-sistemi ta’ backup ma għandhiex tipperikola s-sigurtà tan-netwerk u tas-sistemi tal-informazzjoni jew id-disponibbiltà, l-awtentiċità, l-inegrità jew il-kunfidenzjalità tad-data. L-ittestjar tal-proċeduri ta’ backup u tal-proċeduri ta’ restawr u rkupru għandhom jitwettqu perjodikament.

3.   Meta jirrestawraw id-data ta’ backup bl-użu tas-sistemi proprji, l-entitajiet finanzjarji għandhom jużaw sistemi tal-ICT li jkunu fiżikament u loġikament segregati mis-sistema tal-ICT tas-sors. Is-sistemi tal-ICT għandhom ikunu protetti b’mod sigur minn kwalunkwe aċċess mhux awtorizzat jew korruzzjoni tal-ICT u jippermettu r-restawr f’waqtu tas-servizzi li jużaw id-data u l-backups tas-sistema kif meħtieġ.

Għall-kontropartijiet ċentrali, il-pjanijiet ta’ rkupru għandhom jippermettu l-irkupru tat-tranżazzjonijiet kollha li kienu qed isiru meta seħħet l-tfixkil sabiex jippermettu lill-kontroparti ċentrali tkompli topera b’ċertezza u tlesti s-saldu fid-data skedata.

Il-fornituri ta’ servizzi ta’ rappurtar ta’ data għandhom barra minn hekk iżommu riżorsi adegwati u jkollhom fis-seħħ faċilitajiet ta’ backup u restawr sabiex joffru u jżommu s-servizzi tagħhom f’kull ħin.

4.   L-entitajiet finanzjarji, għajr il-mikrointrapriżi, għandhom iżommu kapaċitajiet tal-ICT żejda mgħammra b’riżorsi, kapaċitajiet u funzjonijiet li huma adegwati biex jiżguraw il-ħtiġijiet tan-negozju. Il-mikrointrapriżi għandhom jivvalutaw il-ħtieġa li jżommu tali kapaċitajiet żejda tal-ICT abbażi tal-profil tar-riskju tagħhom.

5.   Id-depożitorji ċentrali tat-titoli għandhom iżommu mill-inqas sit wieħed tal-ipproċessar sekondarju mogħni b’riżorsi, kapaċitajiet, funzjonijiet u arranġamenti ta’ persunal adegwati biex jiżguraw il-ħtiġijiet tal-operat.

Is-sit tal-ipproċessar sekondarju għandu jkun:

(a)

jinsab f’distanza ġeografika mis-sit tal-ipproċessar primarju biex jiġi żgurat li jkollu profil ta’ riskju distint u biex ikun evitat li jiġi affettwat mill-event li affettwa s-sit primarju;

(b)

kapaċi jiżgura l-kontinwità tal-funzjonijiet kritiċi jew importanti b’mod identiku għas-sit primarju, jew jipprovdi l-livell ta’ servizzi meħtieġa biex ikun żgurat li l-entità finanzjarja twettaq l-operazzjonijiet kritiċi tagħha skont l-objettivi tal-irkupru;

(c)

aċċessibbli immedjatament għall-persunal tal-entità finanzjarja biex tiġi żgurata l-kontinwità tal-funzjonijiet kritiċi jew importanti f’każ li s-sit tal-ipproċessar primarju ma jibqax disponibbli.

6.   Għad-determinazzjoni tal-ħin ta’ rkupru u tal-għanijiet tal-punt ta’ rkupru għal kull funzjoni, l-entitajiet finanzjarji għandhom iqisu jekk hijiex funzjoni kritika jew importanti u l-impatt kumplessiv potenzjali fuq l-effiċjenza tas-suq. Tali objettivi tal-ħin għandhom jiżguraw li, f’xenarji estremi, jintlaħqu l-livelli ta’ servizz miftiehma.

7.   Waqt l-irkupru minn inċident relatat mal-ICT, l-entitajiet finanzjarji għandhom iwettqu l-kontrolli meħtieġa, inkluż kwalunkwe kontroll multiplu u rikonċiljazzjonijiet, sabiex jiżguraw li jinżamm l-ogħla livell tal-integrità tad-data. Dawn il-kontrolli għandhom isiru wkoll meta ssir ir-rikostruzzjoni tad-data minn partijiet interessati esterni, sabiex jiġi żgurat li d-data kollha tkun konsistenti bejn is-sistemi.

Artikolu 13

Tagħlim u evoluzzjoni

1.   L-entitajiet finanzjarji għandu jkollhom fis-seħħ kapaċitajiet u persunal biex jiġbru informazzjoni dwar il-vulnerabbiltajiet u t-theddid ċibernetiku, l-inċidenti relatati mal-ICT, b’mod partikolari ċ-ċiberattakki, u janalizzaw l-impatti probabbli tagħhom fuq ir-reżiljenza operazzjonali diġitali tagħhom.

2.   L-entitajiet finanzjarji għandhom jistabbilixxu rieżamijiet għal wara li inċident kbir relatat mal-ICT jfixkel l-attivitajiet ewlenin tagħhom, billi janalizzaw il-kawżi tat-tfixkil u jidentifikaw it-titjib meħtieġ fl-operazzjonijiet tal-ICT jew fil-politika tal-kontinwità tal-operat tal-ICT imsemmija fl-Artikolu 11.

L-entitajiet finanzjarji, għajr il-mikrointrapriżi, għandhom, fuq talba, jikkomunikaw lill-awtoritajiet kompetenti l-bidliet li ġew implimentati wara li jkunu saru r-rieżamijiet ta’ wara inċident relatat mal-ICT kif imsemmi fl-ewwel subparagrafu.

Ir-rieżamijiet li jsiru wara l-inċidenti relatati mal-ICT imsemmija fl-ewwel subparagrafu għandhom jiddeterminaw jekk il-proċeduri stabbiliti ġewx segwiti u jekk l-azzjonijiet meħuda kinux effettivi, inkluż rigward dan li ġej:

(a)

il-prontezza fir-rispons għall-allerti tas-sigurtà u d-determinazzjoni tal-impatt tal-inċidenti relatati mal-ICT u s-severità tagħhom;

(b)

il-kwalità u l-ħeffa tat-twettiq ta’ analiżi forensika, fejn tqieset xierqa;

(c)

l-effettività tal-eskalazzjoni tal-inċidenti fl-entità finanzjarja;

(d)

l-effettività tal-komunikazzjoni interna u esterna.

3.   It-tagħlimiet meħuda mill-ittestjar tar-reżiljenza operazzjonali diġitali mwettaq f’konformità mal-Artikoli 26 u 27 u minn inċidenti relatati mal-ICT fil-ħajja reali, b’mod partikolari ċiberattakki, flimkien mal-isfidi li jfiġġu mal-attivazzjoni tal-pjanijiet tal-kontinwità tal-operat tal-ICT jew tal-pjanijiet ta’ rispons u rkupru għall-ICT, flimkien mal-informazzjoni rilevanti skambjata mal-kontropartijiet u vvalutata fir-rieżamijiet superviżorji, għandhom jiġu inkorporati kif xieraq fuq bażi kontinwa fil-proċess tal-valutazzjoni tar-riskju tal-ICT. Dawk is-sejbiet għandhom jifformaw il-bażi għal rieżamijiet xierqa tal-komponenti rilevanti tal-qafas tal-ġestjoni tar-riskju tal-ICT imsemmi fl-Artikolu 6(1).

4.   L-entitajiet finanzjarji għandhom jimmonitorjaw l-effettività tal-implimentazzjoni tal-istrateġija ta’ reżiljenza operazzjonali diġitali tagħhom li tinsab fl-Artikolu 6(8). Huma għandhom jidentifikaw l-evoluzzjoni tar-riskju tal-ICT matul iż-żmien, janalizzaw il-frekwenza, it-tipi, id-daqs u l-evoluzzjoni tal-inċidenti relatati mal-ICT, b’mod partikolari ċ-ċiberattakki u x-xejriet tagħhom, bil-ħsieb li jifhmu l-livell ta’ esponiment għar-riskju tal-ICT, b’mod partikolari fir-rigward ta’ funzjonijiet kritiċi jew importanti, u jtejbu l-maturità ċibernetika u l-istat ta’ tħejjija tal-entità finanzjarja.

5.   Il-persunal għoli tal-ICT għandu jirrapporta mill-inqas darba fis-sena lill-korp maniġerjali dwar is-sejbiet imsemmija fil-paragrafu 3 u jressaq rakkomandazzjonijiet.

6.   L-entitajiet finanzjarji għandhom jiżviluppaw programmi ta’ sensibilizzazzjoni dwar is-sigurtà tal-ICT u sessjonijiet ta’ taħriġ fir-reżiljenza operazzjonali diġitali bħala moduli obbligatorji fl-iskemi tat-taħriġ tal-persunal tagħhom. Dawk il-programmi u sessjonijiet ta’ taħriġ għandhom ikunu applikabbli għall-impjegati kollha u għall-persunal tal-maniġment superjuri, u għandu jkollhom livell ta’ kumplessità proporzjonat għall-mandat tal-funzjonijiet tagħhom. Fejn xieraq, l-entitajiet finanzjarji għandhom jinkludu wkoll fornituri terzi ta’ servizzi tal-ICT fl-iskemi ta’ taħriġ rilevanti tagħhom f’konformità mal-Artikolu 30(2), il-punt (i).

7.   L-entitajiet finanzjarji, għajr il-mikrointrapriżi, għandhom jimmonitorjaw l-iżviluppi teknoloġiċi rilevanti fuq bażi kontinwa, anki bil-ħsieb li jifhmu l-impatt possibbli tal-użu ta’ tali teknoloġiji ġodda fuq ir-rekwiżiti tas-sigurtà tal-ICT u fuq ir-reżiljenza operazzjonali diġitali. Huma għandhom iżommu ruħhom aġġornati dwar l-aħħar proċessi tal-ġestjoni tar-riskju tal-ICT, sabiex jiġġieldu b’mod effettiv kontra l-forom attwali jew ġodda ta’ ċiberattakki.

Artikolu 14

Komunikazzjoni

1.   Bħala parti mill-qafas ta’ ġestjoni tar-riskju tal-ICT imsemmi fl-Artikolu 6(1), l-entitajiet finanzjarji għandu jkollhom fis-seħħ pjanijiet ta’ komunikazzjoni tal-kriżijiet li jippermettu divulgazzjoni responsabbli ta’ inċidenti jew vulnerabbiltajiet relatati mal-ICT, tal-anqas dawk kbar, mal-klijenti u mal-kontropartijiet, kif ukoll mal-pubbliku, kif xieraq.

2.   Bħala parti mill-qafas ta’ ġestjoni tar-riskju tal-ICT, l-entitajiet finanzjarji għandhom jimplimentaw politiki ta’ komunikazzjoni għall-persunal intern u għall-partijiet ikkonċernati esterni. Il-politiki ta’ komunikazzjoni għall-persunal għandhom iqisu l-ħtieġa li ssir distinzjoni bejn il-persunal involut fil-ġestjoni tar-riskju tal-ICT, b’mod partikolari l-persunal responsabbli għar-rispons u l-irkupru, u l-persunal li jeħtieġ li jiġi informat.

3.   Mill-inqas persuna waħda fl-entità finanzjarja għandha tingħata l-kompitu li timplimenta l-istrateġija ta’ komunikazzjoni għal inċidenti relatati mal-ICT u taqdi l-funzjoni pubblika u għall-media għal dak l-iskop.

Artikolu 15

Aktar armonizzazzjoni tal-għodod, metodi, proċessi u politiki tal-ġestjoni tar-riskju tal-ICT

L-ASE għandhom, permezz tal-Kumitat Konġunt, f’konsultazzjoni mal-Aġenzija tal-Unjoni Ewropea għaċ-Ċibersigurtà (ENISA), jiżviluppaw abbozzi ta’ standards tekniċi regolatorji komuni sabiex:

(a)

jispeċifikaw aktar elementi li jridu jiġu inklużi fil-politiki, fil-proċeduri, fil-protokolli u fl-għodod tas-sigurtà tal-ICT imsemmija fl-Artikolu 9(2), bil-ħsieb li jiżguraw is-sigurtà tan-netwerks, jippermettu salvagwardji adegwati kontra l-intrużjonijiet u l-użu ħażin tad-data, jippreservaw id-disponibbiltà, l-awtentiċità, l-integrità u l-kunfidenzjalità tad-data, inkluż tekniki kriptografiċi, u jiggarantixxu trażmissjoni preċiża u fil-pront tad-data mingħajr tfixkil u dewmien żejjed;

(b)

jiżviluppaw aktar komponenti tal-kontrolli tad-drittijiet ta’ ġestjoni tal-aċċess imsemmija fl-Artikolu 9(4), il-punt (c), u l-politika assoċjata tar-riżorsi umani li tispeċifika d-drittijiet tal-aċċess, il-proċeduri għall-għoti u r-revoka tad-drittijiet, il-monitoraġġ tal-imġiba anomala b’rabta mar-riskji tal-ICT permezz ta’ indikaturi xierqa, inkluż għax-xejriet tal-użu, għas-sigħat, għall-attività tal-IT u għall-apparat mhux magħruf tan-netwerk;

(c)

jiżviluppaw aktar il-mekkaniżmi speċifikati fl-Artikolu 10(1) li jippermettu l-individwazzjoni fil-pront ta’ attivitajiet anomali u l-kriterji stabbiliti fl-Artikolu 10(2) li jwasslu għall-proċessi ta’ individwazzjoni u rispons tal-inċidenti relatati mal-ICT;

(d)

jispeċifikaw aktar il-komponenti tal-politika tal-kontinwità tal-operat tal-ICT imsemmija fl-Artikolu 11(1);

(e)

jispeċifikaw aktar l-ittestjar tal-pjanijiet ta’ kontinwità tal-operat tal-ICT imsemmija fl-Artikolu 11(6) biex jiżguraw li ttestjar bħal dan iqis kif xieraq xenarji fejn il-kwalità tal-forniment ta’ funzjoni kritika jew importanti tiddeterjora għal livell inaċċettabbli jew tfalli, u jqisu kif xieraq l-impatt potenzjali tal-insolvenza, jew fallimenti oħra, ta’ kwalunkwe fornitur terz rilevanti ta’ servizzi tal-ICT u, fejn rilevanti, ir-riskji politiċi fil-ġuriżdizzjonijiet tal-fornituri rispettivi;

(f)

jispeċifikaw aktar il-komponenti tal-pjanijiet ta’ rispons u ta’ rkupru għall-ICT imsemmija fl-Artikolu 11(3);

(g)

jispeċifikaw aktar il-kontenut u l-format tar-rapport annwali dwar ir-rieżami tal-qafas tal-ġestjoni tar-riskju tal-ICT imsemmi fl-Artikolu 6(5);

Meta jiżviluppaw dawk l-abbozzi ta’ standards tekniċi regolatorji, l-ASE għandhom iqisu d-daqs u l-profil ġenerali tar-riskju tal-entità finanzjarja, u n-natura, l-iskala u l-kumplessità tas-servizzi, tal-attivitajiet u tal-operazzjonijiet tagħha, filwaqt li jqisu kif xieraq kwalunkwe karatteristika speċifika li tkun ir-riżultat tan-natura distinta tal-attivitajiet fost is-setturi differenti tas-servizzi finanzjarji.

L-ASE għandhom jippreżentaw dawk l-abbozzi ta’ standards tekniċi regolatorji lill-Kummissjoni sas-17 ta’ Jannar 2024.

Il-Kummissjoni tingħata s-setgħa li tissupplimenta dan ir-Regolament billi tadotta l-istandards tekniċi regolatorji msemmija fl-ewwel paragrafu f’konformità mal-Artikoli minn 10 sa 14 tar-Regolamenti (UE) Nru 1093/2010, (UE) Nru 1094/2010 u (UE) Nru 1095/2010.

Artikolu 16

Qafas simplifikat tal-ġestjoni tar-riskju tal-ICT

1.   L-Artikoli 5 sa 15 ta’ dan ir-Regolament ma għandhomx japplikaw għal ditti tal-investiment żgħar u mhux interkonnessi, istituzzjonijiet ta’ pagament eżentati skont id-Direttiva (UE) 2015/2366; istituzzjonijiet eżentati skont id-Direttiva 2013/36/UE li fir-rigward tagħhom l-Istati Membri ddeċidew li ma japplikawx l-opzjoni msemmija fl-Artikolu 2(4) ta’ dan ir-Regolament; istituzzjonijiet tal-flus elettroniċi eżentati skont id-Direttiva 2009/110/KE; u istituzzjonijiet żgħar għall-provvista ta’ rtirar okkupazzjonali.

Mingħajr preġudizzju għall-ewwel subparagrafu, l-entitajiet elenkati fl-ewwel subparagrafu għandhom:

(a)

jistabbilixxu u jżommu qafas għall-ġestjoni tar-riskju tal-ICT li jkun sod u ddokumentat li jiddeskrivi fid-dettall il-mekkaniżmi u l-miżuri mmirati lejn ġestjoni rapida, effiċjenti u komprensiva tar-riskju tal-ICT, inkluż għall-protezzjoni ta’ komponenti u infrastrutturi fiżiċi rilevanti;

(b)

jimmonitorjaw b’mod kontinwu s-sigurtà u l-funzjonament tas-sistemi kollha tal-ICT;

(c)

jimminimizzaw l-impatt tar-riskju tal-ICT billi jużaw sistemi, protokolli u għodod tal-ICT li jkunu sodi, reżiljenti u aġġornati u li jkunu xierqa biex jappoġġjaw it-twettiq tal-attivitajiet tagħhom u l-forniment tas-servizzi u jipproteġu b’mod adegwat id-disponibbiltà, l-awtentiċità, l-integrità u l-kunfidenzjalità tad-data fin-netwerk u fis-sistemi tal-informazzjoni;

(d)

jippermettu li s-sorsi ta’ riskju tal-ICT u anomaliji fin-netwerk u fis-sistemi tal-informazzjoni jiġu identifikati u individwati fil-pront u li l-inċidenti relatati mal-ICT jiġu mmaniġġati malajr;

(e)

jidentifikaw dipendenzi ewlenin fuq fornituri terzi ta’ servizzi tal-ICT;

(f)

jiżguraw il-kontinwità ta’ funzjonijiet kritiċi jew importanti, permezz ta’ pjanijiet ta’ kontinwità tal-operat u miżuri ta’ rispons u ta’ rkupru, li jinkludu, mill-inqas, miżuri ta’ backup u restawr;

(g)

jittestjaw, fuq bażi regolari, il-pjanijiet u l-miżuri msemmija fil-punt (f), kif ukoll l-effettività tal-kontrolli implimentati f’konformità mal-punti (a) u (c);

(h)

jimplimentaw, kif xieraq, konklużjonijiet operazzjonali rilevanti li jirriżultaw mit-testijiet imsemmija fil-punt (g) u mill-analiżi ta’ wara l-inċident fil-proċess ta’ valutazzjoni tar-riskju tal-ICT u jiżviluppaw, skont il-ħtiġijiet u l-profil tar-riskju tal-ICT, programmi ta’ sensibilizzazzjoni dwar is-sigurtà tal-ICT u taħriġ dwar ir-reżiljenza operazzjonali diġitali għall-persunal u għall-maniġment.

2.   Il-qafas tal-ġestjoni tar-riskju tal-ICT imsemmi fil-paragrafu 1, it-tieni subparagrafu, il-punt (a), għandu jiġi ddokumentat u rieżaminat perjodikament u malli jseħħu inċidenti kbar relatati mal-ICT, f’konformità mal-istruzzjonijiet superviżorji. Huwa għandu jittejjeb kontinwament abbażi tal-lezzjonijiet meħuda mill-implimentazzjoni u l-monitoraġġ. Rapport dwar ir-rieżami tal-qafas tal-ġestjoni tar-riskju tal-ICT għandu jiġi ppreżentat lill-awtorità kompetenti fuq talba tagħha.

3.   L-ASE għandhom, permezz tal-Kumitat Konġunt, f’konsultazzjoni mal-ENISA, jiżviluppaw abbozzi ta’ standards tekniċi regolatorji komuni sabiex:

(a)

jispeċifikaw aktar l-elementi li għandhom jiġu inklużi fil-qafas tal-ġestjoni tar-riskju tal-ICT imsemmi fil-paragrafu 1, it-tieni subparagrafu, il-punt (a);

(b)

jispeċifikaw aktar l-elementi fir-rigward tas-sistemi, il-protokolli u l-għodod biex jimminimizzaw l-impatt tar-riskju tal-ICT imsemmi fil-paragrafu 1, it-tieni subparagrafu, il-punt (c), bil-ħsieb li jiżguraw is-sigurtà tan-netwerks, jabilitaw salvagwardji adegwati kontra l-intrużjonijiet u l-użu ħażin tad-data u jippreservaw id-disponibbiltà, l-awtentiċità, l-integrità u l-kunfidenzjalità tad-data;

(c)

jispeċifikaw aktar il-komponenti tal-pjanijiet tal-kontinwità tal-operat tal-ICT imsemmija fil-paragrafu 1, it-tieni subparagrafu, il-punt (f);

(d)

jispeċifikaw aktar ir-regoli dwar l-ittestjar tal-pjanijiet tal-kontinwità tal-operat u jiżguraw l-effettività tal-kontrolli msemmija fil-paragrafu 1, it-tieni subparagrafu, il-punt (g) u jiżguraw li tali ttestjar iqis debitament ix-xenarji li fihom il-kwalità tal-forniment ta’ funzjoni kritika jew importanti tiddeterjora għal livell mhux aċċettabbli jew tfalli;

(e)

jispeċifikaw aktar il-kontenut u l-format tar-rapport dwar ir-rieżami tal-qafas tal-ġestjoni tar-riskju tal-ICT imsemmi fil-paragrafu 2.

Meta jiżviluppaw dawk l-abbozzi ta’ standards tekniċi regolatorji, l-ASE għandhom iqisu d-daqs u l-profil ġenerali tar-riskju tal-entità finanzjarja, u n-natura, l-iskala u l-kumplessità tas-servizzi, l-attivitajiet u l-operazzjonijiet tagħha.

L-ASE għandhom jippreżentaw dawk l-abbozzi ta’ standards tekniċi regolatorji lill-Kummissjoni sas-17 ta’ Jannar 2024.

Il-Kummissjoni tingħata s-setgħa li tissupplimenta dan ir-Regolament billi tadotta l-istandards tekniċi regolatorji msemmija fl-ewwel subparagrafu f’konformità mal-Artikoli minn 10 sa 14 tar-Regolamenti (UE) Nru 1093/2010, (UE) Nru 1094/2010 u (UE) Nru 1095/2010.

KAPITOLU III

Ġestjoni, klassifikazzjoni u rappurtar ta’ inċidenti relatati mal-ICT

Artikolu 17

Proċess ta’ ġestjoni tal-inċidenti relatat mal-ICT

1.   L-entitajiet finanzjarji għandhom jiddefinixxu, jistabbilixxu u jimplimentaw proċess ta’ ġestjoni ta’ inċidenti relatati mal-ICT biex jindividwaw, jimmaniġġjaw u jinnotifikaw inċidenti relatati mal-ICT.

2.   L-entitajiet finanzjarji għandhom jirreġistraw l-inċidenti kollha relatati mal-ICT u t-theddid ċibernetiku sinifikanti. L-entitajiet finanzjarji għandhom jistabbilixxu proċeduri u proċessi xierqa biex jiżguraw monitoraġġ, maniġġar u segwitu konsistenti u integrati tal-inċidenti relatati mal-ICT, biex jiżguraw li l-kawżi ewlenin jiġu identifikati, iddokumentati u indirizzati sabiex jipprevjenu tali inċidenti.

3.   Il-proċess ta’ ġestjoni tal-inċidenti relatati mal-ICT imsemmi fil-paragrafu 1 għandu:

(a)

jistabbilixxi indikaturi ta’ twissija bikrija;

(b)

jistabbilixxi proċeduri biex jidentifikaw, jittraċċaw, jirreġistraw, jikkategorizzaw u jikklassifikaw inċidenti relatati mal-ICT skont il-prijorità tagħhom u s-severità u skont il-kritikalità tas-servizzi milquta, f’konformità mal-kriterji stabbiliti fl-Artikolu 18(1);

(c)

jassenja rwoli u responsabbiltajiet li jeħtieġ li jiġu attivati għal tipi u xenarji differenti ta’ inċidenti relatati mal-ICT;

(d)

jistabbilixxi pjanijiet għall-komunikazzjoni mal-persunal, mal-partijiet ikkonċernati esterni u mal-media f’konformità mal-Artikolu 14, u għan-notifika lill-klijenti, għall-proċeduri interni ta’ eskalazzjoni, inkluż ilmenti tal-klijenti relatati mal-ICT, kif ukoll għall-għoti ta’ informazzjoni lill-entitajiet finanzjarji li jaġixxu bħala kontropartijiet, kif xieraq;

(e)

jiżgura li mill-inqas l-inċidenti l-kbar relatati mal-ICT jiġu rrappurtati lill-maniġment superjuri rilevanti u li l-korp maniġerjali jiġi infurmat dwar inċidenti relatati mal-ICT, mill-inqas dawk kbar, filwaqt li jispjega l-impatt, ir-rispons u l-kontrolli addizzjonali li għandhom jiġu stabbiliti bħala riżultat ta’ inċidenti bħal dawn relatati mal-ICT;

(f)

jistabbilixxi proċeduri ta’ rispons għal inċidenti relatati mal-ICT biex jittaffu l-impatti u jiżgura li s-servizzi jsiru operazzjonali u siguri fil-waqt.

Artikolu 18

Klassifikazzjoni ta’ inċidenti relatati mal-ICT u theddid ċibernetiku

1.   L-entitajiet finanzjarji għandhom jikklassifikaw l-inċidenti relatati mal-ICT u għandhom jiddeterminaw l-impatt tagħhom abbażi tal-kriterji li ġejjin:

(a)

l-għadd u/jew ir-rilevanza tal-klijenti jew tal-kontropartijiet finanzjarji u, fejn applikabbli, l-ammont jew l-għadd ta’ tranżazzjonijiet affettwati mill-inċident relatat mal-ICT, u jekk l-inċident relatat mal-ICT ikkawżax impatt fuq ir-reputazzjoni;

(b)

iż-żmien kemm dam l-inċident relatat mal-ICT, inkluż kemm dam maqtugħ is-servizz;

(c)

il-firxa ġeografika fir-rigward taż-żoni affettwati mill-inċident relatat mal-ICT, partikularment jekk taffettwa aktar minn żewġ Stati Membri;

(d)

it-telf tad-data li jġib miegħu l-inċident relatat mal-ICT, fir-rigward tad-disponibbiltà, l-awtentiċità, l-integrità jew il-kunfidenzjalità tad-data;

(e)

il-kritikalità tas-servizzi affettwati, inklużi t-tranżazzjonijiet u l-operazzjonijiet tal-entità finanzjarja;

(f)

l-impatt ekonomiku, b’mod partikulari l-kostijiet u t-telf diretti u indiretti, tal-inċident relatat mal-ICT kemm f’termini assoluti kif ukoll relattivi.

2.   L-entitajiet finanzjarji għandhom jikklassifikaw it-theddid ċibernetiku bħala sinifikanti abbażi tal-kritikalità tas-servizzi f’riskju, inkluż it-tranżazzjonijiet u l-operazzjonijiet tal-entità finanzjarja, l-għadd u/jew ir-rilevanza tal-klijenti jew tal-kontropartijiet finanzjarji fil-mira u l-firxa ġeografika taż-żoni f’riskju.

3.   L-ASE għandhom, permezz tal-Kumitat Konġunt u b’konsultazzjoni mal-BĊE u l-ENISA, jiżviluppaw abbozzi ta’ standards tekniċi regolatorji komuni li jispeċifikaw aktar dan li ġej:

(a)

il-kriterji li jinsabu fil-paragrafu 1, inkluż il-limiti ta’ materjalità għad-determinazzjoni ta’ inċidenti kbar relatati mal-ICT jew, jekk applikabbli, inċidenti kbar operazzjonali jew tas-sigurtà relatati ma’ pagamenti, li huma soġġetti għall-obbligu ta’ rapportar stabbilit fl-Artikolu 19(1);

(b)

il-kriterji li għandhom jiġu applikati mill-awtoritajiet kompetenti għall-finijiet tal-valutazzjoni tar-rilevanza ta’ inċidenti kbar relatati mal-ICT jew, kif xieraq, ta’ inċidenti kbar operazzjonali jew tas-sigurtà relatati ma’ pagamenti, għall-awtoritajiet kompetenti fi Stati Membri oħra, u d-dettalji tar-rapporti ta’ inċidenti kbar relatati mal-ICT jew, kif applikabbli, inċidenti kbar operazzjonali jew tas-sigurtà relatati ma’ pagamenti, li għandhom jiġu kondiviżi ma’ awtoritajiet kompetenti oħra skont l-Artikolu 19(6) u (7).

(c)

il-kriterji li jinsabu fil-paragrafu 2 ta’ dan l-Artikolu, inkluż livelli limitu għolja ta’ materjalità għad-determinazzjoni ta’ theddid ċibernetiku sinifikanti.

4.   Meta jiżviluppaw l-abbozzi ta’ standards tekniċi regolatorji komuni msemmija fil-paragrafu 3 ta’ dan l-Artikolu, l-ASE għandhom iqisu l-kriterji stabbiliti fl-Artikolu 4(2), kif ukoll l-istandards, il-gwida u l-ispeċifikazzjonijiet internazzjonali żviluppati u ppubblikati mill-ENISA, inkluż, fejn xieraq, l-ispeċifikazzjonijiet għal setturi ekonomiċi oħra. Għall-finijiet tal-applikazzjoni tal-kriterji stabbiliti fl-Artikolu 4(2), l-ASE għandhom iqisu kif xieraq il-ħtieġa li l-mikrointrapriżi u l-intrapriżi żgħar u ta’ daqs medju jimmobilizzaw biżżejjed riżorsi u kapaċitajiet biex jiżguraw li l-inċidenti relatati mal-ICT jiġu ġestiti malajr.

L-ASE għandhom jippreżentaw dawk l-abbozzi ta’ standards tekniċi regolatorji komuni lill-Kummissjoni sas-17 ta’ Jannar 2024.

Il-Kummissjoni tingħata s-setgħa li tissupplimenta dan ir-Regolament billi tadotta l-istandards tekniċi regolatorji msemmija fil-paragrafu 3 f’konformità mal-Artikoli minn 10 sa 14 tar-Regolamenti (UE) Nru 1093/2010, (UE) Nru 1094/2010 u (UE) Nru 1095/2010.

Artikolu 19

Ir-Rappurtar ta’ inċidenti kbar relatati mal-ICT u n-notifika volontarja ta’ theddid ċibernetiku sinifikanti

1.   L-entitajiet finanzjarji għandhom jirrapportaw inċidenti kbar relatati mal-ICT lill-awtorità kompetenti rilevanti kif imsemmi fl-Artikolu 46 f’konformità mal-paragrafu 4 ta’ dan l-Artikolu.

Meta entità finanzjarja tkun soġġetta għal superviżjoni minn aktar minn awtorità kompetenti nazzjonali waħda msemmija fl-Artikolu 46, l-Istati Membri għandhom jiddeżinjaw awtorità kompetenti waħda bħala l-awtorità kompetenti rilevanti responsabbli biex twettaq il-funzjonijiet u d-dmirijiet previsti f’dan l-Artikolu.

L-istituzzjonijiet ta’ kreditu kklassifikati bħala sinifikanti, skont l-Artikolu 6(4) tar-Regolament (UE) Nru 1024/2013, għandhom jirrapportaw inċidenti kbar relatati mal-ICT lill-awtorità kompetenti nazzjonali rilevanti ddeżinjata skont l-Artikolu 4 tad-Direttiva 2013/36/UE, li għandha tibgħat immedjatament dak ir-rapport lill-BĊE.

Għall-fini tal-ewwel subparagrafu, l-entitajiet finanzjarji għandhom jipproduċu, wara li jiġbru u janalizzaw l-informazzjoni rilevanti kollha, in-notifika u r-rapporti inizjali msemmija fil-paragrafu 4 ta’ dan l-Artikolu fuq il-mudelli msemmija fl-Artikolu 20 u jippreżentawhom lill-awtorità kompetenti. F’każ li jkun teknikament impossibbli li tintbagħat in-notifika inizjali fuq il-mudell, l-entitajiet finanzjarji għandhom jinnotifikaw lill-awtoritajiet kompetenti dwarha b’mezzi oħra.

In-notifika u r-rapporti inizjali msemmija fil-paragrafu 4 għandhom jinkludi l-informazzjoni kollha meħtieġa sabiex l-awtorità kompetenti tkun tista’ tiddetermina s-sinifikat tal-inċident kbir relatat mal-ICT u tivvaluta l-impatti transfruntiera possibbli.

Mingħajr preġudizzju għar-rappurtar skont l-ewwel subparagrafu mill-entità finanzjarja lill-awtorità kompetenti rilevanti, l-Istati Membri jistgħu, barra minn dan, jiddeterminaw li xi entitajiet finanzjarji, jew kollha, għandhom ukoll jipprovdu n-notifika inizjali u kull rapport imsemmi fil-paragrafu 4 ta’ dan l-Artikolu fuq il-mudelli msemmija fl-Artikolu 20 lill-awtoritajiet kompetenti jew lill-Iskwadri ta’ Rispons għal Inċidenti relatati mas-Sigurtà tal-Kompjuters (CSIRTs) iddeżinjati jew stabbiliti f’konformità mad-Direttiva (UE) 2022/2555.

2.   L-entitajiet finanzjarji jistgħu, fuq bażi volontarja, jinnotifikaw theddidiet ċibernetiċi sinifikanti lill-awtorità kompetenti rilevanti meta jqisu li t-theddida tkun ta’ rilevanza għas-sistema finanzjarja, għall-utenti tas-servizzi jew għall-klijenti. L-awtorità kompetenti rilevanti tista’ tipprovdi tali informazzjoni lil awtoritajiet rilevanti oħra msemmija fil-paragrafu 6.

L-istituzzjonijiet ta’ kreditu kklassifikati bħala sinifikanti, skont l-Artikolu 6(4) tar-Regolament (UE) Nru 1024/2013, jistgħu, fuq bażi volontarja, jinnotifikaw theddid ċibernetiku sinifikanti lill-awtorità kompetenti nazzjonali rilevanti, iddeżinjata skont l-Artikolu 4 tad-Direttiva 2013/36/UE, li għandha tibgħat immedjatament dak ir-rapport lill-BĊE.

L-Istati Membri jistgħu jiddeterminaw li dawk l-entitajiet finanzjarji li, f’konformità mal-ewwel subparagrafu, jinnotifikaw fuq bażi volontarja, jistgħu jibagħtu wkoll dik in-notifika lis-CSIRTs iddeżinjati jew stabbiliti f’konformità mad-Direttiva (UE) 2022/2555.

3.   Meta jseħħ inċident kbir relatat mal-ICT u dan ikollu impatt fuq l-interessi finanzjarji tal-klijenti, l-entitajiet finanzjarji għandhom, mingħajr dewmien żejjed malli jindunaw bih, jinformaw lill-klijenti tagħhom dwar l-inċident kbir relatat mal-ICT u dwar il-miżuri li jkunu ttieħdu biex itaffu l-effetti negattivi ta’ inċident bħal dak.

Fil-każ ta’ theddida ċibernetika sinifikanti, l-entitajiet finanzjarji għandhom, fejn applikabbli, jinformaw lill-klijenti tagħhom li potenzjalment ġew affettwati dwar kwalunkwe miżura ta’ protezzjoni xierqa li jistgħu jikkunsidraw li jieħdu bħala klijenti.

4.   L-entitajiet finanzjarji għandhom, fil-limiti ta’ żmien li jiġu stabbiliti f’konformità mal-Artikolu 20, l-ewwel paragrafu, il-punt (a), il-punt (ii), jippreżentaw dan li ġej lill-awtorità kompetenti rilevanti:

(a)

notifika inizjali;

(b)

rapport intermedju wara n-notifika inizjali msemmija fil-punt (a), hekk kif l-istatus tal-inċident oriġinali jkun inbidel b’mod sinifikanti jew it-trattament tal-inċident kbir relatat mal-ICT ikun inbidel abbażi tal-informazzjoni ġdida disponibbli, segwit, kif xieraq, minn notifiki aġġornati kull darba li jkun disponibbli aġġornament rilevanti tal-istatus, kif ukoll fuq talba speċifika tal-awtorità kompetenti;

(c)

rapport finali, meta l-analiżi tal-kawża ewlenija tkun tlestiet, irrispettivament minn jekk il-miżuri ta’ mitigazzjoni jkunux diġà ġew implimentati, u meta ċ-ċifri tal-impatt attwali jkunu disponibbli biex jissostitwixxu l-estimi.

5.   L-entitajiet finanzjarji jistgħu jesternalizzaw, skont il-liġi settorjali tal-Unjoni u dik nazzjonali, l-obbligi ta’ rappurtar skont dan l-Artikolu lil fornitur terz ta’ servizz. Fil-każ ta’ esternalizzazzjoni bħal din, l-entità finanzjarja tibqa’ terfa’ r-responsabbiltà sħiħa li tissodisfa r-rekwiżiti dwar ir-rappurtar tal-inċident.

6.   Mal-wasla tan-notifika inizjali u ta’ kull rapport imsemmi fil-paragrafu 4, l-awtorità kompetenti għandha, fi żmien xieraq, tagħti d-dettalji dwar l-inċident kbir relatat mal-ICT lir-riċevituri li ġejjin, abbażi, kif inhu applikabbli, tal-kompetenzi rispettivi tagħhom:

(a)

l-EBA, l-ESMA jew l-EIOPA;

(b)

il-BĊE, fil-każ ta’ entitajiet finanzjarji msemmija fl-Artikolu 2(1), il-punti (a), (b) u (c);

(c)

l-awtoritajiet kompetenti, il-punti uniċi ta’ kuntatt jew CSIRTs iddeżinjati jew stabbiliti, rispettivament, f’konformità mad-Direttiva (UE) 2022/2555;

(d)

l-awtoritajiet ta’ riżoluzzjoni, kif imsemmija fl-Artikolu 3 tad-Direttiva 2014/59/UE, u l-Bord Uniku ta’ Riżoluzzjoni fir-rigward tal-entitajiet imsemmija fl-Artikolu 7(2) tar-Regolament (UE) Nru 806/2014 tal-Parlament Ewropew u tal-Kunsill (37), u fir-rigward tal-entitajiet u l-gruppi msemmija fl-Artikolu 7(4)(b) u (5) tar-Regolament (UE) Nru 806/2014 jekk tali dettalji jikkonċernaw inċidenti li joħolqu riskju għall-iżgurar ta’ funzjonijiet kritiċi skont it-tifsira tal-Artikolu 2(1), il-punt (35), tad-Direttiva 2014/59/UE; u

(e)

awtoritajiet pubbliċi rilevanti oħra skont il-liġi nazzjonali.

7.   Wara l-wasla tal-informazzjoni f’konformità mal-paragrafu 6, l-EBA, l-ESMA jew l-EIOPA u l-BĊE, f’konsultazzjoni mal-ENISA u f’kooperazzjoni mal-awtorità nazzjonali kompetenti, għandhom jivvalutaw jekk l-inċident kbir relatat mal-ICT huwiex rilevanti għall-awtoritajiet kompetenti fi Stati Membri oħra. Wara dik il-valutazzjoni, l-EBA, l-ESMA jew l-EIOPA għandhom, mill-aktar fis possibbli, jinnotifikaw lill-awtoritajiet kompetenti rilevanti fi Stati Membri oħra kif xieraq. Il-BĊE għandu jinnotifika lill-membri tas-Sistema Ewropea ta’ Banek Ċentrali dwar kwistjonijiet rilevanti għas-sistema ta’ pagament. Abbażi ta’ dik in-notifika, l-awtoritajiet kompetenti għandhom, fejn xieraq, jieħdu l-miżuri kollha meħtieġa biex jipproteġu l-istabbiltà immedjata tas-sistema finanzjarja.

(8)   In-notifika li għandha ssir mill-ESMA skont il-paragrafu 7 ta’ dan l-Artikolu għandha tkun mingħajr preġudizzju għar-responsabbiltà tal-awtorità kompetenti li tibgħat b’mod urġenti d-dettalji tal-inċident kbir relatat mal-ICT lill-awtorità rilevanti fl-Istat Membru ospitanti, fejn depożitorju ċentrali tat-titoli jkollu attività transfruntiera sinifikanti fl-Istat Membru ospitanti, l-inċident kbir relatat mal-ICT x’aktarx li jkollu konsegwenzi serji għas-swieq finanzjarji tal-Istat Membru ospitanti u fejn ikun hemm arranġamenti ta’ kooperazzjoni bejn l-awtoritajiet kompetenti relatati mas-superviżjoni tal-entitajiet finanzjarji.

Artikolu 20

Armonizzazzjoni tal-kontenut u tal-mudelli tar-rapporti

L-ASE, permezz tal-Kumitat Konġunt u b’konsultazzjoni mal-ENISA u mal-BĊE, għandhom jiżviluppaw:

(a)

abbozzi ta’ standards tekniċi regolatorji komuni sabiex:

(i)

jistabbilixxu l-kontenut tar-rapporti għal inċidenti kbar relatati mal-ICT sabiex jirrifletti l-kriterji stabbiliti fl-Artikolu 18(1) u jinkorpora aktar elementi, bħal dettalji biex tiġi stabbilita r-rilevanza tar-rappurtar għal Stati Membri oħra u jekk jikkostitwix inċident kbir operazzjonali jew tas-sigurtà relatat ma’ pagamenti;

(ii)

jiddeterminaw il-limiti ta’ żmien għan-notifika inizjali u għal kull rapport imsemmi fl-Artikolu 19(4);

(iii)

jistabbilixxu l-kontenut tan-notifika għal theddid ċibernetiku sinifikanti.

Meta jiżviluppaw dawk l-abbozzi ta’ standards tekniċi regolatorji, l-ASE għandhom iqisu d-daqs u l-profil ġenerali tar-riskju tal-entità finanzjarja, u n-natura, l-iskala u l-kumplessità tas-servizzi, l-attivitajiet u l-operazzjonijiet tagħha, u b’mod partikolari bil-ħsieb li jiġi żgurat li, għall-finijiet ta’ dan il-paragrafu, il-punt (a), il-punt (ii), limiti ta’ żmien differenti jistgħu jirriflettu, kif xieraq, l-ispeċifiċitajiet tas-setturi finanzjarji, mingħajr preġudizzju għaż-żamma ta’ approċċ konsistenti għar-rapportar ta’ inċidenti relatati mal-ICT f’konformità ma’ dan ir-Regolament u mad-Direttiva (UE) 2022/2555. L-ASE għandhom, kif applikabbli, jipprovdu ġustifikazzjoni meta jiddevjaw mill-approċċi meħuda fil-kuntest ta’ dik id-Direttiva.

(b)

abbozzi ta’ standards tekniċi ta’ implimentazzjoni komuni sabiex jistabbilixxu l-formoli, il-mudelli u l-proċeduri standard għall-entitajiet finanzjarji biex jirrapportaw inċident kbir relatat mal-ICT u biex jinnotifikaw theddid ċibernetiku sinifikanti.

L-ASE għandhom jippreżentaw l-abbozzi ta’ standards tekniċi regolatorji komuni msemmija fl-ewwel paragrafu, il-punt (a), u l-abbozzi ta’ standards tekniċi ta’ implimentazzjoni komuni msemmija fl-ewwel paragrafu, il-punt (b), lill-Kummissjoni sas-17 ta’ Lulju 2024.

Is-setgħa hija delegata lill-Kummissjoni biex tissupplimenta dan ir-Regolament billi tadotta l-istandards tekniċi regolatorji komuni msemmija fl-ewwel paragrafu, il-punt (a), f’konformità mal-Artikoli minn 10 sa 14 tar-Regolamenti (UE) Nru 1093/2010, (UE) Nru 1094/2010 u (UE) Nru 1095/2010.

Il-Kummissjoni tingħata s-setgħa li tadotta l-istandards tekniċi ta’ implimentazzjoni komuni msemmija fl-ewwel paragrafu, il-punt (b), f’konformità mal-Artikolu 15 tar-Regolamenti (UE) Nru 1093/2010, (UE) Nru 1094/2010 u (UE) Nru 1095/2010.

Artikolu 21

Ċentralizzazzjoni tar-rapportar ta’ inċidenti kbar relatati mal-ICT

1.   L-ASE, permezz tal-Kumitat Konġunt u f’konsultazzjoni mal-BĊE u mal-ENISA, għandhom iħejju rapport konġunt li jivvaluta l-fattibbiltà ta’ ċentralizzazzjoni ulterjuri tar-rapportar tal-inċidenti permezz tal-istabbiliment ta’ Ċentru uniku tal-UE għar-rapportar ta’ inċidenti kbar relatati mal-ICT minn entitajiet finanzjarji. Ir-rapport konġunt għandu jesplora modi kif jiġi ffaċilitat il-fluss tar-rapportar tal-inċidenti relatati mal-ICT, jitnaqqsu l-kostijiet assoċjati u jiġu sostnuti l-analiżijiet tematiċi bl-għan li tittejjeb il-konverġenza superviżorja.

2.   Ir-rapport konġunt imsemmi fil-paragrafu 1 għandu jinkludi mill-inqas l-elementi li ġejjin:

(a)

il-prerekwiżiti għall-istabbiliment ta’ Ċentru uniku tal-UE;

(b)

il-benefiċċji, il-limitazzjonijiet u r-riskji, inkluż ir-riskji assoċjati mal-konċentrazzjoni għolja ta’ informazzjoni sensittiva;

(c)

il-kapaċità neċessarja biex tiġi żgurata l-interoperabbiltà fir-rigward ta’ skemi ta’ rapportar rilevanti oħra;

(d)

l-elementi tal-immaniġġjar operazzjonali;

(e)

il-kundizzjonijiet tas-sħubija;

(f)

l-arranġamenti tekniċi għall-entitajiet finanzjarji u għall-awtoritajiet nazzjonali kompetenti biex jaċċessaw iċ-Ċentru uniku tal-UE;

(g)

valutazzjoni preliminari tal-kostijiet finanzjarji mġarrb bit-twaqqif tal-pjattaforma operazzjonali li tappoġġja ċ-Ċentru uniku tal-UE, inkluż l-għarfien espert meħtieġ.

3.   L-ASE għandhom jippreżentaw ir-rapport imsemmi fil-paragrafu 1 lill-Parlament Ewropew, lill-Kunsill u lill-Kummissjoni sas-17 ta’ Jannar 2025.

Artikolu 22

Reazzjoni superviżorja

1.   Mingħajr preġudizzju għall-kontribut, pariri jew rimedji tekniċi u segwitu sussegwenti li jista’ jingħata, fejn applikabbli, f’konformità mal-liġi nazzjonali, mis-CSIRTs skont id-Direttiva (UE) 2022/2555, l-awtorità kompetenti għandha, mal-wasla tan-notifika inizjali u ta’ kull rapport kif imsemmi fl-Artikolu 19(4), tikkonferma li waslulha u tista’, fejn fattibbli, fi żmien raġonevoli tipprovdi reazzjoni jew gwida ta’ livell għoli, rilevanti u proporzjonata lill-entità finanzjarja, b’mod partikolari biex kwalunkwe informazzjoni anonimizzata u intelligence rilevanti dwar theddid simili ssir disponibbli, tiddiskuti r-rimedji applikati fil-livell tal-entità finanzjarja, u tista’ tiddiskuti l-modi biex jiġi minimizzat u mitigat l-impatt negattiv mas-settur finanzjarju kollu. Mingħajr preġudizzju għar-reazzjoni superviżorja li tingħata, l-entitajiet finanzjarji għandhom jibqgħu kompletament responsabbli għall-ġestjoni u għall-konsegwenzi tal-inċidenti relatati mal-ICT irrappurtati skont l-Artikolu 19(1).

2.   L-AS, permezz tal-Kumitat Konġunt, u fuq bażi anonimizzata u aggregata, għandhom kull sena jirrapportaw inċidenti kbar relatati mal-ICT, li d-dettalji tagħhom għandhom jingħataw mill-awtorità kompetenti f’konformità mal-Artikolu 19(6), u jipprovdu mill-anqas l-għadd ta’ inċidenti kbar relatati mal-ICT, in-natura u l-impatt tagħhom fuq l-operazzjonijiet tal-entitajiet finanzjarji jew fuq il-klijenti, l-azzjonijiet ta’ rimedju meħuda u l-kostijiet imġarrba.

L-ASE għandhom joħorġu twissijiet u jipproduċu statistika ta’ livell għoli biex jappoġġjaw il-valutazzjonijiet tat-theddid u tal-vulnerabbiltà tal-ICT.

Artikolu 23

Inċidenti operazzjonali jew ta’ sigurtà relatati mal-pagamenti li jikkonċernaw istituzzjonijiet ta’ kreditu, istituzzjonijiet ta’ pagament, fornituri ta’ servizzi ta’ informazzjoni dwar il-kontijiet, u istituzzjonijiet ta’ flus elettroniċi

Ir-rekwiżiti stabbiliti f’dan il-Kapitolu għandhom japplikaw ukoll għall-inċidenti operazzjonali jew tas-sigurtà relatati mal-pagamenti u għall-inċidenti kbar operazzjonali jew tas-sigurtà relatati mal-pagamenti, meta dawn jikkonċernaw istituzzjonijiet ta’ kreditu, istituzzjonijiet ta’ pagament, fornituri ta’ servizzi ta’ informazzjoni dwar il-kontijiet, u istituzzjonijiet ta’ flus elettroniċi.

KAPITOLU IV

L-ittestjar tar-reżiljenza operazzjonali diġitali

Artikolu 24

Rekwiżiti ġenerali għat-twettiq tal-ittestjar tar-reżiljenza operazzjonali diġitali

1.   Għall-fini tal-valutazzjoni tal-istat ta’ tħejjija għall-ġestjoni ta’ inċidenti relatati mal-ICT, tal-identifikazzjoni ta’ dgħufijiet, nuqqasijiet u lakuni fir-reżiljenza operazzjonali diġitali u tal-implimentazzjoni fil-pront ta’ miżuri korrettivi, l-entitajiet finanzjarji, għajr il-mikrointrapriżi, għandhom, b’kont meħud tal-kriterji stabbiliti fl-Artikolu 4(2), jistabbilixxu, iżommu u jirrieżaminaw programm tajjeb u komprensiv ta’ ttestjar tar-reżiljenza operazzjonali diġitali bħala parti integrali mill-qafas tal-ġestjoni tar-riskju tal-ICT imsemmi fl-Artikolu 6.

2.   Il-programm tal-ittestjar tar-reżiljenza operazzjonali diġitali għandu jinkludi firxa ta’ valutazzjonijiet, testijiet, metodoloġiji, prattiki u għodod li għandhom jiġu applikati f’konformità mal-Artikoli 25 u 26.

3.   Meta jwettqu l-programm tal-ittestjar tar-reżiljenza operazzjonali diġitali msemmi fil-paragrafu 1 ta’ dan l-Artikolu, l-entitajiet finanzjarji, għajr il-mikrointrapriżi, għandhom isegwu approċċ ibbażat fuq ir-riskju filwaqt li jqisu l-kriterji stabbiliti fl-Artikolu 4(2) b’kont dovut tax-xenarju li qed jevolvi tar-riskju tal-ICT, kwalunkwe riskju speċifiku li għalih l-entità finanzjarja kkonċernata hija jew tista’ tkun esposta, il-kritikalità tal-assi tal-informazzjoni u tas-servizzi pprovduti, kif ukoll kwalunkwe fattur ieħor li l-entità finanzjarja tqis xieraq.

4.   L-entitajiet finanzjarji, għajr il-mikrointrapriżi, għandhom jiżguraw li t-testijiet jitwettqu minn partijiet indipendenti, kemm jekk ikunu interni kif ukoll jekk ikunu esterni. Meta t-testijiet jitwettqu internament, l-entitajiet finanzjarji għandhom jiddedikaw biżżejjed riżorsi u jiżguraw li l-kunflitti ta’ interess għal dawk li jittestjaw jiġu evitati matul il-fażijiet kollha tat-tfassil u tal-eżekuzzjoni tat-test.

5.   L-entitajiet finanzjarji, għajr il-mikrointrapriżi, għandhom jistabbilixxu proċeduri u politiki biex jipprijoritizzaw, jikklassifikaw u jirrimedjaw il-kwistjonijiet kollha skoperti matul it-twettiq tat-testijiet u għandhom jistabbilixxu metodoloġiji ta’ validazzjoni interna biex jaċċertaw li d-dgħufijiet, in-nuqqasijiet jew il-lakuni kollha identifikati jiġu indirizzati bis-sħiħ.

6.   L-entitajiet finanzjarji, għajr il-mikrointrapriżi, għandhom jiżguraw, mill-inqas darba fis-sena, li jitwettqu testijiet xierqa fuq is-sistemi u l-applikazzjonijiet kollha tal-ICT li jappoġġjaw funzjonijiet kritiċi jew importanti.

Artikolu 25

L-ittestjar ta’ għodod u sistemi tal-ICT

1.   Il-programm tal-ittestjar tar-reżiljenza operazzjonali diġitali msemmi fl-Artikolu 24 għandu, f’konformità mal-kriterji stabbiliti fl-Artikolu 4(2), jipprevedi t-twettiq ta’ testijiet xierqa, bħall-valutazzjonijiet u skrutinju tal-vulnerabbiltà, analiżijiet ta’ sorsi miftuħa, valutazzjonijiet tas-sigurtà tan-netwerk, analiżijiet tal-lakuni, rieżamijiet tas-sigurtà fiżika, kwestjonarji u soluzzjonijiet ta’ software ta’ skrutinju, rieżamijiet tal-kodiċi tas-sors fejn fattibbli, testijiet ibbażati fuq xenarji, ittestjar tal-kompatibbiltà, ittestjar tal-prestazzjoni, ittestjar minn tarf sa tarf jew ittestjar tal-penetrazzjoni.

2.   Id-depożitorji ċentrali tat-titoli u l-kontropartijiet ċentrali għandhom iwettqu valutazzjonijiet tal-vulnerabbiltà qabel kwalunkwe użu jew użu mill-ġdid ta’ applikazzjonijiet u komponenti tal-infrastruttura, u servizzi tal-ICT ġodda jew eżistenti li jappoġġjaw il-funzjonijiet kritiċi jew importanti tal-entità finanzjarja.

3.   Il-mikrointrapriżi għandhom iwettqu t-testijiet imsemmija fil-paragrafu 1 billi jikkombinaw approċċ ibbażat fuq ir-riskju ma’ ppjanar strateġiku tal-ittestjar tal-ICT, billi jqisu kif xieraq il-ħtieġa li jinżamm approċċ bilanċjat bejn l-iskala tar-riżorsi u ż-żmien li għandu jiġi allokat għall-ittestjar tal-ICT previst f’dan l-Artikolu, minn naħa waħda, u l-urġenza, it-tip ta’ riskju, il-kritikalità tal-assi tal-informazzjoni u tas-servizzi pprovduti, kif ukoll kwalunkwe fattur rilevanti ieħor, inkluż il-kapaċità tal-entità finanzjarja li tieħu riskji kkalkulati, min-naħa l-oħra.

Artikolu 26

Ittestjar avvanzat tal-għodod, sistemi u proċessi tal-ICT ibbażat fuq it-TLPT

1.   L-entitajiet finanzjarji, għajr l-entitajiet imsemmija fl-Artikolu 16(1), l-ewwel subparagrafu, u għajr il-mikrointrapriżi, li huma identifikati f’konformità mal-paragrafu 8, it-tielet subparagrafu, ta’ dan l-Artikolu, għandhom iwettqu, mill-inqas kull tliet snin, ittestjar avvanzat permezz tat-TLPT. Abbażi tal-profil tar-riskju tal-entità finanzjarja u b’kont meħud taċ-ċirkostanzi operazzjonali, l-awtorità kompetenti tista’, fejn neċessarju, titlob lill-entità finanzjarja biex tnaqqas jew iżżid din il-frekwenza.

2.   Kull test tal-penetrazzjoni bbażat fuq it-theddid għandu jkopri diversi funzjonijiet kritiċi jew importanti ta’ entità finanzjarja, jew ikoprihom kollha, u għandu jitwettaq fuq sistemi ta’ produzzjoni li jkunu qed jappoġġjaw tali funzjonijiet.

L-entitajiet finanzjarji għandhom jidentifikaw is-sistemi, il-proċessi u t-teknoloġiji sottostanti rilevanti kollha tal-ICT li jappoġġjaw funzjonijiet kritiċi jew importanti u s-servizzi rilevanti kollha tal-ICT, inkluż dawk li jappoġġjaw il-funzjonijiet kritiċi jew importanti u servizzi li ġew esternalizzati jew ikkuntrattati lil fornituri terzi ta’ servizzi tal-ICT.

L-entitajiet finanzjarji għandhom jivvalutaw liema funzjonijiet kritiċi jew importanti jeħtieġ li jiġu koperti mit-TLPT. Ir-riżultat ta’ din il-valutazzjoni għandu jiddetermina l-ambitu preċiż tat-TLPT u għandu jiġi vvalidat mill-awtoritajiet kompetenti.

3.   Meta l-fornituri terzi ta’ servizzi tal-ICT ikunu inklużi fl-ambitu tat-TLPT, l-entità finanzjarja għandha tieħu l-miżuri u s-salvagwardji meħtieġa biex tiżgura l-parteċipazzjoni ta’ fornituri terzi ta’ servizzi tal-ICT bħal dawn fit-TLPT u għandha dejjem iżżomm ir-responsabbiltà sħiħa li tiżgura l-konformità ma’ dan ir-Regolament.

4.   Mingħajr preġudizzju għall-paragrafu 2, l-ewwel u t-tieni subparagrafi, meta l-parteċipazzjoni ta’ fornitur terz ta’ servizzi tal-ICT fit-TLPT, imsemmi fil-paragrafu 3, tkun raġonevolment mistennija li jkollha impatt negattiv fuq il-kwalità jew is-sigurtà tas-servizzi mogħtija minn fornitur terz ta’ servizz tal-ICT lill-konsumaturi li jkunu entitajiet barra mill-kamp ta’ applikazzjoni ta’ dan ir-Regolament, jew fuq il-kunfidenzjalità tad-data marbuta ma’ servizzi bħal dawn, l-entità finanzjarja u l-fornitur terz ta’ servizzi tal-ICT jistgħu jaqblu bil-miktub li l-fornitur terz ta’ servizzi tal-ICT jidħol direttament f’arranġamenti kuntrattwali ma’ tester estern, għall-fini li jwettaq, taħt id-direzzjoni ta’ entità finanzjarja waħda ddeżinjata, TLPT aggregat li jinvolvi diversi entitajiet finanzjarji (ittestjar aggregat) li għaliha l-fornitur terz ta’ servizzi tal-ICT jipprovdi servizzi tal-ICT.

Dak l-ittestjar aggregat għandu jkopri l-firxa rilevanti ta’ servizzi tal-ICT li jappoġġjaw funzjonijiet kritiċi jew importanti kkuntrattati lill-fornitur terz rispettiv ta’ servizzi tal-ICT mill-entitajiet finanzjarji. L-ittestjar aggregat għandu jitqies bħala TLPT imwettaq mill-entitajiet finanzjarji parteċipanti fl-ittestjar aggregat.

L-għadd ta’ entitajiet finanzjarji parteċipanti fl-ittestjar aggregat għandu jiġi kkalibrat kif xieraq b’kont meħud tal-kumplessità u t-tipi ta’ servizzi involuti.

5.   L-entitajiet finanzjarji għandhom, bil-kooperazzjoni tal-fornituri terzi ta’ servizzi tal-ICT u partijiet oħra involuti, inkluż it-testers iżda eskluż l-awtoritajiet kompetenti, japplikaw kontrolli effettivi ta’ ġestjoni tar-riskju sabiex inaqqsu ir-riskji ta’ kwalunkwe impatt potenzjali fuq id-data, ħsara lill-assi, u tfixkil ta’ funzjonijiet, servizzi jew operazzjonijiet kritiċi jew importanti fl-entità finanzjarja stess, il-kontropartijiet tagħha jew is-settur finanzjarju.

6.   Fi tmiem l-ittestjar, wara li jkunu ġew miftiehma r-rapporti u l-pjanijiet ta’ rimedju, l-entità finanzjarja u, fejn applikabbli, it-testers esterni għandhom jipprovdu lill-awtorità, iddeżinjata skont il-paragrafu 9 jew 10, sommarju tas-sejbiet rilevanti, il-pjanijiet ta’ rimedju u d-dokumentazzjoni li turi li t-TLPT twettaq skont ir-rekwiżiti.

7.   L-awtoritajiet għandhom jipprovdu lill-entitajiet finanzjarji b’attestazzjoni li tikkonferma li t-test twettaq f’konformità mar-rekwiżiti kif tixhed id-dokumentazzjoni sabiex ikun jista’ jsir rikonoxximent reċiproku tat-testijiet tal-penetrazzjoni bbażat fuq it-theddid bejn l-awtoritajiet kompetenti. L-entità finanzjarja għandha tinnotifika lill-awtorità kompetenti rilevanti bl-attestazzjoni, is-sommarju tas-sejbiet rilevanti u l-pjanijiet ta’ rimedju.

Mingħajr preġudizzju għal tali attestazzjoni, l-entitajiet finanzjarji għandhom f’kull ħin jibqgħu kompletament responsabbli għall-impatt tat-testijiet imsemmija fil-paragrafu 4.

8.   L-entitajiet finanzjarji għandhom jikkuntrattaw testers biex iwettqu t-TLPT f’konformità mal-Artikolu 27. Meta l-entitajiet finanzjarji jużaw testers interni biex iwettqu t-TLPT, huma għandhom jikkuntrattaw testers estern għal kull tliet testijiet.

L-istituzzjonijiet ta’ kreditu li huma kklassifikati bħala sinifikanti f’konformità mal-Artikolu 6(4) tar-Regolament (UE) Nru 1024/2013, għandhom jużaw biss testers esterni f’konformità mal-Artikolu 27(1), il-punti (a) sa (e).

L-awtoritajiet kompetenti għandhom jidentifikaw l-entitajiet finanzjarji li huma meħtieġa jwettqu TLPT waqt li jqisu l-kriterji stabbiliti fl-Artikolu 4(2), abbażi ta’ valutazzjoni ta’ dawn li ġejjin:

(a)

fatturi relatati mal-impatt, b’mod partikolari safejn is-servizzi pprovduti u l-attivitajiet imwettqa mill-entità finanzjarja jimpattaw is-settur finanzjarju;

(b)

it-tħassib possibbli dwar l-istabbiltà finanzjarja, inkluż il-karattru sistemiku tal-entità finanzjarja fil-livell tal-Unjoni jew dak nazzjonali, kif applikabbli;

(c)

il-profil speċifiku tar-riskju tal-ICT, il-livell ta’ maturità tal-ICT tal-entità finanzjarja jew il-karatteristiċi tat-teknoloġija involuti.

9.   L-Istati Membri jistgħu jiddeżinjaw awtorità pubblika waħda fis-settur finanzjarju biex tkun responsabbli għall-kwistjonijiet marbuta mat-TLPT fis-settur finanzjarju fil-livell nazzjonali u għandha tafdaha bil-kompetenzi u l-kompiti kollha għal dak l-għan.

10.   Fin-nuqqas ta’ deżinjazzjoni skont il-paragrafu 9 ta’ dan l-Artikolu, u mingħajr preġudizzju għas-setgħa mogħtija għall-identifikazzjoni tal-entitajiet finanzjarji meħtieġa biex iwettqu TLPT, awtorità kompetenti tista’ tiddelega l-eżerċizzju ta’ xi kompiti, jew kollha, imsemmija f’dan l-Artikolu u l-Artikolu 27 lil awtorità nazzjonali oħra fis-settur finanzjarju.

11.   L-ASE għandhom, bi qbil mal-BĊE, jiżviluppaw abbozz ta’ standards tekniċi regolatorji konġunti f’konformità mal-qafas TIBER–EU sabiex jispeċifikaw aktar:

(a)

il-kriterji użati għall-fini tal-applikazzjoni tal-paragrafu 8, it-tieni subparagrafu;

(b)

ir-rekwiżiti u l-istandards li jirregolaw l-użu ta’ testers interni;

(c)

ir-rekwiżiti fir-rigward ta’:

(i)

l-ambitu tat-TLPT imsemmi fil-paragrafu 2;

(ii)

il-metodoloġija u l-approċċ tal-ittestjar li għandhom jiġu segwiti għal kull fażi speċifika tal-proċess tal-ittestjar;

(iii)

ir-riżultati, l-istadji tal-għeluq u tar-rimedju tal-ittestjar;

(d)

it-tip ta’ kooperazzjoni superviżorja u kooperazzjoni oħra rilevanti li huma meħtieġa għall-implimentazzjoni tal-TLPT, u għall-faċilitazzjoni tar-rikonoxximent reċiproku ta’ dak l-ittestjar, fil-kuntest ta’ entitajiet finanzjarji li joperaw f’aktar minn Stat Membru wieħed, biex ikun permess livell xieraq ta’ involviment superviżorju u implimentazzjoni flessibbli biex jiġu koperti l-ispeċifiċitajiet tas-sottosetturi finanzjarji jew tas-swieq finanzjarji lokali.

Meta jiżviluppaw dawk l-abbozzi ta’ standards tekniċi regolatorji, l-SE għandhom iqisu kif xieraq kwalunkwe karatteristika speċifika li tirriżulta min-natura distinta tal-attivitajiet f’setturi differenti tas-servizzi finanzjarji.

L-ASE għandhom jippreżentaw dawk l-abbozzi ta’ standards tekniċi regolatorji lill-Kummissjoni sas-17 ta’ Lulju 2024.

Il-Kummissjoni tingħata s-setgħa li tissupplimenta dan ir-Regolament billi tadotta l-istandards tekniċi regolatorji msemmija fl-ewwel subparagrafu f’konformità mal-Artikoli minn 10 sa 14 tar-Regolamenti (UE) Nru 1093/2010, (UE) Nru 1094/2010 u (UE) Nru 1095/2010.

Artikolu 27

Rekwiżiti għat-testers għat-twettiq tat-TLPT

1.   L-entitajiet finanzjarji għandhom jużaw biss testers għat-twettiq tat-TLPT, li:

(a)

jkunu l-aktar xierqa u tal-ogħla reputazzjoni;

(b)

ikollhom kapaċitajiet tekniċi u organizzazzjonali u juru għarfien espert speċifiku fl-intelligence tat-theddid, l-ittestjar tal-penetrazzjoni u l-ittestjar tat-tim l-aħmar;

(c)

huma ċċertifikati minn korp ta’ akkreditazzjoni fi Stat Membru jew jaderixxu ma’ kodiċijiet ta’ kondotta formali jew oqfsa etiċi;

(d)

jipprovdu aċċertament indipendenti, jew rapport tal-awditjar, b’rabta mal-ġestjoni għaqlija tar-riskji assoċjati mat-twettiq tat-TLPT, inkluż il-protezzjoni xierqa tal-informazzjoni kunfidenzjali tal-entità finanzjarja u r-rimedju għar-riskji tan-negozju tal-entità finanzjarja;

(e)

ikunu koperti kif xieraq u kompletament minn assigurazzjonijiet ta’ indennizz professjonali rilevanti, inkluż kontra r-riskji ta’ mġiba ħażina u negliġenza.

2.   Meta jużaw testers interni, l-entitajiet finanzjarji għandhom jiżguraw li, minbarra r-rekwiżiti fil-paragrafu 1, jiġu ssodisfati l-kundizzjonijiet li ġejjin:

(a)

tali użu jkun ġie approvat mill-awtorità kompetenti rilevanti jew mill-awtorità pubblika unika ddeżinjata skont l-Artikolu 26(9) u (10);

(b)

l-awtorità kompetenti rilevanti tkun ivverifikat li l-entità finanzjarja għandha biżżejjed riżorsi u żgurat li l-kunflitti ta’ interess huma evitati matul il-fażijiet kollha tat-tfassil u tal-eżekuzzjoni tat-test; u

(c)

il-fornitur tal-intelligence dwar it-theddid huwa estern għall-entità finanzjarja.

3.   L-entitajiet finanzjarji għandhom jiżguraw li l-kuntratti konklużi mat-testers esterni jirrikjedu ġestjoni għaqlija tar-riżultati tat-TLPT u li kwalunkwe pproċessar tad-data tagħhom, inkluż kwalunkwe ġenerazzjoni, ħżin, aggregazzjoni, abbozz, rapport, komunikazzjoni jew qerda, ma joħolqux riskji għall-entità finanzjarja.

KAPITOLU V

Ġestjoni tar-riskju relatat mal-ICT minn partijiet terzi

Taqsima I

Prinċipji ewlenin għal ġestjoni tajba tar-riskju relatat mal-ICT minn partijiet terzi

Artikolu 28

Prinċipji ġenerali

1.   L-entitajiet finanzjarji għandhom jimmaniġġaw ir-riskju relatat mal-ICT minn partijiet terzi bħala komponent integrali tar-riskju tal-ICT fil-qafas tal-ġestjoni tar-riskju tal-ICT tagħhom kif imsemmi fl-Artikolu 6(1), u f’konformità mal-prinċipji li ġejjin:

(a)

l-entitajiet finanzjarji li għandhom fis-seħħ arranġamenti kuntrattwali għall-użu tas-servizzi tal-ICT biex iwettqu l-operat tagħhom għandhom, f’kull ħin, jibqgħu kompletament responsabbli għall-konformità mal-obbligi kollha u jwettquhom, skont dan ir-Regolament u l-liġi applikabbli dwar is-servizzi finanzjarji;

(b)

il-ġestjoni mill-entitajiet finanzjarji tar-riskju relatat mal-ICT minn partijiet terzi għandha tiġi implimentata fid-dawl tal-prinċipju tal-proporzjonalità, filwaqt li jitqiesu:

(i)

in-natura, l-iskala, il-kumplessità u l-importanza tad-dipendenzi relatati mal-ICT,

(ii)

ir-riskji li jirriżultaw minn arranġamenti kuntrattwali dwar l-użu ta’ servizzi tal-ICT konklużi ma’ fornituri terzi ta’ servizzi tal-ICT, b’kont meħud tal-kritikalità jew tal-importanza tas-servizz, il-proċess jew il-funzjoni rispettivi, u l-impatt potenzjali fuq il-kontinwità u fuq id-disponibbiltà tas-servizzi u l-attivitajiet finanzjarji, fil-livell individwali u fil-livell ta’ grupp.

2.   Bħala parti mill-qafas ta’ ġestjoni tar-riskju tal-ICT tagħhom, l-entitajiet finanzjarji, għajr dawk l-entitajiet imsemmija fl-Artikolu 16(1), l-ewwel subparagrafu u għajr il-mikrointrapriżi, għandhom jadottaw, u jirrieżaminaw b’mod regolari, strateġija dwar ir-riskju relatat mal-ICT minn partijiet terzi, waqt li jqisu l-istrateġija ta’ diversi bejjiegħa msemmija fl-Artikolu 6(9), fejn applikabbli. L-istrateġija dwar ir-riskju relatat mal-ICT minn partijiet terzi għandha tinkludi politika dwar l-użu ta’ servizzi tal-ICT li jappoġġjaw funzjonijiet kritiċi jew importanti pprovduti minn fornituri terzi ta’ servizzi tal-ICT u għandha tapplika fuq bażi individwali u, fejn rilevanti, fuq bażi subkonsolidata u konsolidata. Il-korp maniġerjali għandu, abbażi ta’ valutazzjoni tal-profil tar-riskju ġenerali tal-entità finanzjarja u l-iskala u l-kumplessità tas-servizzi tan-negozju, jirrieżamina regolarment ir-riskji identifikati fir-rigward tal-arranġamenti kuntrattwali dwar l-użu tas-servizzi tal-ICT li jappoġġjaw funzjonijiet kritiċi jew importanti.

3.   Bħala parti mill-qafas ta’ ġestjoni tar-riskju tal-ICT tagħhom, l-entitajiet finanzjarji għandhom iżommu u jaġġornaw fil-livell tal-entità, u fil-livelli subkonsolidati u konsolidati, reġistru ta’ informazzjoni fir-rigward tal-arranġamenti kuntrattwali kollha dwar l-użu ta’ servizzi tal-ICT ipprovduti minn fornituri terzi ta’ servizzi tal-ICT.

L-arranġamenti kuntrattwali msemmija fl-ewwel subparagrafu għandhom jiġu ddokumentati b’mod xieraq, filwaqt li ssir distinzjoni bejn dawk li jkopru s-servizzi tal-ICT li jappoġġjaw funzjonijiet kritiċi jew importanti u dawk li le.

L-entitajiet finanzjarji għandhom jirrappurtaw mill-inqas darba fis-sena lill-awtoritajiet kompetenti dwar l-għadd ta’ arranġamenti ġodda dwar l-użu tas-servizzi tal-ICT, il-kategoriji tal-fornituri terzi ta’ servizzi tal-ICT, it-tip ta’ arranġamenti kuntrattwali u s-servizzi u l-funzjonijiet tal-ICT li qed jiġu pprovduti.

L-entitajiet finanzjarji għandhom jagħmlu disponibbli għall-awtorità kompetenti, fuq talba tagħha, ir-reġistru sħiħ tal-informazzjoni jew, kif mitlub, taqsimiet speċifikati tiegħu, flimkien ma’ kwalunkwe informazzjoni meqjusa bħala neċessarja biex tkun tista’ ssir is-superviżjoni effettiva tal-entità finanzjarja.

L-entitajiet finanzjarji għandhom jinformaw lill-awtorità kompetenti fil-ħin dwar kwalunkwe arranġament kuntrattwali dwar l-użu ta’ servizzi tal-ICT ippjanat li jappoġġja funzjonijiet kritiċi jew importanti kif ukoll meta funzjoni ssir kritika jew importanti.

4.   Qabel ma jidħlu f’arranġament kuntrattwali dwar l-użu tas-servizzi tal-ICT, l-entitajiet finanzjarji għandhom:

(a)

jivvalutaw jekk l-arranġament kuntrattwali jkoprix l-użu ta’ servizzi tal-ICT li jappoġġjaw funzjoni kritika jew importanti;

(b)

jivvalutaw jekk il-kundizzjonijiet superviżorji għall-ikkuntrattar humiex issodisfati;

(c)

jidentifikaw u jivvalutaw ir-riskji rilevanti kollha b’rabta mal-arranġament kuntrattwali, inkluż il-possibbiltà li tali arranġamenti kuntrattwali jistgħu jikkontribwixxu għal żieda fir-riskju ta’ konċentrazzjoni tal-ICT kif imsemmi fl-Artikolu 29;

(d)

iwettqu d-diliġenza dovuta kollha fuq fornituri terzi prospettivi ta’ servizzi tal-ICT u matul il-proċessi kollha tal-għażla u tal-valutazzjoni jiżguraw li l-fornitur terz ta’ servizzi tal-ICT ikun adatt;

(e)

jidentifikaw u jivvalutaw il-kunflitti ta’ interess li jista’ jikkawża l-arranġament kuntrattwali.

5.   L-entitajiet finanzjarji jistgħu jidħlu biss f’arranġamenti kuntrattwali ma’ fornituri terzi ta’ servizzi tal-ICT li jikkonformaw ma’ standards tas-sigurtà tal-informazzjoni xierqa. Fejn dawk l-arranġamenti kuntrattwali jikkonċernaw funzjonijiet kritiċi jew importanti, l-entitajiet finanzjarji għandhom, qabel ma jikkonkludu l-arranġamenti, iqisu kif xieraq l-użu, mill-fornituri terzi ta’ servizzi tal-ICT, tal-aktar standards għolja u aġġornati ta’ kwalità fis-sigurtà tal-informazzjoni.

6.   Fl-eżerċizzju tad-drittijiet tal-aċċess, tal-ispezzjoni u tal-awditjar fuq il-fornitur terz tas-servizzi tal-ICT, l-entitajiet finanzjarji għandhom, abbażi ta’ approċċ ibbażat fuq ir-riskju, jiddeterminaw minn qabel il-frekwenza tal-awditi u tal-ispezzjonijiet kif ukoll l-oqsma li għandhom jiġu awditjati billi jaderixxu ma’ standards tal-awditjar aċċettati b’mod komuni f’konformità ma’ kwalunkwe struzzjoni superviżorja dwar l-użu u l-inkorporazzjoni ta’ tali standards tal-awditjar.

Fejn l-arranġamenti kuntrattwali konklużi ma’ fornituri terzi ta’ servizzi tal-ICT dwar l-użu ta’ servizzi tal-ICT jinvolvu kumplessità teknika għolja, l-entità finanzjarja għandha tivverifika li l-awdituri, kemm jekk interni kif ukoll jekk esterni, jew diversi awdituri, għandhomx il-ħiliet u l-għarfien xieraq biex iwettqu l-awditi u l-valutazzjonijiet rilevanti.

7.   L-entitajiet finanzjarji għandhom jiżguraw li l-arranġamenti kuntrattwali dwar l-użu tas-servizzi tal-ICT jistgħu jiġu tterminati fi kwalunkwe waħda miċ-ċirkostanzi li ġejjin:

(a)

ksur sinifikanti mill-fornitur terz ta’ servizzi tal-ICT tal-liġijiet, tar-regolamenti jew tat-termini kuntrattwali applikabbli;

(b)

iċ-ċirkostanzi identifikati matul il-monitoraġġ tar-riskju relatat mal-ICT minn partijiet terzi meqjusa li jistgħu jbiddlu t-twettiq tal-funzjonijiet ipprovduti permezz tal-arranġament kuntrattwali, inkluż bidliet materjali li jaffettwaw l-arranġament jew is-sitwazzjoni tal-fornitur terz ta’ servizzi tal-ICT;

(c)

dgħufijiet evidenzjati tal-fornitur terz ta’ servizzi tal-ICT marbuta mal-ġestjoni globali tiegħu tar-riskju tal-ICT u b’mod partikolari fil-mod kif jiżgura d-disponibbiltà, l-awtentiċità, l-inegrità u l-kunfidenzjalità tad-data, kemm jekk tkun data personali kif ukoll jekk tkun sensittiva b’mod ieħor, jew data mhux personali;

(d)

fejn l-awtorità kompetenti ma tkunx tista’ twettaq superviżjoni effettiva tal-entità finanzjarja bħala riżultat tal-kundizzjonijiet tal-arranġament kuntrattwali rispettiv jew iċ-ċirkostanzi marbuta miegħu.

8.   Għas-servizzi tal-ICT li jappoġġjaw funzjonijiet kritiċi jew importanti, l-entitajiet finanzjarji għandhom jistabbilixxu strateġiji ta’ ħruġ. L-istrateġiji ta’ ħruġ għandhom iqisu r-riskji li jistgħu jfiġġu fil-livell ta’ fornituri terzi ta’ servizzi tal-ICT, b’mod partikolari l-falliment possibbli min-naħa tagħhom, deterjorament tal-kwalità tas-servizzi tal-ICT ipprovduti, kwalunkwe tfixkil fl-operat minħabba forniment mhux xieraq jew li ma sarx ta’ servizzi tal-ICT jew kwalunkwe riskju materjali li jirriżulta b’rabta mal-użu xieraq u kontinwu tas-servizz tal-ICT rispettiv, jew it-terminazzjoni tal-arranġamenti kuntrattwali ma’ fornituri terzi ta’ servizzi tal-ICT fi kwalunkwe waħda miċ-ċirkostanzi elenkati fil-paragrafu 7.

L-entitajiet finanzjarji għandhom jiżguraw li jkunu jistgħu joħorġu mill-arranġamenti kuntrattwali mingħajr:

(a)

tfixkil fl-attivitajiet tal-operat tagħhom,

(b)

limitazzjoni tal-konformità mar-rekwiżiti regolatorji,

(c)

detriment għall-kontinwità u l-kwalità tas-servizzi provduti lill-klijenti.

Il-pjanijiet ta’ ħruġ għandhom ikunu komprensivi, dokumentati u, f’konformità mal-kriterji li jinsabu fl-Artikolu 4(2), għandhom jiġu ttestjati biżżejjed u rieżaminati perjodikament.

L-entitajiet finanzjarji għandhom jidentifikaw soluzzjonijiet alternattivi u jiżviluppaw pjanijiet ta’ tranżizzjoni li jippermettulhom ineħħu l-funzjonijiet u s-servizzi tal-ICT ikkuntrattati u d-data rilevanti mingħand il-fornitur terz ta’ servizzi tal-ICT u li jittrasferuhom b’mod sigur u integrali lil fornituri alternattivi jew jinkorporawhom mill-ġdid internament.

L-entitajiet finanzjarji għandu jkollhom stabbiliti miżuri ta’ kontinġenza xierqa biex iżommu l-kontinwità tal-operat fil-każ li jseħħu ċ-ċirkostanzi msemmija fl-ewwel subparagrafu.

9.   L-ASE għandhom, permezz tal-Kumitat Konġunt, jiżviluppaw abbozz ta’ standards tekniċi ta’ implimentazzjoni biex jistabbilixxu l-mudelli standard għall-finijiet tar-reġistru tal-informazzjoni msemmi fil-paragrafu 3, inkluż l-informazzjoni li hija komuni għall-arranġamenti kuntrattwali kollha dwar l-użu tas-servizzi tal-ICT. L-ASE għandhom jippreżentaw dawk l-abbozzi ta’ standards tekniċi ta’ implimentazzjoni lill-Kummissjoni sas-17 ta’ Jannar 2024.

Il-Kummissjoni tingħata s-setgħa li tadotta l-istandards tekniċi ta’ implimentazzjoni msemmija fl-ewwel subparagrafu f’konformità mal-Artikolu 15 tar-Regolamenti (UE) Nru 1093/2010, (UE) Nru 1094/2010 u (UE) Nru 1095/2010.

10.   L-ASE għandhom, permezz tal-Kumitat Konġunt, jiżviluppaw abbozz ta’ standards tekniċi regolatorji biex jispeċifikaw aktar il-kontenut dettaljat tal-politika msemmija fil-paragrafu 2 fir-rigward tal-arranġamenti kuntrattwali dwar l-użu tas-servizzi tal-ICT li jappoġġjaw funzjonijiet kritiċi jew importanti pprovduti minn fornituri terzi ta’ servizzi tal-ICT.

Meta jiżviluppaw dak l-abbozz ta’ standards tekniċi regolatorji, l-ASE għandhom iqisu d-daqs u l-profil ġenerali tar-riskju tal-entità finanzjarja, u n-natura, l-iskala u l-kumplessità tas-servizzi, l-attivitajiet u l-operazzjonijiet tagħha. L-ASE għandhom jippreżentaw dak l-abbozz ta’ standards tekniċi regolatorji lill-Kummissjoni sas-17 ta’ Jannar 2024.

Il-Kummissjoni tingħata s-setgħa li tissupplimenta dan ir-Regolament billi tadotta l-istandards tekniċi regolatorji msemmija fl-ewwel subparagrafu f’konformità mal-Artikoli minn 10 sa 14 tar-Regolamenti (UE) Nru 1093/2010, (UE) Nru 1094/2010 u (UE) Nru 1095/2010.

Artikolu 29

Valutazzjoni preliminari tar-riskju ta’ konċentrazzjoni tal-ICT fil-livell ta’ entità

1.   Meta jwettqu l-identifikazzjoni u l-valutazzjoni tar-riskji msemmija fl-Artikolu 28(4), il-punt (c), l-entitajiet finanzjarji għandhom ukoll iqisu jekk il-konklużjoni prevista ta’ arranġament kuntrattwali fir-rigward ta’ servizzi tal-ICT li jappoġġjaw funzjonijiet kritiċi jew importanti twassalx għal xi waħda minn dawn li ġejjin:

(a)

jiġi kkuntrattat fornitur terz ta’ servizzi tal-ICT li mhuwiex faċilment sostitwibbli; jew

(b)

jiġu stabbiliti bosta arranġamenti kuntrattwali b’rabta mal-forniment ta’ servizzi tal-ICT li jappoġġjaw funzjonijiet kritiċi jew importanti mal-istess fornitur terz ta’ servizzi tal-ICT jew ma’ fornituri terzi ta’ servizzi tal-ICT b’rabtiet mill-qrib.

L-entitajiet finanzjarji għandhom jiżnu l-benefiċċji u l-kostijiet ta’ soluzzjonijiet alternattivi, bħall-użu ta’ fornituri terzi differenti ta’ servizzi tal-ICT, filwaqt li jqisu jekk is-soluzzjonijiet previsti jaqblux mal-ħtiġijiet u l-objettivi tan-negozju stabbiliti fl-istrateġija ta’ reżiljenza diġitali tagħhom u kif.

2.   Meta l-arranġamenti kuntrattwali dwar l-użu tas-servizzi tal-ICT li jappoġġjaw funzjonijiet kritiċi jew importanti jinkludu l-possibbiltà li fornitur terz ta’ servizzi tal-ICT ikompli jissottokuntratta servizzi tal-ICT li jappoġġjaw funzjoni kritika jew importanti lil fornituri terzi oħra ta’ servizzi tal-ICT, l-entitajiet finanzjarji għandhom jiżnu l-benefiċċji u r-riskji li jistgħu jinħolqu b’rabta ma’ tali sottokuntrattar, b’mod partikolari fil-każ ta’ sottokuntrattur tal-ICT stabbilit f’pajjiż terz.

Fejn l-arranġamenti kuntrattwali jikkonċernaw servizzi tal-ICT li jappoġġjaw funzjonijiet kritiċi jew importanti, l-entitajiet finanzjarji għandhom iqisu kif xieraq id-dispożizzjonijiet fil-liġi dwar l-insolvenza li japplikaw fil-każ tal-falliment ta’ fornitur terz ta’ servizz tal-ICT kif ukoll kwalunkwe limitazzjoni li tista’ tinħoloq fir-rigward tal-irkupru urġenti tad-data tal-entità finanzjarja.

Meta jiġu konklużi arranġamenti kuntrattwali dwar l-użu ta’ servizzi tal-ICT li jappoġġjaw funzjonijiet kritiċi jew importanti ma’ fornitur terz ta’ servizzi tal-ICT stabbilit f’pajjiż terz, l-entitajiet finanzjarji għandhom, apparti l-kunsiderazzjonijiet msemmija fit-tieni subparagrafu, iqisu wkoll il-konformità mar-regoli tal-Unjoni dwar il-protezzjoni tad-data u l-infurzar effettiv tal-liġi f’dak il-pajjiż terz.

Fejn l-arranġamenti kuntrattwali dwar l-użu tas-servizzi tal-ICT li jappoġġjaw funzjonijiet kritiċi jew importanti jipprevedu s-sottokuntrattar, l-entitajiet finanzjarji għandhom jivvalutaw jekk il-ktajjen potenzjalment twal jew kumplessi ta’ sottokuntrattar jistax ikollhom impatt, u kif jistgħu jħallu dan l-impatt, fuq il-kapaċità tagħhom li jimmonitorjaw bis-sħiħ il-funzjonijiet ikkuntrattati u l-kapaċità tal-awtorità kompetenti li twettaq superviżjoni b’mod effettiv fuq l-entità finanzjarja f’dak ir-rigward.

Artikolu 30

Dispożizzjonijiet kuntrattwali ewlenin

1.   Id-drittijiet u l-obbligi tal-entità finanzjarja u tal-fornitur terz ta’ servizzi tal-ICT għandhom jiġu allokati b’mod ċar bil-miktub. Il-kuntratt sħiħ għandu jinkludi l-ftehimiet dwar il-livell ta’ servizz u għandu jiġi ddokumentat f’dokument bil-miktub wieħed li għandu jkun disponibbli għall-partijiet fuq karta, jew f’dokument f’format ieħor li jista’ jitniżżel u jkun durabbli u aċċessibbli.

2.   L-arranġamenti kuntrattwali dwar l-użu ta’ servizzi tal-ICT għandhom jinkludu mill-inqas l-elementi li ġejjin:

(a)

deskrizzjoni ċara u kompleta tal-funzjonijiet u s-servizzi kollha tal-ICT li għandhom jiġu pprovduti mill-fornitur terz ta’ servizz tal-ICT, li tindika jekk huwiex permess is-sottokuntrattar ta’ servizz tal-ICT li jappoġġja funzjoni kritika jew importanti, jew partijiet materjali tiegħu u, f’dak il-każ, il-kondizzjonijiet li japplikaw għal tali sottokuntrattar;

(b)

il-postijiet, jiġifieri r-reġjuni u l-pajjiżi, fejn iridu jiġu pprovduti l-funzjonijiet u s-servizzi tal-ICT kuntrattati jew sottokuntrattati u fejn id-data trid tiġi pproċessata, inkluż fejn ser jinħażnu, u r-rekwiżit li l-fornitur terz ta’ servizzi tal-ICT jinnotifika lill-entità finanzjarja minn qabel jekk ikun biħsiebu jibdel il-postijiet tal-ħażna;

(c)

dispożizzjonijiet dwar id-disponibbiltà, l-awtentiċità, l-integrità u l-kunfidenzjalità fir-rigward tal-protezzjoni tad-data, inkluż id-data personali;

(d)

dispożizzjonijiet dwar l-iżgurar tal-aċċess, l-irkupru u r-ritorn f’format faċilment aċċessibbli tad-data personali u mhux personali pproċessata mill-entità finanzjarja fil-każ tal-insolvenza, ir-riżoluzzjoni jew il-waqfien tal-operat tal-fornitur terz ta’ servizzi tal-ICT, jew fil-każ tat-terminazzjoni tal-arranġamenti kuntrattwali;

(e)

deskrizzjonijiet tal-livell ta’ servizz, inkluż aġġornamenti u reviżjonijiet tiegħu[…]

(f)

l-obbligu tal-fornitur terz ta’ servizzi tal-ICT li jipprovdi assistenza lill-entità finanzjarja mingħajr kost addizzjonali, jew b’kost li jiġi ddeterminat ex ante, meta jseħħ inċident tal-ICT li jkun relatat mas-servizz tal-ICT ipprovdut lill-entità finanzjarja;

(g)

l-obbligu tal-fornitur terz ta’ servizzi tal-ICT li jikkoopera bis-sħiħ mal-awtoritajiet kompetenti u l-awtoritajiet ta’ riżoluzzjoni tal-entità finanzjarja, inklużi persuni maħtura minnhom;

(h)

id-drittijiet ta’ terminazzjoni u l-perjodi minimi ta’ avviż għat-terminazzjoni tal-arranġamenti kuntrattwali, f’konformità mal-aspettattivi tal-awtoritajiet kompetenti u l-awtoritajiet ta’ riżoluzzjoni;

(i)

il-kondizzjonijiet għall-parteċipazzjoni ta’ fornituri terzi ta’ servizzi tal-ICT fil-programmi ta’ sensibilizzazzjoni dwar is-sigurtà tal-ICT tal-entitajiet finanzjarji u fis-sessjonijiet ta’-taħriġ dwar ir-reżiljenza operazzjonali diġitali f’konformità mal-Artikolu 13(6).

3.   L-arranġamenti kuntrattwali għall-użu ta’ servizzi tal-ICT li jappoġġjaw funzjonijiet kritiċi jew importanti għandhom, minbarra l-elementi msemmija fil-paragrafu 2, jinkludu tal-inqas dan li ġej:

(a)

deskrizzjonijiet sħaħ tal-livell tas-servizz, inkluż aġġornamenti u r-reviżjonijiet tagħhom b’miri tal-prestazzjoni kwantitattivi u kwalitattivi preċiżi fil-limiti tal-livelli tas-servizz miftiehma biex jippermettu monitoraġġ effettiv mill-entità finanzjarja tas-servizzi tal-ICT u jippermettu t-teħid ta’ azzjonijiet korrettivi xierqa, mingħajr dewmien żejjed, meta l-livelli tas-servizz miftiehma ma jintlaħqux;

(b)

il-perjodi ta’ avviż u l-obbligi ta’ rappurtar tal-fornitur terz ta’ servizzi tal-ICT lill-entità finanzjarja, inkluż in-notifika ta’ kwalunkwe żvilupp li jista’ jkollu impatt materjali fuq il-kapaċità tal-fornitur terz ta’ servizzi tal-ICT li jipprovdi s-servizzi tal-ICT li jappoġġjaw funzjonijiet kritiċi jew importanti b’mod effettiv f’konformità mal-livelli tas-servizz miftiehma;

(c)

rekwiżiti għall-fornitur terz ta’ servizzi tal-ICT biex jimplimenta u jittestja pjanijiet ta’ kontinġenza tan-negozju u biex ikollu fis-seħħ miżuri, għodod u politiki ta’ sigurtà tal-ICT li jipprovdu livell xieraq ta’ sigurtà biex l-entità finanzjarja tipprovdi s-servizzi tagħha skont il-qafas regolatorju tagħha;

(d)

l-obbligu tal-fornitur terz ta’ servizzi tal-ICT li jipparteċipa u jikkoopera bis-sħiħ fit-TLPT tal-entità finanzjarja kif imsemmi fl-Artikoli 26 u 27;

(e)

id-dritt ta’ monitoraġġ, fuq bażi kontinwa, tal-prestazzjoni tal-fornitur terz ta’ servizzi tal-ICT, li jinvolvi dan li ġej:

(i)

id-drittijiet mingħajr restrizzjonijiet ta’ aċċess, spezzjoni u awditjar mill-entità finanzjarja, jew parti terza ddeżinjata, u mill-awtorità kompetenti, u d-dritt li jittieħdu kopji tad-dokumentazzjoni rilevanti fuq il-post jekk ikunu kritiċi għall-operazzjonijiet tal-fornitur terz ta’ servizzi tal-ICT, li l-eżerċizzju effettiv tagħhom mhuwiex imfixkel jew limitat minn arranġamenti kuntrattwali jew politiki ta’ implimentazzjoni oħrajn;

(ii)

id-dritt li jintlaħaq qbil fuq il-livelli alternattivi ta’ aċċertament jekk jiġu affettwati d-drittijiet ta’ klijenti oħra;

(iii)

l-obbligu tal-fornitur terz ta’ servizzi tal-ICT li jikkoopera bis-sħiħ matul l-ispezzjonijiet u l-awditi fuq il-post imwettqa mill-awtoritajiet kompetenti, mis-Sorveljant Ewlieni, mill-entità finanzjarja jew minn parti terza maħtura; u

(iv)

l-obbligu li jiġu pprovduti d-dettalji dwar l-ambitu, il-proċeduri li għandhom jiġu segwiti u l-frekwenza ta’ tali spezzjonijiet u awditi;

(f)

strateġiji ta’ ħruġ, b’mod partikolari l-istabbiliment ta’ perjodu ta’ tranżizzjoni adegwat obbligatorju:

(i)

li matulu l-fornitur terz ta’ servizzi tal-ICT ikompli jipprovdi l-funzjonijiet, jew is-servizzi tal-ICT rispettivi, bil-ħsieb li jitnaqqas ir-riskju ta’ tfixkil fl-entità finanzjarja jew biex jiġu żgurati r-riżoluzzjoni u r-ristrutturar effettivi tagħha;

(ii)

li jippermetti lill-entità finanzjarja temigra lejn fornitur terz ieħor ta’ servizzi tal-ICT jew taqleb għal soluzzjonijiet interni konsistenti mal-kumplessità tas-servizz ipprovdut.

Permezz ta’ deroga mill-punt (e), il-fornitur terz ta’ servizzi tal-ICT u l-entità finanzjarja li tkun mikrointrapriża jistgħu jaqblu li d-drittijiet tal-entità finanzjarja ta’ aċċess, spezzjoni u awditjar jistgħu jiġu ddelegati lil parti terza indipendenti, maħtura mill-fornitur terz ta’ servizzi tal-ICT, u li l-entità finanzjarja tista’ titlob informazzjoni u aċċertament fuq il-prestazzjoni tal-fornitur terz ta’ servizzi tal-ICT mill-parti terza fi kwalunkwe ħin.

4.   Meta jinnegozjaw arranġamenti kuntrattwali, l-entitajiet finanzjarji u l-fornituri terzi ta’ servizzi tal-ICT għandhom jikkunsidraw l-użu ta’ klawżoli kuntrattwali standard żviluppati minn awtoritajiet pubbliċi għal servizzi speċifiċi.

5.   L-ASE, permezz tal-Kumitat Konġunt, għandhom jiżviluppaw abbozz ta’ standards tekniċi regolatorji biex jispeċifikaw aktar l-elementi msemmija fil-paragrafu 2, il-punt (a), li entità finanzjarja teħtieġ tiddetermina u tivvaluta meta tissottokuntratta servizzi tal-ICT li jappoġġjaw funzjonijiet kritiċi jew importanti.

Meta jiżviluppaw dawk l-abbozzi ta’ standards tekniċi regolatorji, l-ASE għandhom iqisu d-daqs u l-profil ġenerali tar-riskju tal-entitajiet finanzjarji, u n-natura, l-iskala u l-kumplessità tas-servizzi, l-attivitajiet u l-operazzjonijiet tagħha.

L-ASE għandhom jippreżentaw dawk l-abbozzi ta’ standards tekniċi regolatorji lill-Kummissjoni sas-17 ta’ Lulju 2024.

Il-Kummissjoni tingħata s-setgħa li tissupplimenta dan ir-Regolament billi tadotta l-istandards tekniċi regolatorji msemmija fl-ewwel subparagrafu f’konformità mal-Artikoli minn 10 sa 14 tar-Regolamenti (UE) Nru 1093/2010, (UE) Nru 1094/2010 u (UE) Nru 1095/2010.

Taqsima II

Qafas ta’ sorveljanza tal-fornituri terzi kritiċi ta’ servizzi tal-ICT

Artikolu 31

Deżinjazzjoni ta’ fornituri terzi kritiċi ta’ servizzi tal-ICT

1.   L-ASE, permezz tal-Kumitat Konġunt u fuq rakkomandazzjoni mill-Forum ta’ Sorveljanza stabbilit skont l-Artikolu 32(1) għandhom:

(a)

jiddeżinjaw il-fornituri terzi ta’ servizzi tal-ICT li huma kritiċi għall-entitajiet finanzjarji, wara valutazzjoni li tqis l-kriterji speċifikati fil-paragrafu 2;

(b)

jaħtru bħala sorveljant ewlieni għal kull fornitur terz ta’ servizzi tal-ICT l-Awtorità Superviżorja Ewropea responsabbli, f’konformità mar-Regolamenti (UE) Nru 1093/2010, (UE) Nru 1094/2010 jew (UE) Nru 1095/2010, għall-entitajiet finanzjarji li t-total tal-assi li flimkien ikollhom l-akbar sehem tal-assi totali mill-valur tal-assi totali tal-entitajiet finanzjarji kollha li jużaw is-servizzi tal-fornitur terz kritiku ta’ servizzi tal-ICT rilevanti, kif jixhdu l-karti bilanċjali individwali ta’ dawk l-entitajiet finazjarji magħduda flimkien.

2.   Id-deżinjazzjoni msemmija fil-paragrafu 1, il-punt (a), għandha tkun ibbażata fuq il-kriterji kollha li ġejjin fir-rigward tas-servizzi tal-ICT ipprovduti mill- fornitur terz ta’ servizzi tal-ICT:

(a)

l-impatt sistemiku fuq l-istabbiltà, il-kontinwità jew il-kwalità tal-forniment ta’ servizzi finanzjarji fil-każ li l-fornitur terz ta’ servizzi tal-ICT rilevanti jkun affrontat minn nuqqas operattiv fuq skala kbira li jipprovdi s-servizzi tiegħu, b’kont meħud tal-għadd ta’ entitajiet finanzjarji u l-valur totali tal-assi li lilhom jipprovdi servizzi l-fornitur terz rilevanti ta’ servizzi tal-ICT;

(b)

in-natura sistemika jew l-importanza tal-entitajiet finanzjarji li jiddependu fuq il-fornitur terz ta’ servizzi tal-ICT rilevanti, ivvalutata skont il-parametri li ġejjin:

(i)

l-għadd ta’ istituzzjonijiet globali sistemikament importanti (G-SIIs) jew istituzzjonijiet oħra sistematikament importanti (O-SIIs) li jiddependu fuq il-fornitur terz rispettiv ta’ servizzi tal-ICT;

(ii)

l-interdipendenza bejn il-G-SIIs jew l-O-SIIs imsemmija fil-punt (i) u entitajiet finanzjarji oħra, inkluż sitwazzjonijiet fejn il-G-SIIs jew l-O-SIIs jipprovdu servizzi ta’ infrastruttura finanzjarja lil entitajiet finanzjarji oħra;

(c)

id-dipendenza tal-entitajiet finanzjarji fuq is-servizzi pprovduti mill-fornitur terz ta’ servizzi tal-ICT b’rabta mal-funzjonijiet kritiċi jew importanti ta’ entitajiet finanzjarji li fl-aħħar mill-aħħar jinvolvu l-istess fornitur terz ta’ servizzi tal-ICT, irrispettivament minn jekk l-entitajiet finanzjarji jiddependux fuq dawk is-servizzi direttament jew indirettament, permezz ta’ arranġamenti ta’ sottokuntrattar;

(d)

il-grad ta’ sostitwibbiltà tal-fornitur terz ta’ servizzi tal-ICT, filwaqt li jitqiesu l-parametri li ġejjin:

(i)

in-nuqqas ta’ alternattivi reali, anki parzjali, minħabba l-għadd limitat ta’ fornituri terzi ta’ servizzi tal-ICT attivi f’suq speċifiku, jew is-sehem mis-suq tal-fornitur terz rilevanti ta’ servizzi tal-ICT, jew il-kumplessità teknika jew is-sofistikazzjoni involuta, inkluż b’rabta ma’ kwalunkwe teknoloġija proprjetarja, jew il-karatteristiċi speċifiċi tal-organizzazzjoni jew l-attività tal-fornitur terz ta’ servizzi tal-ICT;

(ii)

id-diffikultajiet rigward il-migrazzjoni parzjali jew sħiħa tad-data rilevanti u tax-xogħol mill-fornitur terz rilevanti ta’ servizzi tal-ICT lil fornitur terz ieħor ta’ servizzi tal-ICT, minħabba jew il-kostijiet finanzjarji sinifikanti, iż-żmien jew tip ieħor ta’ riżorsi li jista’ jinvolvi l-proċess ta’ migrazzjoni, jew minħabba żieda fir-riskju tal-ICT jew ta’ riskji operazzjonali oħrajn li għalihom tista’ tkun esposta l-entità finanzjarja permezz ta’ tali migrazzjoni.

3.   Fejn il-fornitur terz ta’ servizzi tal-ICT jappartjeni għal grupp, il-kriterji msemmija fil-paragrafu 2 għandhom jitqiesu fir-rigward tas-servizzi tal-ICT ipprovduti mill-grupp kollu kemm hu.

4.   Il-fornituri terzi kritiċi ta’ servizzi tal-ICT li huma parti minn grupp għandhom jaħtru persuna ġuridika waħda bħala punt ta’ koordinazzjoni biex jiżguraw rappreżentanza u komunikazzjoni adegwati mas-sorveljant ewlieni.

5.   Is-sorveljant ewlieni għandu jinnotifika lill-fornitur terz ta’ servizzi tal-ICT dwar l-eżitu tal-valutazzjoni li twassal għad-deżinjazzjoni msemmija fil-paragrafu 1, il-punt (a). Fi żmien 6 ġimgħat mid-data tan-notifika, il-fornitur terz ta’ servizzi tal-ICT jista’ jippreżenta dikjarazzjoni motivata bi kwalunkwe informazzjoni rilevanti għall-finijiet tal-valutazzjoni lis-sorveljant ewlieni. Is-sorveljant ewlieni għandu jikkunsidra d-dikjarazzjoni motivata u jista’ jitlob li tiġi ppreżentata informazzjoni addizzjonali fi żmien 30 jum kalendarju mill-wasla ta’ tali dikjarazzjoni.

Wara d-deżinjazzjoni ta’ fornitur terz ta’ servizzi tal-ICT bħala kritiku, l-ASE, permezz tal-Kumitat Konġunt, għandhom jinnotifikaw lill-fornitur terz ta’ servizzi tal-ICT b’din id-deżinjazzjoni u bid-data minn meta ser jibdew jkunu effettivament soġġetti għal attivitajiet ta’ sorveljanza. Dik id-data tal-bidu ma għandhiex tkun aktar tard minn xahar wara n-notifika. Il-fornitur terz ta’ servizzi tal-ICT għandu jinnotifika lill-entitajiet finanzjarji li lilhom jipprovdi servizzi dwar id-deżinjazzjoni tagħhom bħala kritika.

6.   Il-Kummissjoni tingħata s-setgħa tadotta att delegat f’konformità mal-Artikolu 57 biex tissupplimenta dan ir-Regolament billi tispeċifika aktar il-kriterji msemmija fil-paragrafu 2 ta’ dan l-Artikolu, sas-17 ta’ Lulju 2024.

7.   Id- deżinjazzjoni msemmija fil-paragrafu 1, il-punt (a), ma għandhiex tintuża qabel ma l-Kummissjoni tkun adottat att delegat f’konformità mal-paragrafu 6.

8.   Id-deżinjazzjoni msemmija fil-paragrafu 1, il-punt (a), ma għandhiex tapplika għal dawn li ġejjin:

(i)

entitajiet finanzjarji li jipprovdu servizzi tal-ICT lil entitajiet finanzjarji oħra;

(ii)

fornituri terzi ta’ servizzi tal-ICT li huma soġġetti għal oqfsa ta’ sorveljanza stabbiliti għall-finijiet ta’ appoġġ għall-kompiti msemmija fl-Artikolu 127(2) tat-Trattat dwar il-Funzjonament tal-Unjoni Ewropea;

(iii)

fornituri intragrupp ta’ servizzi tal-ICT;

(iv)

fornituri terzi ta’ servizzi tal-ICT li jipprovdu servizzi tal-ICT fi Stat Membru wieħed biss lil entitajiet finanzjarji li huma attivi biss f’dak l-Istat Membru.

9.   L-AS, permezz tal-Kumitat Konġunt, għandhom jistabbilixxu, jippubblikaw u jaġġornaw kull sena l-lista ta’ fornituri terzi kritiċi ta’ servizzi tal-ICT fil-livell tal-Unjoni.

10.   Għall-finijiet tal-paragrafu 1, il-punt (a), l-awtoritajiet kompetenti għandhom, fuq bażi annwali u aggregata, jibagħtu r-rapporti msemmija fl-Artikolu 28(3), it-tielet subparagrafu, lill-Forum ta’ Sorveljanza stabbilit skont l-Artikolu 32. Il-Forum ta’ Sorveljanza għandu jivvaluta d-dipendenzi ta’ entitajiet finanzjarji fuq partijiet terzi tal-ICT abbażi tal-informazzjoni li jirċievu mill-awtoritajiet kompetenti.

11.   Il-fornituri terz ta’ servizzi tal-ICT li mhumiex fil-lista msemmija fil-paragrafu 9 jistgħu jitolbu li jiġu iddeżinjati bħala kritiċi skont il-paragrafu 1, il-punt (a).

Għall-fini tal-ewwel subparagrafu, il-fornitur terz ta’ servizzi tal-ICT għandu jippreżenta applikazzjoni motivata lill-EBA, lill-ESMA jew lill-EIOPA, li, permezz tal-Kumitat Konġunt, għandhom jiddeċiedu jekk jiddeżinjawx lil dak il-fornitur terz ta’ servizzi tal-ICT bħala kritiku skont il-paragrafu 1, il-punt (a).

Id-deċiżjoni msemmija fit-tieni subparagrafu għandha tiġi adottata u nnotifikata lill-fornitur terz ta’ servizzi tal-ICT fi żmien 6 xhur minn meta tasal l-applikazzjoni.

12.   L-entitajiet finanzjarji għandhom jużaw biss is-servizzi ta’ fornitur terz ta’ servizzi tal-ICT stabbilit f’pajjiż terz u li jkun ġie ddeżinjat bħala kritiku f’konformità mal-paragrafu 1, il-punt (a), jekk dan ikun stabbilixxa sussidjarja fl-Unjoni fi żmien 12-il xahar wara d-deżinjazzjoni.

13.   Il-fornitur terz kritiku ta’ servizzi tal-ICT imsemmi fil-paragrafu 12 għandu jinnotifika lis-sorveljant ewlieni bi kwalunkwe bidla fl-istruttura tal-maniġment tas-sussidjarja stabbilita fl-Unjoni.

Artikolu 32

Struttura tal-Qafas ta’ Sorveljanza

1.   Il-Kumitat Konġunt, f’konformità mal-Artikolu 57(1) tar-Regolamenti (UE) Nru 1093/2010, (UE) Nru 1094/2010 u (UE) Nru 1095/2010, għandu jistabbilixxi l-Forum ta’ Sorveljanza bħala sottokumitat għall-finijiet ta’ appoġġ għall-ħidma tal-Kumitat Konġunt u s-Sorveljant Ewlieni msemmi fil-Artikolu 31(1), il-punt (b), fil-qasam tar-riskju relatat mal-ICT minn partijiet terzi fis-setturi finanzjarji kollha. Il-Forum ta’ Sorveljanza għandu jħejji l-abbozzi tal-pożizzjonijiet konġunti u l-abbozzi tal-atti komuni tal-Kumitat Konġunt f’dak il-qasam.

Il-Forum ta’ Sorveljanza għandu jiddiskuti regolarment l-iżviluppi rilevanti dwar ir-riskju u l-vulnerabbiltajiet tal-ICT u jippromwovi approċċ konsistenti fil-monitoraġġ tar-riskju tal-partijiet terzi tal-ICT fuq livell tal-Unjoni.

2.   Il-Forum ta’ Sorveljanza għandu, fuq bażi annwali, jwettaq valutazzjoni kollettiva tar-riżultati u s-sejbiet tal-attivitajiet ta’ sorveljanza mwettqa għall-fornituri terzi kritiċi kollha ta’ servizzi tal-ICT u jippromwovi miżuri ta’ koordinazzjoni biex tiżdied ir-reżiljenza operazzjonali diġitali tal-entitajiet finanzjarji, jitrawmu l-aħjar prattiki dwar l-indirizzar tar-riskju tal-konċentrazzjoni tal-ICT u jiġu esplorati mitiganti għat-trasferiment tar-riskju minn settur għall-ieħor.

3.   Il-Forum ta’ Sorveljanza għandu jippreżenta parametri referenzjarji komprensivi għal fornituri terzi kritiċi ta’ servizzi tal-ICT li għandhom jiġu adottati mill-Kumitat Konġunt bħala pożizzjonijiet konġunti tal-ASE skont l-Artikolu 56(1) tar-Regolamenti (UE) Nru 1093/2010, (UE) Nru 1094/2010 u (UE) Nru 1095/2010.

4.   Il-Forum ta’ Sorveljanza għandu jkun magħmul minn:

(a)

il-Presidenti tal-ASE;

(b)

rappreżentant wieħed ta’ livell għoli mill-persunal attwali tal-awtorità kompetenti rilevanti msemmija fl-Artikolu 46 minn kull Stat Membru;

(c)

id-Diretturi Eżekuttivi ta’ kull Awtorità Superviżorja Ewropeja u rappreżentant wieħed mill-Kummissjoni, mill-BERS, mill-BĊE u mill-ENISA bħala osservaturi;

(d)

fejn xieraq, rappreżentant addizzjonali wieħed ta’ awtorità kompetenti msemmija fl-Artikolu 46 minn kull Stat Membru bħala osservatur;

(e)

fejn applikabbli, rappreżentant wieħed tal-awtoritajiet kompetenti ddeżinjati jew stabbiliti f’konformità mad-Direttiva (UE) 2022/2555 responsabbli għas-superviżjoni ta’ entità essenzjali jew importanti soġġetta għal dik id-Direttiva, li jkun ġie ddeżinjat bħala fornitur terz kritiku ta’ servizzi tal-ICT, bħala osservatur.

Il-Forum ta’ Sorveljanza jista’, fejn xieraq, ifittex il-parir ta’ esperti indipendenti maħtura skont il-paragrafu 6.

5.   Kull Stat Membru għandu jiddeżinja l-awtorità kompetenti rilevanti li l-membru tal-persunal tagħha għandu jkun ir-rappreżentant ta’ livell għoli msemmi fil-paragrafu 4, l-ewwel subparagrafu, il-punt (b), u għandu jinforma lis-sorveljant ewlieni b’dan.

L-ASE għandhom jippubblikaw fuq is-sit web tagħhom il-lista tar-rappreżentanti ta’ livell għoli mill-persunal attwali tal-awtorità kompetenti rielvanti maħtura mill-Istati Membri.

6.   L-esperti indipendenti msemmija fil-paragrafu 4, it-tieni subparagrafu, għandhom jinħatru mill-Forum ta’ Sorveljanza minn grupp ta’ esperti magħżula wara proċess ta’ applikazzjoni pubbliku u trasparenti.

L-esperti indipendenti għandhom jinħatru abbażi tal-għarfien espert tagħhom dwar l-istabbiltà finanzjarja, ir-reżiljenza operazzjonali diġitali u kwistjonijiet ta’ sigurtà tal-ICT. Huma għandhom jaġixxu b’mod indipendenti u oġġettiv fl-interess uniku tal-Unjoni kollha kemm hi, u la għandhom jitolbu u lanqas jieħdu struzzjonijiet mill-istituzzjonijiet jew mill-korpi tal-Unjoni, minn kwalunkwe gvern ta’ Stat Membru jew minn kwalunkwe entità pubblika jew privata oħra.

7.   F’konformità mal-Artikolu 16 tar-Regolamenti (UE) Nru 1093/2010, (UE) Nru 1094/2010 u (UE) Nru 1095/2010, l-ASE għandhom sas-17 ta’ Lulju 2024 joħorġu, għall-finijiet ta’ din it-Taqsima, linji gwida dwar il-kooperazzjoni bejn l-ASE u l-awtoritajiet kompetenti li jkopru l-proċeduri dettaljati u l-kondizzjonijiet għat-tqassim u għat-twettiq tal-kompiti bejn l-awtoritajiet kompetenti u l-ASE u d-dettalji dwar l-iskambji ta’ informazzjoni li huma meħtieġa għall-awtoritajiet kompetenti biex jiżguraw is-segwitu tar-rakkomandazzjonijiet skont l-Artikolu 35(1), il-punt (d), indirizzati lill-fornituri terzi kritiċi ta’ servizzi tal-ICT.

8.   Ir-rekwiżiti li jinsabu f’din it-Taqsima għandhom ikunu mingħajr preġudizzju għall-applikazzjoni tad-Direttiva (UE) 2022/2555 u ta’ regoli oħra tal-Unjoni dwar is-sorveljanza applikabbli għall-fornituri ta’ servizzi ta’ cloud computing.

9.   L-ASE, permezz tal-Kumitat Konġunt u abbażi tal-ħidma preparatorja mwettqa mill-Forum ta’ Sorveljanza, għandhom, fuq bażi annwali, jippreżentaw rapport dwar l-applikazzjoni ta’ din it-Taqsima lill-Parlament Ewropew, lill-Kunsill u lill-Kummissjoni.

Artikolu 33

Kompiti tas-Sorveljant Ewlieni

1.   Is-sorveljant ewlieni, maħtur f’konformità mal-Artikolu 31(1), il-punt (b), għandu jwettaq is-sorveljanza tal-fornitur terz kritiku ta’ servizzi tal-ICT assenjat u għandu jkun, għall-finijiet tal-kwistjonijiet kollha marbuta mas-sorveljanza, il-punt primarju ta’ kuntatt għal dawk il-fornituri terzi kritiċi ta’ servizzi tal-ICT.

2.   Għall-finijiet tal-paragrafu 1, is-sorveljant ewlieni għandu jivvaluta jekk kull fornitur terz kritiku ta’ servizz tal-ICT għandux fis-seħħ regoli, proċeduri, mekkaniżmi u arranġamenti komprensivi, sodi u effettivi għall-ġestjoni tar-riskji tal-ICT li jista’ joħloq għall-entitajiet finanzjarji.

Il-valutazzjoni msemmija fl-ewwel subparagrafu għandha tiffoka prinċipalment fuq is-servizzi tal-ICT ipprovduti mill-fornitur terz kritiku ta’ servizzi tal-ICT li jappoġġja l-funzjonijiet kritiċi jew importanti tal-entitajiet finanzjarji. Fejn meħtieġ biex jiġu indirizzati r-riskji rilevanti kollha, dik il-valutazzjoni għandha testendi għas-servizzi tal-ICT li jappoġġjaw funzjonijiet oħra għajr dawk li huma kritiċi jew importanti.

3.   Il-valutazzjoni msemmija fil-paragrafu 2 għandha tkopri:

(a)

ir-rekwiżiti tal-ICT biex jiġu żgurati, b’mod partikolari, is-sigurtà, id-disponibbiltà, il-kontinwità, l-iskalabbiltà u l-kwalità tas-servizzi li jipprovdi l-fornitur terz kritiku ta’ servizzi tal-ICT lill-entitajiet finanzjarji, kif ukoll il-kapaċità li f’kull ħin jinżammu standards għolja ta’ disponibbiltà, awtentiċità, integrità jew kunfidenzjalità;

(b)

is-sigurtà fiżika li tikkontribwixxi għall-iżgurar tas-sigurtà tal-ICT, inkluża s-sigurtà tal-bini, tal-faċilitajiet u taċ-ċentri tad-data;

(c)

il-proċessi tal-ġestjoni tar-riskju, inkluż il-politiki tal-ġestjoni tar-riskju tal-ICT, il-politiki ta’ kontinwità tal-operat tal-ICT u l-pjanijiet ta’ rispons u rkupru tal-ICT;

(d)

l-arranġamenti ta’ governanza, inkluża struttura organizzazzjonali b’linji ċari, trasparenti u konsistenti ta’ responsabbiltà u akkontabbiltà li jippermettu ġestjoni effettiva tar-riskju tal-ICT;

(e)

l-identifikazzjoni, il-monitoraġġ u r-rapportar fil-pront ta’ inċidenti materjali relatati mal-ICT lill-entitajiet finanzjarji, il-ġestjoni u r-riżoluzzjoni ta’ dawk l-inċidenti, b’mod partikolari ċ-ċiberattakki;

(f)

il-mekkaniżmi għall-portabbiltà tad-data, il-portabbiltà u l-interoperabbiltà tal-applikazzjonijiet, li jiżguraw eżerċitar effettiv tad-drittijiet ta’ terminazzjoni mill-entitajiet finanzjarji;

(g)

l-ittestjar tas-sistemi, tal-infrastruttura u tal-kontrolli tal-ICT;

(h)

l-awditi tal-ICT;

(i)

l-użu ta’ standards nazzjonali u internazzjonali rilevanti applikabbli għall-forniment tas-servizzi tal-ICT lill-entitajiet finanzjarji.

4.   Abbażi tal-valutazzjoni msemmija fil-paragrafu 2, u f’koordinazzjoni man-Netwerk Konġunt ta’ Sorveljanza (JON) imsemmi fl-Artikolu 34(1), is-Sorveljant Ewlieni għandu jadotta pjan ta’ sorveljanza individwali li jkun ċar, dettaljat u motivat li jiddeskrivi l-objettivi annwali tas-sorveljanza u l-azzjonijiet ewlenin ippjanati għal kull fornitur terz kritiku ta’ servizzi tal-ICT. Dak il-pjan għandu jiġi kkomunikat kull sena lill-fornitur terz kritiku ta’ servizzi tal-ICT.

Qabel l-adozzjoni tal-pjan ta’ sorveljanza, is-sorveljant ewlieni għandu jikkomunika l-abbozz tal-pjan ta’ sorveljanza lill-fornitur terz kritiku ta’ servizzi tal-ICT.

Malli jirċievi l-abbozz tal-pjan ta’ sorveljanza, il-fornitur terz kritiku ta’ servizzi tal-ICT jista’ jippreżenta dikjarazzjoni motivata fi żmien 15-il jum kalendarji li turi l-impatt mistenni fuq il-klijenti li huma entitajiet barra mill-kamp ta’ applikazzjoni ta’ dan ir-Regolament u fejn xieraq, jifformula soluzzjonijiet biex jittaffew ir-riskji.

5.   Ladarba l-pjanijiet annwali ta’ sorveljanza msemmija fil-paragrafu 4 ikunu ġew adottati u nnotifikati lill-fornituri terzi kritiċi ta’ servizzi tal-ICT, l-awtoritajiet kompetenti jistgħu jieħdu miżuri li jikkonċernaw tali fornituri terzi kritiċi ta’ servizzi tal-ICT bi qbil mas-sorveljant ewlieni biss.

Artikolu 34

Koordinazzjoni operazzjonali bejn is-Sorveljanti Ewlenin

1.   Sabiex jiġi żgurat approċċ konsistenti għall-attivitajiet ta’ sorveljanza u bil-ħsieb li jiġu permessi strateġiji ta’ sorveljanza ġenerali kkoordinati u approċċi operazzjonali u metodoloġiji ta’ ħidma koeżivi, it-tliet Sorveljanti Ewlenin maħtura f’konformità mal-Artikolu 31(1), il-punt (b), għandhom jistabbilixxu JON biex jikkoordinaw bejniethom fl-istadji preparatorji u biex jikkoordinaw it-tmexxija tal-attivitajiet ta’ sorveljanza fuq il-fornituri terzi kritiċi ta’ servizzi tal-ICT issorveljati rispettivi tagħhom, kif ukoll waqt kwalunkwe azzjoni li tista’ tkun meħtieġa skont l-Artikolu 42.

2.   Għall-finijiet tal-paragrafu 1, is-Sorveljanti Ewlenin għandhom ifasslu protokoll ta’ sorveljanza komuni li jispeċifika l-proċeduri dettaljati li jridu jiġu segwiti għat-twettiq tal-koordinazzjoni ta’ kuljum u għall-iżgurar ta’ skambji u reazzjonijiet rapidi. Il-protokoll għandu jiġi rivedut perjodikament biex jirrifletti l-ħtiġijiet operazzjonali, b’mod partikolari l-evoluzzjoni tal-arranġamenti prattiċi ta’ sorveljanza.

3.   Is-Sorveljanti Ewlenin jistgħu, fuq bażi ad hoc, jitolbu lill-BĊE u lill-ENISA jipprovdu parir tekniku, jikkondividu l-esperjenza prattika jew jieħdu sehem f’laqgħat speċifiċi ta’ koordinazzjoni tal-JON.

Artikolu 35

Setgħat tas-Sorveljant Ewlieni

1.   Għall-finijiet tat-twettiq tad-dmirijiet stabbiliti f’din it-Taqsima, is-Sorveljant Ewlieni għandu jkollu s-setgħat li ġejjin fir-rigward tal-fornituri terzi kritiċi ta’ servizzi tal-ICT:

(a)

li jitlob l-informazzjoni u d-dokumentazzjoni rilevanti kollha f’konformità mal-Artikolu 37;

(b)

li jwettaq investigazzjonijiet u spezzjonijiet ġenerali f’konformità mal-Artikoli 38 u 39, rispettivament;

(c)

li jitlob, wara t-tlestija tal-attivitajiet ta’ sorveljanza, rapporti li jispeċifikaw l-azzjonijiet li ttieħdu jew ir-rimedji li ġew implimentati mill-fornituri terzi kritiċi ta’ servizzi tal-ICT b’rabta mar-rakkomandazzjonijiet imsemmija fil-punt (d) ta’ dan il-paragrafu;

(d)

li joħroġ rakkomandazzjonijiet dwar l-oqsma msemmija fl-Artikolu 33(3), b’mod partikolari li jikkonċerna dan li ġej:

(i)

l-użu ta’ rekwiżiti jew proċessi speċifiċi ta’ sigurtà u kwalità tal-ICT, b’mod partikolari b’rabta mal-introduzzjoni ta’ patches, aġġornamenti, kriptaġġ u miżuri ta’ sigurtà oħra li s-Sorveljant Ewlieni jqis rilevanti biex tiġi żgurata s-sigurtà tal-ICT tas-servizzi pprovduti lill-entitajiet finanzjarji;

(ii)

l-użu ta’ kondizzjonijiet u termini, inkluż l-implimentazzjoni teknika tagħhom, li skonthom il-fornituri terzi kritiċi ta’ servizzi tal-ICT jipprovdu servizzi tal-ICT lil entitajiet finanzjarji, li s-Sorveljant Ewlieni jqis rilevanti għall-prevenzjoni tal-ġenerazzjoni ta’ punti uniċi ta’ falliment, l-amplifikazzjoni tagħhom, jew biex jiġi minimizzat l-impatt sistemiku possibbli fis-settur finanzjarju kollu tal-Unjoni f’każ ta’ riskju ta’ konċentrazzjoni tal-ICT;

(iii)

kwalunkwe sottokuntrattar ippjanat, fejn is-Sorveljant Ewlieni jqis li sottokuntrattar ulterjuri, inkluż arranġamenti ta’ sottokuntrattar li l-fornituri terzi kritiċi ta’ servizzi tal-ICT jippjanaw li jidħlu fihom ma’ fornituri terzi ta’ servizzi tal-ICT jew ma’ sottokuntratturi tal-ICT stabbiliti f’pajjiż terz, jista’ jiskatta riskji għall-forniment ta’ servizzi mill-entità finanzjarja, jew riskji għall-istabbiltà finanzjarja, abbażi tal-eżaminazzjoni tal-informazzjoni miġbura f’konformità mal-Artikoli 37 u 38;

(iv)

l-astensjoni mid-dħul f’arranġament ta’ sottokuntrattar ulterjuri, fejn jiġu ssodisfati l-kondizzjonijiet kumulattivi li ġejjin:

is-sottokuntrattur previst ikun fornitur terz ta’ servizzi tal-ICT jew sottokuntrattur tal-ICT stabbilit f’pajjiż terz;

is-sottokuntrattar jikkonċerna funzjonijiet kritiċi jew importanti tal-entità finanzjarja; u

is-Sorveljant Ewlieni jqis li l-użu ta’ tali sottokuntrattar joħloq riskju ċar u serju għall-istabbiltà finanzjarja tal-Unjoni jew għall-entitajiet finanzjarji, inkluż għall-kapaċità tal-entitajiet finanzjarji li jikkonformaw mar-rekwiżiti superviżorji.

Għall-fini tal-punt (iv) ta’ dan il-punt, il-fornituri terzi ta’ servizzi tal-ICT għandhom, bl-użu tal-mudell imsemmi fl-Artikolu 41(1), il-punt (b), jibagħtu l-informazzjoni rigward is-sottokuntrattar lis-Sorveljant Ewlieni.

2.   Meta jeżerċita s-setgħat imsemmija f’dan l-Artikolu, is-Sorveljant Ewlieni għandu:

(a)

jiżgura koordinazzjoni regolari fi ħdan il-JON, u b’mod partikolari għandu jfittex approċċi konsistenti, kif xieraq, fir-rigward tas-sorveljanza ta’ fornituri terzi kritiċi ta’ servizzi tal-ICT;

(b)

iqis b’mod xieraq il-qafas stabbilit mid-Direttiva (UE) 2022/2555 u, fejn meħtieġ, jikkonsulta mal-awtoritajiet kompetenti rilevanti ddeżinjati jew stabbiliti f’konformità ma’dik id-Direttiva, sabiex tiġi evitata duplikazzjoni tal-miżuri tekniċi u organizzazzjonali li jistgħu japplikaw għal fornituri terzi kritiċi ta’ servizzi tal-ICT skont dik id-Direttiva;

(c)

jipprova jimminimizza, sa fejn ikun possibbli, ir-riskju ta’ tfixkil fis-servizzi pprovduti minn fornituri terzi kritiċi ta’ servizzi tal-ICT lil klijenti li huma entitajiet li jaqgħu barra mill-kamp ta’ applikazzjoni ta’ dan ir-Regolament.

3.   Is-Sorveljant Ewlieni għandu jikkonsulta mal-Forum ta’ Sorveljanza qabel ma jeżerċita s-setgħat imsemmija fil-paragrafu 1.

Qabel ma joħroġ ir-rakkomandazzjonijiet f’konformità mal-paragrafu 1, il-punt (d), is-Sorveljant Ewlieni għandu jagħti l-opportunità lill-fornitur terz ta’ servizzi tal-ICT jipprovdi, fi żmien 30 jum kalendarju, l-informazzjoni rilevanti li turi l-impatt mistenni fuq klijenti li huma entitajiet li jaqgħu barra mill-kamp ta’ applikazzjoni ta’ dan ir-Regolament u, fejn xieraq, li jifformula soluzzjonijiet biex jittaffew ir-riskji.

4.   Is-Sorveljant Ewlieni għandu jinforma lill-JON bl-eżitu tal-eżerċizzju tas-setgħat imsemmija fil-paragrafu 1, il-punti (a) u (b). Is-Sorveljant Ewlieni għandu, mingħajr dewmien żejjed, jibgħat ir-rapporti msemmija fil-paragrafu 1, il-punt (c), lill-JON u lill-awtoritajiet kompetenti tal-entitajiet finanzjarji li jużaw is-servizzi tal-ICT ta’ dak il-fornitur terz kritiku ta’ servizzi tal-ICT.

5.   Il-fornituri terzi kritiċi ta’ servizzi tal-ICT għandhom jikkooperaw in bona fide mas-Sorveljant Ewlieni, u jassistuh fit-twettiq tal-kompiti tiegħu.

6.   F’każ ta’ nuqqas ta’ konformità sħiħa jew parzjali mal-miżuri meħtieġa li għandhom jittieħdu skont l-eżerċizzju tas-setgħat skont il-paragrafu 1, il-punti (a), (b) u (c), u wara l-iskadenza ta’ perjodu ta’ mill-inqas 30 jum kalendarju mid-data li fiha l-fornitur terz kritiku ta’ servizzi tal-ICT ikun irċieva n-notifika tal-miżuri rispettivi, is-Sorveljant Ewlieni għandu jadotta deċiżjoni li timponi pagament perjodiku ta’ penali biex iġiegħel lill-fornitur terz kritiku ta’ servizzi tal-ICT jikkonforma ma’ dawk il-miżuri.

7.   Il-pagament perjodiku ta’ penali msemmi fil-paragrafu 6 għandu jiġi impost fuq bażi ta’ kuljum sakemm tinkiseb il-konformità u għal mhux aktar minn perjodu ta’ sitt xhur wara n-notifika tad-deċiżjoni li timponi pagament perjodiku ta’ penali lill-fornitur terz kritiku ta’ servizzi tal-ICT.

8.   L-ammont tal-pagament perjodiku ta’ penali, ikkalkulat mid-data stipulata fid-deċiżjoni li timponi l-pagament perjodiku ta’ penali, għandu jkun sa 1 % tal-fatturat medju globali ta’ kuljum tal-fornitur terz kritiku ta’ servizzi tal-ICT fis-sena kummerċjali preċedenti. Meta jiddetermina l-ammont tal-pagament ta’ penali, is-Sorveljant Ewlieni għandu jqis il-kriterji li ġejjin rigward in-nuqqas ta’ konformità mal-miżuri msemmija fil-paragrafu 6:

(a)

il-gravità u t-tul ta’ żmien tan-nuqqas ta’ konformità;

(b)

jekk in-nuqqas ta’ konformità twettaqx intenzjonalment jew b’negliġenza;

(c)

il-livell ta’ kooperazzjoni tal-fornitur terz ta’ servizzi tal-ICT mas-Sorveljant Ewlieni.

Għall-finijiet tal-ewwel subparagrafu, sabiex jiġi żgurat approċċ konsistenti, is-Sorveljant Ewlieni għandu jidħol f’konsultazzjoni fi ħdan il-JON.

9.   Il-pagamenti ta’ penali għandhom ikunu ta’ natura amministrattiva u għandhom ikunu infurzabbli. L-infurzar għandu jkun irregolat mir-regoli ta’ proċedura ċivili fis-seħħ fl-Istat Membru li fit-territorju tiegħu għandhom jitwettqu l-ispezzjonijiet u l-aċċess. Il-qrati tal-Istat Membru kkonċernat għandu jkollhom ġuriżdizzjoni fuq l-ilmenti relatati mat-twettiq irregolari tal-infurzar. L-ammonti tal-pagamenti ta’ penali għandhom jiġu allokati lill-baġit ġenerali tal-Unjoni Ewropea.

10.   Is-Sorveljant Ewlieni għandu jiżvela lill-pubbliku kull pagament perjodiku ta’ penali li jkun ġie impost, sakemm tali divulgazzjoni ma tipperikolax serjament is-swieq finanzjarji jew tikkawżax dannu sproporzjonat lill-partijiet involuti.

11.   Qabel ma jimponi pagament perjodiku ta’ penali skont il-paragrafu 6, is-Sorveljant Ewlieni għandu jagħti lir-rappreżentanti tal-fornitur terz kritiku ta’ servizzi tal-ICT soġġett għall-proċedimenti l-opportunità li jinstema’ dwar is-sejbiet u għandu jibbaża d-deċiżjonijiet tiegħu biss fuq sejbiet li dwarhom il-fornitur terz kritiku tas-servizzi tal-ICT soġġett għall-proċedimenti kellu l-opportunità li jikkummenta dwarhom.

Id-drittijiet tad-difiża tal-persuni soġġetti għall-proċedimenti għandhom jiġu rispettati bis-sħiħ fil-proċedimenti. Il-fornitur terz kritiku ta’ servizzi tal-ICT soġġett għall-proċedimenti għandu jkunu intitolat ikollu aċċess għall-fajl, soġġett għall-interess leġittimu ta’ persuni oħra fil-protezzjoni tas-sigrieti kummerċjali tagħhom. Id-dritt ta’ aċċess għall-fajl ma għandux jestendi għal informazzjoni kunfidenzjali jew għad-dokumenti preparatorji interni tas-Sorveljant Ewlieni.

Artikolu 36

Eżerċizzju tas-setgħat tas-Sorveljant Ewlieni barra l-Unjoni

1.   Meta l-objettivi ta’ sorveljanza ma jkunux jistgħu jintlaħqu permezz ta’ interazzjoni mal-istruttura sussidjarja għall-fini tal-Artikolu 31(12), jew billi jiġu eżerċitati attivitajiet ta’ sorveljanza f’bini li jinsab fl-Unjoni, is-Sorveljant Ewlieni jista’ jeżerċita s-setgħat, imsemmija fid-dispożizzjonijiet li ġejjin, fi kwalunkwe bini li jinsab f’pajjiż terz li jkun proprjetà, jew jintuża bi kwalunkwe mod, għall-finijiet tal-forniment ta’ servizzi lil entitajiet finanzjarji tal-Unjoni, minn fornitur terz kritiku ta’ servizzi tal-ICT, b’rabta mal-operazzjonijiet, il-funzjonijiet jew is-servizzi tan-negozju tiegħu, inkluż kwalunkwe uffiċċju, bini, art jew proprjetà oħra amministrattiva, tan-negozju jew operazzjonali:

(a)

fl-Artikolu 35(1), il-punt (a); u

(b)

fl-Artikolu 35(1), il-punt (b), f’konformità mal-Artikolu 38(2), il-punti (a), (b) u (d), u fl-Artikolu 39(1) u (2), il-punt (a).

Is-setgħat imsemmija fl-ewwel subparagrafu jistgħu jiġu eżerċitati soġġett għall-kondizzjonijiet kollha li ġejjin:

(i)

it-twettiq ta’ spezzjoni f’pajjiż terz jitqies meħtieġ mis-Sorveljant Ewlieni biex ikun jista’ jwettaq bis-sħiħ u b’mod effettiv id-dmirijiet tiegħu skont dan ir-Regolament;

(ii)

l-ispezzjoni f’pajjiż terz tkun direttament relatata mal-forniment ta’ servizzi tal-ICT lil entitajiet finanzjarji fl-Unjoni;

(iii)

il-fornitur terz kritiku ta’ servizzi tal-ICT ikkonċernat jagħti l-kunsens għat-twettiq ta’ spezzjoni f’pajjiż terz; u

(iv)

l-awtorità rilevanti tal-pajjiż terz ikkonċernat tkun ġiet notifikata b’mod uffiċjali mis-Sorveljant Ewlieni u ma qajmet l-ebda oġġezzjoni għaliha.

2.   Mingħajr preġudizzju għall-kompetenzi rispettivi tal-istituzzjonijiet tal-Unjoni u tal-Istati Membri, għall-finijiet tal-paragrafu 1, l-EBA, l-ESMA jew l-EIOPA għandha tikkonkludi arranġamenti ta’ kooperazzjoni amministrattiva mal-awtorità rilevanti tal-pajjiż terz sabiex tippermetti t-twettiq bla xkiel ta’ spezzjonijiet fil-pajjiż terz ikkonċernat mis-Sorveljant Ewlieni u t-tim iddeżinjat tiegħu għall-missjoni tiegħu f’dak il-pajjiż terz. Dawk l-arranġamenti ta’ kooperazzjoni ma għandhomx joħolqu obbligi legali fir-rigward tal-Unjoni u l-Istati Membri tagħha u lanqas ma għandhom jipprevjenu lill-Istati Membri u l-awtoritajiet kompetenti tagħhom milli jikkonkludu arranġamenti bilaterali jew multilaterali ma’ dawk il-pajjiżi terzi u l-awtoritajiet rilevanti tagħhom.

Dawk l-arranġamenti ta’ kooperazzjoni għandhom jispeċifikaw mill-inqas l-elementi li ġejjin:

(a)

il-proċeduri għall-koordinazzjoni tal-attivitajiet ta’ sorveljanza mwettqa skont dan ir-Regolament u kwalunkwe monitoraġġ analogu tar-riskju ta’ parti terza tal-ICT fis-settur finanzjarju eżerċitat mill-awtorità rilevanti tal-pajjiż terz ikkonċernat, inkluż id-dettalji għat-trażmissjoni tal-ftehim ta’ dan tal-aħħar li jippermetti t-twettiq, mis-Sorveljant Ewlieni u t-tim iddeżinjat tiegħu, ta’ investigazzjonijiet ġenerali u spezzjonijiet fuq il-post kif imsemmi fil-paragrafu 1, l-ewwel subparagrafu, fit-territorju taħt il-ġuriżdizzjoni tiegħu;

(b)

il-mekkaniżmu għat-trażmissjoni ta’ kwalunkwe informazzjoni rilevanti bejn l-EBA, l-ESMA jew l-EIOPA u l-awtorità rilevanti tal-pajjiż terz ikkonċernat, b’mod partikolari b’rabta mal-informazzjoni li tista’ tintalab mis-Sorveljant Ewlieni skont l-Artikolu 37;

(c)

il-mekkaniżmi għan-notifika fil-pront mill-awtorità rilevanti tal-pajjiż terz ikkonċernat lill-EBA, lill-ESMA jew lill-EIOPA ta’ każijiet fejn fornitur terz ta’ servizzi tal-ICT stabbilit f’pajjiż terz u ddeżinjat bħala kritiku f’konformità mal-Artikolu 31(1), il-punt (a), jitqies li kiser ir-rekwiżiti li magħhom huwa obbligat jaderixxi skont il-liġi applikabbli tal-pajjiż terz ikkonċernat meta jipprovdi servizzi lil istituzzjonijiet finanzjarji f’dak il-pajjiż terz, kif ukoll ir-rimedji u l-penalitajiet applikati;

(d)

it-trażmissjoni regolari ta’ aġġornamenti dwar l-iżviluppi regolatorji jew superviżorji rigward il-monitoraġġ tar-riskju ta’ partijiet terzi tal-ICT tal-istituzzjonijiet finanzjarji fil-pajjiż terz ikkonċernat;

(e)

id-dettalji li jippermettu, jekk meħtieġ, il-parteċipazzjoni ta’ rappreżentant wieħed tal-awtorità rilevanti tal-pajjiż terz fl-ispezzjonijiet imwettqa mis-Sorveljant Ewlieni u t-tim iddeżinjat.

3.   Meta s-Sorveljant Ewlieni ma jkunx jista’ jwettaq attivitajiet ta’ sorveljanza barra mill-Unjoni, imsemmija fil-paragrafi 1 u 2, is-Sorveljant Ewlieni għandu:

(a)

jeżerċita s-setgħat tiegħu skont l-Artikolu 35 abbażi tal-fatti u d-dokumenti kollha disponibbli għalih;

(b)

jiddokumenta u jispjega kwalunkwe konsegwenza tal-inabbiltà tiegħu li jwettaq l-attivitajiet ta’ sorveljanza previsti kif imsemmi f’dan l-Artikolu.

Il-konsegwenzi potenzjali msemmija fil-punt (b) ta’ dan il-paragrafu għandhom jitqiesu fir-rakkomandazzjonijiet tas-Sorveljant Ewlieni maħruġa skont l-Artikolu 35(1), il-punt (d).

Artikolu 37

Talba għal informazzjoni

1.   Is-Sorveljant Ewlieni jista’, permezz ta’ talba sempliċi jew b’deċiżjoni, jitlob lill-fornituri terzi kritiċi ta’ servizzi tal-ICT jipprovdu l-informazzjoni kollha li hija meħtieġa biex is-Sorveljant Ewlieni jwettaq dmirijietu skont dan ir-Regolament, inkluż id-dokumenti operazzjonali jew tan-negozju rilevanti kollha, il-kuntratti, il-politiki, id-dokumentazzjoni, ir-rapporti tal-awditjar tas-sigurtà tal-ICT, ir-rapporti tal-inċidenti relatati mal-ICT, kif ukoll kwalunkwe informazzjoni relatata mal-partijiet li lilhom il-fornitur terz kritiku tas-servizzi tal-ICT ikun esternalizza funzjonijiet jew attivitajiet operazzjonali.

2.   Meta jibgħat talba sempliċi għall-informazzjoni skont il-paragrafu 1, is-Sorveljant Ewlieni għandu:

(a)

jirreferi għal dan l-Artikolu bħala l-bażi legali tat-talba;

(b)

jiddikjara l-għan tat-talba;

(c)

jispeċifika liema informazzjoni hija meħtieġa;

(d)

jistabbilixxi limitu ta’ żmien li fih għandha tiġi pprovduta l-informazzjoni;

(e)

jinforma lir-rappreżentant tal-fornitur terz kritiku ta’ servizzi tal-ICT li mingħandu tintalab l-informazzjoni li mhuwiex obbligat jipprovdi l-informazzjoni, iżda li f’każ ta’ tweġiba volontarja għat-talba, l-informazzjoni pprovduta ma tridx tkun skorretta jew qarrieqa.

3.   Meta jitlob permezz ta’ deċiżjoni li tiġi pprovduta l-informazzjoni skont il-paragrafu 1, is-Sorveljant Ewlieni għandu:

(a)

jirreferi għal dan l-Artikolu bħala l-bażi legali tat-talba;

(b)

jiddikjara l-għan tat-talba;

(c)

jispeċifika liema informazzjoni hija meħtieġa;

(d)

jistabbilixxi limitu ta’ żmien li fih għandha tiġi pprovduta l-informazzjoni;

(e)

jindika l-pagamenti perjodiċi ta’ penali previsti fl-Artikolu 35(6) fejn l-informazzjoni meħtieġa mogħtija ma tkunx kompluta jew meta tali informazzjoni ma tiġix ipprovduta fil-limitu ta’ żmien imsemmi fil-punt (d) ta’ dan il-paragrafu;

(f)

jindika d-dritt għal appell tad-deċiżjoni lill-Bord tal-Appell tal-ASE u għad-dritt li d-deċiżjoni tiġi rieżaminata mill-Qorti tal-Ġustizzja tal-Unjoni Ewropea (“il-Qorti tal-Ġustizzja”) f’konformità mal-Artikoli 60 u 61 tar-Regolamenti (UE) Nru 1093/2010, (UE) Nru 1094/2010 u (UE) Nru 1095/2010.

4.   Ir-rappreżentanti tal-fornituri terzi kritiċi ta’ servizzi tal-ICT għandhom jipprovdu l-informazzjoni mitluba. L-avukati debitament awtorizzati jaġixxu jistgħu jfornu l-informazzjoni f’isem il-klijenti tagħhom. Il-fornitur terz kritiku ta’ servizzi tal-ICT għandu jibqa’ kompletament responsabbli jekk l-informazzjoni mogħtija ma tkunx kompleta, tkun skorretta jew qarrieqa.

5.   Is-Sorveljant Ewlieni għandu, mingħajr dewmien, jibgħat kopja tad-deċiżjoni biex iforni informazzjoni lill-awtoritajiet kompetenti tal-entitajiet finanzjarji li jużaw is-servizzi tal-fornituri terzi kritiċi ta’ servizzi tal-ICT rilevanti u lill-JON.

Artikolu 38

Investigazzjonijiet ġenerali

1.   Sabiex iwettaq dmirijietu skont dan ir-Regolament, is-Sorveljant Ewlieni, assistit mit-tim konġunt tal-eżaminazzjoni msemmi fl-Artikolu 40(1), jista’, fejn meħtieġ, iwettaq l-investigazzjonijiet tal-fornituri terzi kritiċi ta’ servizzi tal-ICT.

2.   Is-Sorveljant Ewlieni għandu jkollu s-setgħa li:

(a)

jeżamina r-rekords, id-data, il-proċeduri u kwalunkwe materjal ieħor rilevanti għat-twettiq tal-kompiti tiegħu, irrispettivament mill-mezz li fuqu jkunu maħżuna;

(b)

jieħu jew jikseb kopji ċċertifikati ta’, jew siltiet minn, tali rekords, data, proċeduri dokumentati u kwalunkwe materjal ieħor;

(c)

isejjaħ ir-rappreżentanti tal-fornitur terz kritiku ta’ servizzi tal-ICT għal spjegazzjonijiet bil-fomm jew bil-miktub dwar fatti jew dokumenti relatati mas-suġġett u mal-fini tal-investigazzjoni u biex jirreġistra t-tweġibiet;

(d)

jintervista kwalunkwe persuna fiżika jew ġuridika oħra li tagħti l-kunsens biex tiġi intervistata għall-fini tal-ġbir ta’ informazzjoni relatata mas-suġġett ta’ investigazzjoni;

(e)

jitlob rekords tat-traffiku tat-telefon u tad-data.

3.   L-uffiċjali u persuni oħra awtorizzati mis-Sorveljant Ewlieni għall-finijiet tal-investigazzjoni msemmija fil-paragrafu 1 għandhom jeżerċitaw is-setgħat tagħhom billi jippreżentaw awtorizzazzjoni bil-miktub li tispeċifika s-suġġett u l-fini tal-investigazzjoni.

Dik l-awtorizzazzjoni għandha tindika wkoll il-pagamenti perjodiċi ta’ penali previsti fl-Artikolu 35(6) fejn il-produzzjoni tar-rekords, id-data, il-proċeduri dokumentati jew kwalunkwe materjal ieħor meħtieġ, jew it-tweġibiet għall-mistoqsijiet li jsiru lir-rappreżentanti tal-fornitur terz tas-servizzi tal-ICT ma jiġux ipprovduti jew ma jkunux kompluti.

4.   Ir-rappreżentanti tal-fornituri terzi kritiċi ta’ servizzi tal-ICT huma meħtieġa jissottomettu ruħhom għall-investigazzjonijiet abbażi ta’ deċiżjoni tas-Sorveljant Ewlieni. Id-deċiżjoni għandha tispeċifika s-suġġett u l-fini tal-investigazzjoni, il-pagamenti perjodiċi ta’ penali previsti fl-Artikolu 35(6), ir-rimedji legali disponibbli skont ir-Regolamenti (UE) Nru 1093/2010, (UE) Nru 1094/2010 u (UE) Nru 1095/2010 u d-dritt għal rieżami tad-deċiżjoni mill-Qorti tal-Ġustizzja.

5.   Fi żmien xieraq qabel il-bidu tal-investigazzjoni, is-Sorveljant Ewlieni għandu jinforma lill-awtoritajiet kompetenti tal-entitajiet finanzjarji li jużaw is-servizzi tal-ICT ta’ dak il-fornitur terz kritiku ta’ servizzi tal-ICT dwar l-investigazzjoni prevista u dwar l-identità tal-persuni awtorizzati.

Is-Sorveljant Ewlieni għandu jikkomunika lill-JON l-informazzjoni kollha trażmessa skont l-ewwel subparagrafu.

Artikolu 39

Spezzjonijiet

1.   Sabiex iwettaq dmirijietu skont dan ir-Regolament, is-Sorveljant Ewlieni, assistit mit-timijiet konġunti tal-eżaminazzjoni msemmija fl-Artikolu 40(1), jista’ jidħol fi, u jwettaq l-ispezzjonijiet kollha meħtieġa fuq il-post fi kwalunkwe bini, art jew proprjetà tan-negozju tal-fornituri terzi ta’ servizzi tal-ICT, bħal uffiċċji prinċipali, ċentri tal-operazzjonijiet, bini sekondarju, kif ukoll iwettaq spezzjonijiet mhux fuq il-post.

Għall-finijiet tal-eżerċizzju tas-setgħat imsemmija fl-ewwel subparagrafu, is-Sorveljant Ewlieni għandu jikkonsulta mal-JON.

2.   L-uffiċjali u persuni oħra awtorizzati mis-Sorveljant Ewlieni biex iwettqu spezzjoni fuq il-post għandu jkollhom is-setgħa li:

(a)

jidħlu fi kwalunkwe tali bini, art jew proprjetà tan-negozju; u

(b)

jissiġillaw kwalunkwe tali bini tan-negozju, kotba jew rekords, sal-punt meħtieġ u sakemm iddum l-ispezzjoni.

L-uffiċjali u persuni oħra awtorizzati mis-Sorveljant Ewlieni għandhom jeżerċitaw is-setgħat tagħhom billi jipproduċu awtorizzazzjoni bil-miktub li tispeċifika s-suġġett u l-għan tal-ispezzjoni, u l-pagamenti perjodiċi ta’ penali previsti fl-Artikolu 35(6) fejn ir-rappreżentanti tal-fornituri terzi kritiċi ta’ servizzi tal-ICT ikkonċernati ma jissottomettux ruħhom għall-ispezzjoni.

3.   Fi żmien xieraq qabel il-bidu tal-ispezzjoni, is-Sorveljant Ewlieni għandu jinforma lill-awtoritajiet kompetenti dwar l-entitajiet finanzjarji li jużaw dak il-fornitur terz ta’ servizzi tal-ICT.

4.   L-ispezzjonijiet għandhom ikopru l-firxa sħiħa ta’ sistemi, networks, apparat, informazzjoni u data rilevanti tal-ICT li jintużaw jew jikkontribwixxu għall-forniment ta’ servizzi tal-ICT lil entitajiet finanzjarji.

5.   Qabel kwalunkwe spezzjoni ppjanata fuq il-post, is-Sorveljant Ewlieni għandu jagħti avviż raġonevoli lill-fornituri terzi kritiċi ta’ servizzi tal-ICT, sakemm tali avviż ma jkunx possibbli minħabba sitwazzjoni ta’ emerġenza jew kriżi, jew jekk dan iwassal għal sitwazzjoni fejn l-ispezzjoni jew l-awditu ma jibqax effettiv.

6.   Il-fornitur terz kritiku ta’ servizzi tal-ICT għandu jissottometti għall-ispezzjonijiet fuq il-post ordnati b’deċiżjoni tas-Sorveljant Ewlieni. Id-deċiżjoni għandha tispeċifika s-suġġett u l-għan tal-ispezzjoni, tistabbilixxi d-data ta’ meta l-ispezzjoni għandha tibda’ u għandha tindika l-pagamenti perjodiċi ta’ penali previsti fl-Artikolu 35(6), ir-rimedji legali disponibbli skont ir-Regolamenti (UE) Nru 1093/2010, (UE) Nru 1094/2010 u (UE) Nru 1095/2010, kif ukoll id-dritt għal rieżami tad-deċiżjoni mill-Qorti tal-Ġustizzja.

7.   Fejn l-uffiċjali u persuni oħra awtorizzati mis-Sorveljant Ewlieni jsibu li fornitur terz kritiku ta’ servizzi tal-ICT jopponi spezzjoni ordnata skont dan l-Artikolu, is-Sorveljant Ewlieni għandu jinforma lill-fornitur terz kritiku ta’ servizzi tal-ICT dwar il-konsegwenzi ta’ tali oppożizzjoni, inkluż il-possibbiltà li l-awtoritajiet kompetenti tal-entitajiet finanzjarji rilevanti jeżiġu li entitajiet finanzjarji jtemmu l-arranġamenti kuntrattwali konklużi ma’ dak il-fornitur terz kritiku ta’ servizzi tal-ICT.

Artikolu 40

Sorveljanza kontinwa

1.   Meta jwettaq attivitajiet ta’ sorveljanza, b’mod partikolari investigazzjonijiet ġenerali jew spezzjonijiet, is-Sorveljant Ewlieni għandu jkun assistit minn tim konġunt tal-eżaminazzjoni stabbilit għal kull fornitur terz kritiku ta’ servizz tal-ICT.

2.   It-tim konġunt tal-eżaminazzjoni msemmi fil-paragrafu 1 għandu jkun magħmul minn membri tal-persunal minn:

(a)

l-ASE;

(b)

l-awtoritajiet kompetenti rilevanti li jissorveljaw l-entitajiet finanzjarji li lilhom il-fornitur terz kritiku ta’ servizzi tal-ICT jipprovdi servizzi tal-ICT;

(c)

l-awtorità kompetenti nazzjonali msemmija fl-Artikolu 32(4), il-punt (e), fuq bażi volontarja;

(d)

awtorità kompetenti nazzjonali waħda mill-Istat Membru fejn ikun stabbilit il-fornitur terz kritiku ta’ servizzi tal-ICT, fuq bażi volontarja.

Il-membri tat-tim konġunt tal-eżaminazzjoni għandu jkollhom għarfien espert f’materji tal-ICT u fir-riskju operazzjonali. It-tim konġunt tal-eżaminazzjoni għandu jaħdem taħt il-koordinazzjoni ta’ membru tal-persunal iddeżinjat mis- Sorveljant Ewlieni (il-“koordinatur tas-Sorveljant Ewlieni”).

3.   Fi żmien tliet xhur mit-tlestija ta’ investigazzjoni jew spezzjoni, is-Sorveljant Ewlieni, wara konsultazzjoni mal-Forum ta’ Sorveljanza, għandu jadotta rakkomandazzjonijiet li jiġu indirizzati lill-fornitur terz kritiku ta’ servizzi tal-ICT skont is-setgħat imsemmija fl-Artikolu 35.

4.   Ir-rakkomandazzjonijiet imsemmija fil-paragrafu 3 għandhom jiġu kkomunikati minnufih lill-fornitur terz kritiku ta’ servizzi tal-ICT u lill-awtoritajiet kompetenti tal-entitajiet finanzjarji li lilhom jipprovdi s-servizzi tal-ICT.

Għall-finijiet tat-twettiq tal-attivitajiet ta’ sorveljanza, is-Sorveljant Ewlieni jista’ jqis kwalunkwe ċertifikazzjoni terza rilevanti u rapporti tal-awditjar interni jew esterni tal-partijiet terzi tal-ICT li jkunu disponibbli mill-fornitur terz kritiku ta’ servizzi tal-ICT.

Artikolu 41

Armonizzazzjoni tal-kondizzjonijiet li jippermettu t-twettiq tal-attivitajiet ta’ sorveljanza

1.   L-ASE għandhom, permezz tal-Kumitat Konġunt, jiżviluppaw abbozzi ta’ standards tekniċi regolatorji biex jispeċifikaw:

(a)

l-informazzjoni li għandha tiġi pprovduta minn fornitur terz ta’ servizzi tal-ICT fl-applikazzjoni għal talba volontarja li jiġi ddeżinjat bħala kritiku skont l-Artikolu 31(11);

(b)

il-kontenut, l-istruttura u l-format tal- informazzjoni li għandha tintbagħat, tiġi divulgata jew rappurtata mill-fornituri terzi ta’ servizzi tal-ICT skont l-Artikolu 35(1), inkluż il-mudell għall-għoti ta’ informazzjoni dwar arranġamenti ta’ sottokuntrattar;

(c)

il-kriterji għad-determinazzjoni tal-kompożizzjoni tat-tim konġunt tal-eżaminazzjoni li jiżguraw parteċipazzjoni bilanċjata tal-membri tal-persunal mill-ASE u mill-awtoritajiet kompetenti rilevanti, id-deżinjazzjoni, il-kompiti u l-arranġamenti ta’ ħidma tagħhom.

(d)

id-dettalji tal-valutazzjoni mill-awtoritajiet kompetenti tal-miżuri meħuda minn fornituri terzi kritiċi ta’ servizzi tal-ICT abbażi tar-rakkomandazzjonijiet tas-Sorveljant Ewlieni skont l-Artikolu 42(3).

2.   L-ASE għandhom jissottomettu dawk l-abbozzi ta’ standards tekniċi regolatorji lill-Kummissjoni sas-17 ta’ Lulju 2024.

Il-Kummissjoni tingħata s-setgħa li tissupplimenta dan ir-Regolament billi tadotta l-istandards tekniċi regolatorji msemmija fil-paragrafu 1 f’konformità mal-proċedura stipulata fl-Artikoli 10 sa 14 tar-Regolamenti (UE) Nru 1093/2010, (UE) Nru 1094/2010 u (UE) Nru 1095/2010.

Artikolu 42

Segwitu mill-awtoritajiet kompetenti

1.   Fi żmien 60 jum kalendarju mill-wasla tar-rakkomandazzjonijiet maħruġa mis-Sorveljant Ewlieni skont l-Artikolu 35(1), il-punt (d), fornituri terzi kritiċi ta’ servizzi tal-ICT għandhom jew jinnotifikaw lis-Sorveljant Ewlieni bl-intenzjoni tagħhom li jsegwu r-rakkomandazzjonijiet inkella jipprovdu spjegazzjoni motivata biex ma jsegwux tali rakkomandazzjonijiet. Is-Sorveljant Ewlieni għandu jibgħat minnufih din l-informazzjoni lill-awtoritajiet kompetenti tal-entitajiet finanzjarji kkonċernati.

2.   Is-Sorveljant Ewlieni għandu jiddivulga pubblikament fejn fornitur terz kritiku ta’ servizzi tal-ICT jonqos milli jinnotifika lis-Sorveljant Ewlieni f’konformità mal-paragrafu 1 jew fejn l-ispjegazzjoni pprovduta mill-fornitur terz kritiku ta’ servizzi tal-ICT ma titqiesx suffiċjenti. L-informazzjoni ppubblikata għandha tiddivulga l-identità tal-fornitur terz kritiku ta’ servizzi tal-ICT kif ukoll l-informazzjoni dwar it-tip u n-natura tan-nuqqas ta’ konformità. Tali informazzjoni għandha tkun limitata għal dak li huwa rilevanti u proporzjonat għall-fini li tiġi żgurata s-sensibilizzazzjoni tal-pubbliku, sakemm tali pubblikazzjoni ma tikkawżax ħsara sproporzjonata lill-partijiet involuti jew ma tkunx tista’ tipperikola serjament il-funzjonament tajjeb u l-integrità tas-swieq finanzjarji jew l-istabbiltà tas-sistema finanzjarja kollha tal-Unjoni jew parti minnha.

Is-Sorveljant Ewlieni għandu jinnotifika lill-fornitur terz ta’ servizzi tal-ICT dwar dik id-divulgazzjoni pubblika.

3.   L-awtoritajiet kompetenti għandhom jinfurmaw lill-entitajiet finanzjarji rilevanti dwar ir-riskji identifikati fir-rakkomandazzjonijiet indirizzati lill-fornituri terzi kritiċi ta’ servizzi tal-ICT f’konformità mal-Artikolu 35(1), il-punt (d).

Meta jimmaniġġjaw ir-riskju relatat mal-ICT minn partijiet terzi, l-entitajiet finanzjarji għandhom iqisu r-riskji msemmija fl-ewwel subparagrafu.

4.   Fejn awtorità kompetenti tqis li entità finanzjarja tonqos milli tqis jew tindirizza b’mod suffiċjenti fi ħdan l-immaniġġjar tagħha tar-riskju relatat mal-ICT minn partijiet terzi r-riskji speċifiċi identifikati fir-rakkomandazzjonijiet, għandha tinnotifika lill-entità finanzjarja dwar il-possibbiltà li tittieħed deċiżjoni, fi żmien 60 jum kalendarju mill-wasla ta’ tali notifika, skont il-paragrafu 6, fin-nuqqas ta’ arranġamenti kuntrattwali xierqa li jkollhom l-għan li jindirizzaw tali riskji.

5.   Mal-wasla tar-rapporti msemmija fl-Artikolu 35(1), il-punt (c), u qabel ma tittieħed id-deċiżjoni kif imsemmi fil-paragrafu 6 ta’ dan l-Artikolu, l-awtoritajiet kompetenti jistgħu, fuq bażi volontarja, jikkonsultaw lill-awtoritajiet kompetenti ddeżinjati jew stabbiliti f’konformità mad-Direttiva (UE) 2022/2555 responsabbli għas-superviżjoni ta’ entità essenzjali jew importanti soġġetta għal dik id-Direttiva, li jkun ġie ddeżinjat bħala fornitur terz kritiku ta’ servizzi tal-ICT.

6.   L-awtoritajiet kompetenti jistgħu, bħala miżura tal-aħħar istanza, isegwu n-notifika u, jekk xieraq, il-konsultazzjoni kif tinsab fil-paragrafi 4 u 5 ta’ dan l-Artikolu, f’konformità mal-Artikolu 50, jieħdu deċiżjoni li tirrikjedi lill-entitajiet finanzjarji jissospendu temporanjament, parzjalment jew kompletament, l-użu jew il-varar ta’ servizz ipprovdut mill-fornitur terz kritiku ts-servizzi tal-ICT, sakemm ikunu ġew indirizzati r-riskji identifikati fir-rakkomandazzjonijiet indirizzati lill-fornituri terzi kritiċi ta’ servizzi tal-ICT. Fejn meħtieġ, jistgħu jirrikjedu lill-entitajiet finanzjarji jtemmu, parzjalment jew kompletament, l-arranġamenti kuntrattwali rilevanti konklużi mal-fornituri terzi kritiċi ta’ servizzi tal-ICT.

7.   Fejn fornitur terz kritiku tas-servizzi tal-ICT jirrifjuta li japprova rakkomandazzjonijiet, abbażi ta’ approċċ diverġenti minn dak irrakkomandat mis-Sorveljant Ewlieni, u tali approċċ diverġenti jista’ jkollu impatt negattiv fuq għadd kbir ta’ entitajiet finanzjarji, jew parti sinifikanti mis-settur finanzjarju, u twissijiet individwali maħruġa mill-awtoritajiet kompetenti ma jkunux irriżultaw f’approċċi konsistenti li jimmitigaw ir-riskju potenzjali għall-istabbiltà finanzjarja, is-Sorveljant Ewlieni jista’, wara li jikkonsulta mal-Forum ta’ Sorveljanza, joħroġ opinjonijiet mhux vinkolanti u mhux pubbliċi lill-awtoritajiet kompetenti, sabiex jippromwovi miżuri ta’ segwitu superviżorji konsistenti u konverġenti, kif xieraq.

8.   Mal-wasla tar-rapporti msemmija fl-Artikolu 35(1), il-punt (c), l-awtoritajiet kompetenti, meta jieħdu deċiżjoni kif imsemmija fil-paragrafu 6 ta’ dan l-Artikolu, għandhom iqisu t-tip u l-kobor tar-riskju li ma jkunx indirizzat mill-fornitur terz kritiku ta’ servizzi tal-ICT, kif ukoll is-serjetà tan-nuqqas ta’ konformità, filwaqt li jikkunsidraw il-kriterji li ġejjin:

(a)

il-gravità u t-tul ta’ żmien tan-nuqqas ta’ konformità;

(b)

jekk in-nuqqas ta’ konformità żvelax dgħufijiet serji fil-proċeduri, fis-sistemi ta’ ġestjoni, fil-ġestjoni tar-riskji u fil-kontrolli interni ta’ fornitur terz kritiku ta’ servizzi tal-ICT;

(c)

jekk reat finanzjarju kienx iffaċilitat, ikkaġunat jew kienx attribwibbli b’mod ieħor għan-nuqqas ta’ konformità;

(d)

jekk in-nuqqas ta’ konformità twettaqx intenzjonalment jew b’negliġenza;

(e)

jekk is-sospensjoni jew it-terminazzjoni tal-arranġamenti kuntrattwali jintroduċux riskju għall-kontinwità tal-operazzjonijiet tan-negozju tal-entità finanzjarja minkejja l-isforzi tal-entità finanzjarja biex tevita t-tfixkil fil-forniment tas-servizzi tagħha;

(f)

fejn applikabbli, l-opinjoni tal-awtoritajiet kompetenti ddeżinjati jew stabbiliti f’konformità mad-Direttiva (UE) 2022/2555 responsabbli għas-superviżjoni ta’ entità essenzjali jew importanti soġġetta għal dik id-Direttiva, li tkun ġiet iddeżinjata bħala fornitur terz kritiku ta’ servizzi tal-ICT, mitluba fuq bażi volontarja f’konformità mal-paragrafu 5 ta’ dan l-Artikolu.

L-awtoritajiet kompetenti għandhom jagħtu lill-entitajiet finanzjarji l-perjodu ta’ żmien meħtieġ biex ikunu jistgħu jaġġustaw l-arranġamenti kuntrattwali ma’ fornituri terzi kritiċi ta’ servizzi tal-ICT sabiex jiġu evitati effetti detrimentali fuq ir-reżiljenza operazzjonali diġitali tagħhom u biex ikunu jistgħu jimplimentaw l-istrateġiji ta’ ħruġ u l-pjanijiet ta’ tranżizzjoni kif imsemmi fl-Artikolu 28.

9.   Id-deċiżjoni msemmija fil-paragrafu 6 ta’ dan l-Artikolu għandha tiġi notifikata lill-membri tal-Forum ta’ Sorveljanza msemmija fl-Artikolu 32(4), il-punti (a), (b) u (c), u lill-JON.

Il-fornituri terzi kritiċi ta’ servizzi tal-ICT affettwati mid-deċiżjonijiet previsti fil-paragrafu 6 għandhom jikkooperaw bis-sħiħ mal-entitajiet finanzjarji milquta, b’mod partikolari fil-kuntest tal-proċess ta’ sospensjoni jew terminazzjoni tal-arranġamenti kuntrattwali tagħhom.

10.   L-awtoritajiet kompetenti għandhom jinformaw b’mod regolari lis-Sorveljant Ewlieni dwar l-approċċi u l-miżuri meħuda fil-kompiti superviżorji tagħhom b’rabta mal-entitajiet finanzjarji, kif ukoll dwar l-arranġamenti kuntrattwali konklużi minn entitajiet finanzjarji fejn fornituri terzi kritiċi ta’ servizzi tal-ICT ma jkunux approvaw parzjalment jew kompletament ir-rakkomandazzjonijiet indirizzati lilhom mis-Sorveljant Ewlieni.

11.   Is-Sorveljant Ewlieni jista’, fuq talba, jipprovdi aktar kjarifiki dwar ir-rakkomandazzjonijiet maħruġa biex jiggwida lill-awtoritajiet kompetenti dwar il-miżuri ta’ segwitu.

Artikolu 43

Tariffi superviżorji

1.   Is-Sorveljant Ewlieni għandu, f’konformità mal-att delegat imsemmi fil-paragrafu 2 ta’ dan l-Artikolu, jiddebita tariffi lil fornituri terzi kritiċi ta’ servizzi tal-ICT li jkopru bis-sħiħ in-nefqa neċessarja tas-Sorveljant Ewlieni b’rabta mat-twettiq ta’ kompiti ta’ sorveljanza skont dan ir-Regolament, inkluż ir-rimborż ta’ kwalunkwe kost li jista’ jinġarab bħala riżultat tal-ħidma mwettqa mit-tim konġunt tal-eżaminazzjoni msemmi fl-Artikolu 40, kif ukoll il-kostijiet tal-parir ipprovdut mill-esperti indipendenti kif imsemmi fl-Artikolu 32(4), it-tieni subparagrafu, b’rabta ma’ kwistjonijiet li jaqgħu taħt l-ambitu ta’ attivitajiet ta’ sorveljanza diretta.

L-ammont ta’ tariffa debitat lil fornitur terz kritiku ta’ servizzi tal-ICT għandu jkopri l-kostijiet kollha li jirriżultaw mit-twettiq tad-dmirijiet stabbiliti f’din it-Taqsima u għandu jkun proporzjonat mal-fatturat tiegħu.

2.   Il-Kummissjoni tingħata s-setgħa tadotta att delegat f’konformità mal-Artikolu 57 biex tissupplimenta dan ir-Regolament billi tiddetermina l-ammont tat-tariffi u l-mod li bih għandhom jitħallsu sas-17 ta’ Lulju 2024.

Artikolu 44

Kooperazzjoni internazzjonali

1.   Mingħajr preġudizzju għall-Artikolu 36, l-EBA, l-ESMA u l-EIOPA jistgħu, f’konformità mal-Artikolu 33 tar-Regolamenti (UE) Nru 1093/2010, (UE) Nru 1095/2010 u (UE) Nru 1094/2010, rispettivament, jikkonkludu arranġamenti amministrattivi ma’ awtoritajiet regolatorji u superviżorji ta’ pajjiżi terzi biex irawmu l-kooperazzjoni internazzjonali fir-rigward tar-riskju ta’ parti terza tal-ICT fis-setturi finanzjarji differenti kollha, b’mod partikolari billi jiżviluppaw l-aħjar prattiki għar-rieżami tal-prattiki u l-kontrolli tal-ġestjoni tar-riskju tal-ICT, tal-miżuri ta’ mitigazzjoni u tar-rispons għal inċidenti.

2.   L-ASE għandhom, permezz tal-Kumitat Konġunt, jissottomettu kull ħames snin rapport kunfidenzjali konġunt lill-Parlament Ewropew, lill-Kunsill u lill-Kummissjoni, li jiġbor fil-qosor is-sejbiet tad-diskussjonijiet rilevanti li jsiru mal-awtoritajiet tal-pajjiżi terzi msemmija fil-paragrafu 1, li jiffoka fuq l-evoluzzjoni tar-riskju ta’ partijiet terzi tal-ICT u l-implikazzjonijiet għall-istabbiltà finanzjarja, għall-integrità tas-suq, għall-protezzjoni tal-investituri u għall-funzjonament tas-suq intern.

KAPITOLU VI

Arranġamenti ta’ kondiviżjoni ta’ informazzjoni

Artikolu 45

Arranġamenti ta’ kondiviżjoni ta’ informazzjoni u l-intelligence dwar it-theddid ċibernetiku

1.   L-entitajiet finanzjarji jistgħu jiskambjaw bejniethom informazzjoni u intelligence dwar theddid ċibernetiku, inkluż indikaturi ta’ kompromess, tattiċi, tekniki, u proċeduri, allerti dwar is-sigurtà ċibernetika u għodod ta’ konfigurazzjoni, sa fejn tali kondiviżjoni ta’ informazzjoni u intelligence:

(a)

ikollha l-għan li ttejjeb ir-reżiljenza operazzjonali diġitali tal-entitajiet finanzjarji, b’mod partikolari billi żżid is-sensibilizzazzjoni b’rabta mat-theddid ċibernetiku, tillimita jew timpedixxi l-kapaċità tat-theddid ċibernetiku milli jinxtered, u tappoġġja kapaċitajiet ta’ difiża, tekniki ta’ detezzjoni tat-theddid, strateġiji ta’ mitigazzjoni jew stadji ta’ rispons u rkupru;

(b)

isseħħ fi ħdan komunitajiet fdati ta’ entitajiet finanzjarji;

(c)

tkun implimentata permezz ta’ arranġamenti ta’ kondiviżjoni ta’ informazzjoni li jipproteġu n-natura potenzjalment sensittiva tal-informazzjoni kondiviża, u li jkunu rregolati minn regoli ta’ kondotta b’rispett sħiħ tal-kunfidenzjalità tan-negozju, tal-protezzjoni tad-data personali f’konformità mar-Regolament (UE) 2016/679 u tal-linji gwida dwar il-politika tal-kompetizzjoni.

2.   Għall-fini tal-paragrafu 1, il-punt (c), l-arranġamenti ta’ kondiviżjoni ta’ informazzjoni għandhom jiddefinixxu l-kondizzjonijiet għall-parteċipazzjoni u, fejn xieraq, għandhom jistabbilixxu d-dettalji dwar l-involviment tal-awtoritajiet pubbliċi u l-kapaċità li fiha dawn jistgħu jkunu assoċjati mal-arranġamenti ta’ kondiviżjoni ta’ informazzjoni, dwar l-involviment ta’ fornituri terzi ta’ servizzi tal-ICT, u dwar l-elementi operazzjonali, inkluż l-użu ta’ pjattaformi tal-IT dedikati.

3.   L-entitajiet finanzjarji għandhom jinnotifikaw lill-awtoritajiet kompetenti bil-parteċipazzjoni tagħhom fl-arranġamenti ta’ kondiviżjoni ta’ informazzjoni msemmija fil-paragrafu 1, mal-validazzjoni tas-sħubija tagħhom, jew, kif applikabbli, bil-waqfien tas-sħubija tagħhom, ladarba din issir effettiva.

KAPITOLU VII

Awtoritajiet kompetenti

Artikolu 46

Awtoritajiet kompetenti

Mingħajr preġudizzju għad-dispożizzjonijiet dwar il-Qafas ta’ Sorveljanza għal fornituri terzi kritiċi ta’ servizzi tal-ICT imsemmija fil-Kapitolu V, Taqsima II, ta’ dan ir-Regolament, il-konformità ma’ dan ir-Regolament għandha tiġi żgurata mill-awtoritajiet kompetenti li ġejjin f’konformità mas-setgħat mogħtija mill-atti legali rispettivi:

(a)

għall-istituzzjonijiet ta’ kreditu u għall-istituzzjonijiet eżentati skont id-Direttiva 2013/36/UE, l-awtorità kompetenti ddeżinjati f’konformità mal-Artikolu 4 ta’ dik id-Direttiva, u għall-istituzzjonijiet ta’ kreditu kklassifikati bħala sinifikanti f’konformità mal-Artikolu 6(4) tar-Regolament (UE) Nru 1024/2013, il-BĊE f’konformità mas-setgħat u l-kompiti kkonferiti minn dak ir-Regolament;

(b)

għall-istituzzjonijiet ta’ pagament, inkluż l-istituzzjonijiet ta’ pagament eżentati skont id-Direttiva (UE) 2015/2366, l-istituzzjonijiet tal-flus elettroniċi, inkluż dawk eżentati skont id-Direttiva 2009/110/KE, u l-fornituri ta’ servizzi ta’ informazzjoni dwar il-kontijiet kif imsemmi fl-Artikolu 33(1) tad-Direttiva (UE) 2015/2366, l-awtorità kompetenti ddeżinjati f’konformità mal-Artikolu 22 tad-Direttiva (UE) 2015/2366;

(c)

għad-ditti tal-investiment, l-awtorità kompetenti ddeżinjati f’konformità mal-Artikolu 4 tad-Direttiva (UE) 2019/2034 tal-Parlament Ewropew u tal-Kunsill (38);

(d)

għall-fornituri ta’ servizzi tal-kriptoassi kif awtorizzat skont ir-Regolament dwar is-swieq fil-kriptoassi u emittenti ta’ tokens irreferenzjati ma’ assi, l-awtorità kompetenti ddeżinjati f’konformità mad-dispożizzjoni rilevanti ta’ dak ir-Regolament;

(e)

għad-depożitorji ċentrali tat-titoli, l-awtorità kompetenti ddeżinjati f’konformità mal-Artikolu 11 tar-Regolament (UE) Nru 909/2014;

(f)

għall-kontropartijiet ċentrali, l-awtorità kompetenti ddeżinjati f’konformità mal-Artikolu 22 tar-Regolament (UE) Nru 648/2012;

(g)

għaċ-ċentri ta’ negozjar u l-fornituri ta’ servizzi ta’ rappurtar ta’ data, l-awtorità kompetenti ddeżinjati f’konformità mal-Artikolu 67 tad-Direttiva 2014/65/UE, u l-awtorità kompetenti kif definita fl-Artikolu 2(1), il-punt (18), tar-Regolament (UE) Nru 600/2014;

(h)

għar-repożitorji tat-tranżazzjonijiet, l-awtorità kompetenti ddeżinjata f’konformità mal-Artikolu 22 tar-Regolament (UE) Nru 648/2012;

(i)

għall-maniġers ta’ fondi ta’ investiment alternattiv, l-awtorità kompetenti ddeżinjati f’konformità mal-Artikolu 44 tad-Direttiva 2011/61/UE;

(j)

għall-kumpaniji ta’ maniġment, l-awtorità kompetenti ddeżinjati f’konformità mal-Artikolu 97 tad-Direttiva 2009/65/KE;

(k)

għall-impriżi tal-assigurazzjoni u tar-riassigurazzjoni, l-awtorità kompetenti ddeżinjati f’konformità mal-Artikolu 30 tad-Direttiva 2009/138/KE;

(l)

għall-intermedjarji tal-assigurazzjoni, l-intermedjarji tar-riassigurazzjoni u l-intermedjarji tal-assigurazzjoni anċillari, l-awtorità kompetenti ddeżinjati f’konformità mal-Artikolu 12 tad-Direttiva (UE) 2016/97;

(m)

għall-istituzzjonijiet għall-provvista ta’ rtirar okkupazzjonali, l-awtorità kompetenti ddeżinjati f’konformità mal-Artikolu 47 tad-Direttiva (UE) 2016/2341;

(n)

għall-aġenziji ta’ klassifikazzjoni tal-kreditu, l-awtorità kompetenti ddeżinjati f’konformità mal-Artikolu 21 tar-Regolament (KE) Nru 1060/2009;

(o)

għall-amministraturi ta’ parametru referenzjarju ta’ importanza kritika, l-awtorità kompetenti ddeżinjati f’konformità mal-Artikoli 40 u 41 tar-Regolament (UE) 2016/1011;

(p)

għall-fornituri ta’ servizz ta’ finanzjament kollettiv, l-awtorità kompetenti ddeżinjata f’konformità mal-Artikolu 29 tar-Regolament (UE) 2020/1503;

(q)

għar-repożitorji tat-titolizzazzjonijiet, l-awtorità kompetenti ddeżinjati f’konformità mal-Artikoli 10 u 14(1) tar-Regolament (UE) 2017/2402.

Artikolu 47

Kooperazzjoni mal-istrutturi u l-awtoritajiet stabbiliti bid-Direttiva (UE) 2022/2555

1.   Sabiex irawmu l-kooperazzjoni u jippermettu skambji superviżorji bejn l-awtoritajiet kompetenti ddeżinjati skont dan ir-Regolament u l-Grupp ta’ Kooperazzjoni stabbilit bl-Artikolu 14 tad-Direttiva (UE) 2022/2555, l-ASE u l-awtoritajiet kompetenti jistgħu jipparteċipaw fl-attivitajiet tal-Grupp ta’ Kooperazzjoni għal kwistjonijiet li jikkonċernaw l-attivitajiet superviżorji tagħhom b’rabta ma’ entitajiet finanzjarji. L-ASE u l-awtoritajiet kompetenti jistgħu jitolbu li jiġu mistiedna jipparteċipaw fl-attivitajiet tal-Grupp ta’ Koordinazzjoni għal kwistjonijiet b’rabta mal-entitajiet essenzjali jew importanti soġġetti għad-Direttiva (UE) 2022/2555 li jkunu ġew iddeżinjati wkoll bħala fornituri terzi kritiċi ta’ servizzi tal-ICT skont l-Artikolu 31 ta’ dan ir-Regolament.

2.   Fejn xieraq, l-awtoritajiet kompetenti jistgħu jikkonsultaw u jikkondividu informazzjoni mal-punti uniċi ta’ kuntatt u s-CSIRTs iddeżinjati jew stabbiliti f’konformità mad-Direttiva (UE) 2022/2555.

3.   Fejn xieraq, l-awtoritajiet kompetenti jistgħu jitolbu kwalunkwe parir u assistenza teknika rilevanti mill-awtoritajiet kompetenti ddeżinjati jew stabbiliti f’konformità mad-Direttiva (UE) 2022/2555 u jistabbilixxu arranġamenti ta’ kooperazzjoni biex jippermettu li jiġu stabbiliti mekkaniżmi ta’ koordinazzjoni effettivi u ta’ rispons rapidu.

4.   L-arranġamenti msemmija fil-paragrafu 3 ta’ dan l-Artikolu jistgħu, fost l-oħrajn, jispeċifikaw il-proċeduri għall-koordinazzjoni ta’ attivitajiet superviżorji u ta’ sorveljanza, rispettivament, b’rabta mal-entitajiet essenzjali jew importanti soġġetti għad-Direttiva (UE) 2022/2555 li jkunu ġew iddeżinjati bħala fornituri terzi kritiċi ta’ servizzi tal-ICT skont l-Artikolu 31 ta’ dan ir-Regolament, inkluż għat-twettiq, f’konformità mal-liġi nazzjonali, ta’ investigazzjonijiet u spezzjonijiet fuq il-post, kif ukoll għal mekkaniżmi għall-iskambju ta’ informazzjoni bejn l-awtoritajiet kompetenti skont dan ir-Regolament u l-awtoritajiet kompetenti ddeżinjati jew stabbiliti f’konformità ma’ dik id-Direttiva li jinkludi aċċess għall-informazzjoni mitluba mll-awtoritajiet tal-aħħar.

Artikolu 48

Kooperazzjoni bejn l-awtoritajiet

1.   L-awtoritajiet kompetenti għandhom jikkooperaw mill-qrib bejniethom u, fejn applikabbli, mas-Sorveljant Ewlieni.

2.   L-awtoritajiet kompetenti u s-Sorveljant Ewlieni għandhom, fi żmien debitu, jiskambjaw b’mod reċiproku l-informazzjoni rilevanti kollha li tikkonċerna fornituri terzi kritiċi ta’ servizzi tal-ICT li hija meħtieġa għalihom biex iwettqu d-dmirijiet rispettivi tagħhom skont dan ir-Regolament, b’mod partikolari b’rabta mar-riskji, l-approċċi u l-miżuri identifikati meħuda bħala parti mill-kompiti ta’ sorveljanza tas-Sorveljant Ewlieni.

Artikolu 49

Eżerċizzji finanzjarji transsettorjali, komunikazzjoni u kooperazzjoni

1.   L-ASE, permezz tal-Kumitat Konġunt u f’kollaborazzjoni mal-awtoritajiet kompetenti, l-awtoritajiet ta’ riżoluzzjoni nazzjonali kif imsemmi fl-Artikolu 3 tad-Direttiva 2014/59/UE, il-BĊE, il-Bord Uniku ta’ Riżoluzzjoni fir-rigward ta’ informazzjoni relatata ma’ entitajiet li jaqgħu fil-kamp ta’ applikazzjoni tar-Regolament (UE) Nru 806/2014, il-BERS u l-ENISA, kif xieraq, jistgħu jistabbilixxu mekkaniżmi li jippermettu l-kondiviżjoni ta’ prattiki effettivi fis-setturi finanzjarji kollha biex itejbu s-sensibilizzazzjoni dwar is-sitwazzjoni u jidentifikaw vulnerabbiltajiet u riskji ċibernetiċi komuni fis-setturi kollha.

Huma jistgħu jiżviluppaw eżerċizzji ta’ maniġġar ta’ kriżijiet u ta’ kontinġenza li jinvolvu xenarji ta’ attakki ċibernetiċi bil-ħsieb li jiżviluppaw mezzi ta’ komunikazzjoni u gradwalment jippermettu rispons koordinat effettiv fil-livell tal-Unjoni fil-każ ta’ inċident transfruntier kbir relatat mal-ICT jew theddida relatata li jkollha impatt sistemiku fuq is-settur finanzjarju tal-Unjoni kollu kemm hu.

Dawk l-eżerċizzji jistgħu, kif xieraq, jittestjaw ukoll id-dipendenzi tas-settur finanzjarju fuq setturi ekonomiċi oħra.

2.   L-awtoritajiet kompetenti, l-ASE u l-BĊE għandhom jikkooperaw mill-qrib ma’ xulxin u jiskambjaw informazzjoni biex iwettqu dmirijiethom skont l-Artikoli 47 sa 54. Huma għandhom jikkoordinaw mill-qrib is-superviżjoni tagħhom sabiex jidentifikaw u jirrimedjaw il-ksur ta’ dan ir-Regolament, jiżviluppaw u jippromwovu l-aħjar prattiki, jiffaċilitaw il-kollaborazzjoni, irawmu l-konsistenza fl-interpretazzjoni u jipprovdu valutazzjonijiet transġuriżdizzjonali fil-każ ta’ kwalunkwe nuqqas ta’ qbil.

Artikolu 50

Penali amministrattivi u miżuri ta’ rimedju

1.   L-awtoritajiet kompetenti għandu jkollhom is-setgħat superviżorji, investigattivi u sanzjonarji kollha meħtieġa biex jaqdu dmirijiethom skont dan ir-Regolament.

2.   Is-setgħat imsemmija fil-paragrafu 1 għandhom jinkludu mill-inqas is-setgħat li ġejjin:

(a)

li jkollhom aċċess għal kwalunkwe dokument jew data miżmuma fi kwalunkwe forma lil-awtoritajiet kompetenti jqisu rilevanti għall-qadi ta’ dmirijiethom u jirċievu jew jieħdu kopja tagħha;

(b)

li jwettqu spezzjonijiet jew investigazzjonijiet fuq il-post, li għandhom jinkludu iżda ma għandhomx ikunu limitati għal li:

(i)

isejħu lir-rappreżentanti tal-entitajiet finanzjarji għal spjegazzjonijiet bil-fomm jew bil-miktub dwar fatti jew dokumenti relatati mas-suġġett u mal-għan tal-investigazzjoni u biex jirreġistraw it-tweġibiet;

(ii)

jintervistaw lil kwalunkwe persuna fiżika jew ġuridika oħra li tagħti l-kunsens li tiġi intervistata għall-fini tal-ġbir ta’ informazzjoni relatata mas-suġġett ta’ investigazzjoni;

(c)

li jirrikjedu miżuri korrettivi u ta’ rimedju għal ksur tar-rekwiżiti ta’ dan ir-Regolament.

3.   Mingħajr preġudizzju għad-dritt tal-Istati Membri li jimponu pieni kriminali f’konformità mal-Artikolu 52, l-Istati Membri għandhom jistipulaw regoli li jistabbilixxu penali amministrattivi u miżuri ta’ rimedju xierqa għal ksur ta’ dan ir-Regolament u għandhom jiżguraw l-implimentazzjoni effettiva tagħhom.

Dawk il-penali u l-miżuri għandhom ikunu effettivi, proporzjonati u dissważivi.

4.   L-Istati Membri għandhom jagħtu lill-awtoritajiet kompetenti s-setgħa li japplikaw mill-inqas il-penali amministrattivi jew il-miżuri ta’ rimedju li ġejjin għall-ksur ta’ dan ir-Regolament:

(a)

joħorġu ordni li tirrikjedi li l-persuna fiżika jew ġuridika twaqqaf imġiba li tkun fi ksur ta’ dan ir-Regolament u ma tirrepetix dik l-imġiba;

(b)

jirrikjedu l-waqfien temporanju jew permanenti ta’ kwalunkwe prattika jew imġiba li l-awtorità kompetenti tqis li tmur kontra d-dispożizzjonijiet ta’ dan ir-Regolament u jipprevjenu r-repetizzjoni ta’ dik il-prattika jew l-imġiba;

(c)

jadottaw kwalunkwe tip ta’ miżura, inkluż ta’ natura pekunarja, biex jiżguraw li l-entitajiet finanzjarji jkomplu jikkonformaw mar-rekwiżiti legali;

(d)

jirrikjedu, sa fejn huwa permess mil-liġi nazzjonali, rekords eżistenti tat-traffiku tad-data miżmuma minn operatur tat-telekomunikazzjoni, fejn ikun hemm suspett raġonevoli ta’ ksur ta’ dan ir-Regolament, u fejn tali rekords jistgħu jkunu rilevanti għal investigazzjoni dwar il-ksur ta’ dan ir-Regolament; u

(e)

joħorġu avviżi pubbliċi, inkluż dikjarazzjonijiet pubbliċi li jindikaw l-identità tal-persuna fiżika jew ġuridika u n-natura tal-ksur.

5.   Meta l-paragrafu 2, il-punt (d), u l-paragrafu 4 japplikaw għal persuni ġuridiċi, l-Istati Membri għandhom jagħtu lill-awtoritajiet kompetenti s-setgħa li japplikaw il-penali amministrattivi u l-miżuri ta’ rimedju, soġġetti għall-kondizzjonijiet previsti fil-liġi nazzjonali, għal membri tal-korp maniġerjali, u għal individwi oħra li huma responsabbli għall-ksur skont il-liġi nazzjonali.

6.   L-Istati Membri għandhom jiżguraw li kwalunkwe deċiżjoni li timponi penali amministrattivi jew miżuri ta’ rimedju stabbiliti fil-paragrafu 2, il-punt (c), tkun motivata kif suppost u tkun soġġetta għal dritt ta’ appell.

Artikolu 51

Eżerċitar tas-setgħa li jiġu imposti penali amministrattivi u miżuri ta’ rimedju

1.   L-awtoritajiet kompetenti għandhom jeżerċitaw is-setgħat li jimponu l-penali amministrattivi u l-miżuri ta’ rimedju msemmija fl-Artikolu 50 f’konformità mal-oqfsa legali nazzjonali tagħhom, fejn xieraq, kif ġej:

(a)

direttament;

(b)

b’kollaborazzjoni ma’ awtoritajiet oħra;

(c)

taħt ir-responsabbiltà tagħhom b’delega lil awtoritajiet oħra; jew

(d)

b’applikazzjoni lill-awtoritajiet ġudizzjarji kompetenti.

2.   L-awtoritajiet kompetenti, meta jiddeterminaw it-tip u l-livell ta’ penali amministrattiva jew miżura ta’ rimedju li għandha tiġi imposta skont l-Artikolu 50, għandhom iqisu l-punt sa fejn il-ksur ikun intenzjonat jew jirriżulta minn negliġenza, u ċ-ċirkostanzi rilevanti l-oħra kollha, inkluż dawn li ġejjin, fejn xieraq:

(a)

il-materjalità, il-gravità u t-tul ta’ żmien tal-ksur;

(b)

il-grad ta’ responsabbiltà tal-persuna fiżika jew ġuridika responsabbli għall-ksur;

(c)

is-saħħa finanzjarja tal-persuna fiżika jew ġuridika responsabbli;

(d)

l-importanza tal-profitti miksuba jew tat-telf li jkun ġie evitat mill-persuna fiżika jew ġuridika responsabbli, sa fejn dawn ikunu jistgħu jiġu determinati;

(e)

it-telf għal partijiet terzi kkawżat mill-ksur, sa fejn dan ikun jista’ jiġi determinat;

(f)

il-livell ta’ kooperazzjoni tal-persuna fiżika jew ġuridika responsabbli mal-awtorità kompetenti, mingħajr preġudizzju għall-ħtieġa li jiġi żgurat li jiġu ċeduti l-profitti miksuba jew it-telf evitat minn dik il-persuna fiżika jew ġuridika;

(g)

ksur preċedenti mill-persuna fiżika jew ġuridika responsabbli.

Artikolu 52

Pieni kriminali

1.   L-Istati Membri jistgħu jiddeċiedu li ma jistabbilixxux regoli għall-penali amministrattivi jew għall-miżuri ta’ rimedju għal ksur li jkun soġġett għal pieni kriminali skont il-liġi nazzjonali tagħhom.

2.   Fejn l-Istati Membri jkunu għażlu li jippreskrivu pieni kriminali għall-ksur ta’ dan ir-Regolament, għandhom jiżguraw li jkun hemm fis-seħħ miżuri xierqa sabiex l-awtoritajiet kompetenti jkollhom is-setgħat kollha meħtieġa biex iżommu kuntatt mal-awtoritajiet ġudizzjarji, ta’ prosekuzzjoni jew tal-ġustizzja kriminali fi ħdan il-ġuriżdizzjoni tagħhom biex jirċievu informazzjoni speċifika relatata ma’ investigazzjonijiet jew proċedimenti kriminali mibdija għal ksur ta’ dan ir-Regolament, u biex jipprovdu l-istess informazzjoni lil awtoritajiet kompetenti oħra, kif ukoll lill-EBA, lill-ESMA jew lill-EIOPA biex jissodisfaw l-obbligi tagħhom li jikkooperaw għall-finijiet ta’ dan ir-Regolament.

Artikolu 53

Dmirijiet ta’ notifika

L-Istati Membri għandhom jinnotifikaw il-liġijiet, ir-regolamenti u d-dispożizzjonijiet amministrattivi li jimplimentaw dan il-Kapitolu, inkluż kwalunkwe dispożizzjoni rilevanti tal-liġi kriminali, lill-Kummissjoni, lill-ESMA, lill-EBA u lill-EIOPA sas-17 ta’ Jannar 2025. L-Istati Membri għandhom jinnotifikaw lill-Kummissjoni, lill-ESMA, lill-EBA u lill-EIOPA mingħajr dewmien żejjed bi kwalunkwe emenda sussegwenti għalihom.

Artikolu 54

Pubblikazzjoni ta’ penali amministrattivi

1.   L-awtoritajiet kompetenti għandhom jippubblikaw fuq is-siti web uffiċjali tagħhom, mingħajr dewmien żejjed, kwalunkwe deċiżjoni li timponi penali amministrattiva li kontriha ma jkun hemm l-ebda appell wara li d-destinatarju tal-penali jkun ġie nnotifikat b’dik id-deċiżjoni.

2.   Il-pubblikazzjoni msemmija fil-paragrafu 1 għandha tinkludi informazzjoni dwar it-tip u n-natura tal-ksur, l-identità tal-persuni responsabbli u l-penali imposti.

3.   Fejn l-awtorità kompetenti, wara valutazzjoni każ b’każ, tqis li l-pubblikazzjoni tal-identità, fil-każ ta’ persuni ġuridiċi, jew tal-identità u tad-data personali, fil-każ ta’ persuni fiżiċi, tkun sproporzjonata, inkluż riskji fir-rigward tal-protezzjoni ta’ data personali, tipperikola l-istabbiltà tas-swieq finanzjarji jew l-insegwiment ta’ investigazzjoni kriminali li tkun għaddejja, jew tikkawża, sakemm din tkun tista’ tiġi determinata, ħsara sproporzjonata lill-persuna involuta, għandha tadotta waħda mis-soluzzjonijiet li ġejjin fir-rigward tad-deċiżjoni li timponi penali amministrattiva:

(a)

tiddifferixxi l-pubblikazzjoni tagħha sakemm ir-raġunijiet kollha kontra l-pubblikazzjoni ma jibqgħux jeżistu;

(b)

tippubblikaha fuq bażi anonima, f’konformità mal-liġi nazzjonali; jew

(c)

iżżomm lura milli tippubblikaha, fejn l-għażliet stabbiliti fil-punti (a) u (b) jitqiesu li huma insuffiċjenti biex jiggarantixxu li ma jkun hemm l-ebda periklu għall-istabbiltà tas-swieq finanzjarji, jew fejn tali pubblikazzjoni ma tkunx proporzjonali mal-klemenza tal-penali imposta.

4.   Fil-każ ta’ deċiżjoni li tiġi ppubblikata penali amministrattiva fuq bażi anonima f’konformità mal-paragrafu 3, il-punt (b), il-pubblikazzjoni tad-data rilevanti tista’ tiġi posposta.

5.   Fejn awtorità kompetenti tippubblika deċiżjoni li timponi penali amministrattiva li kontriha jkun hemm appell quddiem l-awtoritajiet ġudizzjarji rilevanti, l-awtoritajiet kompetenti għandhom iżidu minnufih fuq is-sit web uffiċjali tagħhom dik l-informazzjoni u, fi stadji aktar tard, kwalunkwe informazzjoni relatata sussegwenti dwar l-eżitu ta’ tali appell. Kwalunkwe deċiżjoni ġudizzjarja li tannulla deċiżjoni li timponi penali amministrattiva għandha tiġi ppubblikata wkoll.

6.   L-awtoritajiet kompetenti għandhom jiżguraw li kwalunkwe pubblikazzjoni msemmija fil-paragrafi 1 sa 4 għandha tibqa’ fuq is-sit web uffiċjali tagħhom biss għall-perjodu li jkun meħtieġ biex jitwettaq dan l-Artikolu. Dan il-perjodu ma għandux jaqbeż il-ħames snin wara l-pubblikazzjoni tiegħu.

Artikolu 55

Segretezza professjonali

1.   Kwalunkwe informazzjoni kunfidenzjali li tasal, tiġi skambjata jew trażmessa skont dan ir-Regolament għandha tkun soġġetta għall-kondizzjonijiet tas-segretezza professjonali stabbiliti fil-paragrafu 2.

2.   L-obbligu tas-segretezza professjonali japplika għall-persuni kollha li jaħdmu, jew li jkunu ħadmu, għall-awtoritajiet kompetenti skont dan ir-Regolament, jew għal kwalunkwe awtorità jew impriża tas-suq jew persuna fiżika jew ġuridika li lilha dawk l-awtoritajiet kompetenti jkunu ddelegaw is-setgħat tagħhom, inkluż awdituri u esperti kkuntrattati minnhom.

3.   L-informazzjoni koperta mis-segretezza professjonali, inkluż l-iskambju ta’ informazzjoni bejn l-awtoritajiet kompetenti skont dan ir-Regolament u l-awtoritajiet kompetenti ddeżinjati jew stabbiliti f’konformità mad-Direttiva (UE) 2022/2555, ma għandhomx jiġu divulgati lil xi persuna jew awtorità oħra ħlief permezz tad-dispożizzjonijiet stipulati mid-dritt tal-Unjoni jew mil-liġi nazzjonali.

4.   L-informazzjoni kollha skambjata bejn l-awtoritajiet kompetenti skont dan ir-Regolament li tikkonċerna l-operat jew il-kondizzjonijiet operazzjonali u affarijiet ekonomiċi jew personali oħra għandha titqies kunfidenzjali u tkun soġġetta għar-rekwiżiti tas-segretezza professjonali, ħlief fejn l-awtorità kompetenti tiddikjara, meta ssir il-komunikazzjoni, li tali informazzjoni tista’ tiġi divulgata jew fejn tali divulgazzjoni hija meħtieġa għal proċedimenti legali.

Artikolu 56

Protezzjoni tad-Data

1.   L-ASE u l-awtoritajiet kompetenti għandhom jitħallew jipproċessaw data personali biss fejn dan ikun meħtieġ għall-fini li jwettqu l-obbligi u d-dmirijiet rispettivi tagħhom skont dan ir-Regolament, b’mod partikolari għall-investigazzjoni, l-ispezzjoni, it-talba għal informazzjoni, il-komunikazzjoni, il-pubblikazzjoni, l-evalwazzjoni, il-verifika, il-valutazzjoni u l-abbozzar ta’ pjanijiet ta’ sorveljanza. Id-data personali għandha tiġi proċessata f’konformità mar-Regolament (UE) 2016/679 jew mar-Regolament (UE) 2018/1725, skont liema wieħed ikun applikabbli.

2.   Ħlief meta ikun previst mod ieħor f’atti settorjali oħra, id-data personali msemmija fil-paragrafu 1 għandha tinżamm sakemm jitwettqu d-dmirijiet superviżorji applikabbli u fi kwalunkwe każ għal perjodu massimu ta’ 15-il sena, ħlief f’każ ta’ proċedimenti pendenti tal-qorti li jeħtieġu żamma ulterjuri ta’ tali data.

KAPITOLU VIII

Atti delegati

Artikolu 57

Eżerċizzju tad-delega

1.   Il-Kummissjoni tingħata s-setgħa li tadotta atti delegati soġġett għall-kondizzjonijiet stipulati f’dan l-Artikolu.

2.   Is-setgħa ta’ adozzjoni ta’ atti delegati msemmija fl-Artikoli 31(6) u 43(2) għandha tingħata lill-Kummissjoni għal perjodu ta’ ħames snin mis-17 ta’ Jannar 2024. Il-Kummissjoni għandha tfassal rapport fir-rigward tad-delega ta’ setgħa mhux iktar tard minn disa’ xhur qabel tmiem il-perjodu ta’ ħames snin. Id-delega ta’ setgħa għandha tiġi estiża awtomatikament għal perjodi ta’ żmien identiċi, sakemm il-Parlament Ewropew jew il-Kunsill ma joġġezzjonaw għal tali estensjoni mhux aktar tard minn tliet xhur qabel tmiem kull perjodu.

3.   Id-delega tas-setgħa msemmija fl-Artikoli 31(6) u 43(2) tista’ tiġi revokata fi kwalunkwe ħin mill-Parlament Ewropew jew mill-Kunsill. Deċiżjoni ta’ revoka għandha ġġib fi tmiemha d-delega tas-setgħa speċifikata f’dik id-deċiżjoni. Hija għandha tidħol fis-seħħ fil-jum ta’ wara l-pubblikazzjoni tad-deċiżjoni f’Il-Ġurnal Uffiċjali tal-Unjoni Ewropea jew f’data aktar tard speċifikata hemmhekk. Hija ma għandha taffettwa l-validità tal-ebda att delegat diġà fis-seħħ.

4.   Qabel tadotta att delegat, il-Kummissjoni għandha tikkonsulta esperti nominati minn kull Stat Membru f’konformità mal-prinċipji stipulati fil-Ftehim Interistituzzjonali tat-13 ta’ April 2016 dwar it-Tfassil Aħjar tal-Liġijiet.

5.   Hekk kif tadotta att delegat, il-Kummissjoni għandha tinnotifikah fl-istess ħin lill-Parlament Ewropew u lill-Kunsill.

6.   Att delegat adottat skont l-Artikoli 31(6) u 43(2) għandu jidħol fis-seħħ biss jekk l-ebda oġġezzjoni ma tkun ġiet espressa mill-Parlament Ewropew jew mill-Kunsill f’perjodu ta’ tliet xhur min-notifika ta’ dak l-att lill-Parlament Ewropew u lill-Kunsill jew jekk, qabel jiskadi dak il-perjodu, il-Parlament Ewropew u l-Kunsill it-tnejn ikunu informaw lill-Kummissjoni li ma kinux ser joġġezzjonaw. Dak il-perjodu għandu jiġi estiż bi tliet xhur fuq inizjattiva tal-Parlament Ewropew jew tal-Kunsill.

KAPITOLU IX

Dispożizzjonijiet tranżizzjonali u finali

Taqsima I

Artikolu 58

Klawsola ta’ rieżami

1.   Sas-17 ta’ Jannar 2028, il-Kummissjoni għandha, wara li tikkonsulta mal-EBA, l-ESMA, l-EIOPA u l-BERS, kif xieraq, twettaq rieżami u tippreżenta rapport lill-Parlament Ewropew u lill-Kunsill, akkumpanjat, fejn xieraq, minn proposta leġiżlattiva. Ir-rieżami għandu jinkludi mill-inqas dan li ġej:

(a)

il-kriterji għad-deżinjazzjoni ta’ fornituri terzi kritiċi ta’ servizzi tal-ICT f’konformità mal-Artikolu 31(2);

(b)

in-natura volontarja tan-notifika ta’ theddid ċibernetiku sinifikanti msemmija fl-Artikolu 19;

(c)

ir-reġim imsemmi fl-Artikolu 31(12) u s-setgħat tas-Sorveljant Ewlieni previsti fl-Artikolu 35(1), il-punt (d), il-punt (iv), l-ewwel inċiż, bil-ħsieb li tiġi evalwata l-effettività ta’ dawk id-dispożizzjonijiet fir-rigward tal-iżgurar tas-sorveljanza effettiva tal-fornituri terzi kritiċi ta’ servizzi tal-ICT stabbiliti f’pajjiż terz, u n-neċessità li tiġi stabbilita sussidjarja fl-Unjoni.

Għall-finijiet tal-ewwel subparagrafu ta’ dan il-punt, ir-rieżami għandu jinkludi analiżi tar-reġim imsemmi fl-Artikolu 31(12), inkluż f’termini ta’ aċċess għall-entitajiet finanzjarji tal-Unjoni għal servizzi minn pajjiżi terzi u d-disponibbiltà ta’ tali servizzi fis-suq tal-Unjoni u għandu jqis żviluppi ulterjuri fis-swieq għas-servizzi koperti minn dan ir-Regolament, l-esperjenza prattika tal-entitajiet finanzjarji u tas-superviżuri finanzjarji fir-rigward tal-applikazzjoni u, rispettivament, is-superviżjoni ta’ dak ir-reġim, u kwalunkwe żvilupp regolatorju u superviżorju rilevanti li jseħħ fil-livell internazzjonali.

(d)

l-adegwatezza tal-inklużjoni fil-kamp ta’ applikazzjoni ta’ dan ir-Regolament tal-entitajiet finanzjarji msemmija fl-Artikolu 2(3), il-punt (e), bl-użu ta’ sistemi ta’ bejgħ awtomatizzati, fid-dawl ta’ żviluppi futuri tas-suq dwar l-użu ta’ tali sistemi;

(e)

il-funzjonament u l-effettività tal-JON fl-appoġġ għall-konsistenza tas-sorveljanza u l-effiċjenza tal-iskambju ta’ informazzjoni fi ħdan il-Qafas ta’ Sorveljanza.

2.   Fil-kuntest tar-rieżami tad-Direttiva (UE) 2015/2366, il-Kummissjoni għandha tivvaluta l-ħtieġa għal aktar reżiljenza ċibernetika ta’ sistemi ta’ pagament u attivitajiet ta’ pproċessar ta’ pagamenti u l-adegwatezza li jiġi estiż il-kamp ta’ applikazzjoni ta’ dan ir-Regolament għal operaturi ta’ sistemi ta’ pagament u entitajiet involuti f’attivitajiet ta’ pproċessar ta’ pagamenti. Fid-dawl ta’ din il-valutazzjoni, il-Kummissjoni għandha tippreżenta, bħala parti mir-rieżami tad-Direttiva (UE) 2015/2366, rapport lill-Parlament Ewropew u lill-Kunsill mhux aktar tard minn sas-17 ta’ Lulju 2023.

Abbażi ta’ dak ir-rapport ta’ rieżami, u wara konsultazzjoni mal-ESAs, il-BĊE u l-BERS, il-Kummissjoni tista’ tippreżenta, fejn xieraq u bħala parti mill-proposta leġiżlattiva li tista’ tadotta skont l-Artikolu 108, it-tieni paragrafu, tad-Direttiva (UE) 2015/2366, proposta biex tiżgura li l-operaturi kollha ta’ sistemi ta’ pagament u entitajiet involuti f’attivitajiet ta’ pproċessar ta’ pagamenti jkunu soġġetti għal sorveljanza xierqa, filwaqt li titqies is-sorveljanza eżistenti mill-bank ċentrali.

3.   Sas-17 ta’ Jannar 2026, il-Kummissjoni għandha, wara li tikkonsulta l-ASE u l-Kumitat ta’ Korpi Ewropej għas-Sorveljanza tal-Awditjar, twettaq rieżami u tippreżenta rapport lill-Parlament Ewropew u lill-Kunsill, akkumpanjat, fejn xieraq, minn proposta leġiżlattiva, dwar l-adegwatezza ta’ rekwiżiti msaħħa għal awdituri statutorji u ditti tal-awditjar fir-rigward tar-reżiljenza operazzjonali diġitali, permezz tal-inklużjoni ta’ awdituri statutorji u ditti tal-awditjar fil-kamp ta’ applikazzjoni ta’ dan ir-Regolament jew permezz ta’ emendi għad-Direttiva 2006/43/KE tal-Parlament Ewropew u tal-Kunsill (39).

Taqsima II

Emendi

Artikolu 59

Emendi għar-Regolament (KE) Nru 1060/2009

Ir-Regolament (KE) Nru 1060/2009 huwa emendat kif ġej:

(1)

fl-Anness I, Taqsima A, il-punt 4, l-ewwel subparagrafu huwa sostitwit b’dan li ġej:

“Aġenzija ta’ klassifikazzjoni tal-kreditu għandu jkollha proċeduri amministrattivi u tal-kontabilità tajbin, mekkaniżmi ta’ kontroll intern, proċeduri effettivi għall-valutazzjoni tar-riskju, u arranġamenti effettivi ta’ kontroll u salvagwardja għall-ġestjoni tas-sistemi tal-ICT f’konformità mar-Regolament (UE) 2022/2554 tal-Parlament Ewropew u tal-Kunsill (*1).

(*1)  Ir-Regolament (UE) 2022/2554 tal-Parlament Ewropew u tal-Kunsill tal-14 ta’ Diċembru 2022 dwar ir-reżiljenza operazzjonali diġitali għas-settur finanzjarju u li jemenda r-Regolamenti (KE) Nru 1060/2009, (UE) Nru 648/2012, (UE) Nru 600/2014, (UE) Nru 909/2014 u (UE) 2016/1011 (ĠU L 333, 27.12.2022, p. 1).”."

(2)

fl-Anness III, il-punt 12 huwa sostitwit b’dan li ġej:

“12.

L-aġenzija ta’ klassifikazzjoni tal-kreditu tikser l-Artikolu 6(2), flimkien mal-punt 4 tat-Taqsima A tal-Anness I, billi ma jkollhiex proċeduri amministrattivi jew ta’ kontabilità, mekkaniżmi ta’ kontroll intern, proċeduri effettivi dwar il-valutazzjoni tar-riskju, jew kontroll effettiv jew arranġamenti ta’ salvagwardja għall-ġestjoni ta’ sistemi tal-ICT f’konformità mar-Regolament (UE) 2022/2554; jew billi ma timplimentax jew ma żżommx proċeduri għat-teħid ta’ deċiżjonijiet jew strutturi organizzattivi kif meħtieġ minn dak il-punt.”.

Artikolu 60

Emendi għar-Regolament (UE) Nru 648/2012

Ir-Regolament (UE) Nru 648/2012 jiġi emendat kif ġej:

(1)

l-Artikolu 26 huwa emendat kif ġej:

(a)

il-paragrafu 3 huwa sostitwit b’dan li ġej:

“3.   Kontroparti ċentrali (CCP) għandha żżomm u topera struttura organizzazzjonali li tiżgura l-kontinwità u l-funzjonament tajjeb fit-twettiq tas-servizzi u l-attivitajiet tagħha. Hija għandha tuża sistemi, riżorsi u proċeduri xierqa u proporzjonati, inkluż sistemi tal-ICT ġestiti f’konformità mar-Regolament (UE) 2022/2554 tal-Parlament Ewropew u tal-Kunsill (*2).

(*2)  Ir-Regolament (UE) 2022/2554 tal-Parlament Ewropew u tal-Kunsill tal-14 ta’ Diċembru 2022 dwar ir-reżiljenza operazzjonali diġitali għas-settur finanzjarju u li jemenda r-Regolamenti (KE) Nru 1060/2009, (UE) Nru 648/2012, (UE) Nru 600/2014, (UE) Nru 909/2014 u (UE) 2016/1011 (ĠU L 333, 27.12.2022, p1).”;"

(b)

jitħassar il-paragrafu 6;

(2)

l-Artikolu 34 huwa emendat kif ġej:

(a)

il-paragrafu 1 huwa sostitwit b’dan li ġej:

“1.   CCP għandha tistabbilixxi, timplimenta u żżomm politika adegwata ta’ kontinwità tal-operat u pjan ta’ rkupru minn diżastri, li għandhom jinkludu pjanijiet ta’ politika ta’ kontinwità tal-operat tal-ICT u pjanijiet ta’ rispons u rkupru tal-ICT stabbiliti u implimentati f’konformità mar-Regolament (UE) 2022/2554, bl-għan li jiżguraw l-preservazzjoni tal-funzjonijiet tagħha, l-irkupru bla dewmien tal-operazzjonijiet u l-issodisfar tal-obbligi tas-CCP.”;

(b)

fil-paragrafu 3, l-ewwel subparagrafu jiġi sostitwit b’dan li ġej:

“3.   Sabiex tiġi żgurata l-applikazzjoni konsistenti ta’ dan l-Artikolu, l-ESMA għandha, wara li tikkonsulta mal-membri tas-SEBĊ, tiżviluppa abbozzi ta’ standards tekniċi regolatorji li jispeċifikaw il-kontenut minimu u r-rekwiżiti tal-politika ta’ kontinwità tal-operat u tal-pjan ta’ rkupru minn diżastri, bl-esklużjoni ta’ pjanijiet ta’ politika ta’ kontinwità tal-operat tal-ICT u tal-irkupru minn diżastri.”;

(3)

fl-Artikolu 56(3), l-ewwel subparagrafu huwa sostitwit b’dan li ġej:

“3.   Sabiex tiġi żgurata l-applikazzjoni konsistenti ta’ dan l-Artikolu, l-ESMA għandha tiżviluppa abbozzi ta’ standards tekniċi regolatorji li jispeċifikaw id-dettalji, għajr għar-rekwiżiti relatati mal-ġestjoni tar-riskju tal-ICT, tal-applikazzjoni għar-reġistrazzjoni msemmija fil-paragrafu 1.”;

(4)

fl-Artikolu 79, il-paragrafi 1 u 2 huma sostitwiti b’dawn li ġejjin:

“1.   Repożitorju tat-tranżazzjonijiet għandu jidentifika s-sorsi ta’ riskju operazzjonali u jimminimizzahom ukoll permezz tal-iżvilupp ta’ sistemi, kontrolli u proċeduri xierqa, inklużi sistemi tal-ICT ġestiti f’konformità mar-Regolament (UE) 2022/2554.

2.   Repożitorju tat-tranżazzjonijiet għandu jistabbilixxi, jimplimenta u jżomm politika adegwata ta’ kontinwità tal-operat u pjan tal-irkupru minn diżastri, inkluż pjanijiet ta’ politika ta’ kontinwità tal-operat tal-ICT u pjanijiet ta’ rispons u rkupru tal-ICT stabbiliti f’konformità mar-Regolament (UE) 2022/2554, bl-għan li jiżgura ż-żamma tal-funzjonijiet tiegħu, l-irkupru bla dewmien tal-operazzjonijiet u l-issodisfar tal-obbligi tar-repożitorju tat-tranżazzjonijiet.”;

(5)

fl-Artikolu 80, jitħassar il-paragrafu 1.

(6)

fl-Anness I, it-Taqsima II hija emendata kif ġej:

(a)

il-punti (a) u (b) jiġu sostitwiti b’dan li ġej:

“(a)

repożitorju tat-tranżazzjonijiet jikser l-Artikolu 79(1) billi ma jidentifikax is-sorsi ta’ riskju operazzjonali jew billi ma jimminimizzax dawk ir-riskji permezz tal-iżvilupp ta’ sistemi, kontrolli u proċeduri xierqa, inkluż sistemi tal-ICT ġestiti f’konformità mar-Regolament (UE) 2022/2554;

(b)

repożitorju tat-tranżazzjonijiet jikser l-Artikolu 79(2) billi ma jistabbilixxix, ma jimplimentax jew ma jżommx politika adegwata ta’ kontinwità tal-operat u pjan ta’ rkupru minn diżastri stabbiliti f’konformità mar-Regolament (UE) 2022/2554, bl-għan li jiżgura ż-żamma tal-funzjonijiet tiegħu, l-irkupru bla dewmien tal-operazzjonijiet u l-issodisfar tal-obbligi tar-repożitorju tat-tranżazzjonijiet;”;

(b)

jitħassar il-punt (c).

(7)

l-Anness III huwa emendat kif ġej:

(a)

it-Taqsima II hija emendata kif ġej:

(i)

il-punt (c) huwa sostitwit b’dan li ġej:

“(c)

CCP tal-Grad 2 tikser l-Artikolu 26(3) billi ma żżommx jew ma toperax struttura organizzazzjonali li tiżgura l-kontinwità u l-funzjonament ordnat fit-twettiq tas-servizzi u l-attivitajiet tagħha jew jekk ma tużax sistemi, riżorsi jew proċeduri xierqa u proporzjonati inkluż sistemi tal-ICT ġestiti f’konformità mar-Regolament (UE) 2022/2554”;

(ii)

jitħassar il-punt (f).

(b)

fit-Taqsima III, il-punt (a) huwa sostitwit b’dan li ġej:

“(a)

CCP tal-Grad 2 tikser l-Artikolu 34(1) billi ma tistabbilixxix, ma timplimentax jew ma żżommx politika adegwata ta’ kontinwità tal-operat u pjan ta’ rkupru minn diżastri stabbiliti f’konformità mar-Regolament (UE) 2022/2554, bl-għan li tiżgura l-preservazzjoni tal-funzjonijiet tagħha, l-irkupru fil-ħin tal-operazzjonijiet u t-twettiq tal-obbligi tas-CCP, li tal-inqas jippermetti l-irkupru tat-tranżazzjonijiet kollha fil-waqt tat-tfixkil biex jippermetti li s-CCP tkompli topera b’ċertezza u tikkompleta s-saldu fid-data skedata;”.

Artikolu 61

Emendi għar-Regolament (UE) Nru 909/2014

L-Artikolu 45 tar-Regolament (UE) Nru 909/2014 huwa emendat kif ġej:

(1)

il-paragrafu 1 jiġi sostitwit b’dan li ġej:

“1.   CSD għandu jidentifika s-sorsi ta’ riskju operazzjonali, kemm interni kif ukoll esterni, u jimminimizza l-impatt tagħhom ukoll permezz tal-iskjerament ta’ għodod, proċessi u politiki tal-ICT xierqa stabbiliti u ġestiti f’konformità mar-Regolament (UE) 2022/2554 tal-Parlament Ewropew u tal-Kunsill (*3), kif ukoll permezz ta’ kwalunkwe għodod, kontrolli u proċeduri rilevanti oħrajn xierqa għal tipi oħrajn ta’ riskju operazzjonali, inkluż għas-sistemi kollha ta’ saldu tat-titoli li huwa jopera.

(*3)  Ir-Regolament (UE) 2022/2554 tal-Parlament Ewropew u tal-Kunsill tal-14 ta’ Diċembru 2022 dwar ir-reżiljenza operazzjonali diġitali għas-settur finanzjarju u li jemenda r-Regolamenti (KE) Nru 1060/2009, (UE) Nru 648/2012, (UE) Nru 600/2014, (UE) Nru 909/2014 u (UE) 2016/1011 (ĠU L 333, 27.12.2022, p1).”;"

(2)

jitħassar il-paragrafu 2;

(3)

il-paragrafi 3 u 4 jiġu sostitwiti b’dawn li ġejjin:

“3.   Għas-servizzi li jipprovdi kif ukoll għal kull sistema ta’ saldu tat-titoli li jħaddem, CSD għandu jistabbilixxi, jimplimenta u jżomm pjan adegwat ta’ kontinwità tal-operat u ta’ rkupru minn diżastri, inkluż politika ta’ kontinwità tal-operat tal-ICT u pjanijiet ta’ rispons u rkupru tal-ICTstabbiliti f’konformità mar-Regolament (UE) 2022/2554, biex jiġu żgurati l-preservazzjoni tas-servizzi tiegħu, l-irkupru bla dewmien tal-operazzjonijiet u t-twettiq tal-obbligi tas-CSD fil-każ ta’ avvenimenti li jippreżentaw riskju sinifikanti ta’ tfixkil tal-operazzjonijiet.

4.   Il-pjan imsemmi fil-paragrafu 3 għandu jipprevedi l-irkupru tat-tranżazzjonijiet u l-pożizzjonijiet tal-parteċipanti kollha fil-ħin tat-tfixkil biex il-parteċipanti ta’ CSD ikunu jistgħu jkomplu joperaw b’ċertezza u jlestu s-saldu fid-data skedata, inkluż billi jiġi żgurat li s-sistemi kritiċi tal-IT ikunu jistgħu jerġgħu jibdew l-operazzjonijiet mill-ħin tat-tfixkil kif previst fl-Artikolu 12(5) u (7) tar-Regolament (UE) 2022/2554”;

(4)

il-paragrafu 6 huwa sostitwit b’dan li ġej:

“6.   CSD għandu jidentifika, jimmonitorja u jiġġestixxi r-riskji li l-parteċipanti ewlenin fis-sistemi ta’ saldu tat-titoli li jopera, kif ukoll fornituri ta’ servizzi u utilitajiet, u CSDs jew infrastrutturi tas-suq oħra, jistgħu jippreżentaw għall-operazzjonijiet tiegħu. Huwa għandu, fuq talba, jipprovdi lill-awtoritajiet kompetenti u rilevanti b’informazzjoni dwar kwalunkwe tali riskju identifikat. Għandu jinforma wkoll mingħajr dewmien lill-awtorità kompetenti u lill-awtoritajiet rilevanti bi kwalunkwe inċident operazzjonali, għajr b’rabta mar-riskju tal-ICT, li jirriżulta minn tali riskji.”;

(5)

fil-paragrafu 7, l-ewwel subparagrafu jiġi sostitwit b’dan li ġej:

“7.   L-ESMA għandha, b’kooperazzjoni mill-qrib mal-membri tas-SEBĊ, tiżviluppa abbozzi ta’ standards tekniċi regolatorji biex tispeċifika r-riskji operazzjonali msemmija fil-paragrafi 1 u 6, għajr ir-riskju tal-ICT, u l-metodi biex tittestja, tindirizza jew timminimizza dawk ir-riskji, inkluż il-politiki ta’ kontinwità tal-operat u l-pjanijiet ta’ rkupru minn diżastri msemmija fil-paragrafi 3 u 4 u l-metodi ta’ valutazzjoni tagħhom.”.

Artikolu 62

Emendi għar-Regolament (UE) Nru 600/2014

Ir-Regolament (UE) Nru 600/2014 huwa emendat kif ġej:

(1)

l-Artikolu 27 g jiġi emendat kif ġej:

(a)

il-paragrafu 4 huwa sostitwit b’dan li ġej:

“4.

APA għandu jikkonforma mar-rekwiżiti li jikkonċernaw is-sigurtà tan-netwerk u tas-sistemi tal-informazzjoni stabbiliti fir-Regolament (UE) 2022/2554 tal-Parlament Ewropew u tal-Kunsill (*4).

(*4)  Ir-Regolament (UE) 2022/2554 tal-Parlament Ewropew u tal-Kunsill tal-14 ta’ Diċembru 2022 dwar ir-reżiljenza operazzjonali diġitali għas-settur finanzjarju u li jemenda r-Regolamenti (KE) Nru 1060/2009, (UE) Nru 648/2012, (UE) Nru 600/2014, (UE) Nru 909/2014 u (UE) 2016/1011 (ĠU L 333, 27.12.2022, p1).”;"

(b)

fil-paragrafu 8, il-punt (c) jiġi sostitwit b’dan li ġej:

“(c)

ir-rekwiżiti organizzazzjonali konkreti stipulati fil-paragrafi 3 u 5.”;

(2)

l-Artikolu 27h huwa emendat kif ġej:

(a)

il-paragrafu 5 jiġi sostitwit b’dan li ġej:

“5.   CTP għandu jikkonforma mar-rekwiżiti li jikkonċernaw is-sigurtà tan-netwerk u tas-sistemi tal-informazzjoni stabbiliti fir-Regolament (UE) 2022/2554”.

(b)

fil-paragrafu 8, il-punt (e) jiġi sostitwit b’dan li ġej:

‘(e)

ir-rekwiżiti organizzazzjonali konkreti stipulati fil-paragrafu 4.”;

(3)

l-Artikolu 27i jiġi emendat kif ġej:

(a)

il-paragrafu 3 jiġi sostitwit b’dan li ġej:

“3.   ARM għandu jikkonforma mar-rekwiżiti li jikkonċernaw is-sigurtà tan-netwerk u tas-sistemi tal-informazzjoni stabbiliti fir-Regolament (UE) 2022/2554 ”;

(b)

fil-paragrafu 5, il-punt (b) jiġi sostitwit b’dan li ġej:

“(b)

ir-rekwiżiti organizzazzjonali konkreti stipulati fil-paragrafi 2 u 4.”.

Artikolu 63

Emenda għar-Regolament (UE) 2016/1011

Fl-Artikolu 6 tar-Regolament (UE) 2016/1011, jiżdied il-paragrafu li ġej:

“6.

Għal parametri referenzjarji ta’ importanza kritika, amministratur għandu jkollu proċeduri amministrattivi u tal-kontabilità tajbin, mekkaniżmi ta’ kontroll intern, proċeduri effettivi għall-valutazzjoni tar-riskju, u arranġamenti effettivi ta’ kontroll u salvagwardja għall-ġestjoni tas-sistemi tal-ICT f’konformità mar-Regolament (UE) 2022/2554 tal-Parlament Ewropew u tal-Kunsill (*5).

Artikolu 64

Dħul fis-seħħ u applikazzjoni

Dan ir-Regolament għandu jidħol fis-seħħ fl-għoxrin jum wara dak tal-pubblikazzjoni tiegħu f’Il-Ġurnal Uffiċjali tal-Unjoni Ewropea.

Għandu japplika mis-17 ta’ Jannar 2025.

Dan ir-Regolament għandu jorbot fl-intier tiegħu u jkun direttament applikabbli fl-Istati Membri kollha.

Magħmul fi Strasburgu, l-14 ta’ Diċembru 2022.

Għall-Parlament Ewropew

Il-President

R. METSOLA

Għall-Kunsill

Il-President

M. BEK


(1)  ĠU C 343, 26.8.2021, p. 1.

(2)  ĠU C 155, 30.4.2021, p. 38.

(3)  Il-pożizzjoni tal-Parlament Ewropew tal-10 ta’ Novembru 2022 (għadha mhijiex ippubblikata fil-Ġurnal Uffiċjali) u d-deċiżjoni tal-Kunsill tat-28 ta’ Novembru 2022.

(4)  Ir-Regolament (UE) Nru 1093/2010 tal-Parlament Ewropew u tal-Kunsill tal-24 ta’ Novembru 2010 li jistabbilixxi Awtorità Superviżorja Ewropea (Awtorità Bankarja Ewropea) u li jemenda d-Deċiżjoni Nru 716/2009/KE u jħassar id-Deċiżjoni tal-Kummissjoni 2009/78/KE (ĠU L 331, 15.12.2010, p. 12).

(5)  Ir-Regolament (UE) Nru 1094/2010 tal-Parlament Ewropew u tal-Kunsill tal-24 ta’ Novembru 2010 li jistabbilixxi Awtorità Superviżorja Ewropea (Awtorità Ewropea tal-Assigurazzjoni u l-Pensjonijiet tax-Xogħol), u li jemenda d-Deċiżjoni Nru 716/2009/KE u li jħassar id-Deċiżjoni tal-Kummissjoni 2009/79/KE (ĠU L 331, 15.12.2010, p. 48).

(6)  Ir-Regolament (UE) Nru 1095/2010 tal-Parlament Ewropew u tal-Kunsill tal-24 ta’ Novembru 2010 li jistabbilixxi Awtorità Superviżorja Ewropea (Awtorità Ewropea tat-Titoli u s-Swieq) u li jemenda d-Deċiżjoni Nru 716/2009/KE u jħassar id-Deċiżjoni tal-Kummissjoni 2009/77/KE (ĠU L 331, 15.12.2010, p. 84).

(7)  Id-Direttiva (UE) 2016/1148 tal-Parlament Ewropew u tal-Kunsill tas-6 ta’ Lulju 2016 dwar miżuri għal livell għoli komuni ta’ sigurtà tan-networks u tas-sistemi tal-informazzjoni madwar l-Unjoni (ĠU L 194, 19.7.2016, p. 1).

(8)  Id-Direttiva (UE) 2022/2555 tal-Parlament Ewropew u tal-Kunsill tal-14 ta’ Diċembru 2022 dwar miżuri għal livell għoli komuni ta’ ċibersigurtà madwar l-Unjoni, li temenda r-Regolament (UE) Nru 910/2014 u d-Direttiva (UE) 2018/1972, u li tħassar id-Direttiva (UE) 2016/1148 (Direttiva NIS 2) (ara paġna 80 ta’ dan il-Ġurnal Uffiċjali).

(9)  Id-Direttiva (UE) 2022/2557 tal-Parlament Ewropew u tal-Kunsill tal-14 ta’ Diċembru 2022 dwar ir-reżiljenza ta’ entitajiet kritiċi u li tħassar id-Direttiva tal-Kunsill 2008/114/KE (ara paġna 164 ta’ dan il-Ġurnal Uffiċjali).

(10)  Id-Direttiva (UE) 2016/2341 tal-Parlament Ewropew u tal-Kunsill tal-14 ta’ Diċembru 2016 dwar l-attivitajiet u s-superviżjoni ta’ istituzzjonijiet għall-provvista ta’ rtirar okkupazzjonali (IORPs) (ĠU L 354, 23.12.2016, p. 37).

(11)  Ir-Regolament (UE) 2019/881 tal-Parlament Ewropew u Tal-Kunsill tas-17 ta’ April 2019 dwar l-ENISA (l-Aġenzija tal-Unjoni Ewropea għaċ-Ċibersigurtà) u dwar iċ-ċertifikazzjoni taċ-ċibersigurtà tat-teknoloġija tal-informazzjoni u tal-komunikazzjoni u li jħassar ir-Regolament (UE) Nru 526/2013 (l-Att dwar iċ-Ċibersigurtà) (ĠU L 151, 7.6.2019, p. 15).

(12)  Id-Direttiva (UE) 2015/2366 tal-Parlament Ewropew u tal-Kunsill tal-25 ta’ Novembru 2015 dwar is-servizzi ta’ pagament fis-suq intern, li temenda d-Direttivi 2002/65/KE, 2009/110/KE u 2013/36/UE u r-Regolament (UE) Nru 1093/2010, u li tħassar id-Direttiva 2007/64/KE (ĠU L 337, 23.12.2015, p. 35).

(13)  Ir-Regolament (UE) 2016/679 tal-Parlament Ewropew u tal-Kunsill tas-27 ta’ April 2016 dwar il-protezzjoni tal-persuni fiżiċi fir-rigward tal-ipproċessar ta’ data personali u dwar il-moviment liberu ta’ tali data, u li jħassar id-Direttiva 95/46/KE (Regolament Ġenerali dwar il-Protezzjoni tad-Data) (ĠU L 119, 4.5.2016, p. 1).

(14)  Id-Direttiva 2009/110/KE tal-Parlament Ewropew u tal-Kunsill tas- 16 ta’ Settembru 2009 dwar il-bidu, l-eżerċizzju u s-superviżjoni prudenzjali tan-negozju tal-istituzzjonijiet tal-flus elettroniċi li temenda d-Direttivi 2005/60/KE u 2006/48/KE u li tħassar id-Direttiva 2000/46/KE (ĠU L 267, 10.10.2009, p. 7).

(15)  Id-Direttiva 2013/36/UE tal-Parlament Ewropew u tal-Kunsill tas-26 ta’ Ġunju 2013 dwar l-aċċess għall-attività tal-istituzzjonijiet ta’ kreditu u s-superviżjoni prudenzjali tal-istituzzjonijiet ta’ kreditu u tad-ditti tal-investiment, li temenda d-Direttiva 2002/87/KE u li tħassar id-Direttivi 2006/48/KE u 2006/49/KE (ĠU L 176, 27.6.2013, p. 338).

(16)  Id-Direttiva 2011/61/UE tal-Parlament Ewropew u tal-Kunsill tat-8 ta’ Ġunju 2011 dwar Maniġers ta’ Fondi ta’ Investiment Alternattivi u li temenda d-Direttivi 2003/41/KE u 2009/65/KE u r-Regolamenti (KE) Nru 1060/2009 u (UE) Nru 1095/2010 (ĠU L 174, 1.7.2011, p. 1).

(17)  Id-Direttiva 2009/138/KE tal-Parlament Ewropew u tal-Kunsill tal-25 ta’ Novembru 2009 dwar il-bidu u l-eżerċizzju tan-negozju tal-assigurazzjoni u tar-riassigurazzjoni (Solvenza II) (ĠU L 335, 17.12.2009, p. 1).

(18)  Id-Direttiva 2014/65/UE tal-Parlament Ewropew u tal-Kunsill tal-15 ta’ Mejju 2014 dwar is-swieq fl-istrumenti finanzjarji u li temenda d-Direttiva 2002/92/KE u d-Direttiva 2011/61/UE (ĠU L 173, 12.6.2014, p. 349).

(19)  Ir-Regolament tal-Kunsill (UE) Nru 1024/2013 tal-15 ta’ Ottubru 2013 li jikkonferixxi kompiti speċifiċi lill-Bank Ċentrali Ewropew fir-rigward ta’ politiki relatati mas-superviżjoni prudenzjali ta’ istituzzjonijiet ta’ kreditu (ĠU L 287, 29.10.2013, p. 63).

(20)  Id-Direttiva 2014/59/UE tal-Parlament Ewropew u tal-Kunsill tal-15 ta’ Mejju 2014 li tistabbilixxi qafas għall-irkupru u r-riżoluzzjoni ta’ istituzzjonijiet ta’ kreditu u ditti ta’ investiment u li temenda d-Direttiva tal-Kunsill 82/891/KEE u d-Direttivi 2001/24/KE, 2002/47/KE, 2004/25/KE, 2005/56/KE, 2007/36/KE, 2011/35/UE, 2012/30/UE u 2013/36/UE, u r-Regolamenti (UE) Nru 1093/2010 u (UE) Nru 648/2012, tal-Parlament Ewropew u tal-Kunsill (ĠU L 173, 12.6.2014, p. 190).

(21)  Id-Direttiva 2013/34/UE tal-Parlament Ewropew u tal-Kunsill tas-26 ta’ Ġunju 2013 dwar id-dikjarazzjonijiet finanzjarji annwali, id-dikjarazzjonijiet finanzjarji kkonsolidati u r-rapporti relatati ta’ ċerti tipi ta’ impriżi, u li temenda d-Direttiva 2006/43/KE tal-Parlament Ewropew u tal-Kunsill u li tħassar id-Direttivi tal-Kunsill 78/660/KEE u 83/349/KEE (ĠU L 182, 29.6.2013, p. 19).

(22)  ĠU L 123, 12.5.2016, p. 1.

(23)  Ir-Regolament (KE) Nru 1060/2009 tal-Parlament Ewropew u tal-Kunsill tas-16 ta’ Settembru 2009 dwar aġenziji li jiggradaw il-kreditu (ĠU L 302, 17.11.2009, p. 1).

(24)  Ir-Regolament (UE) Nru 648/2012 tal-Parlament Ewropew u tal-Kunsill tal-4 ta’ Lulju 2012 dwar derivati OTC, kontropartijiet ċentrali u repożitorji tad-data dwar it-tranżazzjonijiet (ĠU L 201, 27.7.2012, p. 1).

(25)  Ir-Regolament (UE) Nru 600/2014 tal-Parlament Ewropew u tal-Kunsill tal-15 ta’ Mejju 2014 dwar is-swieq tal-istrumenti finanzjarji u li jemenda r-Regolament (UE) Nru 648/2012 (ĠU L 173, 12.6.2014, p. 84).

(26)  Ir-Regolament (UE) Nru 909/2014 tal-Parlament Ewropew u tal-Kunsill tat- 23 ta’ Lulju 2014 dwar titjib fis-saldu tat-titoli fl-Unjoni Ewropea u dwar depożitorji ċentrali tat-titoli u li jemenda d-Direttivi 98/26/KE u 2014/65/UE u r-Regolament (UE) Nru 236/2012 (ĠU L 257, 28.8.2014, p. 1).

(27)  Id-Direttiva (UE) 2022/2556 tal-Parlament Ewropew u tal-Kunsill tal-14 ta’ Diċembru 2022 li temenda d-Direttivi 2009/65/KE, 2009/138/KE, 2011/61/UE, 2013/36/UE, 2014/59/UE, 2014/65/UE, (UE) 2015/2366 u (UE) 2016/2341 fir-rigward tar-reżiljenza operazzjonali diġitali għas-settur finanzjarju (ara paġna 153 ta’ dan il-Ġurnal Uffiċjali).

(28)  Ir-Regolament (UE) 2016/1011 tal-Parlament Ewropew u tal-Kunsill tat-8 ta’ Ġunju 2016 dwar l-indiċi użati bħala parametri referenzjarji fi strumenti finanzjarji u kuntratti finanzjarji jew dwar il-kejl tal-prestazzjoni ta’ fondi ta’ investiment u li jemenda d-Direttivi 2008/48/KE u 2014/17/UE u r-Regolament (UE) Nru 596/2014 (ĠU L 171, 29.6.2016, p. 1).

(29)  Ir-Regolament (UE) 2018/1725 tal-Parlament Ewropew u tal-Kunsill tat-23 ta’ Ottubru 2018 dwar il-protezzjoni ta’ persuni fiżiċi fir-rigward tal-ipproċessar ta’ data personali mill-istituzzjonijiet, korpi, uffiċċji u aġenziji tal-Unjoni u dwar il-moviment liberu ta’ tali data, u li jħassar ir-Regolament (KE) Nru 45/2001 u d-Deċiżjoni Nru 1247/2002/KE (ĠU L 295, 21.11.2018, p. 39).

(30)  ĠU C 229, 15.6.2021, p. 16.

(31)  Id-Direttiva 2009/65/KE tal-Parlament Ewropew u tal-Kunsill tat-13 ta’ Lulju 2009 dwar il-koordinazzjoni ta’ liġijiet, regolamenti u dispożizzjonijiet amministrattivi fir-rigward tal-impriżi ta’ investiment kollettiv f’titoli trasferibbli (UCITS) (ĠU L 302, 17.11.2009, p. 32).

(32)  Ir-Regolament (UE) Nru 575/2013 tal-Parlament Ewropew u tal-Kunsill tas-26 ta’ Ġunju 2013 dwar ir-rekwiżiti prudenzjali għall-istituzzjonijiet ta’ kreditu u li jemenda r-Regolament (UE) Nru 648/2012 (ĠU L 176, 27.6.2013, p. 1).

(33)  Ir-Regolament (UE) 2019/2033 tal-Parlament Ewropew u tal-Kunsill tas-27 ta’ Novembru 2019 dwar ir-rekwiżiti prudenzjali tad-ditti tal-investiment u li jemenda r-Regolamenti (UE) Nru 1093/2010, (UE) Nru 575/2013, (UE) Nru 600/2014 u (UE) Nru 806/2014 (ĠU L 314, 5.12.2019, p. 1).

(34)  Id-Direttiva (UE) 2016/97 tal-Parlament Ewropew u tal-Kunsill tal-20 ta’ Jannar 2016 dwar id-distribuzzjoni tal-assigurazzjoni (ĠU L 26, 2.2.2016, p. 19).

(35)  Ir-Regolament (UE) 2020/1503 tal-Parlament Ewropew u tal-Kunsill tas-7 ta’ Ottubru 2020 dwar fornituri Ewropej ta’ servizzi ta’ finanzjament kollettiv għan-negozji, u li jemenda r-Regolament (UE) 2017/1129 u d-Direttiva (UE) 2019/1937 (ĠU L 347, 20.10.2020, p. 1).

(36)  Ir-Regolament (UE) 2017/2402 tal-Parlament Ewropew u tal-Kunsill tat-12 ta’ Diċembru 2017 li jistabbilixxi qafas ġenerali għat-titolizzazzjoni u li joħloq qafas speċifiku għal titolizzazzjoni sempliċi, trasparenti u standardizzata, u li jemenda d-Direttivi 2009/65/KE, 2009/138/KE u 2011/61/UE u r-Regolamenti (KE) Nru 1060/2009 u (UE) Nru 648/2012 (ĠU L 347, 28.12.2017, p. 35).

(37)  Ir-Regolament (UE) Nru 806/2014 tal-Parlament Ewropew u tal-Kunsill tal-15 ta’ Lulju 2014 li jistabbilixxi regoli uniformi u proċedura uniformi għar-riżoluzzjoni tal-istituzzjonijiet ta’ kreditu u ċerti ditti tal-investiment fil-qafas ta’ Mekkaniżmu Uniku ta’ Riżoluzzjoni u Fond Uniku għar-Riżoluzzjoni u li jemenda r-Regolament (UE) Nru 1093/2010 (ĠU L 225, 30.7.2014, p. 1).

(38)  Id-Direttiva (UE) 2019/2034 tal-Parlament Ewropew u tal-Kunsill tas-27 ta’ Novembru 2019 dwar is-superviżjoni prudenzjali tad-ditti tal-investiment u li temenda d-Direttivi 2002/87/KE, 2009/65/KE, 2011/61/UE, 2013/36/UE 2014/59/UE u 2014/65/UE (ĠU L 314, 5.12.2019, p. 64).

(39)  Id-Direttiva 2006/43/KE tal-Parlament Ewropew u tal-Kunsill tas-17 ta’ Mejju 2006 dwar il-verifiki statutorji tal-kontijiet annwali u tal-kontijiet konsolidati, li temenda d-Direttivi tal-Kunsill 78/660/KEE u 83/349/KEE u li tħassar id-Direttiva tal-Kunsill 84/253/KEE (ĠU L 157, 9.6.2006, p. 87).


DIRETTIVI

27.12.2022   

MT

Il-Ġurnal Uffiċjali tal-Unjoni Ewropea

L 333/80


DIRETTIVA (UE) 2022/2555 TAL-PARLAMENT EWROPEW U TAL-KUNSILL

tal-14 ta’ Diċembru 2022

dwar miżuri għal livell għoli komuni ta’ ċibersigurtà madwar l-Unjoni kollha, li temenda r-Regolament (UE) Nru 910/2014 u d-Direttiva (UE) 2018/1972, u li tħassar id-Direttiva (UE) 2016/1148 (Direttiva NIS 2)

(Test b'rilevanza għaż-ŻEE)

IL-PARLAMENT EWROPEW U L-KUNSILL TAL-UNJONI EWROPEA,

Wara li kkunsidraw it-Trattat dwar il-Funzjonament tal-Unjoni Ewropea, u b'mod partikolari l-Artikolu 114 tiegħu,

Wara li kkunsidraw il-proposta tal-Kummissjoni Ewropea,

Wara li l-abbozz tal-att leġiżlattiv intbagħat lill-parlamenti nazzjonali,

Wara li kkunsidraw l-opinjoni tal-Bank Ċentrali Ewropew (1),

Wara li kkunsidraw l-opinjoni tal-Kumitat Ekonomiku u Soċjali Ewropew (2),

Wara li kkonsultaw lill-Kumitat tar-Reġjuni,

Filwaqt li jaġixxu skont il-proċedura leġiżlattiva ordinarja (3),

Billi:

(1)

Id-Direttiva (UE) 2016/1148 tal-Parlament Ewropew u tal-Kunsill (4) kellha l-għan li tibni l-kapaċitajiet taċ-ċibersigurtà madwar l-Unjoni, li timmitiga t-theddid għan-network u s-sistemi tal-informazzjoni użati biex jipprovdu servizzi essenzjali f'setturi ewlenin, u li tiżgura l-kontinwità ta' tali servizzi meta jiffaċċjaw inċidenti, u b'hekk tikkontribwixxi għas-sigurtà tal-Unjoni u għall-funzjonament effettiv tal-ekonomija u s-soċjetà tagħha .

(2)

Mid-dħul fis-seħħ tad-Direttiva (UE) 2016/1148, sar progress sinifikanti biex jiżdied il-livell tar-reżiljenza ċibernetika tal-Unjoni. Ir-rieżami ta' dik id-Direttiva wera li serviet ta' katalist għall-approċċ istituzzjonali u regolatorju għaċ-ċibersigurtà fl-Unjoni, u b'hekk wittiet it-triq għal bidla sinifikanti fil-mentalità. Dik id-Direttiva żgurat it-tlestija tal-oqfsa nazzjonali dwar is-sigurtà tan-networks u tas-sistemi tal-informazzjoni billi stabbiliet strateġiji nazzjonali dwar is-sigurtà tan-networks u tas-sistemi tal-informazzjoni u billi stabbiliet kapaċitajiet nazzjonali u implimentat miżuri regolatorji li jkopru l-infrastrutturi essenzjali u l-entitajiet identifikati minn kull Stat Membru. Id-Direttiva (UE) 2016/1148 ikkontribwiet ukoll għall-kooperazzjoni fil-livell tal-Unjoni permezz tal-istabbiliment tal-Grupp ta' Kooperazzjoni u n-network ta' skwadri nazzjonali ta' rispons għal inċidenti relatati mas-sigurtà tal-kompjuters. Minkejja dawk il-kisbiet, ir-rieżami tad-Direttiva (UE) 2016/1148 żvela nuqqasijiet inerenti li jostakolawha milli tindirizza b'mod effettiv l-isfidi attwali u emerġenti taċ-ċibersigurtà.

(3)

In-network u s-sistemi tal-informazzjoni żviluppaw f'karatteristika ċentrali tal-ħajja ta' kuljum bit-trasformazzjoni diġitali rapida u l-interkonnettività tas-soċjetà, inkluż fi skambji transfruntieri. Dak l-iżvilupp wassal għal espansjoni tax-xenarju tat-theddid ċibernetiku, li rriżulta fi sfidi ġodda, li jeħtieġu risponsi adattati, ikkoordinati u innovattivi fl-Istati Membri kollha. L-għadd, id-daqs, is-sofistikazzjoni, il-frekwenza u l-impatt tal-inċidenti qed jiżdiedu, u qed jippreżentaw theddida mill-akbar għall-funzjonament tan-network u s-sistemi tal-informazzjoni. B'riżultat ta' dan, l-inċidenti jistgħu jostakolaw it-twettiq ta' attivitajiet ekonomiċi fis-suq intern, jiġġeneraw telf finanzjarju, jimminaw il-kunfidenza tal-utenti u jikkawżaw ħsara kbira lill-ekonomija u lis-soċjetà tal-Unjoni. Għalhekk, l-istat ta' tħejjija u l-effettività taċ-ċibersigurtà issa huma essenzjali aktar minn qatt qabel għall-funzjonament tajjeb tas-suq intern. Barra minn hekk, iċ-ċibersigurtà hija faċilitatur ewlieni biex ħafna setturi kritiċi jħaddnu b'suċċess it-trasformazzjoni diġitali u jieħdu vantaġġ sħiħ mill-benefiċċji ekonomiċi, soċjali u sostenibbli tad-diġitalizzazzjoni.

(4)

Il-bażi ġuridika tad-Direttiva (UE) 2016/1148 kienet l-Artikolu 114 tat-Trattat dwar il-Funzjonament tal-Unjoni Ewropea (TFUE), li l-objettiv tiegħu huwa l-istabbiliment u l-funzjonament tas-suq intern permezz tat-tisħiħ tal-miżuri għall-approssimazzjoni tar-regoli nazzjonali. Ir-rekwiżiti taċ-ċibersigurtà imposti fuq l-entitajiet li jipprovdu servizzi jew li jwettqu attivitajiet li huma ekonomikament sinifkanti jvarjaw b'mod konsiderevoli fost l-Istati Membri mil-lat ta' tip ta' rekwiżit, il-livell ta' dettall tagħhom u l-metodu tas-superviżjoni. Dawk id-differenzi jinvolvu kostijiet addizzjonali u joħolqu diffikultajiet għall-entitajiet li joffru prodotti jew servizzi transfruntieri. Rekwiżiti imposti minn Stat Membru li huma differenti minn dawk imposti minn Stat Membru ieħor, jew saħansitra f'kunflitt magħhom, jistgħu jaffettwaw b'mod sostanzjali tali attivitajiet transfruntieri. Barra minn hekk, il-possibbiltà ta' tfassil jew implimentazzjoni inadegwati ta' rekwiżiti taċ-ċibersigurtà fi Stat Membru wieħed aktarx ikollha riperkussjonijiet fuq il-livell taċ-ċibersigurtà ta' Stati Membri oħra, b'mod partikolari minħabba l-intensità tal-iskambji transfruntieri. Ir-rieżami tad-Direttiva (UE) 2016/1148 wera diverġenza wiesgħa fl-implimentazzjoni tagħha mill-Istati Membri, inkluż fir-rigward tal-kamp ta' applikazzjoni tagħha, minħabba li l-Istati Membri ngħataw livell għoli ta' diskrezzjoni dwar id-delimitazzjoni tiegħu. Id-Direttiva (UE) 2016/1148 tat ukoll diskrezzjoni wiesgħa ħafna lill-Istati Membri fir-rigward tal-implimentazzjoni tal-obbligi ta' rapportar dwar is-sigurtà u l-inċidenti, stipulati fiha. Għalhekk, dawk l-obbligi ġew implimentati b'modi ferm differenti fil-livell nazzjonali. Jeżistu diverġenzi simili fl-implimentazzjoni tad-dispożizzjonijiet tad-Direttiva (UE) 2016/1148 dwar s-superviżjoni u l-infurzar.

(5)

Dawk id-diverġenzi kollha jinvolvu frammentazzjoni tas-suq intern u jistgħu jħallu effett preġudizzjarju fuq il-funzjonament tiegħu, li jaffettwa b'mod partikolari l-forniment transfruntier ta' servizzi u l-livell ta' reżiljenza ċibernetika minħabba l-applikazzjoni ta' varjetà ta' miżuri. Fl-aħħar mill-aħħar, dawn id-diverġenzi jistgħu jwasslu biex xi Stati Membri jsiru aktar vulnerabbli għat-theddid ċibernetiku, b'effetti konsegwenzjali potenzjali fl-Unjoni kollha. Din id-Direttiva għandha l-għan li telimina dawn id-diverġenzi wiesgħa minn fost l-Istati Membri, b'mod partikolari billi tistabbilixxi regoli minimi dwar il-funzjonament ta' qafas regolatorju kkoordinat, billi tistabbilixxi mekkaniżmi għal kooperazzjoni effettiva fost l-awtoritajiet responsabbli f'kull Stat Membru, billi taġġorna l-lista ta' setturi u attivitajiet soġġetti għall-obbligi taċ-ċibersigurtà u billi tipprovdi rimedji u miżuri ta' infurzar effettivi li huma kruċjali għall-infurzar effettiv ta' dawk l-obbligi. Għalhekk, id-Direttiva (UE) 2016/1148 jenħtieġ titħassar u tiġi sostitwita b'din id-Direttiva.

(6)

Bir-revoka tad-Direttiva (UE) 2016/1148, il-kamp ta' applikazzjoni skont is-setturi jenħtieġ li jiġi estiż għal parti akbar tal-ekonomija biex jipprovdu kopertura komprensiva tas-setturi u s-servizzi ta' importanza fundamentali għall-attivitajiet soċjetali u ekonomiċi ewlenin fis-suq intern. B'mod partikolari, din id-Direttiva għandha l-għan li tegħleb in-nuqqasijiet tad-divrenzjar bejn operaturi ta' servizzi essenzjali u fornituri ta' servizzi diġitali, li ntwera b'mod ċar li huwa obsolet, għax ma jirriflettix l-importanza tas-setturi jew tas-servizzi għall-attivitajiet soċjetali u ekonomiċi fis-suq intern.

(7)

Taħt id-Direttiva (UE) 2016/1148, l-Istati Membri kellhom ir-responsabbiltà li jidentifikaw l-entitajiet li kienu jissodisfaw il-kriterji biex jikkwalifikaw bħala operaturi ta' servizzi essenzjali. Biex jiġu eliminati d-diverġenzi wiesgħa fost l-Istati Membri f'dak ir-rigward u tiġi żgurata ċ-ċertezza legali fir-rigward tal-miżuri tal-ġestjoni tar-riskji taċ-ċibersigurtà u l-obbligi ta' rapportar għall-entitajiet rilevanti kollha, jenħtieġ li jiġi stabbilit kriterju uniformi li jiddetermina l-entitajiet li jaqgħu fil-kamp ta' applikazzjoni ta' din id-Direttiva. Dak il-kriterju jenħtieġ li jikkonsisti fl-applikazzjoni ta' regola dwar id-daqs massimu, fejn l-entitajiet kollha li jikkwalifikaw bħala intrapriżi żgħar u ta' daqs medju skont l-Artikolu 2 tal-Anness tar-Rakkomandazzjoni tal-Kummissjoni 2003/361/KE (5), jew jaqbżu l-limitu massimu għal intrapriżi żgħar u ta' daqs medju previst fil-paragrafu 1 ta' dak l-Artikolu, u li joperaw fis-setturi u jipprovdu t-tipi ta' servizz jew iwettqu l-attivitajiet koperti minn din id-Direttiva, jaqgħu fil-kamp ta' applikazzjoni tagħha. Jenħtieġ li l-Istati Membri jipprevedu wkoll ċerti intrapriżi żgħar u mikrointrapriżi, kif definit fl-Artikolu 2(2) u (3) ta' dak l-Anness li jissodisfaw kriterji speċifiċi li jindikaw rwol ewlieni għas-soċjetà għall-ekonomiji jew għal setturi jew tipi ta' servizz partikolari jaqgħu fil-kamp ta' applikazzjoni ta' din id-Direttiva.

(8)

L-esklużjoni tal-entitajiet tal-amministrazzjoni pubblika mill-kamp ta' applikazzjoni ta' din id-Direttiva jenħtieġ li tapplika għall-entitajiet li l-attivitajiet tagħhom jitwettqu fil-biċċa l-kbira fl-oqsma tas-sigurtà nazzjonali, is-sigurtà pubblika, id-difiża jew l-infurzar tal-liġi, inkluż il-prevenzjoni, l-investigazzjoni, id-detezzjoni u l-prosekuzzjoni ta' reati kriminali. Madankollu, l-entitajiet tal-amministrazzjoni pubblika li l-attivitajiet tagħhom huma biss marġinalment relatati ma' dawk l-oqsma jenħtieġ li ma jiġux esklużi mill-kamp ta' applikazzjoni ta' din id-Direttiva. Għall-finijiet ta' din id-Direttiva, entitajiet b'kompetenzi regolatorji mhumiex ikkunsidrati li jwettqu attivitajiet fil-qasam tal-infurzar tal-liġi u, għalhekk, mhumiex esklużi għal dik ir-raġuni mill-kamp ta' applikazzjoni ta' din id-Direttiva. L-entitajiet tal-amministrazzjoni pubblika li huma stabbiliti b'mod konġunt ma' pajjiż terz f'konformità ma' ftehim internazzjonali huma esklużi mill-kamp ta' applikazzjoni ta' din id-Direttiva. Din id-Direttiva ma tapplikax għall-missjonijiet diplomatiċi u konsulari tal-Istati Membri f'pajjiżi terzi jew għan-networks u s-sistemi tal-informazzjoni tagħhom, meta tali sistemi jkunu lokalizzati fil-bini tal-missjoni jew jitħaddmu għal utenti f'pajjiż terz.

(9)

Jenħtieġ li l-Istati Membri jkunu jistgħu jieħdu l-miżuri meħtieġa biex jiżguraw il-protezzjoni tal-interessi essenzjali tas-sigurtà nazzjonali, jissalvagwardjaw il-politika pubblika u s-sigurtà pubblika, u jippermettu l-prevenzjoni, l-investigazzjoni, id-detezzjoni u l-prosekuzzjoni ta' reati kriminali. Għal dak il-għan, jenħtieġ li l-Istati Membri jkunu jistgħu jeżentaw lil entitajiet speċifiċi li jwettqu attivitajiet fl-oqsma tas-sigurtà nazzjonali, is-sigurtà pubblika, id-difiża jew l-infurzar tal-liġi, inkluż il-prevenzjoni, l-investigazzjoni, id-detezzjoni u l-prosekuzzjoni ta' reati kriminali, minn ċerti obbligi stipulati f'din id-Direttiva fir-rigward ta' dawk l-attivitajiet. Fejn entità tipprovdi servizzi esklużivament lil entità tal-amministrazzjoni pubblika eskluża mill-kamp ta' applikazzjoni ta' din id-Direttiva, jenħtieġ li l-Istati Membri jkunu jistgħu jeżentaw lil dik l-entità minn ċerti obbligi stipulati f'din id-Direttiva fir-rigward ta' dawk is-servizzi. Barra minn hekk, jenħtieġ li l-ebda Stat Membru ma jkun obbligat jipprovdi informazzjoni li d-divulgazzjoni tagħha tista' tmur kontra l-interessi essenzjali tas-sigurtà nazzjonali, is-sigurtà pubblika jew id-difiża tiegħu. Ir-regoli nazzjonali jew tal-Unjoni għall-protezzjoni tal-informazzjoni klassifikata, il-ftehimiet ta' nondivulgazzjoni, u l-ftehimiet ta' nondivulgazzjoni informali bħall-protokoll dwar il-kondiviżjoni tal-informazzjoni (Traffic Light Protocol), għandhom jitqiesu f'dak il-kuntest. Jenħtieġ li l-protokoll dwar il-kondiviżjoni tal-informazzjoni jinftiehem li huwa mezz biex tingħata informazzjoni dwar kwalunkwe limitazzjoni rigward it-tixrid ulterjuri tal-istess informazzjoni. Jintuża kważi fl-iskwadri ta' rispons għal inċidenti relatati mas-sigurtà tal-kompjuters (CSIRTs) kollha u f'xi ċentri tal-kondiviżjoni u tal-analiżi tal-informazzjoni.

(10)

Għalkemm din id-Direttiva tapplika għall-entitajiet li jwettqu attivitajiet fil-produzzjoni tal-elettriku minn impjanti tal-enerġija nukleari, uħud minn dawk l-attivitajiet jistgħu jkunu marbuta mas-sigurtà nazzjonali. F'dan il-każ, Stat Membru jenħtieġ li jkun jista' jeżerċita r-responsabbiltà tiegħu għas-salvagwardja tas-sigurtà nazzjonali fir-rigward ta' dawk l-attivitajiet, inklużi attivitajiet fil-katina tal-valur nukleari, f'konformità mat-Trattati.

(11)

Xi entitajiet iwettqu attivitajiet fl-oqsma tas-sigurtà nazzjonali, is-sigurtà pubblika, id-difiża jew l-infurzar tal-liġi, inkluż il-prevenzjoni, l-investigazzjoni, id-detezzjoni jew il-prosekuzzjoni ta' reati kriminali, filwaqt li jipprovdu wkoll servizzi fiduċjarji. Il-fornituri ta' servizzi fiduċjarji li jaqgħu fil-kamp ta' applikazzjoni tar-Regolament (UE) Nru 910/2014 tal-Parlament Ewropew u tal-Kunsill (6) jenħtieġ li jaqgħu fil-kamp ta' applikazzjoni ta' din id-Direttiva sabiex jiġi żgurat l-istess livell ta' rekwiżiti tas-sigurtà u superviżjoni bħal dak stabbilit preċedentement f'dak ir-Regolament fir-rigward ta' fornituri ta' servizzi fiduċjarji. F'konformità mal-esklużjoni ta' ċerti servizzi speċifiċi mir-Regolament (UE) Nru 910/2014, jenħtieġ li din id-Direttiva ma tapplikax għall-forniment ta' servizzi fiduċjarji li jintużaw esklużivament f'sistemi magħluqa li jirriżultaw mil-liġi nazzjonali jew minn ftehimiet bejn grupp ta' parteċipanti definit.

(12)

Il-fornituri tas-servizzi postali kif definiti fid-Direttiva 97/67/KE tal-Parlament Ewropew u tal-Kunsill (7), inklużi l-fornituri ta' servizzi tal-kurrier, jenħtieġ li jkunu soġġetti għal din id-Direttiva jekk jipprovdu mill-inqas wieħed mill-istadji fil-katina tat-twassil postali, b'mod partikolari l-ikklerjar, l-issortjar, it-trasport jew id-distribuzzjoni ta' oġġetti postali, inklużi servizzi ta' ġbir, filwaqt li jitqies il-livell ta' dipendenza li jkollhom minn sistemi ta' networks u ta' informazzjoni. Is-servizzi tat-trasport li ma jitwettqux flimkien ma' wieħed minn dawk il-passi jenħtieġ li jkunu esklużi mill-ambitu tas-servizzi postali.

(13)

Fid-dawl tal-intensifikazzjoni u ż-żieda fis-sofistikazzjoni tat-theddid ċibernetiku, jenħtieġ li l-Istati Membri jistinkaw biex jiżguraw li l-entitajiet esklużi mill-kamp ta' applikazzjoni ta' din id-Direttiva jiksbu livell għoli ta' ċibersigurtà, u jappoġġaw l-implimentazzjoni ta' miżuri ta' ġestjoni tar-riskju taċ-ċibersigurtà ekwivalenti li jirriflettu n-natura sensittiva ta' dawk l-entitajiet.

(14)

Il-liġi tal-Unjoni dwar il-protezzjoni tad-data u l-liġi tal-Unjoni dwar il-privatezza tapplika għal kwalunkwe pproċessar tad-data personali skont din id-Direttiva. B'mod partikolari, din id-Direttiva hija mingħajr preġudizzju għar-Regolament (UE) 2016/679 tal-Parlament Ewropew u tal-Kunsill (8) u d-Direttiva 2002/58/KE tal-Parlament Ewropew u tal-Kunsill (9). Għaldaqstant jenħtieġ li din id-Direttiva ma taffettwax, fost l-oħrajn, il-kompiti u s-setgħat tal-awtoritajiet kompetenti għall-monitoraġġ tal-konformità mal-liġi applikabbli tal-Unjoni dwar il-protezzjoni tad-data u l-liġi tal-Unjoni dwar il-privatezza.

(15)

L-entitajiet li jaqgħu fil-kamp ta' applikazzjoni ta' din id-Direttiva għal finijiet ta' konformità mal-miżuri ta' ġestjoni tar-riskji taċ-ċibersigurtà u l-obbligi ta' rapportar jenħtieġ li jiġu kklassifikati f'żewġ kategoriji, jiġifieri entitajiet essenzjali u entitajiet importanti, li jirriflettu l-livell ta' kritikalità tagħhom rigward tas-settur tagħhom jew tat-tip ta' servizz li joffru, kif ukoll id-daqs tagħhom. F'dan ir-rigward, jenħtieġ li jittieħed kont debitu ta' kwalunkwe valutazzjoni tar-riskju jew gwida settorjali rilevanti mill-awtoritajiet kompetenti, fejn applikabbli. Ir-reġimi superviżorji u ta' infurzar għal dawn iż-żewġ kategoriji ta' entitajiet jenħtieġ li jiġu divrenzjati biex jiġi żgurat bilanċ ġust bejn ir-rekwiżiti u l-obbligi bbażati fuq ir-riskju minn naħa, u l-piż amministrattiv li jirriżulta mis-superviżjoni tal-konformità min-naħa l-oħra.

(16)

Sabiex jiġi evitat li entitajiet li għandhom intrapriżi sħab jew li huma intrapriżi assoċjati jitqiesu bħala entitajiet essenzjali jew importanti fejn dan ikun sproporzjonat, l-Istati Membri jistgħu jqisu l-grad ta' indipendenza li entità tgawdi fir-rigward tas-sieħba tagħha jew ta' intrapriżi relatati fl-applikazzjoni tal-Artikolu 6(2) tal-Anness tar-Rakkomandazzjoni 2003/361/KE. B'mod partikolari, l-Istati Membri jistgħu jqisu l-fatt li entità hija indipendenti mis-sieħba tagħha jew mill-intrapriżi assoċjati tagħha f'termini tan-networks u tas-sistemi tal-informazzjoni li dik l-entità tuża fil-forniment tas-servizzi tagħha u f'termini tas-servizzi li tipprovdi l-entità. Fuq dik il-bażi, meta jkun xieraq, l-Istati Membri jistgħu jikkunsidraw li tali entità ma tikkwalifikax bħala intrapriża ta' daqs medju skont l-Artikolu 2 tal-Anness tar-Rakkomandazzjoni 2003/361/KE, jew ma taqbiżx il-limiti massimi għal impriża ta' daqs medju previsti fil-paragrafu 1 ta' dak l-Artikolu, jekk, wara li jittieħed kont tal-grad ta' indipendenza ta' dik l-entità, dik l-entità ma tkunx ġiet ikkunsidrata li tikkwalifika bħala intrapriża ta' daqs medju jew li taqbeż dawk il-limiti massimi fil-każ li tkun ittieħdet inkunsiderazzjoni biss id-data tagħha stess. Dan ma jaffettwax l-obbligi stipulati f'din id-Direttiva tal-intrapriżi sħab u assoċjati li jaqgħu fil-kamp ta' applikazzjoni ta' din id-Direttiva.

(17)

L-Istati Membri jenħtieġ li jkunu jistgħu jiddeċiedu li l-entitajiet identifikati qabel id-dħul fis-seħħ ta' din id-Direttiva bħala operaturi ta' servizzi essenzjali f'konformità mad-Direttiva (UE) 2016/1148 jitqiesu bħala entitajiet essenzjali.

(18)

Sabiex tiġi żgurata ħarsa ġenerali ċara tal-entitajiet li jaqgħu fil-kamp ta' applikazzjoni ta' din id-Direttiva, jenħtieġ li l-Istati Membri jistabbilixxu lista ta' entitajiet essenzjali u importanti kif ukoll entitajiet li jipprovdu servizzi ta' reġistrazzjoni ta' ismijiet ta' dominji. Għal dak l-iskop, jenħtieġ li l-Istati Membri jitolbu lill-entitajiet jissottomettu mill-inqas l-informazzjoni li ġejja lill-awtoritajiet kompetenti, jiġifieri, l-isem, l-indirizz u d-dettalji ta' kuntatt aġġornati, inklużi l-indirizzi tal-posta elettronika, il-meded tal-IP u n-numri tat-telefon tal-entità, u, fejn applikabbli, is-settur u s-sottosettur rilevanti msemmija fl-annessi, kif ukoll, fejn applikabbli, lista tal-Istati Membri fejn jipprovdu servizzi li jaqgħu fil-kamp ta' applikazzjoni ta' din id-Direttiva. Għal dak il-għan jenħtieġ li l-Kummissjoni, bl-għajnuna tal-Aġenzija tal-Unjoni Ewropea għaċ-Ċibersigurtà (ENISA), tipprovdi, mingħajr dewmien żejjed, linji gwida u mudelli rigward l-obbligu ta' għoti ta' informazzjoni. Sabiex jiġu ffaċilitati l-istabbiliment u l-aġġornament tal-lista ta' entitajiet essenzjali u importanti kif ukoll entitajiet li jipprovdu servizzi ta' reġistrazzjoni ta' ismijiet ta' dominji, jenħtieġ li l-Istati Membri jkunu jistgħu jistabbilixxu mekkaniżmi nazzjonali li jippermettu lill-entitajiet jirreġistraw lilhom infushom. Fejn jeżistu reġistri fil-livell nazzjonali, l-Istati Membri jistgħu jiddeċiedu dwar il-mekkaniżmi xierqa li jippermettu l-identifikazzjoni tal-entitajiet li jaqgħu fil-kamp ta' applikazzjoni ta' din id-Direttiva.

(19)

Jenħtieġ li l-Istati Membri jkollhom ir-responsabbiltà li jissottomettu lill-Kummissjoni mill-inqas l-għadd ta' entitajiet essenzjali u importanti għal kull settur u sottosettur imsemmi fl-annessi, kif ukoll l-informazzjoni rilevanti dwar l-għadd ta' entitajiet identifikati u l-forniment, minn fost dawk stabbiliti f'din id-Direttiva, li abbażi tiegħu jkunu ġew identifikati, u t-tip ta' servizz li huma jipprovdu. L-Istati Membri huma mħeġġa jiskambjaw mal-Kummissjoni informazzjoni dwar l-entitajiet essenzjali u importanti u, f'każ ta' inċident ta' ċibersigurtà fuq skala kbira, informazzjoni rilevanti bħal isem l-entità kkonċernata.

(20)

Jenħtieġ li l-Kummissjoni, f'kooperazzjoni mal-Grupp ta' Kooperazzjoni u wara konsultazzjoni mal-partijiet interessati rilevanti, tipprovdi linji gwida dwar l-implimentazzjoni tal-kriterji applikabbli għall-mikrointrapriżi u l-intrapriżi żgħar biex tivvaluta jekk jaqgħux fil-kamp ta' applikazzjoni ta' din id-Direttiva. Il-Kummissjoni jenħtieġ li tiżgura wkoll li tingħata gwida xierqa lill-mikrointrapriżi u l-intrapriżi żgħar li jaqgħu fil-kamp ta' applikazzjoni ta' din id-Direttiva. Jenħtieġ li l-Kummissjoni, bl-appoġġ tal-Istati Membri, tqiegħed għad-dispożizzjoni tal-mikrointrapriżi u l-intrapriżi żgħar informazzjoni f'dan ir-rigward.

(21)

Il-Kummissjoni tista' tagħti gwida biex tassisti lill-Istati Membri fl-implimentazzjoni tad-dispożizzjonijiet ta' din id-Direttiva fir-rigward tal-kamp ta' applikazzjoni u l-evalwazzjoni tal-proporzjonalità tal-miżuri li jridu jittieħdu skont din id-Direttiva, b'mod partikolari fir-rigward ta' entitajiet b'mudelli kummerċjali jew ambjenti operattivi kumplessi, fejn entità tista' simultanjament tissodisfa l-kriterji assenjati kemm għall-entitajiet essenzjali kif ukoll għal dawk importanti, jew tista' simultanjament twettaq attivitajiet li wħud minnhom jaqgħu fil-kamp ta' applikazzjoni ta' din id-Direttiva u oħrajn huma esklużi minnu.

(22)

Din id-Direttiva tistabbilixxi l-linja bażi għall-miżuri ta' ġestjoni tar-riskji taċ-ċibersigurtà u l-obbligi ta' rapportar fis-setturi li jaqgħu fil-kamp ta' applikazzjoni tagħha. Sabiex tiġi evitata l-frammentazzjoni tad-dispożizzjonijiet dwar iċ-ċibersigurtà tal-atti legali tal-Unjoni, meta atti legali tal-Unjoni ulterjuri u speċifiċi għas-settur li jikkonċernaw miżuri ta' ġestjoni tar-riskji taċ-ċibersigurtà u obbligi ta' rapportar jitqiesu neċessarji biex jiġi żgurat livell għoli ta' ċibersigurtà fl-Unjoni kollha, jenħtieġ li l-Kummissjoni tivvaluta jekk tali dispożizzjonijiet ulterjuri jistgħux jiġu stipulati f'att ta' implimentazzjoni skont din id-Direttiva. Jekk tali att ta' implimentazzjoni ma jkunx adatti għal dak il-għan, l-atti legali tal-Unjoni speċifiċi għas-settur jistgħu jikkontribwixxu biex jiġi żgurat livell għoli ta' ċibersigurtà fl-Unjoni kollha, filwaqt li jittieħed kont sħiħ tal-ispeċifiċitajiet u l-kumplessitajiet tas-setturi kkonċernati. Għal dak il-għan, din id-Direttiva ma tipprekludix l-adozzjoni ta' aktar atti tal-Unjoni speċifiċi għas-settur li jindirizzaw miżuri ta' ġestjoni tar-riskji taċ-ċibersigurtà u obbligi ta' rapportar li jqisu kif xieraq il-ħtieġa ta' qafas taċ-ċibersigurtà komprensiv u konsistenti. Din id-Direttiva hija mingħajr preġudizzju għas-setgħat ta' implimentazzjoni eżistenti mogħtija lill-Kummissjoni f'għadd ta' setturi, inkluż it-trasport u l-enerġija.

(23)

Meta att legali tal-Unjoni speċifiku għas-settur ikun fih dispożizzjonijiet li jitolbu li l-entitajiet essenzjali jew importanti jadottaw miżuri ta' ġestjoni tar-riskji taċ-ċibersigurtà jew jinnotifikaw inċidenti sinifikanti, u meta dawk ir-rekwiżiti jkunu tal-anqas ekwivalenti fl-effett għall-obbligi stabbiliti f'din id-Direttiva, dawk id-dispożizzjonijiet, inkluż dwar is-superviżjoni u l-infurzar, jenħtieġ li japplikaw għal tali entitajiet. Jekk att legali tal-Unjoni speċifiku għas-settur ma jkoprix l-entitajiet kollha f'settur speċifiku li jaqa' fil-kamp ta' applikazzjoni ta' din id-Direttiva, id-dispożizzjonijiet rilevanti ta' din id-Direttiva jenħtieġ li jkomplu japplikaw għall-entitajiet li ma jkunux koperti minn dak l-att.

(24)

Meta d-dispożizzjonijiet tal-att legali tal-Unjoni speċifiku għas-settur jirrikjedu li l-entitajiet essenzjali jew importanti jikkonformaw mal-obbligi ta' rapportar li huma mill-inqas ekwivalenti fl-effett tagħhom għall-obbligi ta' rapportar stabbiliti f'din id-Direttiva, jenħtieġ li jiġu żgurati l-konsistenza u l-effikaċja tat-trattament tan-notifiki tal-inċidenti. Għal dak il-għan, id-dispożizzjonijiet li jirrigwardaw in-notifiki tal-inċidenti tal-att legali tal-Unjoni speċifiku għas-settur jenħtieġ li jipprovdu lis-CSIRTs, lill-awtoritajiet kompetenti jew lill-punti uniċi ta' kuntatt dwar iċ-ċibersigurtà (punti uniċi ta' kuntatt) skont din id-Direttiva aċċess immedjat għan-notifiki tal-inċidenti ppreżentati f'konformità mal-att legali tal-Unjoni speċifiku għas-settur. B'mod partikolari, tali aċċess immedjat jista' jiġi żgurat jekk in-notifiki tal-inċidenti jintbagħtu mingħajr dewmien żejjed lis-CSIRT, lill-awtorità kompetenti jew lill-punt uniku ta' kuntatt skont din id-Direttiva. Fejn xieraq, jenħtieġ li l-Istati Membri jistabbilixxu mekkaniżmu ta' rapportar awtomatiku u dirett li jiżgura l-kondiviżjoni sistematika u immedjata ta' informazzjoni mas-CSIRTs, l-awtoritajiet kompetenti jew il-punti uniċi ta' kuntatt dwar it-trattament ta' tali notifiki tal-inċidenti. Għall-fini tas-simplifikazzjoni tar-rapportar u tal-implimentazzjoni tal-mekkaniżmu ta' rapportar awtomatiku u dirett, l-Istati Membri jistgħu, f'konformità mal-att legali tal-Unjoni speċifiku għas-settur, jużaw punt ta' dħul uniku.

(25)

L-atti legali tal-Unjoni speċifiċi għas-settur li jipprevedu miżuri ta' ġestjoni tar-riskji taċ-ċibersigurtà jew obbligi ta' rapportar li huma mill-inqas ekwivalenti fl-effett tagħhom għal dawk stabbiliti f'din id-Direttiva jistgħu jipprevedu li l-awtoritajiet kompetenti taħt tali atti jeżerċitaw is-setgħat superviżorji u ta' infurzar tagħhom fir-rigward ta' tali miżuri jew obbligi bl-assistenza tal-awtoritajiet kompetenti f'konformità ma' din id-Direttiva. L-awtoritajiet kompetenti kkonċernati jistgħu jistabbilixxu arranġamenti ta' kooperazzjoni għal dak l-iskop. Tali arranġamenti ta' kooperazzjoni jistgħu jispeċifikaw, fost l-oħrajn, il-proċeduri li jikkonċernaw il-koordinazzjoni tal-attivitajiet superviżorji, inkluż il-proċeduri tal-investigazzjonijiet u tal-spezzjonijiet fuq il-post f'konformità mal-liġi nazzjonali u mekkaniżmu għall-iskambju ta' informazzjoni rilevanti dwar is-superviżjoni u l-infurzar bejn l-awtoritajiet kompetenti, inkluż l-aċċess għal informazzjoni relatata maċ-ċibernetika mitluba mill-awtoritajiet kompetenti skont din id-Direttiva.

(26)

Fejn atti legali tal-Unjoni speċifiċi għas-settur jirrikjedu jew jipprovdu inċentivi lill-entitajiet biex jinnotifikaw theddid ċibernetiku sinifikanti, jenħtieġ li l-Istati Membri jinkoraġġixxu wkoll il-kondiviżjoni ta' theddid ċibernetiku sinifikanti mas-CSIRTs, l-awtoritajiet kompetenti jew il-punti uniċi ta' kuntatt skont din id-Direttiva, sabiex jiġi żgurat livell ogħla ta' sensibilizzazzjoni ta' dawk il-korpi dwar ix-xenarju tat-theddid ċibernetiku u sabiex ikunu jistgħu jirrispondu b'mod effettiv u f'waqtu jekk it-theddid ċibernetiku sinifikanti jimmaterjalizza ruħu.

(27)

Atti legali futuri tal-Unjoni speċifiċi għas-settur għandhom jieħdu kont debitu tad-definizzjonijiet u l-qafas superviżorju u ta' infurzar stabbiliti f'din id-Direttiva.

(28)

Ir-Regolament (UE) 2022/2554 tal-Parlament Ewropew u tal-Kunsill (10) jenħtieġ li jitqies bħala att legali tal-Unjoni speċifiku għas-settur b'relazzjoni ma' din id-Direttiva fir-rigward tal-entitajiet finanzjarji. Jenħtieġ li minflok dawk previsti f'din id-Direttiva, japplikaw id-dispożizzjonijiet tar-Regolament (UE) 2022/2554 relatati mal-ġestjoni tar-riskji tat-teknoloġija tal-informazzjoni u tal-komunikazzjoni (ICT), il-ġestjoni ta' inċidenti relatati mal-ICT u, b'mod partikolari, ir-rapportar tal-inċidenti maġġuri relatati mal-ICT, kif ukoll dwar l-ittestjar tar-reżiljenza operazzjonali diġitali, l-arranġamenti għall-kondiviżjoni tal-informazzjoni u r-riskju tal-ICT ta' parti terza. Għalhekk jenħtieġ li l-Istati Membri ma japplikawx id-dispożizzjonijiet ta' din id-Direttiva dwar il-ġestjoni tar-riskji taċ-ċibersigurtà u l-obbligi ta' rapportar, is-superviżjoni u l-infurzar għall-entitajiet finanzjarji koperti mir-Regolament (UE) 2022/2554. Fl-istess ħin, huwa importanti li tinżamm relazzjoni b'saħħitha u li jsir l-iskambju ta' informazzjoni mas-settur finanzjarju skont din id-Direttiva. Għal dak il-għan, ir-Regolament (UE) 2022/2554 jippermetti lill-Awtoritajiet Superviżorji Ewropej (ASE) u lill-awtoritajiet kompetenti skont dak ir-Regolament jipparteċipaw fl-attivitajiet tal-Grupp ta' Kooperazzjoni u jiskambjaw informazzjoni u jikkooperaw mal-punti uniċi ta' kuntatt, kif ukoll mas-CSIRTs u mal-awtoritajiet kompetenti skont din id-Direttiva. L-awtoritajiet kompetenti skont ir-Regolament (UE) 2022/2554 jenħtieġ li jittrażmettu wkoll id-dettalji ta' inċidenti kbar relatati mal-ICT u, fejn rilevanti, theddid ċibernetiku sinifikanti lis-CSIRTs, lill-awtoritajiet kompetenti jew lill-punti uniċi ta' kuntatt skont din id-Direttiva. Dan jista'jsir billi jingħata aċċess immedjat għan-notifiki tal-inċidenti u billi dawn jiġu trażmessi direttament jew permezz ta' punt ta' dħul uniku. Barra minn hekk, jenħtieġ li l-Istati Membri jkomplu jinkludu lis-settur finanzjarju fl-istrateġiji taċ-ċibersigurtà tagħhom u s-CSIRTs jistgħu jkopru s-settur finanzjarju fl-attivitajiet tagħhom.

(29)

Sabiex jiġu evitati l-lakuni jew id-duplikazzjonijiet fl-obbligi taċ-ċibersigurtà imposti fuq entitajiet fis-settur tal-avjazzjoni, l-awtoritajiet nazzjonali skont ir-Regolamenti (KE) Nru 300/2008 (11) u (UE) 2018/1139 (12) tal-Parlament Ewropew u tal-Kunsill u l-awtoritajiet kompetenti skont din id-Direttiva jenħtieġ li jikkooperaw fir-rigward tal-implimentazzjoni ta' miżuri għall-ġestjoni tar-riskji taċ-ċibersigurtà u s-superviżjoni tal-konformità ma' dawk il-miżuri fil-livell nazzjonali. Il-konformità ta' entità mar-rekwiżiti tas-sigurtà stabbiliti fir-Regolamenti (KE) Nru 300/2008 u (UE) 2018/1139 u fl-atti delegati u ta' implimentazzjoni rilevanti adottati skont dawk ir-Regolamenti tista' titqies mill-awtoritajiet kompetenti skont din id-Direttiva li tikkostitwixxi konformità mar-rekwiżiti korrispondenti stabbiliti f'din id-Direttiva.

(30)

Fid-dawl tal-interkonnessjonijiet bejn iċ-ċibersigurtà u s-sigurtà fiżika tal-entitajiet, jenħtieġ li jiġi żgurat approċċ koerenti bejn id-Direttiva (UE) 2022/2557 tal-Parlament Ewropew u tal-Kunsill (13) u din id-Direttiva. Biex jinkiseb dan, l-entitajiet identifikati bħala entitajiet kritiċi skont id-Direttiva (UE) 2022/2557 jenħtieġ li jitqiesu bħala entitajiet essenzjali skont din id-Direttiva. Barra minn hekk, kull Stat Membru jenħtieġ li jiżgura li l-istrateġija ta' ċibersigurtà nazzjonali tiegħu jipprevedi qafas ta' politika għal koordinazzjoni msaħħa f'dak l-Istat Membru l bejn l-awtoritajiet kompetenti tiegħu skont din id-Direttiva u dawk skont id-Direttiva (UE) 2022/2557 fil-kuntest tal-kondiviżjoni ta' informazzjoni dwar riskji ċibernetiċi, theddid ċibernetiku, u inċidenti kif ukoll riskji, theddid u inċidenti mhux ċibernetiċi, u l-eżerċizzju ta' kompiti superviżorji. L-awtoritajiet kompetenti skont din id-Direttiva u dawk skont id-Direttiva (UE) 2022/2557 jenħtieġ li jikkooperaw u jiskambjaw informazzjoni mingħajr dewmien żejjed, b'mod partikolari b'rabta mal-identifikazzjoni ta' entitajiet kritiċi, riskji, theddid ċibernetiku, u inċidenti kif ukoll b'rabta ma' riskji, theddid u inċidenti mhux ċibernetiċi li jaffettwaw entitajiet kritiċi, inklużi l-miżuri ta' ċibersigurtà u fiżiċi meħuda minn entitajiet kritiċi kif ukoll ir-riżultati tal-attivitajiet superviżorji mwettqa fir-rigward ta' tali entitajiet.

Barra minn hekk, sabiex jiġu ssimplifikati l-attivitajiet superviżorji bejn l-awtoritajiet kompetenti skont din id-Direttiva u dawk skont id-Direttiva (UE) 2022/2557 u jiġi minimizzat il-piż amministrattiv għall-entitajiet ikkonċernati, dawk l-awtoritajiet kompetenti jenħtieġ li jagħmlu ħilithom biex jarmonizzaw il-mudelli tan-notifika tal-inċidenti u l-proċessi superviżorji. Fejn xieraq, l-awtoritajiet kompetenti skont id-Direttiva (UE) 2022/2557 jenħtieġ li jkunu jistgħu jitolbu lill-awtoritajiet kompetenti skont din id-Direttiva jeżerċitaw is-setgħat superviżorji u ta' infurzar tagħhom fir-rigward ta' entità li hija identifikata bħala entità kritika skont id-Direttiva (UE) 2022/2557. L-awtoritajiet kompetenti skont din id-Direttiva u dawk skont id-Direttiva (UE) 2022/2557 jenħtieġ li, possibbilment f'ħin reali, jikkooperaw u jiskambjaw informazzjoni bejniethom għal dan il-għan.

(31)

L-entitajiet li jappartjenu lis-settur tal-infrastruttura diġitali huma essenzjalment ibbażati fuq in-networks u s-sistemi tal-informazzjoni u għalhekk l-obbligi imposti fuq dawk l-entitajiet skont din id-Direttiva jenħtieġ li jindirizzaw b'mod komprensiv is-sigurtà fiżika ta' tali sistemi bħala parti mill-miżuri ta' ġestjoni tar-riskji taċ-ċibersigurtà u tal-obbligi ta' rapportar tagħhom. Peress li dawk il-kwistjonijiet huma koperti b'din id-Direttiva, l-obbligi stabbiliti fil-Kapitoli III, IV u VI tad-Direttiva (UE) 2022/2557 ma japplikawx għal tali entitajiet.

(32)

Iż-żamma u l-preservazzjoni ta' sistema tal-ismijiet ta' dominji (DNS) affidabbli, reżiljenti u sigura huma fatturi ewlieni fiż-żamma tal-integrità tal-internet u huma essenzjali għat-tħaddim kontinwu u stabbli tiegħu, li fuqu jiddependu l-ekonomija u s-soċjetà diġitali. Għalhekk, jenħtieġ li din id-Direttiva tapplika għar-reġistri tal-ismijiet ta' dominji tal-ogħla livell (TLD), u l-fornituri ta' servizzi ta' DNS li jridu jkunu mifhuma bħala entitajiet li jipprovdu servizzi ta' riżoluzzjoni tal-ismijiet ta' dominji rikursivi disponibbli pubblikament għall-utenti finali tal-internet jew servizzi ta' riżoluzzjoni tal-ismijiet ta' dominji awtorevoli għall-użu ta' partijiet terzi. Jenħtieġ li din id-Direttiva ma tapplikax għar-root name servers.

(33)

Is-servizzi tal-cloud computing jenħtieġ li jkopru servizzi diġitali li jippermettu amministrazzjoni on-demand u aċċess remot wiesa' għal ġabra skalabbli u elastika ta' riżorsi tal-computing kondiviżibbli, inkluż fejn tali riżorsi jkunu distribwiti madwar diversi postijiet. Riżorsi tal-computing jinkludu riżorsi bħal networks, servers jew infrastruttura oħra, sistemi operatorji, software, ħżin, applikazzjonijiet u servizzi. Il-mudelli tas-servizzi tal-cloud computing jinkludu, fost l-oħrajn, Infrastruttura bħala Servizz (IaaS), Pjattaforma bħala Servizz (PaaS), Software bħala Servizz (SaaS) u Network bħala Servizz (NAAs). Il-mudelli ta' implimentazzjoni tal-cloud computing jenħtieġ li jinkludu l-cloud privata, komunitarja, pubblika u ibrida. Is-servizz tal-cloud computing u l-mudelli tal-implimentazzjoni għandhom l-istess tifsira bħat-termini tal-mudelli tas-servizz u tal-implimentazzjoni definiti skont l-istandard ISO/IEC 17788:2014. Il-kapaċità tal-utent tal-cloud computing li unilateralment iforni lilu nnifsu bil-kapaċitajiet tal-computing, bħall-ħin tas-server jew il-ħżin tan-network, mingħajr interazzjoni umana mill-fornitur ta' servizz tal-cloud computing, tista' tiġi deskritta bħala amministrazzjoni on-demand.

It-terminu "aċċess remot wiesa'" jintuża biex jiddeskrivi li l-kapaċitajiet tal-cloud ikunu pprovduti fuq in-network u aċċessati permezz ta' mekkaniżmi li jippromwovu l-użu ta' pjattaformi tal-klijenti rqaq jew ħoxnin eteroġeni, inklużi telefowns ċellulari, tablets, laptops u stazzjonijiet tax-xogħol. It-terminu "skalabbli" jirreferi għar-riżorsi tal-computing li jiġu allokati b'mod flessibbli mill-fornitur tas-servizz tal-cloud, irrispettivament mill-pożizzjoni ġeografika tar-riżorsi, biex ir-riżorsi pprovduti jlaħħqu mal-fluttwazzjonijiet fid-domanda. It-terminu "ġabra elastika" jintuża biex jiddeskrivi r-riżorsi tal-computing li jiġu pprovduti u rilaxxati skont id-domanda biex iżidu u jnaqqsu malajr ir-riżorsi disponibbli skont l-ammont ta' xogħol. It-terminu "kondiviżibbli" jintuża biex jiddeskrivi r-riżorsi tal-computing ipprovduti lil diversi utenti li jkollhom aċċess komuni għas-servizzi, iżda fejn l-ipproċessar isir b'mod separat għal kull utent, għalkemm is-servizz jingħata mill-istess tagħmir elettroniku. It-terminu "distribwit" jintuża biex jiddeskrivi r-riżorsi tal-computing li jkunu jinsabu fuq kompjuters jew apparati differenti mqabbda ma' network u li jikkomunikaw u jikkoordinaw bejniethom billi jgħaddu l-messaġġi.

(34)

Minħabba t-tfaċċar ta' teknoloġiji innovattivi u mudelli kummerċjali ġodda, mudelli ġodda ta' servizz u ta' implimentazzjoni tal-cloud computing huma mistennija jidhru fis-suq intern b'rispons għall-mod kif qed jevolvu l-ħtiġijiet tal-klijenti. F'dak il-kuntest, is-servizzi tal-cloud computing jistgħu jitwasslu f'forma distribwita ħafna, anki eqreb għal fejn tkun qed tiġi ġġenerata jew miġbura d-data, u b'hekk jimxu mill-mudell tradizzjonali għal wieħed distribwit ħafna ("edge computing").

(35)

Is-servizzi offruti mill-fornituri tas-servizzi ta' ċentru tad-data mhux dejjem jistgħu jiġu pprovduti fl-għamla ta' servizz tal-cloud computing. Għaldaqstant, iċ-ċentri tad-data mhux dejjem ikunu jikkostitwixxu parti mill-infrastruttura tal-cloud computing. Biex jiġu ġestiti r-riskji kollha għas-sigurtà tan-network u s-sistemi tal-informazzjoni, jenħtieġ li din id-Direttiva għaldaqstant tkopri l-fornituri tas-servizzi taċ-ċentri tad-data li mhumiex servizzi tal-cloud computing. Għall-finijiet ta' din id-Direttiva, it-terminu "servizz ta' ċentru tad-data" jenħtieġ li jkopri l-forniment ta' servizz li jinkludi strutturi, jew gruppi ta' strutturi, iddedikati għall-akkomodazzjoni ċentralizzata, l-interkonnessjoni u t-tħaddim ta' tagħmir tat-teknoloġija tal-informazzjoni (IT) u tan-network li jipprovdi servizzi ta' ħżin, ipproċessar u trasport tad-data flimkien mal-faċilitajiet u l-infrastrutturi kollha għad-distribuzzjoni tal-enerġija u l-kontroll ambjentali. It-terminu "servizz ta' ċentru tad-data" jenħtieġ li ma japplikax għaċ-ċentri tad-data korporattivi interni li jkunu proprjetà tal-entità kkonċernata u operati minnha għall-finijiet tagħha stess.

(36)

L-attivitajiet ta' riċerka għandhom rwol ewlieni fl-iżvilupp ta' prodotti u proċessi ġodda. Ħafna minn dawk l-attivitajiet jitwettqu minn entitajiet li jikkondividu, ixerrdu jew jisfruttaw ir-riżultati tar-riċerka tagħhom għal skopijiet kummerċjali. Għalhekk, dawk l-entitajiet jistgħu jkunu atturi importanti fil-ktajjen tal-valur, li jagħmel is-sigurtà tan-networks u tas-sistemi tal-informazzjoni tagħhom parti integrali miċ-ċibersigurtà ġenerali tas-suq intern. Organizzazzjonijiet tar-riċerka jenħtieġ li jinftiehmu li jinkludu entitajiet li jiffukaw parti essenzjali mill-attivitajiet tagħhom fuq it-twettiq ta' riċerka applikata jew żvilupp sperimentali, fit-tifsira tal-Manwal ta' Frascati tal-2015 tal-Organizzazzjoni għall-Kooperazzjoni u l-Iżvilupp Ekonomiċi: Linji Gwida għall-Ġbir u r-Rapportar ta' Data dwar ir-Riċerka u l-Iżvilupp Sperimentali, bil-ħsieb li r-riżultati tagħhom jiġu sfruttati għal skopijiet kummerċjali, bħall-manifattura jew l-iżvilupp ta' prodott jew proċess, il-forniment ta' servizz, jew il-kummerċjalizzazzjoni tiegħu.

(37)

L-interdipendenzi li qed jikbru huma r-riżultat ta' network dejjem aktar transfruntier u interdipendenti ta' forniment ta' servizzi li juża infrastrutturi ewlenin madwar l-Unjoni fis-setturi bħall-enerġija, it-trasport, l-infrastruttura diġitali, l-ilma tax-xorb u l-ilma mormi, is-saħħa, ċerti aspetti tal-amministrazzjoni pubblika, kif ukoll l-ispazju fejn jidħol il-forniment ta' ċerti servizzi dipendenti fuq infrastrutturi bbażati fuq l-art li huma proprjetà tal-Istati Membru u ġestiti u operati minnhom jew minn partijiet privati, u għalhekk ma jkoprux infrastrutturi li huma proprjetà tal-Unjoni, ġestiti jew operati minnha jew f'isimha bħala parti mill-programm spazjali tagħha. Dawk l-interdipendenzi jfissru li kull tfixkil, anke wieħed inizjalment limitat għal entità waħda jew għal settur wieħed, jista' jkollhom effetti kaskata b'mod aktar wiesa', li potenzjalment joħolqu impatti negattivi estensivi u dejjiema fit-twassil ta' servizzi madwar is-suq intern kollu. L-attakki ċibernetiċi intensifikati kontra s-sistemi tal-informazzjoni waqt il-pandemija tal-COVID-19 ħarġu fid-dieher il-vulnerabbiltà ta' soċjetajiet dejjem aktar interdipendenti quddiem riskji ta' probabbiltà baxxa.

(38)

Fid-dawl tad-differenzi fl-istrutturi nazzjonali ta' governanza u biex jiġu salvagwardjati l-arranġamenti settorjali jew il-korpi superviżorji u regolatorji tal-Unjoni diġà eżistenti, l-Istati Membri jenħtieġ li jkunu jistgħu jaħtru jew jistabbilixxu awtorità kompetenti waħda jew aktar responsabbli għaċ-ċibersigurtà u għall-kompiti superviżorji skont din id-Direttiva.

(39)

Biex jiġu ffaċilitati l-kooperazzjoni u l-komunikazzjoni transfruntieri fost l-awtoritajiet u biex din id-Direttiva tkun tista' tiġi implimentata b'mod effettiv, huwa meħtieġ li kull Stat Membru jaħtar punt uniku ta' kuntatt responsabbli mill-koordinazzjoni ta' kwistjonijiet relatati mas-sigurtà tan-network u s-sistemi tal-informazzjoni u l-kooperazzjoni transfruntiera fil-livell tal-Unjoni.

(40)

Il-punti uniċi ta' kuntatt jenħtieġ li jiżguraw kooperazzjoni transfruntiera effettiva mal-awtoritajiet rilevanti ta' Stati Membri oħra u, fejn xieraq, mal-Kummissjoni u mal-ENISA. Għalhekk, il-punti uniċi ta' kuntatt jenħtieġ li jingħataw il-kompitu li jibagħtu n-notifiki ta' inċidenti sinifikanti b'impatt transfruntier lill-punti uniċi ta' kuntatt ta' Stati Membri oħra affettwati fuq talba tas-CSIRT jew tal-awtorità kompetenti. Fil-livell nazzjonali, jenħtieġ li l-punti uniċi ta' kuntatt jippermettu kooperazzjoni transsettorjali bla xkiel ma' awtoritajiet kompetenti oħra. Il-punti uniċi ta' kuntatt jistgħu jkunu wkoll id-destinatarji ta' informazzjoni rilevanti dwar inċidenti li jikkonċernaw lil entitajiet tas-settur finanzjarju mill-awtoritajiet kompetenti skont ir-Regolament (UE) 2022/2554 li jenħtieġ li jkunu jistgħu jibagħtu, kif xieraq, lis-CSIRTs jew lill-awtoritajiet kompetenti skont din id-Direttiva.

(41)

L-Istati Membri jenħtieġ li jkunu mgħammra b'mod adegwat, kemm f'dak li jirrigwarda l-kapaċitajiet tekniċi kif ukoll dawk organizzattivi, biex jipprevjenu, jiddetettaw, jirreaġixxu għal, u jtaffu l-inċidenti u r-riskji. Għalhekk, jenħtieġ li l-Istati Membri jistabbilixxu jew jaħtru CSIRT waħda jew aktar skont din id-Direttiva u jiżguraw li dawn ikollhom riżorsi u kapaċitajiet tekniċi adegwati. Is-CSIRTs jenħtieġ li jkunu konformi mar-rekwiżiti stabbiliti f'din id-Direttiva biex jiżguraw kapaċitajiet effettivi u kompatibbli li jindirizzaw l-inċidenti u r-riskji u jiżguraw kooperazzjoni effiċjenti fil-livell tal-Unjoni. L-Istati Membri jenħtieġ li jkunu jistgħu jaħtru skwadri ta' rispons għal emerġenzi relatati mal-kompjuters ("CERTs") eżistenti bħala CSIRTs. Sabiex tittejjeb ir-relazzjoni ta' fiduċja bejn l-entitajiet u s-CSIRTs, meta CSIRT tkun parti mill-awtorità kompetenti, l-Istati Membri jenħtieġ li jkunu jistgħu jikkunsidraw is-separazzjoni funzjonali bejn il-kompiti operazzjonali pprovduti mis-CSIRTs, b'mod partikolari fir-rigward tal-kondiviżjoni tal-informazzjoni u l-assistenza mogħtija lill-entitajiet, u l-attivitajiet superviżorji tal-awtoritajiet kompetenti.

(42)

Is-CSIRTs għandhom il-kompitu li jittrattaw l-inċidenti. Dan jinkludi l-ipproċessar ta' volumi kbar ta' data kultant sensittiva. Jenħtieġ li l-Istati Membri jiżguraw li s-CSIRTs ikollhom infrastruttura għall-kondiviżjoni u l-ipproċessar tal-informazzjoni, kif ukoll persunal mgħammar tajjeb, li jiżgura l-kunfidenzjalità u l-affidabbiltà tal-operazzjonijiet tagħhom. Is-CSIRTs jistgħu jadottaw ukoll kodiċijiet ta' kondotta f'dak ir-rigward.

(43)

Fir-rigward tad-data personali, is-CSIRTs jenħtieġ li jkunu jistgħu jipprovdu, f'konformità mar-Regolament (UE) 2016/679 , fuq talba ta' entità essenzjali jew importanti, skennjar proattiv tan-network u s-sistemi tal-informazzjoni użati għall-forniment tas-servizzi tal-entità. Fejn applikabbli, jenħtieġ li l-Istati Membri jimmiraw li jiżguraw livell ugwali ta' kapaċitajiet tekniċi għas-CSIRTs settorjali kollha. L-Istati Membri jenħtieġ li jkunu jistgħu jitolbu l-assistenza tal-ENISA fl-iżvilupp tas-CSIRTs tagħhom.

(44)

Jenħtieġ li s-CSIRTs, fuq talba ta' entità essenzjali jew importanti, ikollhom il-kapaċità li jimmonitorjaw l-assi kollha tal-entità esposti għall-internet, kemm fuq il-post kif ukoll mhux fuq il-post, sabiex jidentifikaw, jifhmu u jimmaniġġaw ir-riskji organizzattiv ġenerali tal-entità fir-rigward ta' kompromessi jew vulnerabbiltajiet kritiċi ta' ktajjen tal-provvista li jkunu għadhom kif ġew identifikati. Jenħtieġ li l-entità tiġi mħeġġa tikkomunika lis-CSIRT jekk tħaddimx interfaċċa ta' ġestjoni privileġġata, peress li dan jista' jaffettwa l-ħeffa tat-twettiq ta' azzjonijiet ta' mitigazzjoni.

(45)

Minħabba l-importanza tal-kooperazzjoni internazzjonali dwar iċ-ċibersigurtà, is-CSIRTs jenħtieġ li jkunu jistgħu jipparteċipaw f'networks ta' kooperazzjoni internazzjonali, apparti n-network tas-CSIRTs stabbilit b'din id-Direttiva. Għalhekk, għall-finijiet tat-twettiq tal-kompiti tagħhom, is-CSIRTs u l-awtoritajiet kompetenti jenħtieġ li jkunu jistgħu jiskambjaw informazzjoni, inkluża data personali, ma' skwadri ta' rispons għal inċidenti relatati mas-sigurtà tal-kompjuters nazzjonali jew awtoritajiet kompetenti ta' pajjiżi terzi dment li jiġu ssodisfati l-kundizzjonijiet skont il-liġi tal-Unjoni dwar il-protezzjoni tad-data għat-trasferimenti ta' data personali lil pajjiżi terzi, fost l-oħrajn dawk tal-Artikolu 49 tar-Regolament (UE) 2016/679.

(46)

L-iżgurar ta' riżorsi adegwati biex jintlaħqu l-objettivi ta' din id-Direttiva u l-għoti tal-kapaċità lill-awtoritajiet kompetenti u s-CSIRTs li jwettqu l-komptiti stipulati hawnhekk huwa essenzjali. L-Istati Membri jistgħu jintroduċu mekkaniżmu ta' finanzjament fil-livell nazzjonali biex ikopru n-nefqa meħtieġa b'rabta mat-twettiq tal-kompiti tal-entitajiet pubbliċi responsabbli miċ-ċibersigurtà fl-Istat Membru skont din id-Direttiva. Tali mekkaniżmu jenħtieġ li jkun konformi mal-liġi tal-Unjoni u jenħtieġ li jkun proporzjonat u nondiskriminatorju u jenħtieġ li jikkunsidra approċċi differenti għall-forniment ta' servizzi siguri.

(47)

In-network tas-CSIRTs jenħtieġ li jkompli jikkontribwixxi għat-tisħiħ tal-kunfidenza u l-fiduċja u jippromwovi kooperazzjoni operazzjonali rapida u effettiva fost l-Istati Membri. Sabiex tissaħħaħ il-kooperazzjoni operazzjonali fil-livell tal-Unjoni, in-network tas-CSIRTs jenħtieġ li jikkunsidra li jistieden lill-korpi u lill-aġenziji tal-Unjoni involuti fil-politika dwar iċ-ċibersigurtà, bħall-Europol, biex jieħdu sehem fil-ħidma tiegħu.

(48)

Sabiex jintlaħaq u jinżamm livell għoli ta' ċibersigurtà, l-istrateġiji nazzjonali taċ-ċibersigurtà meħtieġa skont din id-Direttiva jenħtieġ li jikkonsistu f'oqfsa koerenti li jipprovdu objettivi u prijoritajiet strateġiċi fil-qasam taċ-ċibersigurtà u l-governanza biex dawn jintlaħqu. Dawk l-istrateġiji jistgħu jkunu magħmula minn strument leġiżlattiv jew mhux leġiżlattiv wieħed jew aktar.

(49)

Il-politiki tal-iġjene ċibernetika jipprovdu l-pedamenti għall-protezzjoni tal-infrastrutturi tas-sistemi tan-networks u tal-informazzjoni, tal-hardware, tas-software u tas-sigurtà tal-applikazzjonijiet online, u d-data kummerċjali jew tal-utent finali li fuqha jiddependu l-entitajiet. Politiki tal-iġjene ċibernetika li jinkludu sett komuni ta' linja bażi ta' prattiki li jinkludu l-aġġornamenti tas-software u tal-hardware, il-bdil ta' passwords, il-ġestjoni ta' installazzjonijiet ġodda, il-limitazzjoni ta' kontijiet ta' aċċess fil-livell ta' amministratur, u l-backup tad-data, jippermettu qafas proattiv ta' stat ta' tħejjija u sikurezza u sigurtà ġenerali f'każ ta' inċidenti jew theddid ċibernetiku. L-ENISA jenħtieġ li timmonitorja u tanalizza l-politiki tal-iġjene ċibernetika tal-Istati Membri.

(50)

Is-sensibilizzazzjoni dwar iċ-ċibersigurtà u l-iġjene ċibernetika huma essenzjali biex jissaħħaħ il-livell taċ-ċibersigurtà fl-Unjoni, b'mod partikolari fid-dawl tal-għadd dejjem akbar ta' apparati konnessi li qed jintużaw dejjem aktar f'attakki ċibernetiċi. Jenħtieġ li jsiru sforzi biex tissaħħaħ is-sensibilizzazzjoni ġenerali tar-riskji relatati ma' tali apparati, filwaqt li l-valutazzjonijiet fil-livell tal-Unjoni jistgħu jgħinu biex jiġi żgurat fehim komuni ta' tali riskji fis-suq intern.

(51)

L-Istati Membri jenħtieġ li jinkoraġġixxu l-użu ta' kwalunkwe teknoloġija innovattiva, inkluża l-intelliġenza artifiċjali, li l-użu tagħha jista' jtejjeb id-detezzjoni u l-prevenzjoni ta' attakki ċibernetiċi, u b'hekk ir-riżorsi jkunu jistgħu jiġu ddevjati lejn attakki ċibernetiċi b'mod aktar effettiv. Għalhekk jenħtieġ li l-Istati Membri jinkoraġġixxu fl-attivitajiet tal-istrateġija nazzjonali taċ-ċibersigurtà tagħhom fir-riċerka u l-iżvilupp biex jiffaċilitaw l-użu ta' tali teknoloġiji, b'mod partikolari dawk relatati ma' għodod awtomatizzati jew semiawtomatizzati fiċ-ċibersigurtà, u, fejn rilevanti, il-kondiviżjoni tad-data meħtieġa għat-taħriġ tal-utenti ta' tali teknoloġija u għat-titjib tagħha. L-użu ta' kwalunkwe teknoloġija innovattiva, inkluża l-intelliġenza artifiċjali, jenħtieġ li jkun konformi mal-liġi tal-Unjoni dwar il-protezzjoni tad-data, inklużi l-prinċipji tal-protezzjoni tad-data tal-akkuratezza tad-data, il-minimizzazzjoni tad-data, il-ġustizzja u t-trasparenza, u s-sigurtà tad-data, bħall-kriptaġġ tal-ogħla livell ta' żvilupp tekniku. Ir-rekwiżiti tal-protezzjoni tad-data mid-disinn u b'mod awtomatiku stabbiliti fir-Regolament (UE) 2016/679 jenħtieġ li jiġu sfruttati bis-sħiħ.

(52)

Għodod u applikazzjonijiet taċ-ċibersigurtà b'sors miftuħ jistgħu jikkontribwixxu għal livell ogħla ta' ftuħ u jista' jkollhom impatt pożittiv fuq l-effiċjenza tal-innovazzjoni industrijali. Standards miftuħa jiffaċilitaw l-interoperabbiltà bejn l-għodod tas-sigurtà, għall-benefiċċju tas-sigurtà tal-partijiet interessati industrijali. Għodod u applikazzjonijiet taċ-ċibersigurtà b'sors miftuħ jistgħu jisfruttaw il-komunità usa' ta' żviluppaturi, u b'hekk jippermettu d-diversifikazzjoni tal-fornituri. Sors miftuħ jista' jwassal għal proċess ta' verifika aktar trasparenti tal-għodod relatati maċ-ċibersigurtà u proċess xprunat mill-komunità biex jiġu skoperti l-vulnerabbiltajiet. Għaldaqstant, l-Istati Membri jenħtieġ li jkunu jistgħu jippromwovu l-użu ta' software b'sors miftuħ u standards miftuħa billi jfittxu li jsegwu politiki relatati mal-użu ta' data miftuħa u sors miftuħ bħala parti mis-sigurtà permezz tat-trasparenza. Politiki li jippromwovu l-introduzzjoni u l-użu sostenibbli ta' għodod taċ-ċibersigurtà b'sors miftuħ huma ta' importanza partikolari għall-intrapriżi żgħar u ta' daqs medju li jħabbtu wiċċhom ma' spejjeż sinifikanti għall-implimentazzjoni, li jistgħu jiġu minimizzati billi titnaqqas il-ħtieġa ta' applikazzjonijiet jew għodod speċifiċi.

(53)

L-utilitajiet qed jiġu konnessi dejjem aktar man-networks diġitali fil-bliet, bil-għan li jittejbu n-networks tat-trasport urban, jittejbu l-faċilitajiet tal-provvista tal-ilma u tar-rimi tal-iskart u tiżdied l-effiċjenza tat-tidwil u t-tisħin tal-bini. Dawk l-utilitajiet diġitalizzati huma vulnerabbli għal attakki ċibernetiċi u f'każ ta' attakk ċibernetiku jirriskjaw li jagħmlu ħsara liċ-ċittadini fuq skala kbira minħabba l-interkonnettività tagħhom. L-Istati Membri jenħtieġ li jiżviluppaw politika li tindirizza l-iżvilupp ta' tali bliet konnessi jew intelliġenti, u l-effetti potenzjali tagħhom fuq is-soċjetà, bħala parti mill-istrateġija nazzjonali taċ-ċibersigurtà tagħhom.

(54)

F'dawn l-aħħar snin, l-Unjoni ffaċċjat żieda esponenzjali fl-attakki tar-ransomware, li fihom il-malware jikkripta d-data u s-sistemi u jitlob il-pagament ta' riskatt għar-rilaxx. Il-frekwenza u s-severità dejjem akbar tal-attakki tar-ransomware jistgħu jiġu xprunati minn diversi fatturi, bħal xejriet differenti ta' attakki, mudelli kummerċjali kriminali marbuta mar-"ransomware bħala servizz" u l-kriptovaluti, domandi ta' riskatt, u ż-żieda fl-attakki fil-katina tal-provvista. Jenħtieġ li l-Istati Membri jiżviluppaw politika li tindirizza ż-żieda f'attakki tar-ransomware bħala parti mill-istrateġija nazzjonali tagħhom dwar iċ-ċibersigurtà.

(55)

Sħubijiet pubbliċi-privati (PPPs) fil-qasam taċ-ċibersigurtà jistgħu jipprovdu qafas xieraq għall-iskambju tal-għarfien, il-kondiviżjoni tal-aħjar prattiki u l-istabbiliment ta' livell komuni ta' fehim fost il-partijiet interessati. Jenħtieġ li l-Istati Membri jippromwovu politiki li jirfdu l-istabbiliment ta' PPPs speċifiċi għaċ-ċibersigurtà. Dawn il-politiki jenħtieġ li jiċċaraw, fost oħrajn, il-kamp ta' applikazzjoni u l-partijiet interessati involuti, il-mudell ta' governanza, l-għażliet ta' finanzjament disponibbli, u l-interazzjoni fost il-partijiet interessati parteċipanti fir-rigward tal-PPPs. Il-PPPs jistgħu jisfruttaw l-għarfien espert ta' entitajiet tas-settur privat biex jassistu lill-awtoritajiet kompetenti fl-iżvilupp ta' servizzi u proċessi tal-ogħla livell ta' żvilupp tekniku inklużi l-iskambju ta' informazzjoni, twissijiet bikrija, eżerċizzji rigward theddid u inċidenti ċibernetiċi, il-ġestjoni tal-kriżijiet u l-ippjanar għar-reżiljenza.

(56)

Jenħtieġ li l-Istati Membri, fl-istrateġiji nazzjonali tagħhom taċ-ċibersigurtà, jindirizzaw il-ħtiġijiet speċifiċi taċ-ċibersigurtà tal-intrapriżi żgħar u medji. L-intrapriżi żgħar u medji jirrappreżentaw, fl-Unjoni kollha, perċentwal kbir tas-suq industrijali u kummerċjali u sikwit jitħabtu biex jadattaw ruħhom għal prattiki kummerċjali ġodda f'dinja aktar konnessa u li jinnavigaw l-ambjent diġitali, u l-impjegati jaħdmu mid-dar u n-negozju qed isir dejjem aktar online. Xi intrapriżi żgħar u medji jiffaċċjaw sfidi speċifiċi taċ-ċibersigurtà bħal għarfien ċibernetiku baxx, nuqqas ta' sigurtà tal-IT remota, l-ispiża għolja tas-soluzzjonijiet taċ-ċibersigurtà u livell ogħla ta' theddid, bħar-ransomware, li għalihom jenħtieġ li jirċievu gwida u assistenza. L-intrapriżi żgħar u medji qed isiru dejjem aktar il-mira ta' attakki fuq il-katina tal-provvista minħabba l-miżuri inqas rigorużi tagħhom f'dak li għandu x'jaqsam mal-ġestjoni tar-riskji taċ-ċibersigurtà u l-ġestjoni tal-attakki, u l-fatt li għandhom riżorsi tas-sigurtà limitati. Tali attakki fuq il-katina tal-provvista mhux biss għandhom impatt fuq l-intrapriżi żgħar u medji u l-operazzjonijiet tagħhom waħedhom iżda jista' jkollhom ukoll effett kaskata f'termini ta' attakki akbar fuq entitajiet fornuti minnhom. Jenħtieġ li l-Istati Membri, permezz tal-istrateġiji nazzjonali tagħhom dwar iċ-ċibersigurtà, jgħinu lill-intrapriżi żgħar u medji jindirizzaw l-isfidi li jiffaċċjaw fil-ktajjen tal-provvista tagħhom. Jenħtieġ li l-Istati Membri jkollhom punt ta' kuntatt għall-intrapriżi żgħar u medji fil-livell nazzjonali jew reġjonali, li jew jipprovdi gwida u assistenza lill-intrapriżi żgħar u medji jew jidderiġihom lill-korpi xierqa għal gwida u assistenza fir-rigward ta' kwistjonijiet relatati maċ-ċibersigurtà. L-Istati Membri huma mħeġġa wkoll joffru servizzi bħall-konfigurazzjoni ta' siti web u l-abilitazzjoni tal-illoggjar lill-mikrointrapriżi u l-intrapriżi żgħar li ma għandhomx dawn il-kapaċitajiet.

(57)

Bħala parti mill-istrateġiji nazzjonali tagħhom dwar iċ-ċibersigurtà, jenħtieġ li l-Istati Membri jadottaw politiki dwar il-promozzjoni ta' protezzjoni ċibernetika attiva bħala parti minn strateġija difensiva usa'. Minflok risposta reattiva, il-protezzjoni ċibernetika attiva hija l-prevenzjoni, id-detezzjoni, il-monitoraġġ, l-analiżi u l-mitigazzjoni b'mod attiv tal-ksur tas-sigurtà tan-network, flimkien mal-użu ta' kapaċitajiet installati fin-network tal-vittmi u lil hinn minnu. Dan jista' jinkludi li l-Istati Membri joffru servizzi jew għodod bla ħlas lil ċerti entitajiet, inklużi kontrolli, għodod ta' detezzjoni u servizzi ta' tneħħija self-service. Il-kapaċità ta' kondiviżjoni u komprensjoni rapidi u awtomatiċi tal-informazzjoni u l-analiżi dwar it-theddid, it-twissijiet dwar l-attività ċibernetika u l-azzjoni ta' rispons hija kruċjali biex ikun hemm unità fl-isforz biex l-attakki fuq in-networks u s-sistemi tal-informazzjoni jiġu pprevenuti, detetti, indirizzati u mblukkati b'suċċess. Il-protezzjoni ċibernetika attiva hija bbażata fuq strateġija difensiva li teskludi miżuri offensivi.

(58)

Peress li l-isfruttament tal-vulnerabbiltajiet fin-network u s-sistemi tal-informazzjoni jista' jikkawża tfixkil u ħsara sinifikanti, l-identifikazzjoni u r-rimedju malajr ta' tali vulnerabbiltajiet huma fattur importanti biex jonqos ir-riskju. Għalhekk jenħtieġ li l-entitajiet li jiżviluppaw jew jamministraw networks u sistemi ta' informazzjoni jistabbilixxu proċeduri xierqa biex jittrattaw il-vulnerabbiltajiet meta jiġu skoperti. Peress li l-vulnerabbiltajiet spiss jiġu skoperti u żvelati minn partijiet terzi, il-manifattur jew il-fornitur ta' prodotti tal-ICT jew servizzi tal-ICT jenħtieġ li jistabbilixxi wkoll il-proċeduri meħtieġa biex jirċievi informazzjoni dwar il-vulnerabbiltà mingħand partijiet terzi. F'dan ir-rigward, l-istandards internazzjonali ISO/IEC 30111 u ISO/IEC 29147 jipprovdu gwida dwar it-trattament tal-vulnerabbiltajiet u d-divulgazzjoni tal-vulnerabbiltajiet. It-tisħiħ tal-koordinazzjoni bejn il-persuni fiżiċi u ġuridiċi relatriċi u l-manifatturi jew il-fornituri ta' prodotti tal-ICT jew servizzi tal-ICT hija partikolarment importanti biex jiġi ffaċilitat il-qafas volontarju tad-divulgazzjoni tal-vulnerabbiltajiet. Id-divulgazzjoni kkoordinata tal-vulnerabbiltajiet tispeċifika proċess strutturat għar-rapportar tal-vulnerabbiltajiet lill-manifattur jew lill-fornitur tal-prodotti tal-ICT jew is-servizzi tal-ICT potenzjalment vulnerabbli b'tali mod li jkun jista' jwettaq dijanjostika u rimedju għall-vulnerabbiltà qabel ma tiġi żvelata informazzjoni dettaljata dwar il-vulnerabbiltà lil partijiet terzi jew lill-pubbliku. Id-divulgazzjoni kkoordinata tal-vulnerabbiltajiet jenħtieġ li tinkludi wkoll koordinazzjoni bejn il-persuna fiżika jew ġuridika relatriċi u l-manifattur jew il-fornitur tal-prodotti tal-ICT jew is-servizzi tal-ICT potenzjalment vulnerabbli fir-rigward tat-twaqqit tar-rimedju u l-pubblikazzjoni tal-vulnerabbiltajiet.

(59)

Il-Kummissjoni, l-ENISA u l-Istati Membri jenħtieġ li jkomplu jrawmu allinjamenti mal-istandards internazzjonali u l-aħjar prattiki eżistenti tal-industrija fil-qasam tal-ġestjoni tar-riskji taċ-ċibersigurtà, pereżempju fl-oqsma tal-valutazzjonijiet tas-sigurtà tal-ktajjen tal-provvista, il-kondiviżjoni tal-informazzjoni u d-divulgazzjoni tal-vulnerabbiltajiet.

(60)

Jenħtieġ li l-Istati Membri, f'kooperazzjoni mal-ENISA, jieħdu miżuri biex jiffaċilitaw id-divulgazzjoni kkoordinata tal-vulnerabbiltajiet billi jistabbilixxu politika nazzjonali rilevanti. Bħala parti mill-politika nazzjonali tagħhom, l-Istati Membri jenħtieġ li jimmiraw li jindirizzaw, sa fejn ikun possibbli, l-isfidi ffaċċjati mir-riċerkaturi vulnerabbli, inkluż l-esponiment potenzjali tagħhom għal responsabbiltà kriminali, f'konformità mal-leġiżlazzjoni nazzjonali. Peress li l-persuni fiżiċi u ġuridiċi li jagħmlu r-riċerka dwar il-vulnerabbiltajiet jistgħu f'xi Stati Membri jkunu esposti għal responsabbiltà kriminali u ċivili, l-Istati Membri huma mħeġġa jadottaw linji gwida fir-rigward tan-nuqqas ta' prosekuzzjoni tar-riċerkaturi dwar is-sigurtà tal-informazzjoni u eżenzjoni mir-responsabbiltà ċivili għall-attivitajiet tagħhom.

(61)

Jenħtieġ li l-Istati Membri jaħtru waħda mis-CSIRTs tagħhom bħala koordinatur, li taġixxi bħala intermedjarju fdat bejn il-persuni relatriċi fiżiċi jew ġuridiċi u l-manifatturi jew il-fornituri ta' prodotti tal-ICT jew servizzi tal-ICT, li x'aktarx ikunu affettwati mill-vulnerabbiltà, meta jkun meħtieġ. Il-kompiti tas-CSIRT maħtura bħala koordinatur jenħtieġ li jinkludu l-identifikazzjoni u l-ikkuntattar tal-entitajiet ikkonċernati, l-assistenza lill-entitajiet relatriċi fiżiċi jew ġuridiċi, in-negozjar tal-iskedi ta' żmien tad-divulgazzjoni, u l-ġestjoni tal-vulnerabbiltajiet li jaffettwaw entitajiet multipli (divulgazzjoni koordinata ta' vulnerabbiltajiet multipartitika). F'każ li l-vulnerabbiltà rrapportata jkun jista' jkollha impatt sinifikanti fuq entitajiet f'aktar minn Stat Membru wieħed, jenħtieġ li s-CSIRTs maħturin bħala koordinaturi jikkooperaw fl-ambitu tan-network tas-CSIRTs, fejn ikun xieraq.

(62)

L-aċċess għal informazzjoni korretta u f'waqtha dwar il-vulnerabbiltajiet li jaffettwaw il-prodotti tal-ICT u s-servizzi tal-ICT jikkontribwixxi għal ġestjoni mtejba tar-riskji taċ-ċibersigurtà. Is-sorsi tal-informazzjoni disponibbli pubblikament dwar il-vulnerabbiltajiet huma għodda importanti għall-entitajiet u għall-utenti tas-servizzi tagħhom, iżda wkoll għall-awtoritajiet kompetenti u għas-CSIRTs. Għal dik ir-raġuni, l-ENISA jenħtieġ li tistabbilixxi bażi tad-data tal-vulnerabbiltajiet fejn l-entitajiet, irrispettivament minn jekk jaqgħux taħt il-kamp ta' applikazzjoni ta' din id-Direttiva, u l-fornituri ta' networks u sistemi ta' informazzjoni, kif ukoll l-awtoritajiet kompetenti u s-CSIRTs, ikunu jistgħu, b'mod volontarju, jiżvelaw u jirreġistraw vulnerabbiltajiet magħrufin pubblikament bl-iskop li l-utenti jkunu jistgħu jieħdu miżuri xierqa ta' mitigazzjoni. L-għan ta' dik il-bażi tad-data huwa li tindirizza l-isfidi uniċi maħluqa mir-riskji għall-entitajiet Ewropej. Barra minn hekk, jenħtieġ li l-ENISA tistabbilixxi proċedura xierqa fir-rigward tal-proċess tal-pubblikazzjoni sabiex tagħti lill-entitajiet iż-żmien li jieħdu miżuri ta' mitigazzjoni fir-rigward tal-vulnerabbiltajiet tagħhom u biex jużaw miżuri ta' ġestjoni taċ-ċibersigurtà tal-ogħla livell ta' żvilupp tekniku, kif ukoll settijiet tad-data li jistgħu jinqraw mill-magni u interfaċċi korrispondenti. Biex tiġi mħeġġa kultura ta' divulgazzjoni tal-vulnerabbiltajiet, jenħtieġ li d-divulgazzjoni ma jkollhiex effetti ta' detriment għall-persuna fiżika jew ġuridika relatriċi.

(63)

Għalkemm jeżistu reġistri jew bażijiet tad-data simili tal-vulnerabbiltajiet, dawn huma ospitati u miżmuma minn entitajiet li mhumiex stabbiliti fl-Unjoni. Bażi tad-data Ewropea tal-vulnerabbiltajiet miżmuma mill-ENISA tipprovdi trasparenza mtejba fir-rigward tal-proċess tal-pubblikazzjoni qabel ma l-vulnerabbiltà tiġi żvelata pubblikament, u reżiljenza f'każijiet ta' tfixkil jew interruzzjoni tal-forniment ta' servizzi simili. Biex, kemm jista' jkun, tiġi evitata d-duplikazzjoni tal-isforzi u titfittex il-komplementarjetà, jenħtieġ li l-ENISA tesplora l-possibbiltà li tidħol fi ftehimiet ta' kooperazzjoni strutturata ma' reġistri jew bażijiet tad-data simili li jaqgħu f'ġuriżdizzjonijiet ta' pajjiżi terz. B'mod partikolari, l-ENISA jenħtieġ li tesplora l-possibbiltà ta' kooperazzjoni mill-qrib mal-operaturi tas-sistema ta' vulnerabbiltajiet u esponimenti komuni (CVE).

(64)

Il-Grupp ta' Kooperazzjoni jenħtieġ li jappoġġa u jiffaċilita l-kooperazzjoni strateġika u l-iskambju ta' informazzjoni fost l-Istati Membri, kif ukoll isaħħaħ il-fiduċja u l-kunfidenza bejniethom. Il-Grupp ta' Kooperazzjoni jenħtieġ li jistabbilixxi programm ta' ħidma kull sentejn. Il-programm ta' ħidma jenħtieġ li jinkludi l-azzjonijiet li jridu jittieħdu mill-Grupp ta' Kooperazzjoni biex jimplimenta l-objettivi u l-kompiti tiegħu. Il-perjodu ta' żmien għall-ħolqien tal-ewwel programm skont din id-Direttiva jenħtieġ li jiġi allinjat mal-perjodu ta' żmien tal-aħħar programm stabbilit skont id-Direttiva (UE) 2016/1148 biex jiġi evitat tfixkil potenzjali fil-ħidma tal-Grupp ta' Kooperazzjoni.

(65)

Meta jkun qed jiżviluppa dokumenti ta' gwida, il-Grupp ta' Kooperazzjoni jenħtieġ li konsistentement jimmappja s-soluzzjonijiet u l-esperjenzi nazzjonali, jivvaluta l-impatt tar-riżultati tanġibbli tal-Grupp ta' Kooperazzjoni fuq l-approċċi nazzjonali, jiddiskuti l-isfidi tal-implimentazzjoni u jifformula rakkomandazzjonijiet speċifiċi li jridu jiġu indirizzati b'implimentazzjoni aħjar tar-regoli eżistenti, partikolarment rigward l-iffaċilitar tal-allinjament tat-traspożizzjoni ta' din id-Direttiva fost l-Istati Membri. Il-Grupp ta' Kooperazzjoni jista' jimmappja wkoll is-soluzzjonijiet nazzjonali sabiex jippromwovi l-kompatibbiltà tas-soluzzjonijiet taċ-ċibersigurtà applikati għal kull settur speċifiku fl-Unjoni kollha. Dan huwa partikolarment rilevanti għas-setturi li huma ta' natura internazzjonali jew transfruntiera.

(66)

Il-Grupp ta' Kooperazzjoni jenħtieġ li jibqa' forum flessibbli u jkun jista' jirreaġixxi għal prijoritajiet u sfidi ta' politika ġodda u li qed jinbidlu filwaqt li jqis id-disponibbiltà tar-riżorsi. Jista' jorganizza laqgħat konġunti regolari ma' partijiet interessati privati rilevanti minn madwar l-Unjoni biex jiddiskuti l-attivitajiet imwettqa mill-Grupp ta' Kooperazzjoni u jiġbor data u tagħrif dwar l-isfidi ta' politiki li qed jitfaċċaw. Barra minn hekk, il-Grupp ta' Kooperazzjoni jenħtieġ li jwettaq valutazzjoni regolari tas-sitwazzjoni attwali tat-theddid jew l-inċidenti ċibernetiċi, bħar-ransomware. Biex tissaħħaħ il-kooperazzjoni fil-livell tal-Unjoni, il-Grupp ta' Kooperazzjoni jenħtieġ li jikkunsidra li jistieden lil istituzzjonijiet, korpi, uffiċċji u aġenziji rilevanti tal-Unjoni involuti fil-politika taċ-ċibersigurtà, bħall-Parlament Ewropew, l-Europol, il-Bord Ewropew għall-Protezzjoni tad-Data, l-Aġenzija tas-Sikurezza tal-Avjazzjoni tal-Unjoni Ewropea, stabbilita bir-Regolament (UE) 2018/1139 u l-Aġenzija tal-Unjoni Ewropea għall-Programm Spazjali, stabbilita bir-Regolament (UE) 2021/696 tal-Parlament Ewropew u tal-Kunsill (14) biex jipparteċipaw fil-ħidma tiegħu.

(67)

L-awtoritajiet kompetenti u s-CSIRTs jenħtieġ li jkunu jistgħu jipparteċipaw fi skemi ta' skambju għal uffiċjali minn Stati Membri oħra, f'qafas speċifiku u, fejn applikabbli, soġġett għall-approvazzjoni tas-sigurtà meħtieġa tal-uffiċjali li jipparteċipaw f'tali skemi ta' skambju, biex titjieb il-kooperazzjoni u tissaħħaħ il-fiduċja fost l-Istati Membri. L-awtoritajiet kompetenti jenħtieġ li jieħdu l-miżuri meħtieġa biex uffiċjali minn Stati Membri oħra jkunu jistgħu jaqdu rwol effettiv fl-attivitajiet tal-awtorità kompetenti ospitanti jew tas-CSIRT ospitanti.

(68)

L-Istati Membri jenħtieġ li jikkontribwixxu għall-istabbiliment tal-Qafas ta' Rispons għall-Kriżijiet taċ-Ċibersigurtà tal-UE stabbilit fir-Rakkomandazzjoni tal-Kummissjoni (UE) 2017/1584 (15) permezz tan-networks ta' kooperazzjoni eżistenti, b'mod partikolari n-Network Ewropew ta' Organizzazzjoni ta' Kollegament f'każ ta' Ċiberkriżijiet (EU-CyCLONe - European cyber crisis liaison organisation network), in-network tas-CSIRTs u l-Grupp ta' Kooperazzjoni. Jenħtieġ li l-EU-CyCLONe u n-network tas-CSIRTs jikkooperaw abbażi ta' arranġamenti proċedurali li jispeċifikaw id-dettalji ta' dik il-kooperazzjoni u jevitaw kwalunkwe duplikazzjoni ta' kompiti. Ir-regoli ta' proċedura tal-EU-CyCLONe jenħtieġ li jispeċifikaw f'aktar dettall l-arranġamenti li permezz tagħhom dak in-network jenħtieġ li jiffunzjona, inkluż ir-rwoli tan-network, il-mezzi ta' kooperazzjoni, l-interazzjonijiet ma' atturi rilevanti oħra u l-mudelli għall-kondiviżjoni tal-informazzjoni, kif ukoll il-mezzi ta' komunikazzjoni. Għall-ġestjoni tal-kriżijiet fil-livell tal-Unjoni, il-partijiet rilevanti jenħtieġ li jkunu jiddependu fuq l-Arranġamenti Integrati tal-UE għal Rispons Politiku f'Sitwazzjonijiet ta' Kriżi skont id-Deċiżjoni ta' Implimentazzjoni tal-Kunsill (UE) 2018/1993 (16) (arranġamenti IPCR). Il-Kummissjoni jenħtieġ li tuża l-proċess transsettorjali ta' livell għoli ARGUS għall-koordinazzjoni f'sitwazzjonijiet ta' kriżi għal dak il-għan. Jekk il-kriżi tinvolvi dimensjoni esterna importanti jew waħda marbuta mal-Politika ta' Sigurtà u ta' Difiża Komuni, jenħtieġ li jiġi attivat il-Mekkaniżmu ta' Rispons għall-Kriżijiet tas-Servizz Ewropew għall-Azzjoni Esterna.

(69)

F'konformità mal-Anness tar-Rakkomandazzjoni (UE) 2017/1584, inċident taċ-ċibersigurtà fuq skala kbira jenħtieġ li tfisser inċident li jikkawża livell ta' tfixkil li jaqbeż il-kapaċità ta' Stat Membru li jirrispondi għalih jew li jkollu impatt sinifikanti fuq mill-inqas żewġ Stati Membri. Skont il-kawża u l-impatt tagħhom, inċidenti taċ-ċibersigurtà fuq skala kbira jistgħu jeskalaw u jinbidlu fi kriżijiet sħaħ li ma jippermettux il-funzjonament tajjeb tas-suq intern jew li joħolqu riskji serji għas-sigurtà u s-sikurezza pubblika għall-entitajiet u ċ-ċittadini f'għadd ta' Stati Membri jew fl-Unjoni kollha kemm hi. Minħabba l-ambitu wiesa' u, fil-biċċa l-kbira tal-każijiet, in-natura transfruntiera ta' inċidenti bħal dawn, jenħtieġ li l-Istati Membri u l-istituzzjonijiet, il-korpi, l-uffiċċji u l-aġenziji rilevanti tal-Unjoni jikkooperaw fil-livell tekniku, operazzjonali u politiku biex jikkoordinaw sew ir-rispons madwar l-Unjoni.

(70)

Inċidenti taċ-ċibersigurtà fuq skala kbira u kriżijiet fil-livell tal-Unjoni jirrikjedu azzjoni kkoordinata biex jiġi żgurat rispons rapidu u effettiv minħabba l-livell għoli ta' interdipendenza bejn is-setturi u l-Istati Membri. Id-disponibbiltà ta' networks u sistemi ta' informazzjoni reżiljenti għaċ-ċibernetika u d-disponibbiltà, il-kunfidenzjalità u l-integrità tad-data huma fundamentali għas-sigurtà tal-Unjoni u għall-protezzjoni taċ-ċittadini, in-negozji u l-istituzzjonijiet tagħha kontra inċidenti u theddid ċibernetiku, kif ukoll għat-tisħiħ tal-fiduċja tal-individwi u l-organizzazzjonijiet fil-kapaċità tal-Unjoni li tippromwovi u tipproteġi ċiberspazju globali, miftuħ, liberu, stabbli u sigur ibbażat fuq id-drittijiet tal-bniedem, il-libertajiet fundamentali, id-demokrazija u l-istat tad-dritt.

(71)

L-EU-CyCLONe jenħtieġ li taħdem bħala intermedjarju bejn il-livell tekniku u dak politiku waqt inċidenti u kriżijiet taċ-ċibersigurtà fuq skala kbira u għandha ssaħħaħ il-kooperazzjoni fil-livell operazzjonali u tappoġġa l-proċess deċiżjonali fil-livell politiku. F'kooperazzjoni mal-Kummissjoni, b'kont meħud tal-kompetenza tal-Kummissjoni fil-qasam tal-ġestjoni tal-kriżijiet, jenħtieġ li l-EU-CyCLONe tibni fuq is-sejbiet tan-network tas-CSIRTs u tuża l-kapaċitajiet tagħha stess biex toħloq analiżi tal-impatt ta' inċidenti u kriżijiet taċ-ċibersigurtà fuq skala kbira.

(72)

L-attakki ċibernetiċi huma ta' natura transfruntiera, u inċident sinifikanti jista' jfixkel u jagħmel ħsara lill-infrastrutturi kritiċi tal-informazzjoni li fuqhom jiddependi l-funzjonament bla xkiel tas-suq intern. Ir-Rakkomandazzjoni (UE) 2017/1584 tindirizza r-rwol tal-atturi rilevanti kollha. Barra minn hekk, il-Kummissjoni hija responsabbli, fil-qafas tal-Mekkaniżmu tal-Unjoni għall-Protezzjoni Ċivili, stabbilit bid-Deċiżjoni Nru 1313/2013/UE tal-Parlament Ewropew u tal-Kunsill (17), għal azzjonijiet ta' tħejjija ġenerali fosthom il-ġestjoni taċ-Ċentru ta' Koordinazzjoni tar-Reazzjoni f'każ ta' Emerġenza u s-Sistema Komuni ta' Komunikazzjoni u Informazzjoni f'każ ta' Emerġenza, iż-żamma u l-iżvilupp ulterjuri tal-għarfien tas-sitwazzjoni u l-kapaċità ta' analiżi, u l-istabbiliment u l-ġestjoni tal-kapaċità li jiġu mobilizzati u mibgħuta timijiet ta' esperti fil-każ ta' talba għall-assistenza minn Stat Membru jew pajjiż terz. Il-Kummissjoni għandha wkoll ir-responsabbiltà li tipprovdi rapporti analitiċi għall-arranġamenti tal-IPCR skont id-Deċiżjoni ta' Implimentazzjoni (UE) 2018/1993, inkluż fir-rigward tal-għarfien tas-sitwazzjoni taċ-ċibersigurtà u t-tħejjija għaliha, kif ukoll għall-għarfien tas-sitwazzjoni u r-rispons għall-kriżijiet fl-oqsma tal-agrikoltura, il-kundizzjonijiet tat-temp avversi, l-immappjar u t-tbassir tal-kunflitti, is-sistemi ta' twissija bikrija għal diżastri naturali, l-emerġenzi tas-saħħa, is-sorveljanza tal-mard infettiv, is-saħħa tal-pjanti, l-inċidenti kimiċi, is-sikurezza tal-ikel u tal-għalf, is-saħħa tal-annimali, il-migrazzjoni, id-dwana, l-emerġenzi nukleari u radjoloġiċi, u l-enerġija.

(73)

Meta jkun xieraq, l-Unjoni tista' tikkonkludi ftehimiet internazzjonali f'konformità mal-Artikolu 218 tat-TFUE ma' pajjiżi terzi jew organizzazzjonijiet internazzjonali li jippermettu u jorganizzaw il-parteċipazzjoni tagħhom f'attivitajiet partikolari tal-Grupp ta' Kooperazzjoni, in-network tas-CSIRTs u l-EU-CyCLONe. Ftehimiet bħal dawn jenħtieġ li jiżguraw l-interessi tal-Unjoni u l-protezzjoni adegwata tad-data. Dan jenħtieġ li ma jipprekludix id-dritt tal-Istati Membri li jikkooperaw ma' pajjiżi terzi fuq il-ġestjoni tal-vulnerabbiltajiet u l-ġestjoni tar-riskji għaċ-ċibersigurtà, biex jiġu ffaċilitati r-rapportar u l-informazzjoni ġenerali skont il-liġi tal-Unjoni.

(74)

Sabiex tiġi ffaċilitata l-implimentazzjoni effettiva ta' din id-Direttiva fir-rigward, fost l-oħrajn, tal-ġestjoni tal-vulnerabbiltajiet, il-miżuri ta' ġestjoni tar-riskji taċ-ċibersigurtà, l-obbligi ta' rapportar u l-arranġamenti għall-kondiviżjoni tal-informazzjoni dwar iċ-ċibersigurtà, l-Istati Membri jistgħu jikkooperaw ma' pajjiżi terzi u jwettqu attivitajiet li jitqiesu xierqa għal dak il-għan, fosthom skambji ta' informazzjoni dwar theddid ċibernetiku, inċidenti, vulnerabbiltajiet, għodod u metodi, tattiċi, tekniki u proċeduri, tħejjija u eżerċizzji għall-ġestjoni tal-kriżijiet taċ-ċibersigurtà, taħriġ, bini ta' fiduċja u arranġamenti strutturati għall-kondiviżjoni tal-informazzjoni.

(75)

Jenħtieġ li jiġu introdotti evalwazzjonijiet bejn il-pari biex jinsiltu tagħlimiet mill-esperjenzi kondiviżi, tissaħħaħ il-fiduċja reċiproka u jintlaħaq livell komuni għoli ta' ċibersigurtà. L-evalwazzjonijiet bejn il-pari jistgħu jwasslu għal għarfien u rakkomandazzjonijiet siewja li jsaħħu l-kapaċitajiet ġenerali ta' ċibersigurtà, joħolqu perkors funzjonali ieħor għall-kondiviżjoni tal-aħjar prattiki fost l-Istati Membri u jikkontribwixxu għat-tisħiħ tal-livelli ta' maturità tal-Istati Membri fiċ-ċibersigurtà. Barra minn hekk, jenħtieġ li l-evalwazzjonijiet bejn il-pari jqisu r-riżultati ta' mekkaniżmi simili, bħas-sistema ta' evalwazzjoni bejn il-pari tan-network tas-CSIRTs, u jenħtieġ li jżidu l-valur u jevitaw id-duplikazzjoni. L-implimentazzjoni tal-evalwazzjonijiet bejn il-pari jenħtieġ li tkun mingħajr preġudizzju għal-liġi tal-Unjoni jew dik nazzjonali dwar il-protezzjoni ta' informazzjoni kunfidenzjali jew klassifikata.

(76)

Il-Grupp ta' Kooperazzjoni jenħtieġ li jistabbilixxi metodoloġija ta' awtovalutazzjoni għall-Istati Membri, bil-għan li jkopri fatturi bħal-livell ta' implimentazzjoni tal-miżuri ta' ġestjoni tar-riskji taċ-ċibersigurtà u l-obbligi ta' rapportar, il-livell tal-kapaċitajiet u l-effettività tal-eżerċizzju tal-kompiti tal-awtoritajiet kompetenti, il-kapaċitajiet operazzjonali tas-CSIRTs, il-livell ta' implimentazzjoni tal-assistenza reċiproka, il-livell ta' implimentazzjoni tal-arranġamenti tal-kondiviżjoni tal-informazzjoni dwar iċ-ċibersigurtà, jew kwistjonijiet speċifiċi ta' natura transfruntiera jew transsettorjali. Jenħtieġ li l-Istati Membri jiġu mħeġġa jwettqu awtovalutazzjonijiet fuq bażi regolari, u jippreżentaw u jiddiskutu r-riżultati tal-awtovalutazzjoni tagħhom fi ħdan il-Grupp ta' Kooperazzjoni.

(77)

Ir-responsabbiltà tal-iżgurar tas-sigurtà tan-networks u tas-sistemi tal-informazzjoni hija, fil-parti l-kbira tagħha, f'idejn l-entitajiet essenzjali u importanti. Jenħtieġ li tiġi promossa u żviluppata kultura ta' ġestjoni tar-riskji, li tinvolvi valutazzjonijiet tar-riskji u l-implimentazzjoni ta' miżuri ta' ġestjoni tar-riskji taċ-ċibersigurtà xierqa għar-riskji ffaċċjati.

(78)

Jenħtieġ li l-miżuri ta' ġestjoni tar-riskji jqisu l-livell ta' dipendenza tal-entità essenzjali jew importanti fuq in-network u s-sistemi tal-informazzjoni u jinkludu miżuri biex jiġi identifikat kwalunkwe riskju ta' inċidenti u biex jipprevjenu, jidentifikaw, jirreaġixxu u jirkupraw minn inċidenti u jnaqqsu l-impatt tagħhom. Is-sigurtà tan-network u s-sistemi tal-informazzjoni jenħtieġ li tinkludi s-sigurtà tad-data maħżuna, trażmessa u pproċessata. Il-miżuri ta' ġestjoni tar-riskji taċ-ċibersigurtà jenħtieġ li jipprovdu analiżi sistemika li tqis il-fattur uman, sabiex tingħata stampa sħiħa tas-sigurtà tan-network u tas-sistema tal-informazzjoni.

(79)

Peress li t-theddid għas-sigurtà tan-network u tas-sistemi tal-informazzjoni jista' jkollu għadd ta' oriġini differenti, il-miżuri ta' ġestjoni tar-riskji taċ-ċibersigurtà jenħtieġ li jkunu bbażati fuq approċċ "li jqis kull periklu", li għandu l-għan li jipproteġi n-network u s-sistemi tal-informazzjoni u l-ambjent fiżiku ta' dawk is-sistemi minn avvenimenti bħal serq, nirien, għargħar, qtugħ fit-telekomunikazzjoni jew fl-elettriku jew aċċess fiżiku mhux awtorizzat u ħsara u interferenza fl-informazzjoni u l-faċilitajiet tal-ipproċessar tal-informazzjoni ta' entità essenzjali jew importanti li jistgħu jikkompromettu d-disponibbiltà, l-awtentiċità, l-integrità jew il-kunfidenzjalità tad-data maħżuna, trażmessa jew ipproċessata jew tas-servizzi offruti min-network u s-sistemi tal-informazzjoni, jew aċċessibbli permezz tagħhom. Għaldaqstant jenħtieġ li l-miżuri ta' ġestjoni tar-riskji taċ-ċibersigurtà jindirizzaw ukoll is-sigurtà fiżika u ambjentali tan-network u s-sistemi tal-informazzjoni billi jinkludu miżuri biex jipproteġu tali sistemi minn ħsarat fis-sistema, żbalji umani, atti malizzjużi jew fenomeni naturali, f'konformità ma' standards Ewropej u internazzjonali, bħal dawk inklużi fis-serje ISO/IEC 27000. F'dak ir-rigward, jenħtieġ li l-entitajiet essenzjali u importanti, bħala parti mill-miżuri tagħhom għall-ġestjoni tar-riskji taċ-ċibersigurtà, jindirizzaw ukoll is-sigurtà tar-riżorsi umani u jkollhom fis-seħħ politiki xierqa dwar il-kontroll tal-aċċess. Dawk il-miżuri jenħtieġ li jkunu konsistenti mad-Direttiva (UE) 2022/2557.

(80)

Bl-iskop li tintwera l-konformità mal-miżuri ta' ġestjoni tar-riskji taċ-ċibersigurtà u fin-nuqqas ta' skemi Ewropej xierqa taċ-ċertifikazzjoni taċ-ċibersigurtà adottati f'konformità mar-Regolament (UE) 2019/881 tal-Parlament Ewropew u tal-Kunsill (18), jenħtieġ li l-Istati Membri f'konsultazzjoni mal-Grupp ta' Kooperazzjoni u l-Grupp Ewropew taċ-Ċertifikazzjoni taċ-Ċibersigurtà, jippromwovu l-użu tal-istandards Ewropej u internazzjonali rilevanti mill-entitajiet essenzjali u importanti jew jistgħu jirrikjedu li l-entitajiet jużaw prodotti tal-ICT, servizzi tal-ICT u proċessi tal-ICT iċċertifikati.

(81)

Biex tiġi evitata l-impożizzjoni ta' piż finanzjarju u amministrattiv sproporzjonat fuq l-entitajiet essenzjali u importanti, il-miżuri ta' ġestjoni tar-riskji taċ-ċibersigurtà jenħtieġ li jkunu proporzjonati għar-riskju ppreżentat min-network u s-sistema tal-informazzjoni kkonċernati, filwaqt li jitqies l-avvanz tekniku ta' dawn il-miżuri u, fejn applikabbli, l-istandards Ewropej u internazzjonali rilevanti, kif ukoll l-ispiża biex jiġu implimentati.

(82)

Il-miżuri ta' ġestjoni tar-riskji taċ-ċibersigurtà jenħtieġ li jkunu proporzjonati għall-grad ta' esponiment ta' entità essenzjali jew importanti għar-riskji u għall-impatt soċjetali u ekonomiku li inċident jista' jkollu. Meta jkunu qed jiġu stabbiliti miżuri ta' ġestjoni tar-riskji taċ-ċibersigurtà adattati għall-entitajiet essenzjali u importanti, jenħtieġ li jittieħed kont dovut tal-iskopertura diverġenti għar-riskju tal-entitajiet essenzjali u importanti, bħall-kritikalità tal-entità, ir-riskji, inklużi r-riskji soċjetali, li għalihom hija esposta, id-daqs tal-entità u l-probabbiltà li jseħħu inċidenti u s-severità tagħhom, inkluż l-impatt soċjetali u ekonomiku tagħhom.

(83)

L-entitajiet essenzjali u importanti jenħtieġ li jiżguraw is-sigurtà tan-network u s-sistemi tal-informazzjoni li huma jużaw fl-attivitajiet tagħhom. Dawk is-sistemi huma primarjament network u sistemi tal-informazzjoni privati li jkunu ġestiti mill-persunal intern tal-IT tal-entitajiet essenzjali u importanti jew li s-sigurtà tagħhom tkun ġiet esternalizzata. Il-miżuri ta' ġestjoni tar-riskji taċ-ċibersigurtà u l-obbligi ta' rapportar stabbiliti f'din id-Direttiva jenħtieġ li japplikaw għall-entitajiet essenzjali u importanti rilevanti irrispettivament minn jekk dawk l-entitajiet imantnux in-network u s-sistemi tal-informazzjoni tagħhom internament jew jesternalizzawx il-manutenzjoni tagħhom.

(84)

Fid-dawl tan-natura transfruntiera tagħhom, il-fornituri ta' servizzi tad-DNS, ir-reġistri tal-ismijiet ta' TLD u l-fornituri ta' servizzi tal-cloud computing, il-fornituri ta' servizzi taċ-ċentri tad-data, il-fornituri ta' networks tat-twassil tal-kontenut, il-fornituri ta' servizzi ġestiti, il-fornituri ta' servizzi tas-sigurtà ġestiti, il-fornituri ta' swieq online, ta' magni tat-tiftix online u ta' pjattaformi ta' servizzi ta' networking soċjali u l-fornituri ta' servizzi fiduċjarji jenħtieġ li jkunu soġġetti għal livell għoli ta' armonizzazzjoni fil-livell tal-Unjoni. Għaldaqstant, l-implimentazzjoni ta' miżuri ta' ġestjoni tar-riskji taċ-ċibersigurtà fir-rigward ta' dawk l-entitajiet jenħtieġ li tiġi ffaċilitata permezz ta' att ta' implimentazzjoni.

(85)

L-indirizzar tar-riskji li jirriżultaw mill-katina tal-provvista ta' entità u r-relazzjoni tagħha mal-fornituri tagħha, bħall-fornituri tal-ħżin tad-data u l-fornituri tas-servizzi ta' pproċessar jew servizzi tas-sigurtà ġestiti u edituri tas-software, huwa partikolarment importanti minħabba l-prevalenza ta' inċidenti meta l-entitajiet ikunu sfaw vittmi ta' attakki ċibernetiċi u meta atturi malizzjużi setgħu jikkompromettu s-sigurtà tan-network u s-sistemi tal-informazzjoni ta' entità billi jisfruttaw il-vulnerabbiltajiet li jaffettwaw prodotti u servizzi ta' parti terza. Għalhekk, jenħtieġ li l-entitajiet essenzjali u importanti jivvalutaw u jqisu l-kwalità u r-reżiljenza ġenerali tal-prodotti u s-servizzi, il-miżuri ta' ġestjoni tar-riskji taċ-ċibersigurtà inkorporati fihom, kif ukoll il-prattiki taċ-ċibersigurtà tal-fornituri u l-fornituri tas-servizzi tagħhom, inklużi l-proċeduri tal-iżvilupp siguri tagħhom. L-entitajiet essenzjali u importanti jenħtieġ li b'mod partikolari jiġu mħeġġa jinkorporaw il-miżuri ta' ġestjoni tar-riskji taċ-ċibersigurtà fl-arranġamenti kuntrattwali mal-fornituri diretti u l-fornituri tas-servizzi tagħhom. Dawk l-entitajiet jistgħu jikkunsidraw ir-riskji li jirriżultaw minn livelli oħra ta' fornituri u fornituri ta' servizzi.

(86)

Fost il-fornituri tas-servizzi, il-fornituri tas-servizz tas-sigurtà ġestiti f'oqsma bħar-rispons għall-inċidenti, l-ittestjar tal-penetrazzjoni, l-awditi tas-sigurtà u l-konsulenza għandhom rwol partikolarment importanti li jassistu lill-entitajiet fl-isforzi tagħhom biex jipprevjenu, jidettaw, jirrispondu jew jirkupraw minn inċidenti. Iżda anki l-fornituri tas-servizzi tas-sigurtà ġestiti nfushom kienu fil-mira ta' attakki ċibernetiċi u, minħabba l-integrazzjoni mill-qrib tagħhom fl-operazzjonijiet tal-entitajiet joħolqu riskju partikolari. Għalhekk jenħtieġ li l-entitajiet essenzjali u importanti jeżerċitaw aktar diliġenza fl-għażla tal-fornituri tas-servizz tas-sigurtà ġestiti.

(87)

L-awtoritajiet kompetenti, fil-kuntest tal-kompiti superviżorji tagħhom, jistgħu jibbenefikaw ukoll minn servizzi taċ-ċibersigurtà bħal awditi tas-sigurtà, ittestjar tal-penetrazzjoni jew rispons f'każ ta' inċident.

(88)

L-entitajiet essenzjali u importanti jenħtieġ li jindirizzaw ukoll ir-riskji li jirriżultaw mill-interazzjonijiet u r-relazzjonijiet tagħhom ma' partijiet interessati oħra f'ekosistema usa', inkluż f'dak li għandu x'jaqsam mal-ġlieda kontra l-ispjunaġġ industrijali u l-protezzjoni tas-sigrieti kummerċjali. B'mod partikolari, dawk l-entitajiet jenħtieġ li jieħdu miżuri xierqa biex jiżguraw li l-kooperazzjoni tagħhom mal-istituzzjonijiet akkademiċi u tar-riċerka ssir f'konformità mal-politiki tagħhom dwar iċ-ċibersigurtà u timxi skont prattiki tajba relatati mal-aċċess u d-disseminazzjoni siguri tal-informazzjoni b'mod ġenerali u l-protezzjoni tal-proprjetà intellettwali b'mod partikolari. Bl-istess mod, minħabba l-importanza u l-valur tad-data għall-attivitajiet tal-entitajiet essenzjali u importanti, meta jiddependu fuq servizzi ta' trasformazzjoni tad-data u ta' analitika tad-data minn partijiet terzi, jenħtieġ li dawk l-entitajiet jieħdu l-miżuri xierqa kollha ta' ġestjoni tar-riskji taċ-ċibersigurtà.

(89)

L-entitajiet essenzjali u importanti jenħtieġ li jadottaw firxa wiesgħa ta' prattiki tal-iġjene ċibernetika bażika bħal prinċipji "b'fiduċja żero", aġġornamenti tas-software, konfigurazzjoni tal-apparat, segmentazzjoni tan-network, ġestjoni tal-identità u l-aċċess jew sensibilizzazzjoni tal-utent, jorganizzaw taħriġ għall-persunal tagħhom u jqajmu kuxjenza rigward theddid ċibernetiku, phishing jew tekniki ta' social engineering. Barra minn hekk, jenħtieġ li dawk l-entitajiet jevalwaw il-kapaċitajiet taċ-ċibersigurtà tagħhom stess u, fejn xieraq, ifittxu l-integrazzjoni ta' teknoloġiji li jsaħħu ċ-ċibersigurtà, bħal sistemi bbażati fuq l-intelliġenza artifiċjali jew it-tagħlim awtomatiku biex isaħħu l-kapaċitajiet tagħhom u s-sigurtà tan-network u tas-sistemi tal-informazzjoni.

(90)

Biex ikompli jindirizza r-riskji ewlenin fil-katina tal-provvista u jassisti lill-entitajiet essenzjali u importanti li joperaw fis-setturi koperti minn din id-Direttiva biex jimmaniġġjaw b'mod xieraq ir-riskji relatati mal-katina tal-provvista u l-fornituri, il-Grupp ta' Kooperazzjoni, f'kooperazzjoni mal-Kummissjoni u l-ENISA, u, fejn xieraq, wara konsultazzjoni mal-partijiet interessati rilevanti, inkluż mill-industrija, jenħtieġ li jwettaq valutazzjonijiet tar-riskju tas-sigurtà kkoordinati tal-ktajjen tal-provvist , kif kien diġà sar għan-networks 5G skont ir-Rakkomandazzjoni tal-Kummissjoni (UE) 2019/534 (19), bil-għan li jiġu identifikati, għal kull settur, is-servizzi, is-sistemi jew il-prodotti kritiċi tal-ICT, u t-theddid u l-vulnerabbiltajiet rilevanti. Tali valutazzjonijiet tar-riskju koordinati jenħtieġ li jidentifikaw il-miżuri, il-pjanijiet ta' mitigazzjoni u l-aħjar prattiki kontra dipendenzi kritiċi, punti uniċi potenzjali ta' falliment, theddid, vulnerabbiltajiet u riskji oħra assoċjati mal-katina tal-provvista u jenħtieġ li jesploraw modi kif ikomplu jinkoraġġixxu l-adozzjoni aktar mifruxa tagħhom mill-entitajiet essenzjali u importanti. Fatturi potenzjali ta' riskju mhux tekniċi, bħal influwenza mhux xierqa minn pajjiż terz fuq il-fornituri u l-fornituri tas-servizzi, b'mod partikolari fil-każ ta' mudelli alternattivi ta' governanza, jinkludu vulnerabbiltajiet moħbija jew backdoors u tfixkil sistematiku potenzjali fil-provvista, b'mod partikolari fil-każ ta' lock-in teknoloġiku jew dipendenza fuq il-fornitur.

(91)

Il-valutazzjonijiet koordinati tar-riskju għas-sigurtà ta' ktajjen tal-provvista kritiċi, fid-dawl tal-karatteristiċi tas-settur ikkonċernat, jenħtieġ li jqisu l-fatturi tekniċi u, meta rilevanti, l-fatturi mhux tekniċi, inkluż dawk definiti fir-Rakkomandazzjoni (UE) 2019/534, fil-valutazzjoni tar-riskju kkoordinata fl-UE taċ-ċibersigurtà tan-networks 5G u fis-Sett ta' Għodod tal-UE dwar iċ-ċibersigurtà 5G maqbula mill-Grupp ta' Kooperazzjoni. Biex jiġu identifikati l-ktajjen tal-provvista li jenħtieġ li jkunu soġġetti għal valutazzjoni tar-riskju għas-sigurtà kkoordinata, jenħtieġ li jitqiesu l-kriterji li ġejjin: (i) il-punt sa fejn l-entitajiet essenzjali u importanti jużaw u jiddependu fuq servizzi speċifiċi tal-ICT, sistemi tal-ICT jew prodotti tal-ICT kritiċi; (ii) ir-rilevanza ta' servizzi speċifiċi tal-ICT, sistemi tal-ICT jew prodotti tal-ICT kritiċi għat-twettiq ta' funzjonijiet kritiċi jew sensittivi, inkluż l-ipproċessar tad-data personali; (iii) id-disponibbiltà ta' servizzi tal-ICT, sistemi tal-ICT u prodotti tal-ICT alternattivi; (iv) ir-reżiljenza tal-katina tal-provvista ġenerali tas-servizzi tal-ICT, tas-sistemi tal-ICT jew tal-prodotti tal-ICT tul iċ-ċiklu tal-ħajja tagħhom kontra avvenimenti ta' tfixkil u (v) għas-servizzi tal-ICT, is-sistemi tal-ICT jew il-prodotti tal-ICT li qed jitfaċċaw, is-sinifikat futur potenzjali tagħhom għall-attivitajiet tal-entitajiet. Barra minn hekk, jenħtieġ li titqiegħed enfasi partikolari fuq servizzi tal-ICT, sistemi tal-ICT jew prodotti tal-ICT li jkunu soġġetti għal rekwiżiti speċifiċi li joriġinaw minn pajjiżi terzi.

(92)

Biex jiġu ssimplifikati l-obbligi imposti fuq il-fornituri ta' networks pubbliċi tal-komunikazzjoni elettronika jew tas-servizzi tal-komunikazzjoni elettronika disponibbli għall-pubbliku, u fuq il-fornituri ta' servizzi fiduċjarji relatati mas-sigurtà tan-network u s-sistemi tal-informazzjoni tagħhom, kif ukoll biex dawk l-entitajiet u l-awtoritajiet kompetenti skont id-Direttiva (UE) 2018/1972 tal-Parlament Ewropew u tal-Kunsill (20) u r-Regolament (UE) Nru 910/2014 rispettivament jkunu jistgħu jibbenefikaw mill-qafas legali stabbilit minn din id-Direttiva, inkluża l-ħatra ta' CSIRT responsabbli għat-trattament tal-inċidenti, il-parteċipazzjoni tal-awtoritajiet kompetenti kkonċernati fl-attivitajiet tal-Grupp ta' Kooperazzjoni u n-network tas-CSIRTs, jenħtieġ li dawn ikunu jaqgħu fil-kamp ta' applikazzjoni ta' din id-Direttiva. Għalhekk jenħtieġ li jitħassru d-dispożizzjonijiet korrispondenti stabbiliti fir-Regolament (UE) Nru 910/2014 u fid-Direttiva (UE) 2018/1972 relatati mal-impożizzjoni ta' rekwiżiti tas-sigurtà u n-notifika fuq dawk it-tipi ta' entitajiet. Ir-regoli dwar l-obbligi ta' rapportar stabbiliti f'din id-Direttiva jenħtieġ li jkunu mingħajr preġudizzju għar-Regolament (UE) 2016/679 u d-Direttiva 2002/58/KE.

(93)

L-obbligi ta' ċibersigurtà stipulati f'din id-Direttiva jenħtieġ li jitqiesu bħala komplementari għar-rekwiżiti imposti fuq il-fornituri ta' servizzi fiduċjarji skont ir-Regolament (UE) Nru 910/2014. Il-fornituri ta' servizzi fiduċjarji jenħtieġ li jintalbu jieħdu l-miżuri xierqa u proporzjonati kollha biex jimmaniġġaw ir-riskji għas-servizzi tagħhom, inkluż b'rabta ma' klijenti u partijiet terzi dipendenti, u biex jirrapportaw l-inċidenti skont din id-Direttiva. Jenħtieġ li tali obbligi ta' ċibersigurtà u rapportar jikkonċernaw ukoll il-protezzjoni fiżika tas-servizzi pprovduti. Ir-rekwiżiti għall-fornituri ta' servizzi fiduċjarji kwalifikati stabbiliti fl-Artikolu 24 tar-Regolament (UE) Nru 910/2014 jibqgħu japplikaw.

(94)

L-Istati Membri jistgħu jassenjaw ir-rwol ta' awtoritajiet kompetenti għas-servizzi fiduċjarji lill-korpi superviżorji skont ir-Regolament (UE) Nru 910/2014 sabiex jiżguraw il-kontinwazzjoni tal-prattiki attwali u jibnu fuq l-għarfien u l-esperjenza miksuba fl-applikazzjoni ta' dak ir-Regolament. F'każ bħal dak, l-awtoritajiet kompetenti skont din id-Direttiva jenħtieġ li jikkooperaw mill-qrib u fil-ħin ma' dawk il-korpi superviżorji billi jiskambjaw informazzjoni rilevanti sabiex jiġu żgurati s-superviżjoni effettiva u l-konformità tal-fornituri ta' servizzi fiduċjarji mar-rekwiżiti stabbiliti f'din id-Direttiva u r-Regolament (UE) Nru 910/2014. Fejn applikabbli, is-CSIRT jew l-awtorità kompetenti nazzjonali skont din id-Direttiva jenħtieġ li tgħarraf minnufih lill-korp superviżorju skont ir-Regolament (UE) Nru 910/2014 bi kwalunkwe theddida jew inċident ċibernetiku sinifikanti notifikat li jaffettwaw is-servizzi fiduċjarji kif ukoll dwar kwalunkwe ksur minn fornitur ta' servizzi fiduċjarji ta' din id-Direttiva. Għall-finijiet ta' rapportar, l-Istati Membri jistgħu, fejn applikabbli, jużaw il-punt uniku ta' dħul stabbilit biex jinkiseb rapportar komuni u awtomatiku tal-inċidenti kemm lill-korp superviżorju skont ir-Regolament (UE) Nru 910/2014 kif ukoll lis-CSIRT jew l-awtorità kompetenti skont din id-Direttiva.

(95)

Meta jkun xieraq u biex jiġi evitat tfixkil bla bżonn, il-linji gwida nazzjonali eżistenti adottati għat-traspożizzjoni tar-regoli relatati mal-miżuri tas-sigurtà stabbiliti fl-Artikoli 40 u 41 tad-Direttiva (UE) 2018/1972 jenħtieġ li jitqiesu fit-traspożizzjoni ta' din id-Direttiva, u b'hekk jibnu fuq l-għarfien u l-ħiliet diġà miksuba skont id-Direttiva (UE) 2018/1972 dwar miżuri ta' sigurtà u notifiki ta' inċidenti. L-ENISA tista' tiżviluppa wkoll gwida dwar ir-rekwiżiti tas-sigurtà u dwar l-obbligi tar-rapportar għall-fornituri ta' networks pubbliċi ta' komunikazzjoni elettronika jew servizzi ta' komunikazzjonijiet elettroniċi disponibbli pubblikament biex tiffaċilita l-armonizzazzjoni u t-tranżizzjoni u tnaqqas kemm jista' jkun ix-xkiel. L-Istati Membri jistgħu jassenjaw ir-rwol ta' awtoritajiet kompetenti għall-komunikazzjoni elettronika lill-awtoritajiet regolatorji nazzjonali skont id-Direttiva (UE) 2018/1972 sabiex jiżguraw it-tkomplija tal-prattiki attwali u jibnu fuq l-għarfien u l-esperjenza miksuba b'riżultat tal-implimentazzjoni ta' dik id-Direttiva.

(96)

Minħabba l-importanza li qed tikber tas-servizzi ta' komunikazzjoni interpersonali indipendenti min-numri kif definiti fid-Direttiva (UE) 2018/1972, jeħtieġ jiġi żgurat li s-servizzi ta' dan it-tip ikunu wkoll soġġetti għal rekwiżiti xierqa tas-sigurtà fid-dawl tan-natura speċifika u l-importanza ekonomika tagħhom. Aktar ma l-mira tal-attakki tkompli tikber, is-servizzi ta' komunikazzjonijiet interpersonali indipendenti min-numri, bħas-servizzi tal-messaġġi, qed isiru vetturi ta' attakki mifruxin ħafna. Operaturi malizzjużi jużaw il-pjattaformi biex jikkomunikaw u jattiraw vittmi lejn paġni web miftuħa kompromessi, u għalhekk tikber il-probabbiltà ta' inċidenti li jinvolvu l-isfruttament ta' data personali, u, b'estensjoni, is-sigurtà tan-network u tas-sistemi ta' informazzjoni. Għalhekk jenħtieġ li l-fornituri ta' servizzi indipendenti min-numri jiżguraw ukoll livell ta' sigurtà tan-network u s-sistemi tal-informazzjoni li jkun xieraq għar-riskji maħluqa. Peress li l-fornituri tas-servizzi tal-komunikazzjoni interpersonali indipendenti min-numri normalment ma jeżerċitawx kontroll effettiv fuq it-trażmissjoni tas-sinjali fuq in-networks, il-livell ta' riskji għal dawn is-servizzi jista' jitqies, f'ċerti aspetti, li huwa inqas minn dak għas-servizzi tal-komunikazzjoni elettronika tradizzjonali. L-istess japplika għas-servizzi tal-komunikazzjoni interpersonali kif definit fid-Direttiva (UE) 2018/1972 li jużaw in-numri u li ma jeżerċitawx kontroll effettiv fuq it-trażmissjoni tas-sinjali.

(97)

Is-suq intern jiddependi aktar minn qatt qabel fuq il-funzjonament tal-internet. Is-servizzi ta' kważi l-entitajiet essenzjali u importanti kollha jiddependu fuq servizzi pprovduti fuq l-internet. Biex jiġi żgurat il-forniment bla xkiel tas-servizzi pprovduti mill-entitajiet essenzjali u importanti, huwa importanti li l-fornituri kollha tan-networks tal-komunikazzjoni elettronika jkollhom miżuri xierqa taċ-ċibersigurtà u jirrapportaw l-inċidenti sinifikanti relatati magħhom. L-Istati Membri jenħtieġ li jiżguraw li s-sigurtà tan-networks pubbliċi ta' komunikazzjoni elettronika tinżamm u li l-interessi fundamentali tas-sigurtà tagħhom ikunu protetti minn sabotaġġ u spjunaġġ. Peress li l-konnettività internazzjonali ttejjeb u taċċelera d-diġitalizzazzjoni kompetittiva tal-Unjoni u tal-ekonomija tagħha, l-inċidenti li jaffettwaw il-kejbils tal-komunikazzjoni ta' taħt il-baħar jenħtieġ li jiġu rrapportati lis-CSIRT jew, fejn applikabbli, lill-awtorità kompetenti. Jenħtieġ li l-istrateġija nazzjonali dwar iċ-ċibersigurtà, fejn rilevanti, tikkunsidra ċ-ċibersigurtà tal-kejbils tal-komunikazzjoni ta' taħt il-baħar u tinkludi mmappjar tar-riskji potenzjali taċ-ċibersigurtà u miżuri ta' mitigazzjoni biex jiġi żgurat l-ogħla livell ta' protezzjoni tagħhom.

(98)

Biex titħares is-sigurtà tan-networks pubbliċi tal-komunikazzjoni elettronika u s-servizzi tal-komunikazzjoni elettronika disponibbli pubblikament, jenħtieġ li jiġi promoss l-użu ta' teknoloġiji tal-kriptaġġ, b'mod partikolari l-kriptaġġ minn tarf sa tarf kif ukoll kunċetti tas-sigurtà ċċentrati fuq id-data, bħall-kartografija, is-segmentazzjoni, it-tagging, il-politika tal-aċċess u l-ġestjoni tal-aċċess, u deċiżjonijiet awtomatizzati dwar l-aċċess. Fejn meħtieġ, l-użu tal-kriptaġġ, b'mod partikolari l-kriptaġġ minn tarf sa tarf, jenħtieġ li jkun obbligatorju għall-fornituri ta' networks pubbliċi tal-komunikazzjoni elettronika jew ta' servizzi tal-komunikazzjoni elettronika disponibbli pubblikament f'konformità mal-prinċipji tas-sigurtà u tal-privatezza b'mod awtomatiku u mid-disinn għall-finijiet ta' din id-Direttiva. L-użu tal-kriptaġġ minn tarf sa tarf jenħtieġ li jiġi rikonċiljat mas-setgħat tal-Istati Membri li jiżguraw il-protezzjoni tal-interessi essenzjali tas-sigurtà u tas-sigurtà pubblika tagħhom, u li jippermetti l-prevenzjoni, l-investigazzjoni, id-detezzjoni u l-prosekuzzjoni ta' reati kriminali f'konformità mal-liġi tal-Unjoni. Madankollu jenħtieġ li dan ma jdgħajjifx il-kriptaġġ minn tarf sa tarf, li huwa teknoloġija kritika għall-protezzjoni effettiva tad-data u l-privatezza u s-sigurtà tal-komunikazzjonijiet .

(99)

Sabiex titħares is-sigurtà u jiġu pprevenuti l-abbuż u l-manipulazzjoni tan-networks pubbliċi tal-komunikazzjoni elettronika u tas-servizzi tal-komunikazzjoni elettronika disponibbli pubblikament, jenħtieġ li jiġi promoss l-użu ta' standards ta' routing siguri biex jiġu żgurati l-integrità u r-robustezza tal-funzjonijiet tar-routing fl-ekosistema kollha tal-fornituri tas-servizzi ta' aċċess għall-internet.

(100)

Sabiex jitħarsu l-funzjonalità u l-integrità tal-internet u jiġu promossi s-sigurtà u r-reżiljenza tad-DNS, il-partijiet interessati rilevanti, inklużi l-entitajiet tas-settur privat tal-Unjoni, il-fornituri tas-servizzi tal-komunikazzjonijiet elettroniċi disponibbli pubblikament, partikolarment il-fornitur tas-servizzi ta' aċċess għall-internet, kif ukoll il-fornituri ta' magni tat-tiftix online, jenħtieġ li jiġu mħeġġa jadottaw strateġija ta' diversifikazzjoni tar-riżoluzzjoni tad-DNS. Barra minn hekk, jenħtieġ li l-Istati Membri jinkoraġġixxu l-iżvilupp u l-użu ta' servizz pubbliku u sigur Ewropew ta' riżoluzzjoni tad-DNS.

(101)

Din id-Direttiva tistabbilixxi approċċ f'diversi stadji għar-rapportar ta' inċidenti sinifikanti biex jintlaħaq il-bilanċ it-tajjeb bejn ir-rapportar rapidu, minn naħa, li jgħin biex itaffi l-firxa potenzjali ta' inċidenti sinifikanti u jippermetti lill-entitajiet essenzjali u importanti jfittxu assistenza, u r-rapportar approfondit, min-naħa l-oħra, li jislet tagħlimiet siewja minn inċidenti individwali u li maż-żmien itejjeb ir-reżiljenza ċibernetika ta' entitajiet individwali u setturi sħaħ. F'dak ir-rigward, din id-Direttiva jenħtieġ li tinkludi r-rapportar ta' inċidenti li, abbażi ta' valutazzjoni inizjali mwettqa mill-entità kkonċernata, jistgħu jikkawżaw tfixkil operattiv sostanzjali fis-servizzi jew telf finanzjarju għal dik l-entità jew jaffettwaw persuni fiżiċi jew ġuridiċi oħra billi jikkawżaw dannu materjali jew mhux materjali konsiderevoli. Tali valutazzjoni inizjali jenħtieġ li tqis, fost l-oħrajn, in-network u s-sistemi ta' informazzjoni affettwati, b'mod partikolari l-importanza tagħhom fil-forniment tas-servizzi tal-entità, is-severità u l-karatteristiċi tekniċi ta' theddida ċibernetika, u kwalunkwe vulnerabbiltà sottostanti li qed tiġi sfruttata kif ukoll l-esperjenza tal-entità b'inċidenti simili. Indikaturi bħal kemm jiġi affettwat il-funzjonament tas-servizz, kemm idum għaddej inċident jew kemm ikun kbir l-għadd ta' riċevituri tas-servizzi affettwati jista' jkollhom rwol importanti biex jiġi identifikat jekk l-interruzzjoni operazzjonali tas-servizz tkunx severa.

(102)

Meta l-entitajiet essenzjali jew importanti jsiru jafu b'xi inċident sinifikanti, jenħtieġ li dawn ikunu obbligati jippreżentaw twissija bikrija mingħajr dewmien bla bżonn u, fi kwalunkwe każ, fi żmien 24 siegħa. Dik it-twissija bikrija jenħtieġ li tkun segwita b'notifika ta' inċident. L-entitajiet kkonċernati jenħtieġ li jippreżentaw notifika ta' inċident mingħajr dewmien żejjed, u fi kwalunkwe każ fi żmien 72 siegħa minn meta jsiru jafu bl-inċident sinifikanti, bil-għan, b'mod partikolari, li jaġġornaw l-informazzjoni ppreżentata permezz tat-twissija bikrija u li jindikaw valutazzjoni inizjali tal-inċident sinifikanti, inkluż is-severità u l-impatt tiegħu, kif ukoll indikaturi ta' kompromess, fejn disponibbli. Rapport finali jenħtieġ li jiġi ppreżentat mhux aktar tard minn xahar wara n-notifika tal-inċident. It-twissija bikrija jenħtieġ li tinkludi biss l-informazzjoni meħtieġa biex is-CSIRT, jew l-awtorità kompetenti fejn applikabbli, issir taf bl-inċident sinifikanti u tippermetti lill-entità kkonċernata tfittex assistenza, jekk ikun meħtieġ. Tali twissija bikrija, fejn applikabbli, jenħtieġ li tindika jekk l-inċident sinifikanti jkunx issuspettat li hu kkawżat minn atti illegali jew malizzjużi, u jekk huwiex probabbli li jkollu impatt transfruntier. Jenħtieġ li l-Istati Membri jiżguraw li l-obbligu li tiġi ppreżentata dik it-twissija bikrija, jew in-notifika ta' inċident sussegwenti, ma jiddevjax ir-riżorsi tal-entità notifikanti minn attivitajiet relatati mat-trattament tal-inċidenti li jenħtieġ li jingħataw prijorità, sabiex jiġi pprevenut li l-obbligi ta' rapportar tal-inċidenti jew jiddevjaw ir-riżorsi mit-trattament tar-rispons għal inċidenti sinifikanti jew inkella jikkompromettu l-isforzi tal-entità f'dak ir-rigward. F'każ ta' inċident li jkun għaddej fiż-żmien tal-preżentazzjoni tar-rapport finali, jenħtieġ li l-Istati Membri jiżguraw li l-entitajiet ikkonċernati jipprovdu rapport ta' progress f'dak iż-żmien, u rapport finali fi żmien xahar minn meta jkunu ttrattaw l-inċident sinifikanti.

(103)

Meta jkun applikabbli, l-entitajiet essenzjali jew importanti jenħtieġ li, mingħajr dewmien żejjed, jikkomunikaw lir-riċevituri tas-servizz tagħhom kwalunkwe miżura jew rimedju li jistgħu jieħdu biex itaffu r-riskji li jirriżultaw minn theddida ċibernetika sinifikanti. Jenħtieġ li dawkkk l-entitajiet, fejn xieraq u b'mod partikolari meta t-theddida ċibernetika sinifikanti x'aktarx timmaterjalizza ruħha, jinfurmaw ukoll lir-riċevituri tas-servizz tagħhom bit-theddida nnifisha. Ir-rekwiżit li r-riċevituri ta' theddid ċibernetiku sinifikanti jiġu infurmati, jenħtieġ li jiġi ssodisfat abbażi tal-aqwa sforz possibbli iżda jenħtieġ li ma jeħlisx lil dawk l-entitajiet mill-obbligu li jieħdu, bi spejjeż tagħhom, miżuri adattati u immedjati biex jipprevjenu jew jirrimedjaw kwalunkwe theddid bħal dan u jistabbilixxu mill-ġdid il-livell ta' sigurtà normali tas-servizz. Jenħtieġ li tali informazzjoni dwar theddid ċibernetiku sinifikanti lir-riċevituri tas-servizz ikun mingħajr ħlas u tkun miktuba b'lingwaġġ li jkun faċli biex jinftiehem.

(104)

Jenħtieġ li l-fornituri ta' networks pubbliċi tal-komunikazzjoni elettronika jew tas-servizzi tal-komunikazzjoni elettronika disponibbli għall-pubbliku jimplimentaw is-sigurtà mid-disinn u b'mod awtomatiku u jinfurmaw lir-riċevituri tas-servizz tagħhom dwar theddid ċibernetiku sinifikanti u dwar il-miżuri addizzjonali li jistgħu jieħdu biex jipproteġu s-sigurtà tal-apparat u tal-komunikazzjonijiet tagħhom, pereżempju billi jużaw tipi speċifiċi ta' software jew teknoloġiji ta' kriptaġġ.

(105)

Approċċ proattiv għat-theddid ċibernetiku huwa komponent essenzjali tal- ġestjoni tar-riskji taċ-ċibersigurtà li jenħtieġ li jippermetti lill-awtoritajiet kompetenti jipprevjenu b'mod effettiv it-theddid ċibernetiku milli jimmaterjalizza ruħu f'inċidenti li jistgħu jikkawżaw dannu materjali jew mhux materjali konsiderevoli. Għal dak il-għan, in-notifika ta' theddid ċibernetiku hija ta' importanza kruċjali. B'dak l-iskop, l-entitajiet huma mħeġġa jirrapportaw theddid ċibernetiku fuq bażi volontarja.

(106)

Sabiex jiġi ssimplifikat ir-rapportar tal-informazzjoni meħtieġ skont din id-Direttiva u biex jitnaqqas il-piż amministrattiv għall-entitajiet, jenħtieġ li l-Istati Membri jipprovdu mezzi tekniċi bħal punt uniku ta' dħul, sistemi awtomatizzati, formoli online, interfaċċi faċli għall-utent, mudelli, pjattaformi ddedikati għall-użu ta' entitajiet, kemm jekk jaqgħu fil-kamp ta' applikazzjoni ta' din id-Direttiva kif ukoll jekk ikunu esklużi minnu, għas-sottomissjoni tal-informazzjoni rilevanti li għandha tiġi rrappurtata. Il-finanzjament tal-Unjoni li jappoġġa l-implimentazzjoni ta' din id-Direttiva, b'mod partikolari fl-ambitu tal-programm Ewropa Diġitali stabbilit bir-Regolament (UE) 2021/694 tal-Parlament Ewropew u tal-Kunsill (21), jista' jinkludi appoġġ għal punti uniċi ta' dħul. Barra minn hekk, l-entitajiet ta' spiss ikollhom jirrapportaw inċident partikolari, minħabba l-karatteristiċi tiegħu, lil diversi awtoritajiet minħabba l-obbligi ta' notifika inklużi f'diversi strumenti legali. Dawn l-istanzi joħolqu piż amministrattiv addizzjonali u jistgħu jwasslu wkoll għal inċertezzi rigward il-format u l-proċeduri ta' dawn in-notifiki. Fejn ikun stabbilit punt ta' dħul uniku, l-Istati Membri huma mħeġġa jużaw ukoll dak il-punt uniku ta' dħul għan-notifiki ta' inċidenti tas-sigurtà meħtieġa skont liġi oħra tal-Unjoni, bħar-Regolament (UE) 2016/679 u d-Direttiva 2002/58/KE. Jenħtieġ li l-użu ta' tali punt uniku ta' dħul għar-rapportar ta' inċidenti tas-sigurtà skont ir-Regolament (UE) 2016/679 u d-Direttiva 2002/58/KE ma jaffettwax l-applikazzjoni tad-dispożizzjonijiet tar-Regolament (UE) 2016/679 u tad-Direttiva 2002/58/KE, partikolarment dawk relatati mal-indipendenza tal-awtoritajiet imsemmija fihom. Jenħtieġ li l-ENISA, f'kooperazzjoni mal-Grupp ta' Kooperazzjoni, tiżviluppa u ttejjeb kontinwament mudelli ta' notifika komuni permezz ta' linji gwida li jissimplifikaw u jirrazzjonalizzaw l-informazzjoni li għandha tiġi rrappurtata skont il-liġi tal-Unjoni u jnaqqsu l-piż amministrattiv fuq l-entitajiet notifikanti.

(107)

Meta jkun suspettat li inċident huwa relatat ma' attivitajiet kriminali serji skont il-liġi tal-Unjoni jew nazzjonali, l-Istati Membri jenħtieġ li jinkoraġġixxu lill-entitajiet essenzjali u importanti, skont ir-regoli tal-proċedimenti kriminali applikabbli f'konformità mal-liġi tal-Unjoni, biex l-inċidenti suspettati li għandhom natura kriminali serja jirrapportawhom lill-awtoritajiet tal-infurzar tal-liġi rilevanti. Meta jkun xieraq, u mingħajr preġudizzju għar-regoli dwar il-protezzjoni tad-data personali li japplikaw għall-Europol, huwa mixtieq li l-koordinazzjoni bejn l-awtoritajiet kompetenti u l-awtoritajiet tal-infurzar tal-liġi ta' Stati Membri differenti tiġi ffaċilitata miċ-Ċentru Ewropew taċ-Ċiberkriminalità (EC3) u l-ENISA.

(108)

Ħafna drabi, id-data personali tiġi kompromessa minħabba inċidenti. F'dak il-kuntest, l-awtoritajiet kompetenti jenħtieġ li jikkooperaw u jiskambjaw informazzjoni dwar il-kwistjonijiet rilevanti kollha mal-awtoritajiet imsemmija fir-Regolament (UE) 2016/679 u d-Direttiva 2002/58/KE.

(109)

Iż-żamma ta' bażijiet tad-data preċiżi u kompleti tad-data tar-reġistrazzjoni tal-ismijiet ta' dominji (data WHOIS) u l-għoti ta' aċċess legali għal tali data huma essenzjali biex jiġu żgurati s-sigurtà, l-istabbiltà u r-reżiljenza tad-DNS, li min-naħa tagħha tikkontribwixxi għal livell komuni għoli ta' ċibersigurtà fl-Unjoni. Għal dak l-iskop speċifiku, ir-reġistri tal-ismijiet tat-TLD u l-entitajiet li jipprovdu servizzi ta' reġistrazzjoni tal-ismijiet ta' dominji jenħtieġ li jkunu meħtieġa jipproċessaw ċerta data meħtieġa biex jintlaħaq dak l-għan. Tali pproċessar jenħtieġ li jikkostitwixxi obbligu legali skont it-tifsira tal-Artikolu 6(1), il-punt (c), tar-Regolament (UE) 2016/679. Dak l-obbligu huwa mingħajr preġudizzju għall-possibbiltà li tinġabar data dwar ir-reġistrazzjoni tal-ismijiet ta' dominji għal finijiet oħra, pereżempju abbażi ta' arranġamenti kuntrattwali jew rekwiżiti legali stabbiliti f'liġijiet oħra tal-Unjoni jew nazzjonali. Dak l-obbligu għandu l-għan li jikseb sett komplut u preċiż ta' data tar-reġistrazzjoni u jenħtieġ li ma jirriżultax fil-ġbir tal-istess data diversi drabi. Ir-reġistri tal-ismijiet tat-TLD u l-entitajiet li jipprovdu servizzi ta' reġistrazzjoni tal-ismijiet ta' dominji jenħtieġ li jikkooperaw ma' xulxin sabiex tiġi evitata d-duplikazzjoni ta' dak il-kompitu.

(110)

Id-disponibbiltà u l-aċċessibbiltà f'waqtha tad-data tar-reġistrazzjoni tal-ismijiet ta' dominji għal dawk li jfittxu aċċess leġittimu, huma essenzjali għall-prevenzjoni u l-ġlieda kontra l-abbuż tad-DNS, u għall-prevenzjoni u d-detezzjoni ta', u r-rispons għall-inċidenti. Dawk li jfittxu aċċess leġittimu għandhom jinftiehmu bħala kwalunkwe persuna fiżika jew ġuridika li tagħmel talba skont il-liġi tal-Unjoni jew nazzjonali. Dawn jistgħu jinkludu l-awtoritajiet kompetenti skont din id-Direttiva u dawk li huma kompetenti skont il-liġi tal-Unjoni jew dik nazzjonali għall-prevenzjoni, l-investigazzjoni, id-detezzjoni jew il-prosekuzzjoni ta' reati kriminali, kif ukoll CERTs jew CSIRTs . Għalhekk jenħtieġ li r-reġistri tal-ismijiet tat-TLD u l-entitajiet li jipprovdu servizzi tar-reġistrazzjoni tal-ismijiet ta' dominji jintalbu jippermettu l-aċċess legali għal data speċifika tar-reġistrazzjoni tal-ismijiet ta' dominji meħtieġa għall-finijiet tal-aċċess mitlub, lil persuni li jfittxu aċċess leġittimu f'konformità mal-liġi tal-Unjoni u nazzjonali. It-talba ta' dawk li jfittxu aċċess leġittimu jenħtieġ li tkun akkumpanjata minn dikjarazzjoni tar-raġunijiet li tippermetti l-valutazzjoni tal-ħtieġa ta' aċċess għad-data.

(111)

Biex tiġi żgurata d-disponibbiltà ta' data preċiża u kompleta dwar ir-reġistrazzjoni tal-ismijiet ta' dominji, ir-reġistri tal-ismijiet tat-TLD u l-entitajiet li jipprovdu servizzi ta' reġistrazzjoni tal-ismijiet ta' dominji jenħtieġ li jiġbru u jiżguraw l-integrità u d-disponibbiltà tad-data tar-reġistrazzjoni tal-ismijiet ta' dominji. B'mod partikolari, jenħtieġ li r-reġistri tal-ismijiet tat-TLD u l-entitajiet li jipprovdu servizzi ta' reġistrazzjoni tal-ismijiet ta' dominji jistabbilixxu politiki u proċeduri biex jiġbru u jżommu data tar-reġistrazzjoni tal-ismijiet tad-dominji preċiża u kompleta, kif ukoll biex jipprevjenu u jikkoreġu d-data tar-reġistrazzjoni li ma tkunx preċiża, f'konformità mal-leġiżlazzjoni tal-Unjoni dwar il-protezzjoni tad-data. Tali politiki u proċeduri jenħtieġ li jqisu, sa fejn ikun possibbli, l-istandards żviluppati mill-istrutturi ta' governanza b'diversi partijiet interessati fil-livell internazzjonali. Ir-reġistri tal-ismijiet tat-TLD u l-entitajiet li jipprovdu servizzi ta' reġistrazzjoni tal-ismijiet ta' dominji jenħtieġ li jadottaw u jimplimentaw proċeduri proporzjonati biex jivverifikaw id-data tar-reġistrazzjoni tal-ismijiet ta' dominji. Dawk il-proċeduri għandhom jirriflettu l-aħjar prattiki użati fl-industrija u, sa fejn ikun possibbli, il-progress magħmul fil-qasam tal-identifikazzjoni elettronika. Eżempji ta' proċeduri ta' verifika jistgħu jinkludu kontrolli ex ante mwettqa fil-ħin tar-reġistrazzjoni u kontrolli ex post imwettqa wara r-reġistrazzjoni. Ir-reġistri tal-ismijiet tat-TLD u l-entitajiet li jipprovdu servizzi ta' reġistrazzjoni tal-ismijiet ta' dominji jenħtieġ li, b'mod partikolari, jivverifikaw tal-anqas mezz wieħed ta' kuntatt tar-reġistrant.

(112)

Jenħtieġ li r-reġistri tal-ismijiet tat-TLD u l-entitajiet li jipprovdu servizzi ta' reġistrazzjoni tal-ismijiet ta' dominji jintalbu jqiegħdu għad-dispożizzjoni tal-pubbliku d-data tar-reġistrazzjoni tal-ismijiet ta' dominji li jaqgħu barra mill-kamp ta' applikazzjoni tal-liġi tal-Unjoni dwar il-protezzjoni tad-data, bħal data li tikkonċerna persuni ġuridiċi, f'konformità mal-preambolu tar-Regolament (UE) 2016/679. Għall-persuni ġuridiċi, ir-reġistri tal-ismijiet tat-TLD u l-entitajiet li jipprovdu servizzi ta' reġistrazzjoni tal-ismijiet ta' dominji jenħtieġ li jqiegħdu għad-dispożizzjoni tal-pubbliku tal-anqas l-isem tar-reġistrant u n-numru tat-telefon ta' kuntatt. L-indirizz ta' kuntatt tal-posta elettronika għandu jiġi ppubblikat ukoll, sakemm ma jkun fih l-ebda data personali, bħal fil-każ ta' psewdonimi tal-email jew kontijiet funzjonali. Jenħtieġ li r-reġistri tal-ismijiet tat-TLD u l-entitajiet li jipprovdu servizzi ta' reġistrazzjoni tal-ismijiet ta' dominji jippermettu wkoll aċċess legali għal data speċifika tar-reġistrazzjoni tal-ismijiet ta' dominji li tikkonċerna persuni fiżiċi, lil persuni li jridu aċċess leġittimu, f'konformità mal-liġi tal-Unjoni dwar il-protezzjoni tad-data. L-Istati Membri jenħtieġ li jobbligaw lir-reġistri tal-ismijiet tat-TLD u l-entitajiet li jipprovdu servizzi ta' reġistrazzjoni tal-ismijiet ta' dominji jirrispondu mingħajr dewmien żejjed għal talbiet għad-divulgazzjoni tad-data tar-reġistrazzjoni tal-ismijiet ta' dominji minn persuni li jfittxu aċċess leġittimu. Ir-reġistri tal-ismijiet tat-TLD u l-entitajiet li jipprovdu servizzi tar-reġistrazzjoni tal-ismijiet ta' dominji jenħtieġ li jistabbilixxu politiki u proċeduri għall-pubblikazzjoni u d-divulgazzjoni tad-data tar-reġistrazzjoni, inkluż ftehimiet fil-livell ta' servizz biex jittrattaw it-talbiet għal aċċess mingħand dawk li jridu aċċess leġittimu. Tali politiki u proċeduri jenħtieġ li jqisu, sa fejn ikun possibbli, kwalunkwe gwida u l-istandards żviluppati mill-istrutturi ta' governanza b'diversi partijiet interessati fil-livell internazzjonali. Il-proċedura tal-aċċess tista' tinkludi l-użu ta' interfaċċa, portal jew għodda teknika oħra biex tiġi pprovduta sistema effiċjenti għal talbiet u aċċess għad-data tar-reġistrazzjoni. Bil-ħsieb li tippromwovi prattiki armonizzati fis-suq intern kollu, il-Kummissjoni tista', mingħajr preġudizzju għall-kompetenzi tal-Bord Ewropew għall-Protezzjoni tad-Data, tipprovdi linji gwida fir-rigward ta' tali proċeduri, li jqisu, sa fejn ikun possibbli, l-istandards żviluppati mill-istrutturi ta' governanza b'diversi partijiet interessati fil-livell internazzjonali. L-Istati Membri jenħtieġ li jiżguraw li kull tip ta' aċċess għad-data personali kif ukoll mhux personali tar-reġistrazzjoni tal-ismijiet ta' dominji jkun mingħajr ħlas.

(113)

L-entitajiet li jaqgħu fil-kamp ta' applikazzjoni ta' din id-Direttiva jenħtieġ li jitqiesu li jaqgħu taħt il-ġuriżdizzjoni tal-Istat Membru fejn ikunu stabbiliti. Madankollu, il-fornituri tan-networks pubbliċi tal-komunikazzjoni elettronika jew il-fornituri tas-servizzi tal-komunikazzjoni elettronika disponibbli pubblikament għandhom jitqiesu li jaqgħu taħt il-ġurżdizzjoni tal-Istat Membru li fih jipprovdu s-servizzi tagħhom. Il-fornituri ta' servizzi tad-DNS, ir-reġistri tal-ismijiet tat-TLD, l-entitajiet li jipprovdu servizzi ta' reġistrazzjoni tal-ismijiet ta' dominji, il-fornituri ta' servizzi tal-cloud computing, il-fornituri ta' servizzi ta' ċentri tad-data, il-fornituri ta' networks tal-konsenja tal-kontenut, il-fornituri ta' servizzi ġestiti, il-fornituri ta' servizzi tas-sigurtà ġestiti, kif ukoll il-fornituri ta' swieq online, ta' magni tat-tiftix online, u ta' pjattaformi ta' servizzi ta' networking soċjali, jenħtieġ li jitqiesu li jaqgħu fil-ġuriżdizzjoni tal-Istat Membru fejn għandhom l-istabbiliment prinċipali tagħhom fl-Unjoni. L-entitajiet tal-amministrazzjoni pubblika jenħtieġ li jaqgħu taħt il-ġuriżdizzjoni tal-Istat Membru li jkun stabbilihom. Jekk l-entità tipprovdi servizzi jew tkun stabbilita f'aktar minn Stat Membru wieħed, din jenħtieġ li taqa' taħt il-ġuriżdizzjoni separata u konkorrenti ta' kull wieħed minn dawk l-Istati Membri. L-awtoritajiet kompetenti ta' dawk l-Istati Membri jenħtieġ li jikkooperaw, jipprovdu assistenza reċiproka lil xulxin u, meta jkun xieraq, iwettqu azzjonijiet superviżorji konġunti. Fejn l-Istati Membri jeżerċitaw ġuriżdizzjoni, jenħtieġ li ma jimponux miżuri ta' infurzar jew pieni aktar minn darba għall-istess imġiba, f'konformità mal-prinċipju ta' ne bis in idem.

(114)

Biex titqies in-natura transfruntiera tas-servizzi u l-operazzjonijiet tal-fornituri ta' servizzi tad-DNS, ir-reġistri tal-ismijiet tat-TLD, l-entitajiet li jipprovdu servizzi ta' reġistrazzjoni tal-ismijiet ta' dominji, il-fornituri ta' servizzi tal-cloud computing, il-fornituri ta' servizzi ta' ċentri tad-data, il-fornituri ta' network tal-konsenja tal-kontenut, il-fornituri ta' servizzi ġestiti, il-fornituri ta' servizzi tas-sigurtà ġestiti, kif ukoll il-fornituri ta' swieq online, ta' magni tat-tiftix online u ta' pjattaformi ta' servizzi ta' networking soċjali, jenħtieġ li Stat Membru wieħed biss ikollu ġuriżdizzjoni fuq dawn l-entitajiet. Jenħtieġ li l-ġuriżdizzjoni tiġi attribwita lill-Istat Membru fejn l-entità kkonċernata jkollha l-istabbiliment ewlieni tagħha fl-Unjoni. Il-kriterju tal-istabbiliment għall-finijiet ta' din id-Direttiva jimplika l-eżerċizzju effettiv ta' attività permezz ta' arranġamenti stabbli. Il-forma legali ta' dawn l-arranġamenti, sew jekk permezz ta' fergħa jew sussidjarja b'personalità ġuridika, mhix il-fattur determinanti f'dak ir-rigward. Il-konformità ma' dak il-kriterju jenħtieġ li ma tkunx tiddependi fuq jekk in-network u s-sistemi tal-informazzjoni jkunux jinsabu fiżikament f'post partikolari; il-preżenza u l-użu ta' tali sistemi, fihom infushom, ma jikkostitwux tali stabbiliment ewlieni u għalhekk mhumiex kriterji deċiżivi għad-determinazzjoni tal-istabbiliment ewlieni. Jenħtieġ li l-istabbiliment ewlieni jitqies li jkun fl-Istat Membru fejn jittieħdu l-biċċa l-kbira tad-deċiżjonijiet relatati mal-miżuri ta' ġestjoni tar-riskji taċ-ċibersigurtà fl-Unjoni. Tipikament, dan ikun jikkorrispondi għall-post tal-amministrazzjoni ċentrali tal-entitajiet fl-Unjoni. Jekk tali Stat Membru ma jkunx jista' jiġi ddeterminat jew jekk tali deċiżjonijiet ma jittiħdux fl-Unjoni, l-istabbiliment ewlieni jenħtieġ li jitqies li jkun fl-Istat Membru fejn jitwettqu l-operazzjonijiet taċ-ċibersigurtà. Jekk tali Stat Membru ma jkunx jista' jiġi ddeterminat, l-istabbiliment ewlieni jenħtieġ li jitqies li jkun fl-Istat Membru fejn l-entità jkollha l-istabbiliment bl-akbar numru ta' impjegati fl-Unjoni. Meta s-servizzi jitwettqu minn grupp ta' impriżi, l-istabbiliment ewlieni tal-impriża li tikkontrolla jenħtieġ li jitqies bħala l-istabbiliment ewlieni tal-grupp ta' impriżi.

(115)

Meta servizz tad-DNS rikursiv jiġi pprovdut minn fornitur ta' networks pubbliċi tal-komunikazzjoni elettronika jew tas-servizzi tal-komunikazzjoni elettronika disponibbli għall-pubbliku biss bħala parti mis-servizz ta' aċċess għall-internet, l-entità jenħtieġ li titqies li taqa' taħt il-ġuriżdizzjoni tal-Istati Membri kollha fejn jiġu pprovduti s-servizzi tagħha.

(116)

Meta fornitur ta' servizz tad-DNS, reġistru ta' ismijiet tat-TLD, entità li tipprovdi servizzi ta' reġistrazzjoni ta' ismijiet ta' dominji, fornitur ta' servizzi tal-cloud computing, fornitur ta' servizzi ta' ċentru tad-data, fornitur ta' networks tal-konsenja tal-kontenut, fornitur ta' servizzi ġestiti, fornitur ta' servizzi tas-sigurtà ġestiti jew fornitur ta' suq online, ta' magna tat-tiftix online, jew ta' pjattaforma ta' servizzi ta' networking soċjali, li ma jkunux stabbiliti fl-Unjoni, joffru servizzi fl-Unjoni, jenħtieġ li jaħtru rappreżentant fl-Unjoni. Sabiex jiġi ddeterminat jekk tali entità hix qed toffri servizzi fl-Unjoni, jenħtieġ li jiġi aċċertat jekk l-entità hux qed tippjana li toffri servizzi lil persuni fi Stat Membru wieħed jew aktar. Is-sempliċi aċċessibbiltà fl-Unjoni tas-sit web tal-entità jew ta' intermedjarju jew ta' indirizz tal-email u dettalji ta' kuntatt oħrajn, jew l-użu ta' lingwa użata b'mod ġenerali fil-pajjiż terz fejn tkun stabbilita l-entità, jenħtieġ li jitqiesu bħala insuffiċjenti biex tiġi aċċertata tali intenzjoni. Madankollu, fatturi bħall-użu ta' lingwa jew munita użata b'mod ġenerali fi Stat Membru wieħed jew aktar bil-possibbiltà li jiġu ordnati servizzi b'dik il-lingwa, jew ir-referenza għal klijenti jew utenti li jinsabu fl-Unjoni, jistgħu juru li l-entità qed tippjana li toffri servizzi fl-Unjoni. Ir-rappreżentant jenħtieġ li jaġixxi f'isem l-entità u jenħtieġ li jkun possibbli li l-awtoritajiet kompetenti jew is-CSIRTs jindirizzaw lir-rappreżentant. Ir-rappreżentant jenħtieġ li jiġi maħtur espliċitament b'mandat bil-miktub tal-entità biex jaġixxi f'isem din tal-aħħar fir-rigward tal-obbligi ta' din tal-aħħar stipulati f'din id-Direttiva, inkluż ir-rapportar tal-inċidenti.

(117)

Sabiex tiġi żgurata ħarsa ġenerali ċara lejn il-fornituri ta' servizzi tad-DNS, ir-reġistri ta' ismijiet tat-TLD, l-entitajiet li jipprovdu servizzi ta' reġistrazzjoni ta' ismijiet ta' dominji, il-fornituri ta' servizzi ta' cloud computing, il-fornituri ta' servizzi ta' ċentri tad-data, il-fornituri ta' networks tal-konsenja tal-kontenut, il-fornituri ta' servizzi ġestiti, il-fornituri ta' servizzi tas-sigurtà ġestiti, kif ukoll il-fornituri ta' swieq online, ta' magni tat-tiftix online, u ta' pjattaformi ta' servizzi ta' networking soċjali, li jipprovdu servizzi madwar l-Unjoni li jaqgħu fil-kamp ta' applikazzjoni ta' din id-Direttiva, l-ENISA jenħtieġ li toħloq u żżomm reġistru ta' tali entitajiet, abbażi tal-informazzjoni riċevuta mill-Istati Membri, fejn applikabbli permezz ta' mekkaniżmi nazzjonali stabbiliti biex l-entitajiet jirreġistraw lilhom infushom. Il-punti uniċi ta' kuntatt jenħtieġ li jibagħtu lill-ENISA l-informazzjoni u kwalunkwe bidla fiha. Bil-ħsieb li tiġi żgurata l-eżattezza u l-kompletezza tal-informazzjoni li għandha tiġi inkluża f'dak ir-reġistru, l-Istati Membri jistgħu jippreżentaw lill-ENISA l-informazzjoni disponibbli fi kwalunkwe reġistri nazzjonali dwar dawk l-entitajiet. Jenħtieġ li l-ENISA u l-Istati Membri jieħdu miżuri biex jiffaċilitaw l-interoperabbiltà ta' tali reġistri, filwaqt li jiżguraw il-protezzjoni ta' informazzjoni kunfidenzjali jew klassifikata. Jenħtieġ li l-ENISA tistabbilixxi protokolli xierqa ta' klassifikazzjoni u ġestjoni tal-informazzjoni biex tiżgura s-sigurtà u l-kunfidenzjalità tal-informazzjoni żvelata u tillimita l-aċċess, il-ħżin u t-trażmissjoni ta' tali informazzjoni għall-utenti maħsuba.

(118)

Meta informazzjoni li hija klassifikata f'konformità mal-liġi tal-Unjoni jew nazzjonali tiġi skambjata, irrapportata jew kondiviża b'xi mod ieħor skont din id-Direttiva, jenħtieġ li jiġu applikati r-regoli korrispondenti dwar it-trattament ta' informazzjoni klassifikata. Barra minn hekk, jenħtieġ li l-ENISA jkollha l-infrastruttura, il-proċeduri u r-regoli fis-seħħ biex tittratta informazzjoni sensittiva u klassifikata f'konformità mar-regoli ta' sigurtà applikabbli għall-protezzjoni ta' informazzjoni klassifikata tal-UE.

(119)

It-theddid ċibernetiku qed isir aktar kumpless u sofistikat, u għalhekk miżuri tajba għad-detezzjoni u l-prevenzjoni ta' tali theddid jiddependu ferm fuq il-kondiviżjoni regolari ta' intelligence dwar it-theddid u l-vulnerabbiltà bejn l-entitajiet. Il-kondiviżjoni tal-informazzjoni tikkontribwixxi għal aktar sensibilizzazzjoni dwar it-theddid ċibernetiku u, konsegwentement, dan isaħħaħ il-kapaċità tal-entitajiet li jipprevjenu li tali theddid jimmaterjalizza f'inċidenti reali u jippermetti lill-entitajiet irażżnu aħjar l-effetti tal-inċidenti u jirkupraw b'aktar effiċjenza. Fin-nuqqas ta' gwida fil-livell tal-Unjoni, jidher li hemm diversi fatturi li ostakolaw tali kondiviżjoni ta' intelligence, b'mod partikolari l-inċertezza dwar il-kompatibbiltà mar-regoli tal-kompetizzjoni u tar-responsabbiltà.

(120)

L-entitajiet jenħtieġ li jiġu mħeġġa u assistiti mill-Istati Membri biex jisfruttaw kollettivament l-għarfien individwali u l-esperjenza prattika tagħhom f'livelli strateġiċi, tattiċi u operazzjonali bil-ħsieb li jsaħħu l-kapaċitajiet tagħhom biex jipprevjenu u jidentifikaw l-inċidenti, jirrispondu għalihom, jirkupraw minnhom jew jimmitigaw l-impatt tagħhom. Għalhekk jeħtieġ ikun possibbli li fil-livell tal-Unjoni jinħolqu arranġamenti volontarji ta' kondiviżjoni tal-informazzjoni dwar iċ-ċibersigurtà. Għal dak il-għan, l-Istati Membri jenħtieġ li jassistu u jħeġġu b'mod attiv lill-entitajiet, bħal dawk li jipprovdu servizzi u riċerka taċ-ċibersigurtà, kif ukoll entitajiet rilevanti mhux koperti mill-kamp ta' applikazzjoni ta' din id-Direttiva, biex jipparteċipaw f'tali arranġamenti ta' kondiviżjoni tal-informazzjoni dwar iċ-ċibersigurtà. Dawk l-arranġamenti jenħtieġ li jiġu stabbiliti f'konformità mar-regoli tal-Unjoni dwar il-kompetizzjoni u mal-liġi tal-Unjoni dwar il-protezzjoni tad-data.

(121)

L-ipproċessar ta' data personali, sa fejn ikun meħtieġ u proporzjonat għall-fini li tiġi żgurata s-sigurtà tan-networks u s-sistemi tal-informazzjoni minn entitajiet essenzjali u importanti, jista' jitqies bħala legali fuq il-bażi li tali pproċessar ikun konformi ma' obbligu legali li għalih ikun soġġett il-kontrollur, f'konformità mar-rekwiżiti tal-Artikolu 6(1), il-punt (c), u l-Artikolu 6(3) tar-Regolament (UE) 2016/679. L-ipproċessar ta' data personali jista' jkun meħtieġ ukoll għal interessi leġittimi segwiti minn entitajiet essenzjali u importanti, kif ukoll fornituri ta' teknoloġiji u servizzi tas-sigurtà li jaġixxu f'isem dawk l-entitajiet, skont l-Artikolu 6(1), il-punt (f), tar-Regolament (UE) 2016/679, inkluż meta tali pproċessar ikun meħtieġ għal arranġamenti ta' kondiviżjoni ta' informazzjoni dwar iċ-ċibersigurtà jew in-notifika volontarja ta' informazzjoni rilevanti f'konformità ma' din id-Direttiva. Il-miżuri relatati mal-prevenzjoni, id-detezzjoni, l-identifikazzjoni, it-trażżin, u l-analiżi tal-inċidenti u r-rispons għalihom, il-miżuri għas-sensibilizzazzjoni dwar theddid ċibernetiku speċifiku, l-iskambju ta' informazzjoni fil-kuntest tar-rimedju tal-vulnerabbiltà u d-divulgazzjoni kkoordinata tal-vulnerabbiltà, l-iskambju volontarju ta' informazzjoni dwar dawk l-inċidenti, u t-theddid ċibernetiku u l-vulnerabbiltajiet, l-indikaturi ta' kompromess, tattiċi, tekniki u proċeduri, it-twissijiet taċ-ċibersigurtà u l-għodod ta' konfigurazzjoni jistgħu jeżiġu l-ipproċessar ta' ċerti kategoriji ta' data personali, bħal indirizzi IP, lokalizzaturi uniformi tar-riżorsi (URLs), ismijiet ta' dominji, indirizzi tal-email u, fejn jiżvelaw data personali, kronogrammi. L-ipproċessar ta' data personali mill-awtoritajiet kompetenti, mill-punti uniċi ta' kuntatt u mis-CSIRTs, jista' jikkostitwixxi obbligu legali jew jitqies bħala meħtieġ għat-twettiq ta' kompitu fl-interess pubbliku jew fl-eżerċizzju ta' awtorità uffiċjali mogħtija lill-kontrollur tad-data skont l-Artikolu 6(1), il-punt (c) jew (e), u l-Artikolu 6(3) tar-Regolament (UE) 2016/679, jew biex jiġi segwit interess leġittimu ta' entitajiet essenzjali u importanti, kif imsemmi fl-Artikolu 6(1), il-punt (f), ta’dak ir-Regolament. Barra minn hekk, il-liġi nazzjonali tista' tistabbilixxi regoli li jippermettu lill-awtoritajiet kompetenti, lill-punti uniċi ta' kuntatt u lis-CSIRTs, sa fejn dan ikun meħtieġ u proporzjonat għall-fini li tiġi żgurata s-sigurtà tan-networks u tas-sistemi tal-informazzjoni ta' entitajiet essenzjali u importanti, jipproċessaw kategoriji speċjali ta' data personali f'konformità mal-Artikolu 9 tar-Regolament (UE) 2016/679, b'mod partikolari billi jiġu previsti miżuri xierqa u speċifiċi biex jiġu ssalvagwardjati d-drittijiet u l-interessi fundamentali ta' persuni fiżiċi, inklużi limitazzjonijiet tekniċi fuq l-użu mill-ġdid ta' tali data u l-użu ta' miżuri ta' sigurtà u ta' preżervazzjoni tal-privatezza tal-ogħla livell ta' żvilupp tekniku, bħall-psewdonimizzazzjoni, jew il-kriptaġġ meta l-anonimizzazzjoni tkun tista' taffettwa b'mod sinifikanti l-għan fil-mira.

(122)

Biex jissaħħu s-setgħat u l-miżuri superviżorji li jgħinu biex tiġi żgurata konformità effettiva, din id-Direttiva jenħtieġ li tipprevedi lista minima ta' miżuri u mezzi superviżorji li permezz tagħhom l-awtoritajiet kompetenti jistgħu jissorveljaw lill-entitajiet essenzjali u importanti. Barra minn hekk, din id-Direttiva jenħtieġ li tistabbilixxi divrenzjar tar-reġim superviżorju bejn l-entitajiet essenzjali u importanti biex jiġi żgurat bilanċ ġust tal-obbligi fuq dawk l-entitajiet u fuq l-awtoritajiet kompetenti. Għalhekk, l-entitajiet essenzjali jenħtieġ li jkunu soġġetti għal reġim superviżorju ex ante u ex post komprensiv, filwaqt li l-entitajiet importanti jenħtieġ li jkunu soġġetti għal reġim superviżorju ħafif, ex post biss. L-entitajiet importanti għalhekk jenħtieġ li ma jkunux obbligati jiddokumentaw b'mod sistematiku l-konformità mal-miżuri ta' ġestjoni tar-riskji taċ-ċibersigurtà, filwaqt li l-awtoritajiet kompetenti jenħtieġ li jimplimentaw approċċ reattiv ex post għas-superviżjoni u, b'hekk, ma jkollhomx obbligu ġenerali li jissorveljaw lil dawk l-entitajiet. Is-superviżjoni ex post ta' entitajiet importanti tista' tiġi skattata permezz ta' evidenza, indikazzjoni jew informazzjoni li tinġieb għall-attenzjoni tal-awtoritajiet kompetenti meqjusa minn dawk l-awtoritajiet bħala li tissuġġerixxi ksur potenzjali ta' din id-Direttiva. Pereżempju, tali evidenza, indikazzjoni jew informazzjoni tista' tkun tat-tip ipprovduta lill-awtoritajiet kompetenti minn awtoritajiet oħrajn, entitajiet, ċittadini, media jew sorsi oħra jew informazzjoni disponibbli pubblikament, jew tista' tirriżulta minn attivitajiet oħra mwettqa mill-awtoritajiet kompetenti fit-twettiq tal-kompiti tagħhom.

(123)

Jenħtieġ li l-eżekuzzjoni tal-kompiti superviżorji mill-awtoritajiet kompetenti ma tfixkilx bla bżonn l-attivitajiet kummerċjali tal-entità kkonċernata. Meta l-awtoritajiet kompetenti jwettqu l-kompiti superviżorji tagħhom fir-rigward ta' entitajiet essenzjali, inkluż it-twettiq ta' spezzjonijiet fuq il-post u superviżjoni mhux fuq il-post, l-investigazzjoni ta' ksur ta' din id-Direttiva u t-twettiq ta' awditi tas-sigurtà jew skennjar tas-sigurtà, jenħtieġ li jimminimizzaw l-impatt fuq l-attivitajiet kummerċjali tal-entità kkonċernata.

(124)

Fl-eżerċizzju tas-superviżjoni ex ante, l-awtoritajiet kompetenti jenħtieġ li jkunu jistgħu jiddeċiedu dwar il-prijoritizzazzjoni tal-użu tal-miżuri u l-mezzi superviżorji għad-dispożizzjoni tagħhom b'mod proporzjonat. Dan ifisser li l-awtoritajiet kompetenti jistgħu jiddeċiedu dwar tali prijoritizzazzjoni abbażi ta' metodoloġiji superviżorji li jenħtieġ li jsegwu approċċ ibbażat fuq ir-riskju. B'mod aktar speċifiku, tali metodoloġiji jistgħu jinkludu kriterji jew parametri referenzjarji għall-klassifikazzjoni ta' entitajiet essenzjali f'kategoriji ta' riskju u miżuri u mezzi superviżorji korrispondenti rrakkomandati għal kull kategorija ta' riskju, bħall-użu, il-frekwenza jew it-tipi ta' spezzjonijiet fuq il-post, awditi tas-sigurtà jew skennjar tas-sigurtà mmirati, it-tip ta' informazzjoni li għandha tintalab u l-livell ta' dettall ta' dik l-informazzjoni. Tali metodoloġiji superviżorji jistgħu jkunu akkumpanjati wkoll minn programmi ta' ħidma u jiġu vvalutati u rieżaminati fuq bażi regolari, inkluż dwar aspetti bħall-allokazzjoni tar-riżorsi u l-ħtiġijiet. Fir-rigward tal-entitajiet tal-amministrazzjoni pubblika, is-setgħat superviżorji jenħtieġ li jiġu eżerċitati bi qbil mal-oqfsa leġiżlattivi u istituzzjonali nazzjonali.

(125)

Jenħtieġ li l-awtoritajiet kompetenti jiżguraw li l-kompiti superviżorji tagħhom fir-rigward tal-entitajiet essenzjali u importanti jitwettqu minn professjonisti mħarrġa, li jenħtieġ li jkollhom il-ħiliet meħtieġa biex iwettqu dawk il-kompiti, b'mod partikolari fir-rigward tat-twettiq ta' spezzjonijiet fuq il-post u superviżjoni mhux fuq il-post, inkluża l-identifikazzjoni tad-dgħufijiet fil-bażijiet tad-data, il-hardware, il-firewalls, il-kriptaġġ u n-networks. Jenħtieġ li dawk l-ispezzjonijiet u dik is-superviżjoni jitwettqu b'mod oġġettiv.

(126)

F'każijiet debitament sostanzjati meta tkun konxja minn theddida ċibernetika sinifikanti jew riskju imminenti, l-awtorità kompetenti jenħtieġ li tkun tista' tieħu deċiżjonijiet ta' infurzar immedjati bil-għan li tipprevjeni jew tirrispondi għal inċident.

(127)

Għal infurzar effettiv, jenħtieġ li tiġi stabbilita lista minima ta' setgħat ta' infurzar li jistgħu jiġu eżerċitati għall-ksur tal-miżuri ta' ġestjoni tar-riskji taċ-ċibersigurtà u tal-obbligi tar-rapportar previsti f'din id-Direttiva, filwaqt li jiġi stabbilit qafas ċar u konsistenti għal tali infurzar madwar l-Unjoni. Jenħtieġ li jitqiesu kif xieraq in-natura, il-gravità u t-tul tal-ksur ta' din id-Direttiva, id-dannu materjali jew mhux materjali kkawżat, jekk il-ksur kienx intenzjonali jew negliġenti, l-azzjonijiet meħuda għall-prevenzjoni jew il-mitigazzjoni tad-dannu materjali jew mhux materjali, il-grad ta' responsabbiltà jew kwalunkwe ksur preċedenti rilevanti, il-grad ta' kooperazzjoni mal-awtorità kompetenti u kwalunkwe fattur aggravanti jew mitiganti ieħor. Il-miżuri ta' infurzar, inklużi l-multi amministrattivi, jenħtieġ li jkunu proporzjonali u jenħtieġ li l-impożizzjoni tagħhom tkun soġġetta għal salvagwardji proċedurali xierqa f'konformità mal-prinċipji ġenerali tal-liġi tal-Unjoni u l-Karta tad-Drittijiet Fundamentali tal-Unjoni Ewropea ("il-Karta"), inklużi d-dritt għal rimedju effettiv u għal proċess imparzjali, il-preżunzjoni ta' innoċenza u d-dritt għad-difiża.

(128)

Din id-Direttiva ma teħtieġx li l-Istati Membri jipprovdu għal responsabbiltà kriminali jew ċivili fir-rigward ta' persuni fiżiċi bir-responsabbiltà li jiżguraw li entità tikkonforma ma' din id-Direttiva għad-danni mġarrba minn partijiet terzi b'riżultat ta' ksur ta' din id-Direttiva.

(129)

Sabiex jiġi żgurat infurzar effettiv tal-obbligi stabbiliti f'din id-Direttiva, kull awtorità kompetenti jenħtieġ li jkollha s-setgħa li timponi jew titlob l-impożizzjoni ta' multi amministrattivi.

(130)

Meta tiġi imposta multa amministrattiva fuq entità essenzjali jew importanti li tkun impriża, it-terminu "impriża" jenħtieġ li jfisser impriża f'konformità mal-Artikoli 101 u 102 tat-TFUE għal dawk il-finijiet. Meta tiġi imposta multa amministrattiva fuq persuna li mhijiex impriża, l-awtorità kompetenti jenħtieġ li tqis kemm il-livell ġenerali ta' introjtu fl-Istat Membru kif ukoll is-sitwazzjoni ekonomika tal-persuna meta tkun qed tistabbilixxi l-ammont xieraq tal-multa. Jenħtieġ li jkunu l-Istati Membri li jiddeterminaw jekk l-awtoritajiet pubbliċi jenħtieġx li jkunu soġġetti għal multi amministrattivi u sa liema punt. L-impożizzjoni ta' multa amministrattiva ma taffettwax l-applikazzjoni ta' setgħat oħra tal-awtoritajiet kompetenti jew ta' pieni oħra stabbiliti fir-regoli nazzjonali li jittrasponu din id-Direttiva.

(131)

Jenħtieġ li l-Istati Membri jkunu jistgħu jistabbilixxu r-regoli dwar il-pieni kriminali għall-ksur tar-regoli nazzjonali li jittrasponu din id-Direttiva. Madankollu, jenħtieġ li l-impożizzjoni ta' pieni kriminali għall-ksur ta' tali regoli nazzjonali u ta' pieni amministrattivi relatati ma twassalx għal ksur tal-prinċipju ta' ne bis in idem, kif interpretat mill-Qorti tal-Ġustizzja tal-Unjoni Ewropea.

(132)

Meta din id-Direttiva ma tarmonizzax il-pieni amministrattivi jew meta jkun meħtieġ f'każijiet oħra, pereżempju fil-każ ta' ksur serju ta' din id-Direttiva, l-Istati Membri jenħtieġ li jimplimentaw sistema li tipprevedi pieni effettivi, proporzjonati u dissważivi. Il-liġi nazzjonali jenħtieġ li tiddetermina n-natura ta' tali pieni u jekk humiex kriminali jew amministrattivi.

(133)

Sabiex ikomplu jssaħħu l-effettività u d-dissważività tal-miżuri ta' infurzar applikabbli għall-ksur ta' din id-Direttiva, l-awtoritajiet kompetenti jenħtieġ li jkollhom is-setgħa li jissospendu temporanjament jew li jitolbu s-sospensjoni temporanja ta' ċertifikazzjoni jew awtorizzazzjoni li tikkonċerna s-servizzi kollha rilevanti pprovduti jew parti minnhom jew l-attivitajiet imwettqa minn entità essenzjali u jitolbu l-impożizzjoni ta' projbizzjoni temporanja fuq l-eżerċizzju tal-funzjonijiet maniġerjali minn kwalunkwe persuna fiżika li twettaq responsabbiltajiet maniġerjali fil-livell ta' kap eżekuttiv jew ta' rappreżentant legali. Minħabba s-severità u l-impatt tagħhom fuq l-attivitajiet tal-entitajiet u fl-aħħar mill-aħħar fuq l-utenti, tali sospensjonijiet jew projbizzjonijiet temporanji jenħtieġ li jiġu applikati biss b'mod proporzjonali għas-severità tal-ksur u filwaqt li jitqiesu ċ-ċirkostanzi speċifiċi ta' kull każ individwali, inkluż jekk il-ksur kienx intenzjonali jew negliġenti, u kwalunkwe azzjoni meħuda għall-prevenzjoni jew il-mitigazzjoni tad-dannu materjali jew mhux materjali. Tali projbizzjonjiet jew sospensjonijiet temporanji jenħtieġ li jiġu applikati biss bħala soluzzjoni tal-aħħar istanza, jiġifieri diment li jkunu ġew eżawriti l-miżuri ta' infurzar rilevanti l-oħra stabbiliti f'din id-Direttiva, u sakemm l-entità kkonċernata tieħu l-azzjoni meħtieġa biex tirrimedja n-nuqqasijiet jew tikkonforma mar-rekwiżiti tal-awtorità kompetenti li għalihom ikunu ġew applikati tali sanzjonijiet jew projbizzjonijiet temporanji. L-impożizzjoni ta' tali sospensjonijiet jew projbizzjonijiet temporanji jenħtieġ li tkun soġġetta għal salvagwardji proċedurali xierqa f'konformità mal-prinċipji ġenerali tal-liġi tal-Unjoni u l-Karta , inklużi d-dritt għal rimedju effettiv u għal proċess imparzjali, il-preżunzjoni ta' innoċenza u d-dritt għad-difiża.

(134)

Bl-iskop li tiġi żgurata l-konformità tal-entitajiet mal-obbligi tagħhom stipulati f'din id-Direttiva, jenħtieġ li l-Istati Membri jikkooperaw ma' xulxin u jassistu lil xulxin fir-rigward tal-miżuri superviżorji u ta' infurzar, b'mod partikolari meta entità tipprovdi servizzi f'aktar minn Stat Membru wieħed jew fejn in-network u s-sistemi tal-informazzjoni tagħha jkunu lokalizzati fi Stat Membru differenti minn dak fejn tipprovdi s-servizzi. Meta tkun qed tagħti assistenza, jenħtieġ li l-awtorità kompetenti li ssirilha t-talba tieħu miżuri superviżorji jew ta' infurzar f'konformità mal-liġi nazzjonali. Sabiex jiġi żgurat il-funzjonament bla xkiel tal-assistenza reċiproka skont din id-Direttiva, jenħtieġ li l-awtoritajiet kompetenti jużaw il-Grupp ta' Kooperazzjoni bħala forum biex jiddiskutu każijiet u talbiet partikolari għall-assistenza.

(135)

Sabiex jiżguraw superviżjoni u infurzar effettivi, b'mod partikolari fil-każ f’-sitwazzjoni li għandha dimensjoni transfruntiera, Stat Membru li jkun irċieva talba għal assistenza reċiproka jenħtieġ li, fil-limiti ta' dik it-talba, jieħdu miżuri superviżorji u ta' infurzar xierqa fir-rigward tal-entità li hija s-suġġett ta' dik it-talba, u li tipprovdi servizzi jew li jkollha network u sistema tal-informazzjoni fit-territorju ta' dak l-Istat Membru.

(136)

Din id-Direttiva jenħtieġ li tistabbilixxi regoli ta' kooperazzjoni bejn l-awtoritajiet kompetenti u l-awtoritajiet superviżorji skont ir-Regolament (UE) 2016/679 biex jiġi indirizzat il-ksur ta' din id-Direttiva relatat mad-data personali.

(137)

Din id-Direttiva jenħtieġ li jkollha l-għan li tiżgura livell għoli ta' responsabbiltà għall-miżuri ta' ġestjoni tar-riskji taċ-ċibersigurtà u l-obbligi ta' rapportar fil-livell tal-entitajiet essenzjali u importanti. Għalhekk, jenħtieġ li l-korpi maniġerjali tal-entitajiet essenzjali u importanti japprovaw il-miżuri ta' ġestjoni tar-riskji taċ-ċibersigurtà u jissorveljaw l-implimentazzjoni tagħhom.

(138)

Sabiex jiġi żgurat livell komuni għoli ta' ċibersigurtà madwar l-Unjoni abbażi ta' din id-Direttiva, jenħtieġ li tiġi delegata lill-Kummissjoni s-setgħa li tadotta atti skont l-Artikolu 290 tat-TFUE fir-rigward tas-supplimentar ta' din id-Direttiva billi jiġi speċifikat liema kategoriji ta' entitajiet essenzjali u importanti għandhom ikunu meħtieġa jużaw ċerti prodotti tal-ICT, servizzi tal-ICT u proċessi tal-ICT iċċertifikati jew jiksbu ċertifikat skont skema Ewropea taċ-ċertifikazzjoni taċ-ċibersigurtà. Huwa partikolarment importanti li l-Kummissjoni twettaq konsultazzjonijiet xierqa matul ix-xogħol tagħha ta' tħejjija, ukoll fil-livell ta' esperti, u li dawk il-konsultazzjonijiet jiġu mwettqa f'konformità mal-prinċipji stipulati fil-Ftehim Interistituzzjonali tat-13 ta' April 2016 dwar it-Tfassil Aħjar tal-Liġijiet (22). B'mod partikolari, biex tiġi żgurata parteċipazzjoni ugwali fit-tħejjija ta' atti delegati, il-Parlament Ewropew u l-Kunsill jirċievu d-dokumenti kollha fl-istess ħin li jirċevuhom l-esperti tal-Istati Membri, u l-esperti tagħhom ikollhom aċċess sistematiku għal-laqgħat tal-gruppi tal-esperti tal-Kummissjoni li jittrattaw it-tħejjija ta' atti delegati.

(139)

Sabiex jiġu żgurati kundizzjonijiet uniformi għall-implimentazzjoni ta' din id-Direttiva, jenħtieġ li jingħataw setgħat ta' implimentazzjoni lill-Kummissjoni biex tistabbilixxi l-arranġamenti proċedurali meħtieġa għall-funzjonament tal-Grupp ta' Kooperazzjoni u r-rekwiżiti tekniċi u metodoloġiċi kif ukoll settorjali dwar il-miżuri ta' ġestjoni tar-riskji taċ-ċibersigurtà, u biex tispeċifika aktar it-tip ta' informazzjoni, il-format u l-proċedura ta' notifika ta' inċident, theddid ċibernetiku u kważi inċident u ta' komunikazzjonijiet ta' theddid ċibernetiku sinifikanti, kif ukoll każijiet fejn inċident għandu jitqies bħala sinifikanti. Jenħtieġ li dawk is-setgħat ikunu eżerċitati f'konformità mar-Regolament (UE) Nru 182/2011 tal-Parlament Ewropew u tal-Kunsill (23).

(140)

Jenħtieġ li l-Kummissjoni twettaq rieżami ta' din id-Direttiva perjodikament, wara li tikkonsulta l-partijiet interessati, b'mod partikolari bil-għan li tiddetermina jekk ikunx xieraq li jiġu proposti emendi fid-dawl ta' bidliet fil-kundizzjonijiet soċjetali, politiċi, teknoloġiċi jew tas-suq. Bħala parti minn dawk ir-rieżamijiet, jenħtieġ li l-Kummissjoni tivvaluta r-rilevanza tad-daqs tal-entitajiet ikkonċernati, u s-setturi, is-sottosetturi u t-tipi ta' entitajiet imsemmija fl-annessi ta' din id-Direttiva għall-funzjonament tal-ekonomija u tas-soċjetà fir-rigward taċ-ċibersigurtà. Jenħtieġ li l-Kummissjoni tivvaluta, fost l-oħrajn, jekk il-fornituri, li jaqgħu fil-kamp ta' applikazzjoni ta' din id-Direttiva, li huma meqjusa bħala pjattaformi online kbar ħafna skont it-tifsira tal-Artikolu 33 tar-Regolament (UE) 2022/2065 tal-Parlament Ewropew u tal-Kunsill (24) jistgħux jiġu identifikati bħala entitajiet essenzjali skont din id-Direttiva.

(141)

Din id-Direttiva toħloq kompiti ġodda għall-ENISA, u b'hekk issaħħaħ ir-rwol tagħha, u tista' twassal ukoll biex l-ENISA tkun meħtieġa twettaq il-kompiti eżistenti tagħha skont ir-Regolament (UE) 2019/881 għal standard ogħla minn qabel. Sabiex jiġi żgurat li l-ENISA jkollha r-riżorsi finanzjarji u umani meħtieġa biex twettaq il-kompiti eżistenti u dawk ġodda, kif ukoll biex tissodisfa kwalunkwe livell ogħla ta' eżekuzzjoni ta' dawk il-kompiti li jirriżultaw mir-rwol imsaħħaħ tagħha, il-baġit tagħha jenħtieġ li jiżdied kif xieraq. Barra minn hekk, sabiex jiġi żgurat l-użu effiċjenti tar-riżorsi, l-ENISA jenħtieġ li tingħata flessibbiltà akbar fil-mod li bih tista' talloka r-riżorsi internament, sabiex twettaq il-kompiti tagħha u tilħaq l-aspettattivi b'mod effettiv.

(142)

Minħabba li l-objettiv ta' din id-Direttiva, jiġifieri li jinkiseb livell komuni għoli ta' ċibersigurtà madwar l-Unjoni, ma jistax jinkiseb b'mod suffiċjenti mill-Istati Membri iżda jista' pjuttost, minħabba l-effetti tal-azzjoni, jinkiseb aħjar fil-livell tal-Unjoni, l-Unjoni tista' tadotta miżuri, f'konformità mal-prinċipju ta' sussidjarjetà kif stabbilit fl-Artikolu 5 tat-Trattat dwar l-Unjoni Ewropea. F'konformità mal-prinċipju ta' proporzjonalità kif stabbilit f'dak l-Artikolu, din id-Direttiva ma tmurx lil hinn minn dak li huwa meħtieġ sabiex jinkiseb dak l-objettiv.

(143)

Din id-Direttiva tirrispetta d-drittijiet fundamentali, u tosserva l-prinċipji, rikonoxxuti mill-Karta, b'mod partikolari d-dritt għar-rispett għall-ħajja privata u l-komunikazzjonijiet, il-protezzjoni tad-data personali, il-libertà ta' intrapriża, id-dritt għall-propjetà, id-dritt għal rimedju effettiv u għal proċess imparzjali, il-preżunzjoni ta' innoċenza u d-dritt għad-difiża. Id-dritt għal rimedju effettiv japplika wkoll għar-riċevituri ta' servizzi pprovduti minn entitajiet essenzjali u importanti. Din id-Direttiva jenħtieġ li tiġi implimentata f'konformità ma' dawk id-drittijiet u l-prinċipji.

(144)

Il-Kontrollur Ewropew għall-Protezzjoni tad-Data ġie kkonsultat f'konformità mal-Artikolu 42(1) tar-Regolament (UE) 2018/1725 tal-Parlament Ewropew u tal-Kunsill (25) u ta opinjoni fil-11 ta' Marzu 2021 (26),

ADOTTAW DIN ID-DIRETTIVA:

KAPITOLU I

DISPOŻIZZJONIJIET ĠENERALI

Artikolu 1

Suġġett

1.   Din id-Direttiva tistabbilixxi miżuri bil-għan li jinkiseb livell komuni għoli ta' ċibersigurtà madwar l-Unjoni, bil-ħsieb li jittejjeb il-funzjonament tas-suq intern.

2.   Għal dak il-għan, din id-Direttiva tistabbilixxi:

(a)

obbligi li jirrikjedu lill-Istati Membri jadottaw strateġiji nazzjonali taċ-ċibersigurtà u jaħtru jew jistabbilixxu awtoritajiet nazzjonali kompetenti, awtoritajiet għall-ġestjoni tal-kriżijiet ċibernetiċi, punti uniċi ta' kuntatt dwar iċ-ċibersigurtà (punti uniċi ta' kuntatt) u Skwadri ta' Rispons għal Inċidenti relatati mas-Sigurtà tal-Kompjuters (CSIRTs);

(b)

miżuri ta' ġestjoni tar-riskji taċ-ċibersigurtà u obbligi ta' rapportar għall-entitajiet ta' tip imsemmi fl-Anness I jew II kif ukoll għall-entitajiet identifikati bħala entitajiet kritiċi skont id-Direttiva (UE) 2022/2557;

(c)

regoli u obbligi dwar il-kondiviżjoni tal-informazzjoni dwar iċ-ċibersigurtà;

(d)

obbligi ta' superviżjoni u infurzar fuq l-Istati Membri.

Artikolu 2

Kamp ta' applikazzjoni

1.   Din id-Direttiva tapplika għal entitajiet pubbliċi jew privati ta' tip imsemmi fl-Anness I jew II li jikkwalifikaw bħala intrapriżi ta' daqs medju skont l-Artikolu 2 tal-Anness tar-Rakkomandazzjoni 2003/361/KE, jew jaqbżu l-limiti massimi għall-intrapriżi ta' daqs medju previsti fil-paragrafu 1 ta' dak l-Artikolu, u li jipprovdu s-servizzi tagħhom jew iwettqu l-attivitajiet tagħhom fl-Unjoni.

L-Artikolu 3(4) tal-Anness ta' dik ir-Rakkomandazzjoni ma għandux japplika għall-finijiet ta' din id-Direttiva.

2.   Irrispettivament mid-daqs tagħhom, din id-Direttiva tapplika wkoll għal entitajiet , ta' tip imsemmi fl-Anness I jew II, meta:

(a)

is-servizzi jkunu pprovduti minn:

(i)

fornituri ta' networks pubbliċi tal-komunikazzjoni elettronika jew tas-servizzi tal-komunikazzjoni elettronika disponibbli għall-pubbliku;

(ii)

fornituri ta' servizzi fiduċjarji;

(iii)

reġistri ta' ismijiet ta' dominji tal-ogħla livell u fornituri ta' servizzi tas-sistema tal-ismijiet ta' dominji;

(b)

l-entità tkun l-uniku fornitur fi Stat Membru ta' servizz li jkun essenzjali għall-manutenzjoni ta' attivitajiet soċjetali jew ekonomiċi kritiċi;

(c)

it-tfixkil tas-servizz ipprovdut mill-entità jista' jkollu impatt sinifikanti fuq is-sikurezza pubblika, is-sigurtà pubblika jew is-saħħa pubblika;

(d)

it-tfixkil tas-servizz ipprovdut mill-entità jista' jwassal għal riskji sistemiċi sinifikanti, b'mod partikolari għas-setturi meta dan it-tfixkil jista' jkollu impatt transfruntier;

(e)

l-entità tkun kritika minħabba l-importanza speċifika tagħha fil-livell nazzjonali jew reġjonali għas-settur partikolari jew it-tip ta' servizz, jew għal setturi interdipendenti oħra fl-Istat Membru;

(f)

l-entità tkun entità tal-amministrazzjoni pubblika:

(i)

tal-gvern ċentrali kif definit minn Stat Membru f'konformità mal-liġi nazzjonali; jew

(ii)

fil-livell reġjonali kif definit minn Stat Membru f'konformità mal-liġi nazzjonali li, b'segwitu għal valutazzjoni bbażata fuq ir-riskju, tipprovdi servizzi li t-tfixkil tagħhom jista' jkollu impatt sinifikanti fuq attivitajiet soċjetali jew ekonomiċi kritiċi.

3.   Irrispettivament mid-daqs tagħhom, din id-Direttiva tapplika għal entitajiet identifikati bħala entitajiet kritiċi skont id-Direttiva (UE) 2022/2557;

4.   Irrispettivament mid-daqs tagħhom, din id-Direttiva tapplika għal entitajiet li jipprovdu servizzi ta' reġistrazzjoni tal-ismijiet ta' dominju.

5.   L-Istati Membri jistgħu jipprevedu li din id-Direttiva tapplika għal:

(a)

entitajiet tal-amministrazzjoni pubblika fil-livell lokali;

(b)

istituzzjonijiet edukattivi, b'mod partikolari meta jwettqu attivitajiet ta' riċerka kritiċi.

6.   Din id-Direttiva hija mingħajr preġudizzju għar-responsabbiltà tal-Istati Membri li jissalvagwardjaw is-sigurtà nazzjonali u s-setgħa tagħhom li jissalvagwardjaw funzjonijiet Statali essenzjali oħra, fosthom l-iżgurar tal-integrità territorjali tal-Istat u ż-żamma tal-ordni pubbliku.

7.   Din id-Direttiva ma tapplikax għall-entitajiet tal-amministrazzjoni pubblika li jwettqu l-attivitajiet tagħhom fl-oqsma tas-sigurtà nazzjonali, is-sigurtà pubblika, id-difiża jew l-infurzar tal-liġi, inklużi l-prevenzjoni, l-investigazzjoni, id-detezzjoni u l-prosekuzzjoni ta' reati kriminali.

8.   L-Istati Membri jistgħu jeżentaw li entitajiet speċifiċi li jwettqu attivitajiet fl-oqsma tas-sigurtà nazzjonali, is-sigurtà pubblika, id-difiża jew l-infurzar tal-liġi, inkluż il-prevenzjoni, l-investigazzjoni, id-detezzjoni u l-prosekuzzjoni ta' reati kriminali, jew li jipprovdu servizzi esklużivament lil entitajiet tal-amministrazzjoni pubblika msemmija fil-paragrafu 7 ta' dan l-Artikolu, mill-obbligi stabbiliti fl-Artikolu 21 jew 23 fir-rigward ta' dawk l-attivitajiet jew is-servizzi. F'każijiet bħal dawn, il-miżuri superviżorji u ta' infurzar imsemmija fil-Kapitolu VII ma għandhomx japplikaw fir-rigward ta' dawk l-attivitajiet jew is-servizzi speċifiċi. Meta l-entitajiet iwettqu attivitajiet jew jipprovdu servizzi esklużivament tat-tip imsemmi f'dan il-paragrafu, l-Istati Membri jistgħu jiddeċiedu wkoll li jeżentaw lil dawk l-entitajiet mill-obbligi stipulati fl-Artikoli 3 u 27.

9.   Il-paragrafi 7 u 8 ma għandhomx japplikaw meta entità taġixxi bħala fornitur ta' servizzi fiduċjarji.

10.   Din id-Direttiva ma tapplikax għal entitajiet li l-Istati Membri jkunu eżentaw mill-kamp ta' applikazzjoni tar-Regolament (UE) 2022/2554 f'konformità mal-Artikolu 2(4) ta' dak ir-Regolament.

11.   L-obbligi stipulati f'din id-Direttiva ma għandhomx jinvolvu l-forniment ta' informazzjoni li d-divulgazzjoni tagħha tmur kontra l-interessi essenzjali tal-Istati Membri fl-oqsma tas-sigurtà nazzjonali, is-sigurtà pubblika jew id-difiża.

12.   Din id-Direttiva tapplika mingħajr preġudizzju għar-Regolament (UE) 2016/679, għad-Direttiva 2002/58/KE, għad-Direttivi 2011/93/UE (27) u 2013/40/UE (28) tal-Parlament Ewropew u tal-Kunsill u għad-Direttiva (UE) 2022/2557.

13.   Mingħajr preġudizzju għall-Artikolu 346 tat-TFUE, l-informazzjoni li tkun kunfidenzjali skont ir-regoli tal-Unjoni jew dawk nazzjonali, bħar-regoli dwar il-kunfidenzjalità tan-negozju, għandha tiġi skambjata mal-Kummissjoni u ma' awtoritajiet rilevanti oħra f'konformità ma' din id-Direttiva biss meta dan l-iskambju jkun meħtieġ għall-applikazzjoni ta' din id-Direttiva. L-informazzjoni skambjata għandha tkun limitata għal dak li jkun rilevanti u proporzjonat għall-fini ta' dak l-iskambju. L-iskambju tal-informazzjoni għandu jżomm il-kunfidenzjalità ta' dik l-informazzjoni u jipproteġi l-interessi tas-sigurtà u dawk kummerċjali tal-entitajiet ikkonċernati.

14.   L-entitajiet, l-awtoritajiet kompetenti, il-punti uniċi ta' kuntatt u s-CSIRTs għandhom jipproċessaw id-data personali sa fejn ikun meħtieġ għall-finijiet ta' din id-Direttiva u f'konformità mar-Regolament (UE) 2016/679, u b'mod partikolari tali pproċessar għandu jiddependi fuq l-Artikolu 6 tiegħu.

L-ipproċessar ta' data personali skont din id-Direttiva minn fornituri ta' networks pubbliċi tal-komunikazzjoni elettronika jew fornituri tas-servizzi tal-komunikazzjoni elettronika disponibbli għall-pubbliku għandu jitwettaq f'konformità mal-liġi tal-Unjoni dwar il-protezzjoni tad-data u l-liġi tal-Unjoni dwar il-privatezza, b'mod partikolari d-Direttiva 2002/58/KE.

Artikolu 3

Entitajiet essenzjali u importanti

1.   Għall-finijiet ta' din id-Direttiva, l-entitajiet segwenti għandhom jitqiesu li huma entitajiet essenzjali:

(a)

entitajiet ta' tip imsemmi fl-Anness I li jaqbżu l-limiti massimi għall-intrapriżi ta' daqs medju previsti fl-Artikolu 2(1) tal-Anness tar-Rakkomandazzjoni 2003/361/KE;

(b)

fornituri kwalifikati ta' servizzi fiduċjarji u reġistri ta' ismijiet ta' dominji tal-ogħla livell kif ukoll fornituri ta' servizzi tad-DNS, irrispettivament mid-daqs tagħhom;

(c)

fornituri ta' networks pubbliċi tal-komunikazzjoni elettronika jew tas-servizzi tal-komunikazzjoni elettronika disponibbli għall-pubbliku li jikkwalifikaw bħala intrapriżi ta' daqs medju skont l-Artikolu 2 tal-Anness tar-Rakkomandazzjoni 2003/361/KE;

(d)

l-entitajiet tal-amministrazzjoni pubblika msemmija fl-Artikolu 2(2), il-punt (f)(i);

(e)

kwalunkwe entità oħra ta' tip imsemmi fl-Anness I jew II li tkun identifikata minn Stat Membru bħala entità essenzjali skont l-Artikolu 2(2), il-punti (b) sa (e);

(f)

entitajiet identifikati bħala entitajiet kritiċi skont id-Direttiva (UE) 2022/2557, imsemmija fl-Artikolu 2(3) ta' din id-Direttiva;

(g)

jekk l-Istat Membru jipprevedi hekk, entitajiet li dak l-Istat Membru jkun identifika qabel is-16 ta’ Jannar 2023 bħala operaturi ta' servizzi essenzjali f'konformità mad-Direttiva (UE) 2016/1148 jew mal-liġi nazzjonali.

2.   Għall-finijiet ta' din id-Direttiva, l-entitajiet ta' tip imsemmi fl-Anness I jew II li ma jikkwalifikawx bħala entitajiet essenzjali skont il-paragrafu 1 ta' dan l-Artikolu għandhom jitqiesu bħala entitajiet importanti. Dan jinkludi entitajiet identifikati mill-Istati Membri bħala entitajiet importanti skont l-Artikolu 2(2), il-punti (b) sa (e).

3.   Sas-17 ta’ April 2025, l-Istati Membri għandhom jistabbilixxu lista ta' entitajiet essenzjali u importanti kif ukoll entitajiet li jipprovdu servizzi ta' reġistrazzjoni ta' ismijiet ta' dominji. L-Istati Membri għandhom iwettqu rieżami ta' dik il-lista u, fejn xieraq, jaġġornawha fuq bażi regolari u mill-inqas kull sentejn minn hemm 'il quddiem.

4.   Għall-fini li tiġi stabbilita l-lista msemmija f'dak il-paragrafu, l-Istati Membri għandhom jobbligaw lill-entitajiet imsemmija fil-paragrafu 3 jippreżentaw mill-inqas l-informazzjoni li ġejja lill-awtoritajiet kompetenti:

(a)

l-isem tal-entità;

(b)

l-indirizz u dettalji ta' kuntatt aġġornati, inklużi l-indirizzi tal-email, il-firxiet tal-IP u n-numri tat-telefon;

(c)

meta jkun applikabbli, is-settur u s-sottosettur rilevanti msemmija fl-Anness I jew II; u

(d)

meta jkun applikabbli, lista tal-Istati Membri fejn jipprovdu servizzi li jaqgħu fil-kamp ta' applikazzjoni ta' din id-Direttiva.

L-entitajiet imsemmija fil-paragrafu 3 għandhom jinnotifikaw mingħajr dewmien kwalunkwe bidla fid-dettalji ppreżentati skont l-ewwel subparagrafu ta' dan il-paragrafu mingħajr dewmien, u, fi kwalunkwe każ, fi żmien ġimagħtejn mid-data tal-bidla.

Il-Kummissjoni, bl-għajnuna tal-Aġenzija tal-Unjoni Ewropea għaċ-Ċibersigurtà (ENISA), għandha mingħajr dewmien żejjed tipprovdi linji gwida u mudelli rigward l-obbligi stipulati f'dan il-paragrafu.

L-Istati Membri jistgħu jistabbilixxu mekkaniżmi nazzjonali biex l-entitajiet jirreġistraw lilhom infushom.

5.   Sas-17 ta’ April 2025 u kull sentejn wara dan, l-awtoritajiet kompetenti għandhom jinnotifikaw:

(a)

lill-Kummissjoni u lill-Grupp ta' Kooperazzjoni, l-għadd ta' entitajiet essenzjali u importanti elenkati skont il-paragrafu 3 għal kull settur u sottosettur imsemmija fl-Anness I jew II; u

(b)

lill-Kummissjoni, l-informazzjoni rilevanti dwar l-għadd ta' entitajiet essenzjali u importanti identifikati skont l-Artikolu 2(2), il-punti (b) sa (e), is-settur u s-sottosettur imsemmija fl-Anness I jew II li jappartjenu għalihom, it-tip ta' servizz li jipprovdu, u d-dispożizzjoni, minn fost dawk stipulati fl-Artikolu 2(2), il-punti (b) sa (e), li skonthom ikunu ġew identifikati.

6.   Sas-17 ta’ April 2025 u fuq talba tal-Kummissjoni, l-Istati Membri jistgħu jinnotifikaw lill-Kummissjoni l-ismijiet tal-entitajiet essenzjali u importanti msemmija fil-paragrafu 5, il-punt (b).

Artikolu 4

Atti legali tal-Unjoni speċifiċi għas-settur

1.   Fejn l-atti legali tal-Unjoni speċifiċi għas-settur ikunu jeżiġu li l-entitajiet essenzjali jew importanti jadottaw miżuri ta' ġestjoni tar-riskji taċ-ċibersigurtà jew li jinnotifikaw l-inċidenti sinifikanti, u meta dawk ir-rekwiżiti jkunu tal-inqas ekwivalenti fl-effett għall-obbligi stipulati f'din id-Direttiva, id-dispożizzjonijiet rilevanti ta' din id-Direttiva, inklużi d-dispożizzjonijiet dwar is-superviżjoni u l-infurzar stabbiliti fil-Kapitolu VII, ma għandhomx japplikaw għal tali entitajiet. Fejn l-atti legali tal-Unjoni speċifiċi għas-settur ma jkoprux l-entitajiet kollha f'settur speċifiku li jaqa' fil-kamp ta' applikazzjoni ta' din id-Direttiva, id-dispożizzjonijiet rilevanti ta' din id-Direttiva għandhom ikomplu japplikaw għall-entitajiet mhux koperti minn dawk l-atti legali tal-Unjoni speċifiċi għas-settur.

2.   Ir-rekwiżiti msemmija fil-paragrafu 1 ta' dan l-Artikolu għandhom jitqiesu li jkunu ekwivalenti fl-effett għall-obbligi stabbiliti f'din id-Direttiva meta:

(a)

il-miżuri ta' ġestjoni tar-riskji taċ-ċibersigurtà jkunu tal-inqas ekwivalenti fl-effett għal dawk stipulati fl-Artikolu 21(1) u (2); jew

(b)

l-att legali tal-Unjoni speċifiku għas-settur jipprevedi aċċess immedjat, fejn xieraq awtomatiku u dirett, għan-notifiki tal-inċidenti mis-CSIRTs, mill-awtoritajiet kompetenti jew mill-punti uniċi ta' kuntatt skont din id-Direttiva u fejn ir-rekwiżiti għan-notifika ta' inċidenti sinifikanti jkunu tal-inqas ekwivalenti fl-effett għal dawk stabbiliti fl-Artikolu 23(1) sa (6) ta' din id-Direttiva.

3.   Il-Kummissjoni għandha, sas-17 ta’ Lulju 2023, tipprovdi linji gwida li jiċċaraw l-applikazzjoni tal-paragrafi 1 u 2. Il-Kummissjoni għandha teżamina mill-ġdid dawk il-linji gwida fuq bażi regolari. Meta tkun qed tħejji dawk il-linji gwida, il-Kummissjoni għandha tqis kwalunkwe osservazzjoni tal-ENISA u tal-Grupp ta' Kooperazzjoni.

Artikolu 5

Armonizzazzjoni minima

Din id-Direttiva ma għandhiex tipprekludi lill-Istati Membri milli jadottaw jew iżommu dispożizzjonijiet li jiżguraw livell ogħla ta' ċibersigurtà, dment li tali dispożizzjonijiet ikunu konsistenti mal-obbligi tal-Istati Membri stipulati fil-liġi tal-Unjoni.

Artikolu 6

Definizzjonijiet

Għall-iskopijiet ta' din id-Direttiva, japplikaw id-definizzjonijiet li ġejjin:

(1)

"network u sistema tal-informazzjoni" tfisser:

(a)

network tal-komunikazzjoni elettronika kif definit fl-Artikolu 2, il-punt (1) tad-Direttiva (UE) 2018/1972;

(b)

kwalunkwe apparat jew grupp ta' apparati interkonnessi jew relatati, li wieħed minnhom jew aktar, skont programm, iwettqu pproċessar awtomatiku ta' data diġitali; jew

(c)

data diġitali maħżuna, ipproċessata, miġbura jew trażmessa minn elementi koperti fil-punti (a) u (b) għall-finijiet tal-operazzjoni, l-użu, il-protezzjoni u ż-żamma tagħhom;

(2)

''sigurtà tan-networks u tas-sistemi tal-informazzjoni'' tfisser l-abbiltà tan-networks u s-sistemi tal-informazzjoni li jirreżistu, f'livell partikolari ta' kunfidenza, kwalunkwe avveniment li jista' jikkomprometti d-disponibbiltà, l-awtentiċità, l-integrità jew il-kunfidenzjalità tad-data maħżuna, trażmessa jew ipproċessata, jew tas-servizzi offruti minn, jew aċċessibbli permezz ta' dawk in-network u s-sistemi tal-informazzjoni;

(3)

"ċibersigurtà" tfisser ċibersigurtà kif definita fl-Artikolu 2, il-punt (1), tar-Regolament (UE) 2019/881;

(4)

"strateġija nazzjonali taċ-ċibersigurtà" tfisser qafas koerenti ta' Stat Membru li jipprovdi objettivi u prijoritajiet strateġiċi fil-qasam taċ-ċibersigurtà u l-governanza biex jintlaħqu f'dak l-Istat Membru;

(5)

"kważi inċident" tfisser avveniment li seta' jikkomprometti d-disponibbiltà, l-awtentiċità, l-integrità jew il-kunfidenzjalità tad-data maħżuna, trażmessa jew ipproċessata jew tas-servizzi offruti minn network u sistemi tal-informazzjoni, jew aċċessibbli permezz tagħhom, iżda li jkun twaqqaf b'suċċess milli jseħħ jew li ma seħħx;

(6)

''inċident'' tfisser avveniment li jikkomprometti d-disponibbiltà, l-awtentiċità, l-integrità jew il-kunfidenzjalità tad-data maħżuna, trażmessa jew ipproċessata jew tas-servizzi offruti minn networks u sistemi tal-informazzjoni, jew aċċessibbli permezz tagħhom;

(7)

"inċident taċ-ċibersigurtà fuq skala kbira" tfisser inċident li jikkawża livell ta' tfixkil li jaqbeż il-kapaċità ta' Stat Membru li jirrispondi għalih jew li jkollu impatt sinifikanti fuq mill-inqas żewġ Stati Membri;

(8)

"trattament tal-inċident" tfisser kwalunkwe azzjoni u proċedura mmirati għall-prevenzjoni, id-detezzjoni, l-analiżi u t-trażżin ta' inċident jew għar-rispons għalih u l-irkupru minnu;

(9)

"riskju" tfisser il-potenzjal ta' telf jew tfixkil ikkawżat minn inċident u għandu jiġi espress bħala kombinament tad-daqs ta' tali telf jew tfixkil, u l-probabbiltà li dak l-inċident iseħħ;

(10)

"theddida ċibernetika" tfisser theddida ċibernetika kif definita fl-Artikolu 2, il-punt (8), tar-Regolament (UE) 2019/881;

(11)

''theddida ċibernetika sinifikanti'' tfisser theddida ċibernetika li, abbażi tal-karatteristiċi tekniċi tagħha, tista' titqies li għandha l-potenzjal li jkollha impatt gravi fuq in-network u s-sistemi tal-informazzjoni ta' entità jew fuq l-utenti tas-servizzi tal-entità billi tikkawża dannu materjali jew mhux materjali konsiderevoli;

(12)

"prodott tal-ICT" tfisser prodott tal-ICT kif definit fl-Artikolu 2, il-punt (12) tar-Regolament (UE) 2019/881;

(13)

"servizz tal-ICT" tfisser servizz tal-ICT kif definit fl-Artikolu 2, il-punt (13), tar-Regolament (UE) 2019/881;

(14)

"proċess tal-ICT" tfisser proċess tal-ICT kif definit fl-Artikolu 2, il-punt (14), tar-Regolament (UE) 2019/881;

(15)

''vulnerabbiltà'' tfisser dgħufija, suxxettibbiltà jew difett fi prodotti tal-ICT jew servizzi tal-ICT li jistgħu jiġu sfruttati minn theddida ċibernetika;

(16)

"standard" tfisser standard kif definit fl-Artikolu 2, il-punt (1) tar-Regolament (UE) Nru 1025/2012 tal-Parlament Ewropew u tal-Kunsill (29);

(17)

"speċifikazzjoni teknika" tfisser speċifikazzjoni teknika kif definita fl-Artikolu 2, il-punt (4), tar-Regolament (UE) Nru 1025/2012;

(18)

"punt ta' skambju fuq l-internet" tfisser faċilità ta' network li tippermetti l-interkonnessjoni ta' aktar minn żewġ networks indipendenti (sistemi awtonomi), primarjament biex jiġi ffaċilitat l-iskambju tat-traffiku tal-internet, li tipprovdi interkonnessjoni għal sistemi awtonomi biss u li la tirrikjedi li t-traffiku tal-internet, li jgħaddi bejn kwalunkwe par sistemi awtonomi parteċipanti, jgħaddi minn kwalunkwe tielet sistema awtonoma, u lanqas ma tbiddel tali traffiku jew tinterferixxi b'xi mod ieħor miegħu;

(19)

"sistema tal-ismijiet ta' dominji" jew "DNS" tfisser sistema ta' ismijiet distribwiti ġerarkikament li tagħmel possibbli l-identifikazzjoni ta' servizzi u riżorsi tal-internet, filwaqt li tippermetti lill-apparati tal-utenti finali jużaw servizzi ta' routing u konnettività tal-internet, biex jilħqu lil dawk is-servizzi u r-riżorsi;

(20)

"fornitur ta' servizzi tad-DNS" tfisser entità li tipprovdi:

(a)

servizzi ta' riżoluzzjoni tal-ismijiet ta' dominji rikursivi disponibbli pubblikament għall-utenti finali tal-internet; jew

(b)

servizzi ta' riżoluzzjoni tal-ismijiet ta' dominji awtoritattivi għall-użu minn partijiet terzi, bl-eċċezzjoni tar-root name servers;

(21)

"reġistru ta' ismijiet ta' dominji tal-ogħla livell" jew "reġistru ta' ismijiet tat-TLD" tfisser entità li tkun ġiet iddelegata TLD speċifiku u li tkun responsabbli għall-amministrazzjoni tat-TLD, inkluż ir-reġistrazzjoni ta' ismijiet ta' dominji taħt it-TLD u t-tħaddim tekniku tat-TLD, inkluż it-tħaddim tas-servers tal-isem tiegħu, il-manutenzjoni tal-bażijiet tad-data tiegħu u d-distribuzzjoni tal-fajls taż-żona tat-TLD fost is-servers tal-ismijiet, irrispettivament minn jekk kwalunkwe waħda minn dawk l-operazzjonijiet titwettaqx mill-entità nfisha jew tiġix esternalizzata, iżda bl-esklużjoni ta' sitwazzjonijiet fejn l-ismijiet tat-TLD jintużaw minn reġistru għall-użu proprju biss;

(22)

"entità li tipprovdi servizzi ta' reġistrazzjoni ta' ismijiet ta' dominji" tfisser reġistratur jew aġent li jaġixxi f'isem reġistraturi, bħal fornitur jew rivenditur ta' servizz ta' reġistrazzjoni ta' privatezza jew proxy;

(23)

''servizz diġitali'' tfisser servizz kif definit fl-Artikolu 1(1), il-punt (b), tad-Direttiva (UE) 2015/1535 tal-Parlament Ewropew u tal-Kunsill (30);

(24)

"servizz fiduċjarju" tfisser servizz fiduċjarju kif definit fl-Artikolu 3, il-punt (16), tar-Regolament (UE) Nru 910/2014;

(25)

"fornitur ta' servizz fiduċjarju" tfisser fornitur ta' servizz fiduċjarju kif definit fl-Artikolu 3, il-punt (19), tar-Regolament (UE) Nru 910/2014;

(26)

"servizz fiduċjarju kwalifikat" tfisser servizz fiduċjarju kwalifikat kif definit fl-Artikolu 3, il-punt (17), tar-Regolament (UE) Nru 910/2014;

(27)

"fornitur kwalifikat ta' servizzi fiduċjarji" tfisser fornitur kwalifikat ta' servizzi fiduċjarji kif definit fl-Artikolu 3, il-punt (20), tar-Regolament (UE) Nru 910/2014;

(28)

"suq online" tfisser suq online kif definit fl-Artikolu 2, il-punt (n), tad-Direttiva 2005/29/KE tal-Parlament Ewropew u tal-Kunsill (31);

(29)

"magna tat-tiftix online" tfisser magna tat-tiftix online kif definit fl-Artikolu 2, il-punt (5), tar-Regolament (UE) 2019/1150 tal-Parlament Ewropew u tal-Kunsill (32);

(30)

''servizz tal-cloud computing'' tfisser servizz diġitali li jippermetti amministrazzjoni on-demand u aċċess remot wiesa' għal ġabra skalabbli u elastika ta' riżorsi tal-computing kondiviżibbli, inkluż meta tali riżorsi jkunu distribwiti madwar diversi postijiet;

(31)

"servizz ta' ċentru tad-data" tfisser servizz li jinkludi strutturi, jew gruppi ta' strutturi, iddedikati għall-akkomodazzjoni ċentralizzata, għall-interkonnessjoni u għat-tħaddim ta' tagħmir tal-IT u tan-network li jipprovdi servizzi ta' ħżin, ipproċessar u trasport tad-data flimkien mal-faċilitajiet u l-infrastrutturi kollha għad-distribuzzjoni tal-enerġija u l-kontroll ambjentali;

(32)

"network ta' twassil tal-kontenut" tfisser network ta' servers distribwiti ġeografikament bil-għan li jiġu żgurati disponibbiltà għolja, aċċessibbiltà jew twassil malajr ta' kontenut u servizzi diġitali lil utenti tal-internet f'isem il-fornituri ta' kontenut u ta' servizzi;

(33)

"pjattaforma ta' servizzi ta' networking soċjali" tfisser pjattaforma li tippermetti lill-utenti finali jikkonnettjaw, jikkondividu, jiskopru u jikkomunikaw bejniethom b'diversi apparati, b'mod partikolari permezz ta' chats, posts, videos u rakkomandazzjonijiet;

(34)

"rappreżentant" tfisser persuna fiżika jew ġuridika stabbilita fl-Unjoni maħtura b'mod espliċitu biex taġixxi f'isem fornitur ta' servizzi tad-DNS, reġistru ta' ismijiet tat-TLD, entità li tipprovdi servizzi ta' reġistrazzjoni ta' ismijiet ta' dominji, fornitur ta' servizz tal-cloud computing, fornitur ta' servizz ta' ċentru tad-data, fornitur ta' network tal-konsenja tal-kontenut, fornitur ta' servizzi ġestiti, fornitur ta' servizzi tas-sigurtà ġestiti, jew fornitur ta' suq online, ta' magna tat-tiftix online jew ta' pjattaforma ta' servizzi ta' networking soċjali li ma jkunux stabbiliti fl-Unjoni, li jistgħu jiġu indirizzati minn awtorità kompetenti jew minn CSIRT minflok dik l-entità nnifisha fir-rigward tal-obbligi ta' dik l-entità skont din id-Direttiva;

(35)

''entità tal-amministrazzjoni pubblika'' tfisser entità rikonoxxuta bħala tali fi Stat Membru f'konformità mal-liġi nazzjonali, li ma tinkludix il-ġudikatura, il-parlamenti jew il-banek ċentrali, li tikkonforma mal-kriterji li ġejjin:

(a)

tkun stabbilita għall-fini speċifiku li tissodisfa ħtiġijiet fl-interess ġenerali u ma jkollhiex karattru industrijali jew kummerċjali;

(b)

ikollha personalità ġuridika jew tkun intitolata bil-liġi li taġixxi f'isem entità oħra b'personalità ġuridika;

(c)

tkun iffinanzjata, fil-parti l-kbira, mill-Istat, mill-awtoritajiet reġjonali jew minn korpi oħrajn regolati bil-liġi pubblika, tkun soġġetta għal superviżjoni maniġerjali minn dawk l-awtoritajiet jew korpi, jew ikollha bord amministrattiv, maniġerjali jew superviżorju, li aktar minn nofs il-membri tiegħu jinħatru mill-Istat, mill-awtoritajiet reġjonali jew minn korpi oħra regolati bil-liġi pubblika;

(d)

ikollha s-setgħa li tindirizza deċiżjonijiet amministrattivi jew regolatorji lil persuni fiżiċi jew ġuridiċi li jaffettwaw id-drittijiet tagħhom fil-moviment transfruntier ta' persuni, oġġetti, servizzi jew kapital;

(36)

"network pubbliku tal-komunikazzjoni elettronika" tfisser network pubbliku tal-komunikazzjoni elettronika kif definit fl-Artikolu 2, il-punt (8), tad-Direttiva (UE) 2018/1972;

(37)

"servizz tal-komunikazzjoni elettronika" tfisser servizz tal-komunikazzjoni elettronika kif definit fl-Artikolu 2, il-punt (4), tad-Direttiva (UE) 2018/1972;

(38)

"entità " tfisser persuna fiżika jew ġuridika maħluqa u rikonoxxuta bħala tali skont il-liġi nazzjonali tal-post tal-istabbiliment tagħha, li filwaqt li taġixxi f'isimha stess tista' teżerċita drittijiet u tkun soġġetta għal obbligi;

(39)

"fornitur ta' servizzi ġestiti" tfisser entità li tipprovdi servizzi relatati mal-installazzjoni, il-ġestjoni, it-tħaddim jew il-manutenzjoni ta' prodotti, networks, infrastruttura u applikazzjonijiet tal-ICT jew kwalunkwe network u sistema ta' informazzjoni oħra, permezz ta' assistenza jew amministrazzjoni attiva mwettqa fil-bini tal-klijenti jew mill-bogħod;

(40)

"fornitur ta' servizzi tas-sigurtà ġestiti" tfisser fornitur ta' servizzi tas-sigurtà ġestiti li jwettaq jew jipprovdi assistenza għal attivitajiet relatati mal-ġestjoni tar-riskji taċ-ċibersigurtà;

(41)

"organizzazzjoni ta' riċerka" tfisser entità li jkollha bħala l-għan primarju tagħha t-twettiq ta' riċerka applikata jew żvilupp sperimentali bil-ħsieb li tisfrutta r-riżultati ta' dik ir-riċerka għal skopijiet kummerċjali, iżda li ma tinkludix istituzzjonijiet edukattivi.

KAPITOLU II

OQFSA TAC-CIBERSIGURTA KKOORDINATI

Artikolu 7

Strateġija nazzjonali taċ-ċibersigurtà

1.