REGOLAMENT TA’ IMPLIMENTAZZJONI TAL-KUMMISSJONI (UE) .../...
ta'17.10.2024
li jistabbilixxi regoli għall-applikazzjoni tad-Direttiva (UE) 2022/2555 fir-rigward tar-rekwiżiti tekniċi u metodoloġiċi tal-miżuri tal-ġestjoni tar-riskji taċ-ċibersigurtà u speċifikazzjoni ulterjuri tal-każijiet meta inċident jitqies sinifikanti fir-rigward tal-fornituri tas-servizzi DNS, ir-reġistri tal-ismijiet tad-dominji tal-ogħla livell, il-fornituri tas-servizzi tal-cloud computing, il-fornituri tas-servizzi taċ-ċentri tad-data, il-fornituri tan-networks tat-twassil tal-kontenut, il-fornituri tas-servizzi ġestiti, il-fornituri tas-servizzi tas-sigurtà ġestiti, il-fornituri tas-swieq online, tal-magni tat-tiftix online u tal-pjattaformi tas-servizzi tan-networking soċjali, u l-fornituri tas-servizzi fiduċjarji
(Test b’rilevanza għaż-ŻEE)
IL-KUMMISSJONI EWROPEA,
Wara li kkunsidrat it-Trattat dwar il-Funzjonament tal-Unjoni Ewropea,
Wara li kkunsidrat id-Direttiva (UE) 2022/2555 tal-Parlament Ewropew u tal-Kunsill tal-14 ta’ Diċembru 2022 dwar miżuri għal livell għoli komuni ta’ ċibersigurtà madwar l-Unjoni kollha, li temenda r-Regolament (UE) Nru 910/2014 u d-Direttiva (UE) 2018/1972, u li tħassar id-Direttiva (UE) 2016/1148 (id-Direttiva NIS 2), u b’mod partikolari l-Artikolu 21(5), l-ewwel subparagrafu u l-Artikolu 23(11), it-tieni subparagrafu, tagħha,
Billi:
(1)Fir-rigward tal-fornituri tas-servizzi DNS, ir-reġistri tal-ismijiet tad-dominji tal-ogħla livell, il-fornituri tas-servizzi tal-cloud computing, il-fornituri tas-servizzi taċ-ċentri tad-data, il-fornituri tan-networks tat-twassil tal-kontenut, il-fornituri tas-servizzi ġestiti, il-fornituri tas-servizzi tas-sigurtà ġestiti, il-fornituri tas-swieq online, tal-magni tat-tiftix online u tal-pjattaformi tas-servizzi tan-networking soċjali, u l-fornituri tas-servizzi fiduċjarji kif koperti bl-Artikolu 3 tad-Direttiva (UE) 2022/2555 (l-entitajiet rilevanti), dan ir-Regolament għandu l-għan li jistabbilixxi r-rekwiżiti tekniċi u metodoloġiċi tal-miżuri msemmija fl-Artikolu 21(2) tad-Direttiva (UE) 2022/2555 u li jispeċifika aktar il-każijiet meta inċident jenħtieġ li jitqies sinifikanti kif imsemmi fl-Artikolu 23(3) tad-Direttiva (UE) 2022/2555.
(2)Filwaqt li titqies in-natura transfruntiera tal-attivitajiet tagħhom u biex ikun żgurat qafas koerenti għall-fornituri tas-servizzi fiduċjarji, dan ir-Regolament jenħtieġ li, fir-rigward tal-fornituri tas-servizzi fiduċjarji, jispeċifika aktar il-każijiet meta inċident jenħtieġ li jitqies sinifikanti, apparti li jistabbilixxi r-rekwiżiti tekniċi u metodoloġiċi tal-miżuri tal-ġestjoni tar-riskji taċ-ċibersigurtà.
(3)Skont l-Artikolu 21(5), it-tielet subparagrafu tad-Direttiva (UE) 2022/2555, ir-rekwiżiti tekniċi u metodoloġiċi tal-miżuri tal-ġestjoni tar-riskji taċ-ċibersigurtà stabbiliti fl-Anness ta’ dan ir-Regolament huma bbażati fuq standards Ewropej u internazzjonali, bħall-ISO/IEC 27001, l-ISO/IEC 27002 u l-ETSI EN 319 401, u speċifikazzjonijiet tekniċi, bħas-CEN/TS 18026:2024, rilevanti għas-sigurtà tan-networks u tas-sistemi tal-informazzjoni.
(4)Fir-rigward tal-implimentazzjoni u l-applikazzjoni tar-rekwiżiti tekniċi u metodoloġiċi tal-miżuri tal-ġestjoni tar-riskji taċ-ċibersigurtà stabbiliti fl-Anness ta’ dan ir-Regolament, bi qbil mal-prinċipju tal-proporzjonalità, jenħtieġ li titqies kif xieraq l-esponiment diverġenti għar-riskju tal-entitajiet rilevanti, bħall-kritikalità tal-entità rilevanti, ir-riskji li tkun esposta għalihom, id-daqs u l-istruttura tal-entità rilevanti, u l-probabbiltà li jseħħu inċidenti u s-severità tagħhom, inkluż l-impatt fuq is-soċjetà u l-ekonomija tagħhom, meta jikkonformaw mar-rekwiżiti tekniċi u metodoloġiċi tal-miżuri tal-ġestjoni tar-riskji taċ-ċibersigurtà stabbiliti fl-Anness ta’ dan ir-Regolament.
(5)Bi qbil mal-prinċipju tal-proporzjonalità, meta l-entitajiet rilevanti ma jkunux jistgħu jimplimentaw uħud mir-rekwiżiti tekniċi u metodoloġiċi tal-miżuri tal-ġestjoni tar-riskji taċ-ċibersigurtà minħabba d-daqs tagħhom, dawk l-entitajiet jenħtieġ li jkunu jistgħu jieħdu miżuri oħra li jikkumpensaw u li jkunu xierqa biex jintlaħaq l-għan ta’ dawk ir-rekwiżiti. Pereżempju, meta jiġu definiti r-rwoli, ir-responsabbiltajiet u l-awtoritajiet għas-sigurtà tan-network u tas-sistema tal-informazzjoni fi ħdan l-entità rilevanti, l-entitajiet mikro jaf isibuha diffiċli biex jisseparaw id-doveri kunfliġġenti u l-oqsma tar-responsabbiltà kunfliġġenti. Dawn l-entitajiet jenħtieġ li jkunu jistgħu jikkunsidraw miżuri li jikkumpensaw, bħal sorveljanza mmirata mid-diriġenti tal-entità jew aktar monitoraġġ u rendikonti.
(6)Ċerti rekwiżiti tekniċi u metodoloġiċi stabbiliti fl-Anness ta’ dan ir-Regolament jenħtieġ li jiġu applikati mill-entitajiet rilevanti meta xieraq, meta applikabbli, jew sa fejn ikun fattibbli. Meta entità rilevanti jidhirilha li ma jkunx xieraq, mhux applikabbli jew mhux fattibbli li l-entità rilevanti tapplika ċerti rekwiżiti tekniċi u metodoloġiċi kif previst fl-Anness għal dan ir-Regolament, l-entità rilevanti jenħtieġ li tiddokumenta b’mod komprensibbli r-raġunament tagħha għal dak il-għan. L-awtoritajiet nazzjonali kompetenti jistgħu, meta jeżerċitaw is-superviżjoni, iqisu ż-żmien xieraq meħtieġ biex l-entitajiet rilevanti jimplimentaw ir-rekwiżiti tekniċi u metodoloġiċi tal-miżuri tal-ġestjoni tar-riskji taċ-ċibersigurtà.
(7)L-ENISA jew l-awtoritajiet kompetenti nazzjonali jistgħu jipprovdu gwida skont id-Direttiva (UE) 2022/2555 biex jappoġġaw lill-entitajiet rilevanti fl-identifikazzjoni, l-analiżi u l-valutazzjoni tar-riskji għall-fini tal-implimentazzjoni tar-rekwiżiti tekniċi u metodoloġiċi relatati mal-istabbiliment u t-tħaddim ta’ qafas xieraq għall-ġestjoni tar-riskji. Din il-gwida tista’ tinkludi, b’mod partikolari, valutazzjonijiet tar-riskji nazzjonali u settorjali kif ukoll valutazzjonijiet tar-riskji speċifiċi għal ċertu tip ta’ entità. Il-gwida tista’ tinkludi wkoll għodod jew mudelli għall-iżvilupp ta’ qafas tal-ġestjoni tar-riskji fil-livell tal-entitajiet rilevanti. Oqfsa, gwida jew mekkaniżmi oħra previsti fil-liġi nazzjonali tal-Istati Membri, kif ukoll standards Ewropej u internazzjonali rilevanti, jistgħu jappoġġaw ukoll lill-entitajiet rilevanti biex juru l-konformità ma’ dan ir-Regolament. Barra minn hekk, l-ENISA jew l-awtoritajiet kompetenti nazzjonali skont id-Direttiva (UE) 2022/2555 jistgħu jappoġġaw lill-entitajiet rilevanti fl-identifikazzjoni u fl-implimentazzjoni ta’ soluzzjonijiet xierqa li jindirizzaw ir-riskji identifikati f’dawn il-valutazzjonijiet tar-riskju. Din il-gwida jenħtieġ li tkun mingħajr preġudizzju għall-obbligu tal-entitajiet rilevanti li jidentifikaw u jiddokumentaw ir-riskji għas-sigurtà tan-networks u tas-sistemi tal-informazzjoni, u għall-obbligu tal-entitajiet rilevanti li jimplimentaw ir-rekwiżiti tekniċi u metodoloġiċi tal-miżuri tal-ġestjoni tar-riskji taċ-ċibersigurtà stabbiliti fl-Anness ta’ dan ir-Regolament skont il-ħtiġijiet u r-riżorsi tagħhom.
(8)Miżuri tas-sigurtà tan-network fir-rigward ta’: (i) it-tranżizzjoni lejn protokolli tal-komunikazzjoni tas-saff tan-network tal-aħħar ġenerazzjoni, (ii) l-implimentazzjoni ta’ standards moderni interoperabbli u miftiehma b’mod internazzjonali għall-komunikazzjoni bl-email, u (iii) it-twettiq tal-aqwa prattiki għas-sigurtà tad-DNS, u għas-sigurtà tar-routing tal-internet u l-iġjene tar-routing jinvolvu sfidi speċifiċi għall-identifikazzjoni tal-awqa standards u tekniki tal-varar disponibbli. Biex jinkiseb livell għoli komuni taċ-ċibersigurtà fin-networks kollha malajr kemm jista’ jkun, il-Kummissjoni, bl-għajnuna tal-Aġenzija tal-Unjoni Ewropea għaċ-Ċibersigurtà (ENISA) u b’kollaborazzjoni mal-awtoritajiet kompetenti, l-industrija – inkluż l-industrija tat-telekomunikazzjoni – u partijiet ikkonċernati oħra, jenħtieġ li tappoġġa l-iżvilupp ta’ forum għad-diversi partijiet ikkonċernati maħsub biex jidentifika dawn l-aqwa standards u tekniki tal-varar disponibbli. Din il-gwida b’diversi partijiet ikkonċernati jenħtieġ li tkun mingħajr preġudizzju għall-obbligu tal-entitajiet rilevanti li jimplimentaw ir-rekwiżiti tekniċi u metodoloġiċi tal-miżuri tal-ġestjoni tar-riskji taċ-ċibersigurtà stabbiliti fl-Anness ta’ dan ir-Regolament.
(9)Skont l-Artikolu 21(2), il-punt (a), tad-Direttiva (UE) 2022/2555, l-entitajiet essenzjali u importanti jenħtieġ li, minbarra l-politiki dwar l-analiżi tar-riskju, ikollhom politiki dwar is-sigurtà tas-sistema tal-informazzjoni. Għal dak il-għan, l-entitajiet rilevanti jenħtieġ li jistabbilixxu politika dwar is-sigurtà tan-networks u tas-sistemi tal-informazzjoni kif ukoll politiki speċifiċi skont is-suġġett, bħal politiki dwar il-kontroll tal-aċċess, li jenħtieġ li jkunu koerenti mal-politika dwar is-sigurtà tan-networks u tas-sistemi tal-informazzjoni. Il-politika dwar is-sigurtà tan-networks u tas-sistemi tal-informazzjoni jenħtieġ li tkun id-dokument tal-ogħla livell li jistabbilixxi l-approċċ ġenerali tal-entitajiet rilevanti għas-sigurtà tan-networks u tas-sistemi tal-informazzjoni tagħhom u jenħtieġ li jkollha l-approvazzjoni tal-korpi maniġerjali tal-entitajiet rilevanti. Jenħtieġ li l-politiki speċifiċi għas-suġġett jiġu approvati minn livell maniġerjali xieraq. Jenħtieġ li l-politika tistabbilixxi indikaturi u miżuri biex timmonitorja l-implimentazzjoni tagħha u l-istatus attwali tal-livell tal-maturità tas-sigurtà tan-networks u tal-informazzjoni tal-entitajiet rilevanti, b’mod partikolari biex tiffaċilita s-sorveljanza tal-implimentazzjoni tal-miżuri tal-ġestjoni tar-riskji taċ-ċibersigurtà permezz tal-korpi maniġerjali.
(10)Għall-finijiet tar-rekwiżiti tekniċi u metodoloġiċi stabbiliti fl-Anness ta’ dan ir-Regolament, it-terminu “utent” jenħtieġ li jinkludi lill-persuni ġuridiċi u fiżiċi kollha li jkollhom aċċess għan-network u għas-sistemi tal-informazzjoni tal-entità.
(11)Biex ikunu identifikati u indirizzati r-riskji għas-sigurtà tan-networks u tas-sistemi tal-informazzjoni, l-entitajiet rilevanti jenħtieġ li jistabbilixxu u jħaddmu qafas xieraq tal-ġestjoni tar-riskji. Bħala parti mill-qafas tal-ġestjoni tar-riskji, l-entitajiet rilevanti jenħtieġ li jistabbilixxu, jimplimentaw u jimmonitorjaw pjan tat-trattament tar-riskji. L-entitajiet rilevanti jistgħu jużaw il-pjan tat-trattament tar-riskji biex jidentifikaw u jipprijoritizzaw l-alternattivi u l-miżuri tat-trattament tar-riskji. L-alternattivi għat-trattament tar-riskji jinkludu, b’mod partikolari, l-evitar, it-tnaqqis jew, f’każijiet eċċezzjonali, l-aċċettazzjoni tar-riskju. L-għażla tal-alternattivi tat-trattament tar-riskji jenħtieġ li tqis ir-riżultati tal-valutazzjoni tar-riskju mwettqa mill-entità rilevanti, u tkun konformi mal-politika tal-entità rilevanti dwar is-sigurtà tan-networks u tas-sistemi tal-informazzjoni. Biex jagħtu effett lill-alternattivi tat-trattament tar-riskji magħżula, l-entitajiet rilevanti jenħtieġ li jieħdu l-miżuri xierqa tat-trattament tar-riskji.
(12)Biex jaqbdu avvenimenti, kważi aċċidenti u inċidenti, l-entitajiet rilevanti jenħtieġ li jimmonitorjaw in-network u s-sistemi tal-informazzjoni tagħhom u jenħtieġ li jieħdu azzjonijiet biex jevalwaw l-avvenimenti, il-kważi aċċidenti u l-inċidenti. Dawk il-miżuri jenħtieġ li jkunu kapaċi jippermettu d-detezzjoni fil-ħin ta’ attakki fuq in-network minn xejriet anomali fit-traffiku ’l barra u ’l ġewwa u ta’ attakki li jwaqqfu s-servizz.
(13)Meta l-entitajiet rilevanti jwettqu valutazzjoni tal-impatt fuq in-negozju, dawn huma mħeġġa jwettqu analiżi komprensiva li tistabbilixxi, kif xieraq, perjodu massimu tollerabbli ta’ qtugħ, objettivi tal-ħin tal-irkupru, objettivi tal-punt tal-irkupru u objettivi tal-għoti tas-servizz.
(14)Biex itaffu r-riskji maħluqa mill-katina tal-provvista ta’ dik l-entità rilevanti u r-relazzjoni tagħha mal-fornituri tagħha, l-entitajiet rilevanti jenħtieġ li jistabbilixxu politika tas-sigurtà tal-katina tal-provvista li tirregola r-relazzjonijiet tagħhom mal-fornituri diretti u mal-fornituri tas-servizzi tagħhom. Fil-kuntratti mal-fornituri diretti jew mal-fornituri tas-servizzi tagħhom, dawn l-entitajiet jenħtieġ li jispeċifikaw klawżoli tas-sigurtà xierqa, pereżempju billi, meta xieraq, jeżiġu miżuri tal-ġestjoni tar-riskji taċ-ċibersigurtà skont l-Artikolu 21(2) tad-Direttiva (UE) 2022/2555 jew rekwiżiti legali simili oħra.
(15)L-entitajiet rilevanti jenħtieġ li jwettqu testijiet tas-sigurtà regolari abbażi ta’ politika u proċeduri apposta biex jivverifikaw li l-miżuri tal-ġestjoni tar-riskji taċ-ċibersigurtà huma implimentati u jaħdmu sew. It-testijiet tas-sigurtà jistgħu jsiru fuq networks u sistemi tal-informazzjoni speċifiċi jew fuq l-entità rilevanti kollha kemm hi u jistgħu jinkludu testijiet awtomatizzati jew manwali, testijiet tal-penetrazzjoni, skennjar għall-vulnerabbiltajiet, testijiet tas-sigurtà tal-applikazzjoni statika u dinamika, testijiet tal-konfigurazzjoni jew awditjar tas-sigurtà. L-entitajiet rilevanti jistgħu jagħmlu testijiet tas-sigurtà fuq in-network u s-sistemi tal-informazzjoni tagħhom meta jiġu stabbiliti, wara aġġornamenti jew modifiki fl-infrastruttura jew fl-applikazzjoni meqjusa sinifikanti, jew wara xi manutenzjoni. Is-sejbiet tat-testijiet tas-sigurtà jenħtieġ li jinfurmaw il-politiki u l-proċeduri tal-entitajiet rilevanti biex tiġi vvalutata l-effettività tal-miżuri tal-ġestjoni tar-riskji taċ-ċibersigurtà, kif ukoll rieżamijiet indipendenti tal-politiki tagħhom dwar is-sigurtà tan-networks u tas-sistemi tal-informazzjoni.
(16)Biex jiġu evitati tfixkil u ħsara sinifikanti kkawżati mill-isfruttament tal-vulnerabbiltajiet mhux imsewwija fin-networks u fis-sistemi tal-informazzjoni, l-entitajiet rilevanti jenħtieġ li jistabbilixxu u japplikaw proċeduri xierqa tal-ġestjoni tal-patches tas-sigurtà li jkunu allinjati mal-proċeduri tal-ġestjoni tal-bidla, tal-ġestjoni tal-vulnerabbiltajiet, tal-ġestjoni tar-riskji u ta’ proċeduri rilevanti oħra tal-entitajiet rilevanti. L-entitajiet rilevanti jenħtieġ li jieħdu miżuri proporzjonati mar-riżorsi tagħhom biex jiżguraw li l-patches tas-sigurtà ma jintroduċux vulnerabbiltajiet jew instabbiltajiet addizzjonali. F’każ ta’ inaċċessibbiltà ppjanata għas-servizz ikkawżata bl-applikazzjoni ta’ patches tas-sigurtà, l-entitajiet rilevanti huma mħeġġa jinfurmaw kif xieraq lill-klijenti bil-quddiem.
(17)L-entitajiet rilevanti jenħtieġ li jimmaniġġjaw ir-riskji maħluqa mill-akkwist ta’ prodotti tal-ICT jew servizzi tal-ICT mingħand fornituri jew fornituri tas-servizzi, u jenħtieġ li jiksbu assigurazzjoni li l-prodotti tal-ICT jew is-servizzi tal-ICT li jkunu se jiksbu jilħqu ċerti livelli ta’ protezzjoni taċ-ċibersigurtà, pereżempju jkollhom ċertifikati Ewropej taċ-ċibersigurtà u dikjarazzjonijiet tal-konformità tal-UE għall-prodotti tal-ICT jew għas-servizzi tal-ICT maħruġa skont skema Ewropea taċ-ċertifikazzjoni taċ-ċibersigurtà adottata skont l-Artikolu 49 tar-Regolament (UE) 2019/881 tal-Parlament Ewropew u tal-Kunsill. Meta l-entitajiet rilevanti jistabbilixxu rekwiżiti tas-sigurtà li japplikaw għall-prodotti tal-ICT li jkunu se jiksbu, dawn jenħtieġ li jqisu r-rekwiżiti essenzjali taċ-ċibersigurtà stabbiliti f’regolament tal-Parlament Ewropew u tal-Kunsill dwar rekwiżiti taċ-ċibersigurtà orizzontali għall-prodotti b’elementi diġitali.
(18)Biex jitħarsu mit-theddid ċibernetiku u jappoġġaw il-prevenzjoni u t-trażżin ta’ xi ksur tad-data, l-entitajiet rilevanti jenħtieġ li jimplimentaw soluzzjonijiet għas-sigurtà tan-network. Is-soluzzjonijiet tipiċi għas-sigurtà tan-network jinkludu l-użu ta’ firewalls li jipproteġu n-networks interni tal-entitajiet rilevanti, il-limitazzjoni tal-konnessjonijiet u l-aċċess għas-servizzi li assolutament jeħtieġu konnessjonijiet u aċċess, u l-użu ta’ networks privati virtwali għal aċċess remot, u li l-konnessjonijiet tal-fornituri tas-servizzi jitħallew isiru biss wara talba għal awtorizzazzjoni u għal perjodu taż-żmien stabbilit bħal pereżempju sakemm tkun għaddejja operazzjoni tal-manutenzjoni.
(19)Biex in-networks tal-entitajiet rilevanti u s-sistemi tal-informazzjoni tagħhom jitħarsu minn software malizzjuż u mhux awtorizzat, dawk l-entitajiet jenħtieġ li jimplimentaw kontrolli li jipprevjenu jew jidentifikaw l-użu ta’ software mhux awtorizzat u meta xieraq, jenħtieġ li jużaw software tad-detezzjoni u tar-rispons. L-entitajiet rilevanti jenħtieġ li jikkunsidraw ukoll miżuri tal-implimentazzjoni biex jċekknu kemm jista’ jkun il-wiċċ tal-attakki, inaqqsu l-vulnerabbiltajiet li jistgħu jiġu sfruttati mill-attakkanti, jikkontrollaw l-eżekuzzjoni ta’ applikazzjonijiet fuq il-punti finali, u jużaw filtri tal-email u tal-applikazzjonijiet tal-internet biex inaqqsu l-esponiment għall-kontenut malizzjuż.
(20)Skont l-Artikolu 21(2), il-punt (g), tad-Direttiva (UE) 2022/2555, l-Istati Membri huma obbligati jiżguraw li l-entitajiet essenzjali u importanti japplikaw prattiki bażiċi tal-iġjene ċibernetika u taħriġ dwar iċ-ċibersigurtà. Il-prattiki bażiċi tal-iġjene ċibernetika jistgħu jinkludu prinċipji ta’ fiduċja żero, aġġornamenti tas-software, konfigurazzjoni tal-apparati, segmentazzjoni tan-network, ġestjoni tal-identità u tal-aċċess, jew tixrid tal-għarfien fost l-utenti, jorganizzaw taħriġ għall-persunal tagħhom u jipprovdu tagħrif fuq it-theddid ċibernetiku, il-phishing jew it-tekniki tas-social engineering. Il-prattiki tal-iġjene ċibernetika huma parti minn rekwiżiti tekniċi u metodoloġiċi differenti tal-miżuri tal-ġestjoni tar-riskji taċ-ċibersigurtà stabbiliti fl-Anness ta’ dan ir-Regolament. Fir-rigward tal-prattiki bażiċi tal-iġjene ċibernetika għall-utenti, l-entitajiet rilevanti jenħtieġ li jikkunsidraw prattiki bħal politiki ta’ desk u skrin vojta, l-użu ta’ multifatturi u mezzi oħra tal-awtentikazzjoni, l-użu sikur tal-emails u tal-ibbrawżjar fuq l-internet, il-protezzjoni mill-phishing u mis-social engineering, prattiki siguri tax-xogħol remot.
(21)Biex ikun evitat l-aċċess mhux awtorizzat għall-assi tal-entitajiet rilevanti, l-entitajiet rilevanti jenħtieġ li jistabbilixxu u jimplimentaw politika speċifika skont is-suġġett li tkun tindirizza l-aċċess minn persuni u minn networks u sistemi tal-informazzjoni, bħall-applikazzjonijiet.
(22)Biex ikun evitat li l-impjegati jkunu jistgħu jużaw ħażin, pereżempju, id-drittijiet tal-aċċess fl-entità rilevanti biex jagħmlu ħsara u jikkawżaw danni, l-entitajiet rilevanti jenħtieġ li jikkunsidraw miżuri adegwati tal-ġestjoni tas-sigurtà tal-impjegati u jxerrdu tagħrif fost il-persunal dwar dawn ir-riskji. L-entitajiet rilevanti jenħtieġ li jistabbilixxu, jikkomunikaw u jħaddmu proċess dixxiplinari għat-trattament tal-ksur tal-politiki tas-sigurtà tan-networks u tas-sistemi tal-informazzjoni tal-entitajiet rilevanti, li jistgħu jiġu inkorporati fi proċessi dixxiplinari oħra stabbiliti mill-entitajiet rilevanti. Il-verifika tal-isfondi personali mwettqa għall-impjegati u meta applikabbli l-fornituri u l-fornituri tas-servizzi diretti tal-entitajiet rilevanti jenħtieġ li jikkontribwixxu għall-għan tas-sigurtà tar-riżorsi umani fl-entitajiet rilevanti, u jistgħu jinkludu miżuri bħal verifiki tar-rekord kriminali tal-persuna jew ta’ doveri professjonali tal-passat, kif xieraq skont id-doveri tal-persuna fl-entità rilevanti u skont il-politika tal-entità rilevanti dwar is-sigurtà tan-networks u tas-sistemi tal-informazzjoni.
(23)L-awtentikazzjoni b’diversi fatturi tista’ ttejjeb iċ-ċibersigurtà tal-entitajiet u jenħtieġ li titqies mill-entitajiet b’mod partikolari meta l-utenti jaċċessaw in-networks u s-sistemi tal-informazzjoni minn postijiet remoti, jew meta jaċċessaw informazzjoni sensittiva jew kontijiet privileġġati u kontijiet tal-amministrazzjoni tas-sistema. L-awtentikazzjoni b’diversi fatturi tista’ tiġi kkombinata ma’ tekniki oħra li jkunu jeħtieġu fatturi addizzjonali f’ċirkostanzi speċifiċi, abbażi ta’ regoli u xejriet definiti minn qabel, bħall-aċċess minn post mhux tas-soltu, minn apparat mhux tas-soltu jew f’ħin mhux tas-soltu.
(24)L-entitajiet rilevanti jenħtieġ li jimmaniġġjaw u jipproteġu l-assi ta’ valur permezz ta’ ġestjoni tajba tal-assi li jenħtieġ li sservi wkoll bħala l-bażi għall-analiżi tar-riskji u għall-ġestjoni tal-kontinwità tal-operat. L-entitajiet rilevanti jenħtieġ li jimmaniġġjaw l-assi tanġibbli u intanġibbli, u jenħtieġ li joħolqu inventarju tal-assi, jassoċjaw l-assi b’livell definit ta’ klassifikazzjoni, jimmaniġġjaw u jżommu rendikonti tal-assi, u jieħdu passi biex jipproteġu l-assi tul iċ-ċiklu tal-ħajja tagħhom.
(25)Il-ġestjoni tal-assi jenħtieġ li tinvolvi l-klassifikazzjoni tal-assi skont it-tip, is-sensittività, il-livell tar-riskju, u r-rekwiżiti tas-sigurtà tagħhom, u l-applikazzjoni ta’ miżuri u kontrolli xierqa biex ikunu żgurati d-disponibbiltà, l-integrità, il-kunfidenzjalità, u l-awtentiċità tagħhom. Billi jikklassifikaw l-assi skont il-livell tar-riskju, l-entitajiet rilevanti jenħtieġ li jkunu jistgħu japplikaw miżuri u kontrolli tas-sigurtà xierqa biex jipproteġu l-assi, fosthom il-kriptaġġ, il-kontroll tal-aċċess inkluż kontroll tal-aċċess fiżiku u loġiku u tal-perimetru, backups, rendikonti u monitoraġġ, żamma u disponiment. Meta jwettqu valutazzjoni tal-impatt fuq in-negozju, l-entitajiet rilevanti jistgħu jiddeterminaw il-livell tal-klassifikazzjoni abbażi tal-konsegwenzi tat-tfixkil tal-assi għall-entitajiet. L-impjegati kollha tal-entitajiet li jimmaniġġjaw l-assi jenħtieġ li jkunu midħla tal-politiki u tal-istruzzjonijiet tal-immaniġġjar tal-assi.
(26)Il-granularità tal-inventarju tal-assi jenħtieġ li tkun xierqa għall-ħtiġijiet tal-entitajiet rilevanti. Inventarju komprensiv tal-assi jista’ jinkludi, għal kull assi, mill-inqas identifikatur uniku, is-sid tal-assi, deskrizzjoni tal-assi, il-post tal-assi, it-tip tal-assi, it-tip u l-klassifikazzjoni tal-informazzjoni pproċessata fl-assi, id-data tal-aħħar aġġornament jew patch tal-assi, il-klassifikazzjoni tal-assi f’valutazzjoni tar-riskju, u t-tmiem tal-ħajja tal-assi. Meta jidentifikaw is-sid ta’ assi, l-entitajiet rilevanti jenħtieġ li jidentifikaw ukoll il-persuna responsabbli għall-protezzjoni tal-assi msemmi.
(27)L-allokazzjoni u l-organizzazzjoni tar-rwoli, ir-responsabbiltajiet u l-awtoritajiet taċ-ċibersigurtà jenħtieġ li jistabbilixxu struttura konsistenti għall-governanza u l-implimentazzjoni taċ-ċibersigurtà fl-entitajiet rilevanti, u jenħtieġ li jiżguraw komunikazzjoni effettiva f’każ ta’ inċidenti. Meta jiddefinixxu u jassenjaw ir-responsabbiltajiet għal ċerti rwoli, l-entitajiet rilevanti jenħtieġ li jikkunsidraw rwoli bħal uffiċjal kap tas-sigurtà tal-informazzjoni, uffiċjal tas-sigurtà tal-informazzjoni, uffiċjal għall-ġestjoni tal-inċidenti, awditur, jew ekwivalenti komparabbli. L-entitajiet rilevanti jistgħu jassenjaw rwoli u responsabbiltajiet lil partijiet esterni, bħal fornituri terzi ta’ servizzi tal-ICT.
(28)F’konformità mal-Artikolu 21(2) tad-Direttiva (UE) 2022/2555, il-miżuri tal-ġestjoni tar-riskji taċ-ċibersigurtà jridu jkunu bbażati fuq approċċ li jkopri l-perikli kollha bil-għan li jipproteġi n-networks u s-sistemi tal-informazzjoni u l-ambjent fiżiku ta’ dawk is-sistemi minn avvenimenti bħal serq, nar, għargħar, ħsarat fit-telekomunikazzjoni jew fl-elettriku, jew aċċess fiżiku mhux awtorizzat u danni fl-informazzjoni u fil-faċilitajiet tal-ipproċessar tal-informazzjoni ta’ entità essenzjali jew importanti, u interferenzi magħhom, li jistgħu jikkompromettu d-disponibbiltà, l-awtentiċità, l-integrità jew il-kunfidenzjalità tad-data maħżuna, trażmessa jew ipproċessata jew tas-servizzi offruti min-networks u s-sistemi tal-informazzjoni, jew li huma aċċessibbli permezz tagħhom. Għalhekk, ir-rekwiżiti tekniċi u metodoloġiċi tal-miżuri tal-ġestjoni tar-riskji taċ-ċibersigurtà jenħtieġ li jindirizzaw ukoll is-sigurtà fiżika u ambjentali tan-networks u tas-sistemi tal-informazzjoni billi jinkludu miżuri ħalli dawn is-sistemi jitħarsu minn fallimenti fis-sistemi, żbalji umani, atti malizzjużi jew fenomeni naturali. Eżempji oħra ta’ theddid fiżiku u ambjentali jistgħu jinkludu t-terremoti, splużjonijiet, sabotaġġ, theddid minn ġewwa, inkwiet ċivili, skart tossiku, u emissjonijiet ambjentali. Il-prevenzjoni ta’ telf, il-ħsarat jew kompromess tan-networks u tas-sistemi tal-informazzjoni jew ta’ interruzzjonijiet fl-operat tagħhom minħabba l-falliment u t-tfixkil tal-utilitajiet ta’ appoġġ jenħtieġ li tgħin għall-għan tal-kontinwità tal-operat tal-entitajiet rilevanti. Barra minn hekk, il-protezzjoni mit-theddid fiżiku u ambjentali jenħtieġ li tikkontribwixxi għas-sigurtà tal-manutenzjoni tan-networks u tas-sistemi tal-informazzjoni fl-entitajiet rilevanti.
(29)L-entitajiet rilevanti jenħtieġ li jfasslu u jimplimentaw miżuri tal-protezzjoni mit-theddid fiżiku u ambjentali u jiddeterminaw il-limiti minimi u massimi tal-kontroll għat-theddid fiżiku u ambjentali u jimmonitorjaw il-parametri ambjentali. Pereżempju, dawn jenħtieġ li jikkunsidraw li jinstallaw sistemi biex jidentifikaw fi stadju bikri l-għargħar f’żoni fejn ikunu jinsabu n-networks u s-sistemi tal-informazzjoni. Fir-rigward tal-periklu tan-nar, l-entitajiet rilevanti jenħtieġ li jikkunsidraw l-istabbiliment ta’ kompartiment separat tan-nar għaċ-ċentru tad-data, l-użu ta’ materjali reżistenti għan-nar, sensuri għall-monitoraġġ tat-temperatura u l-umdità, il-konnessjoni tal-bini ma’ sistema tal-allarm tan-nirien b’notifika awtomatizzata lid-dipartiment lokali tat-tifi tan-nar, u sistemi tad-detezzjoni bikrija u tat-tifi tan-nar. L-entitajiet rilevanti jenħtieġ li jwettqu regolarment ukoll taħriġ kontra n-nirien u spezzjonijiet rigward in-nirien. Barra minn hekk, biex jiżguraw il-provvista tal-enerġija, l-entitajiet rilevanti jenħtieġ li jikkunsidraw il-protezzjoni mill-vultaġġ żejjed u l-provvista tal-enerġija f’każ ta’ emerġenza korrispondenti, f’konformità mal-istandards rilevanti. Barra minn hekk, billi t-tisħin żejjed joħloq riskju għad-disponibbiltà tan-network u tas-sistemi tal-informazzjoni, l-entitajiet rilevanti, b’mod partikolari l-fornituri tas-servizzi taċ-ċentri tad-data, jistgħu jikkunsidraw sistemi tal-arja kundizzjonata adegwati, kontinwi u ridonanti.
(30)Dan ir-Regolament għandu l-obbligu li jispeċifika f’aktar dettall il-każijiet meta inċident jenħtieġ li jitqies sinifikanti għall-fini tal-Artikolu 23(3) tad-Direttiva (UE) 2022/2555. Il-kriterji jenħtieġ li jkunu tali li l-entitajiet rilevanti jkunu jistgħu jivvalutaw jekk inċident hux sinifikanti, biex jinnotifikaw l-inċident f’konformità mad-Direttiva (UE) 2022/2555. Barra minn hekk, il-kriterji stabbiliti f’dan ir-Regolament jenħtieġ li jitqiesu eżawrjenti, mingħajr preġudizzju għall-Artikolu 5 tad-Direttiva (UE) 2022/2555. Dan ir-Regolament jispeċifika l-każijiet meta inċident jenħtieġ li jitqies sinifikanti billi jistabbilixxi każijiet orizzontali u każijiet speċifiċi skont it-tip ta’ entità.
(31)Skont l-Artikolu 23(4) tad-Direttiva (UE) 2022/2555, l-entitajiet rilevanti jenħtieġ li jkunu mitluba jinnotifikaw l-inċidenti sinifikanti sal-iskadenzi stabbiliti minn dik id-dispożizzjoni. Dawk l-iskadenzi għan-notifika jibdew jiddekorru mill-mument meta l-entità ssir taf b’inċidenti sinifikanti bħal dawn. Għalhekk, l-entità rilevanti jeħtieġ tirrapporta l-inċidenti li, abbażi tal-valutazzjoni inizjali tagħha, jistgħu jikkawżaw tfixkil operazzjonali serju tas-servizzi jew telf finanzjarju għal dik l-entità jew jaffettwaw lil persuni fiżiċi jew ġuridiċi oħra billi jikkawżaw dannu materjali jew mhux materjali konsiderevoli. Għalhekk, meta entità rilevanti tkun identifikat avveniment suspettuż, jew wara li inċident potenzjali jkun inġieb għall-attenzjoni tagħha minn parti terza, bħal individwu, klijent, entità, awtorità, organizzazzjoni tal-midja, jew sors ieħor, l-entità rilevanti jenħtieġ li tivvaluta fil-ħin l-avveniment suspettuż biex tiddetermina jekk jikkostitwixxix inċident u, jekk iva, tiddetermina n-natura u s-severità tiegħu. Għalhekk, l-entità rilevanti trid titqies li saret “konxja” tal-inċident sinifikanti meta, wara din il-valutazzjoni inizjali, dik l-entità jkollha grad raġonevoli ta’ ċertezza li jkun seħħ inċident sinifikanti.
(32)Biex jiġi stabbilit jekk inċident hux sinifikanti, meta rilevanti, l-entitajiet rilevanti jenħtieġ li jgħoddu l-għadd ta’ utenti affettwati mill-inċident, filwaqt li jqisu l-klijenti kummerċjali u finali li magħhom l-entitajiet rilevanti jkollhom relazzjoni kuntrattwali, u l-persuni fiżiċi u ġuridiċi assoċjati mal-klijenti kummerċjali. Meta entità rilevanti ma tkunx tista’ tikkalkula l-għadd ta’ utenti affettwati, għall-fini tal-kalkolu tal-għadd totali ta’ utenti affettwati mill-inċident jenħtieġ li titqies l-istima tal-entità rilevanti tal-għadd massimu possibbli tal-utenti affettwati. Il-portata ta’ inċident li jinvolvi servizz fiduċjarju jenħtieġ li mhux biss jiġi ddeterminat mill-għadd ta’ utenti iżda anki mill-għadd ta’ partijiet dipendenti, għax dawn jistgħu jiġu affettwati bl-istess mod minn inċident sinifikanti li jinvolvi servizz fiduċjarju fir-rigward ta’ tfixkil operazzjonali u danni materjali jew mhux materjali. Għalhekk, meta jkunu qed jistabbilixxu jekk inċident hux sinifikanti, il-fornituri tas-servizzi fiduċjarji jenħtieġ li, meta applikabbli, iqisu wkoll l-għadd ta’ partijiet dipendenti. Għal dak il-għan, il-partijiet dipendenti jenħtieġ li jinftiehmu bħala persuni fiżiċi jew ġuridiċi li jiddependu fuq servizz fiduċjarju.
(33)L-operazzjonijiet tal-manutenzjoni li jillimitaw jew iwaqqfu d-disponibbiltà tas-servizzi jenħtieġ li ma jitqisux bħala inċidenti sinifikanti jekk id-disponibbiltà limitata jew in-nuqqas ta’ disponibbiltà tas-servizz isiru skont operazzjoni tal-manutenzjoni skedata. Barra minn hekk, meta servizz ma jkunx disponibbli minħabba xi interruzzjonijiet ippjanati, bħal interruzzjonijiet jew nuqqas ta’ disponibbiltà skont ftehim kuntrattwali determinat minn qabel, dan jenħtieġ li ma jitqiesx bħala inċident sinifikanti.
(34)It-tul taż-żmien ta’ inċident li jħalli impatt fuq id-disponibbiltà ta’ servizz jenħtieġ li jitkejjel minn meta jitfixkel il-forniment xieraq ta’ dak is-servizz sal-mument tal-irkupru. Meta entità rilevanti ma tkunx tista’ tiddetermina l-mument meta beda t-tfixkil, it-tul tal-ħin tal-inċident jenħtieġ li jitkejjel mill-mument meta jkun ġie identifikat l-inċident, jew mill-mument meta l-inċident ikun ġie rreġistrat fil-logs tan-network jew tas-sistema jew f’sorsi oħra tad-data, skont liema jseħħ l-ewwel.
(35)Meta il-waqfien totali ta’ servizz jenħtieġ li jitkejjel mill-mument meta s-servizz ma jkunx disponibbli għall-utenti, sal-mument meta l-attivitajiet jew l-operazzjonijiet regolari jerġgħu lura għal-livell tas-servizz ipprovdut qabel l-inċident. Meta entità rilevanti ma tkunx tista’ tiddetermina l-ħin meta beda l-waqfien totali ta’ servizz, dan jenħtieġ li jibda jitkejjel mill-mument meta jkun ġie identifikat minn dik l-entità.
(36)Biex jiddeterminaw it-telf finanzjarju dirett minħabba inċident, l-entitajiet rilevanti jenħtieġ li jqisu t-telf finanzjarju kollu li jkunu ġarrbu minħabba l-inċident, bħal kostijiet għas-sostituzzjoni jew ir-rilokazzjoni ta’ software, hardware jew infrastruttura, il-kostijiet tal-persunal, inkluż il-kostijiet assoċjati mas-sostituzzjoni jew ir-rilokazzjoni tal-persunal, ir-reklutaġġ ta’ persunal addizzjonali, ir-remunerazzjoni għal sigħat supplimentari u għal irkupru ta’ ħiliet mitlufa jew nieqsa, it-tariffi minħabba xi nonkonformità mal-obbligi kuntrattwali, il-kostijiet għal rimedju u kumpens lill-klijenti, id-dħul mitluf, il-kostijiet assoċjati mal-komunikazzjoni interna u esterna, il-kostijiet għall-konsulenza, inkluż il-kostijiet assoċjati mal-konsulenza legali, servizzi forensiċi u s-servizzi ta’ rimedju, u kostijiet oħra assoċjati mal-inċident. Madankollu, il-multi amministrattivi, kif ukoll il-kostijiet meħtieġa għall-operat ta’ kuljum tan-negozju jenħtieġ li ma jitqisux bħala telf finanzjarju minħabba inċident, inkluż il-kostijiet għall-manutenzjoni ġenerali tal-infrastruttura, tat-tagħmir, tal-hardware u tas-software, l-aġġornamenti tal-ħiliet tal-persunal, il-kostijiet interni jew esterni għat-tisħiħ tan-negozju wara l-inċident, inkluż l-aġġornamenti, it-titjib u l-inizjattivi ta’ valutazzjoni tar-riskji, u l-primjums tal-assigurazzjoni. L-entitajiet rilevanti jenħtieġ li jikkalkulaw l-ammonti tat-telf finanzjarju abbażi tad-data disponibbli u, meta l-ammonti attwali tat-telf finanzjarju ma jkunux jistgħu jiġu ddeterminati, l-entitajiet jenħtieġ li jagħmlu stima ta’ dawk l-ammonti.
(37)L-entitajiet rilevanti jenħtieġ li jkunu obbligati wkoll jirrappurtaw l-inċidenti li kkawżaw jew li kapaċi jikkawżaw il-mewt ta’ persuni fiżiċi jew dannu konsiderevoli għas-saħħa ta’ persuni fiżiċi, bħal pereżempju inċidenti jkunu każijiet partikolarment serji li jikkawżaw danni materjali jew mhux materjali konsiderevoli. Pereżempju, inċident li jaffettwa entità rilevanti jista’ jikkawża nuqqas ta’ disponibbiltà ta’ servizzi tal-kura tas-saħħa jew ta’ emerġenza, jew it-telf ta’ kunfidenzjalità jew integrità tad-data b’effett fuq is-saħħa ta’ persuni fiżiċi. Biex jiddeterminaw jekk inċident ikkawżax jew hux kapaċi jikkawża dannu konsiderevoli għas-saħħa ta’ persuna fiżika, l-entitajiet rilevanti jenħtieġ li jqisu jekk l-inċident ikkawżax jew hux kapaċi jikkawża korrimenti serji u problemi tas-saħħa. Għal dak il-għan, l-entitajiet rilevanti jenħtieġ li ma jkunux meħtieġa jiġbru informazzjoni addizzjonali li ma jkollhomx aċċess għaliha.
(38)Id-disponibbiltà limitata jenħtieġ li titqies li tiġri b’mod partikolari meta servizz ipprovdut minn entità rilevanti jkun konsiderevolment aktar bil-mod mill-ħin tar-rispons medju, jew meta ma jkunux disponibbli l-funzjonalitajiet kollha tas-servizz. Meta possibbli, biex jiġi vvalutat id-dewmien fil-ħin tar-rispons, jenħtieġ li jintużaw kriterji oġġettivi bbażati fuq il-ħinijiet tar-rispons medji tas-servizzi pprovduti mill-entitajiet rilevanti. Funzjonalità ta’ servizz tista’ tkun, pereżempju, funzjonalità ta’ chat jew funzjonalità ta’ tiftix tal-immaġni.
(39)Aċċess ta’ suċċess, bla dubju malizzjuż u mhux awtorizzat għan-network u s-sistemi tal-informazzjoni ta’ entità rilevanti jenħtieġ li jitqies inċident sinifikanti, meta dak l-aċċess ikun kapaċi jikkawża tfixkil operazzjonali serju. Pereżempju, meta attur ta’ theddid ċibernetiku jipprepożizzjona lilu nnifsu f’network u sistemi tal-informazzjoni ta’ entità rilevanti biex jikkawża tfixkil tas-servizzi fil-futur, l-inċident jenħtieġ li jitqies sinifikanti.
(40)Inċidenti rikorrenti li jkunu marbuta bl-istess kawża ewlenija apparenti, li individwalment ma jissodisfawx il-kriterji ta’ inċident sinifikanti, jenħtieġ li kollettivament jitqiesu bħala inċident sinifikanti, diment li kollettivament ikunu jissodisfaw il-kriterju ta’ telf finanzjarju, u li jkunu ġraw mill-inqas darbtejn fi żmien sitt xhur. Inċidenti rikorrenti bħal dawn jistgħu jindikaw nuqqasijiet u dgħufijiet sinifikanti fil-proċeduri tal-ġestjoni tar-riskji taċ-ċibersigurtà tal-entità rilevanti u l-livell tal-maturità taċ-ċibersigurtà tagħhom. Barra minn hekk, dawn l-inċidenti rikorrenti jistgħu jikkawżaw telf finanzjarju sinifikanti għall-entità rilevanti.
(41)Il-Kummissjoni skambjat pariri u kkooperat mal-Grupp ta’ Kooperazzjoni u mal-ENISA dwar l-abbozz tal-att ta’ implimentazzjoni, f’konformità mal-Artikoli 21(5) u 23(11) tad-Direttiva (UE) 2022/2555.
(42)Il-Kontrollur Ewropew għall-Protezzjoni tad-Data ġie kkonsultat f’konformità mal-Artikolu 42(1) tar-Regolament (UE) 2018/1725 tal-Parlament Ewropew u tal-Kunsill, u ta l-opinjoni tiegħu fl-1 ta’ Settembru 2024.
(43)Il-miżuri previsti f’dan ir-Regolament huma f’konformità mal-opinjoni tal-kumitat stabbilit f’konformità mal-Artikolu 39 tad-Direttiva (UE) 2022/2555,
ADOTTAT DAN IR-REGOLAMENT:
Artikolu 1
Suġġett
Dan ir-Regolament, fir-rigward tal-fornituri tas-servizzi DNS, ir-reġistri tal-ismijiet tad-dominji tal-ogħla livell, il-fornituri tas-servizzi tal-cloud computing, il-fornituri tas-servizzi taċ-ċentri tad-data, il-fornituri tan-networks tat-twassil tal-kontenut, il-fornituri tas-servizzi ġestiti, il-fornituri tas-servizzi tas-sigurtà ġestiti, il-fornituri tas-swieq online, tal-magni tat-tiftix online u tal-pjattaformi tas-servizzi tan-networking soċjali, u l-fornituri tas-servizzi fiduċjarji (l-entitajiet rilevanti) jistabbilixxi r-rekwiżiti tekniċi u metodoloġiċi tal-miżuri msemmija fl-Artikolu 21(2) tad-Direttiva (UE) 2022/2555 u jispeċifika f’aktar dettall il-każijiet meta inċident għandu jitqies sinifikanti kif imsemmi fl-Artikolu 23(3) tad-Direttiva (UE) 2022/2555.
Artikolu 2
Rekwiżiti tekniċi u metodoloġiċi
1.Għall-entitajiet rilevanti, ir-rekwiżiti tekniċi u metodoloġiċi tal-miżuri tal-ġestjoni tar-riskji taċ-ċibersigurtà msemmija fl-Artikolu 21(2), il-punti (a) sa (j), tad-Direttiva (UE) 2022/2555 huma stabbiliti fl-Anness ta’ dan ir-Regolament.
2.L-entitajiet rilevanti għandhom jiżguraw livell xieraq ta’ sigurtà tan-networks u tas-sistemi tal-informazzjoni għar-riskji maħluqa meta jimplimentaw u japplikaw ir-rekwiżiti tekniċi u metodoloġiċi tal-miżuri tal-ġestjoni tar-riskji taċ-ċibersigurtà stabbiliti fl-Anness ta’ dan ir-Regolament. Għal dak il-għan, dawn għandhom iqisu kif xieraq il-grad tal-esponiment tagħhom għar-riskji, id-daqs tagħhom u l-probabbiltà li jseħħu inċidenti u s-severità tagħhom, inkluż l-impatt fuq is-soċjetà u l-ekonomija tagħhom, meta jikkonformaw mar-rekwiżiti tekniċi u metodoloġiċi tal-miżuri tal-ġestjoni tar-riskji taċ-ċibersigurtà stabbiliti fl-Anness ta’ dan ir-Regolament.
Meta l-Anness ta’ dan ir-Regolament jipprevedi li rekwiżit tekniku jew metodoloġiku ta’ miżura tal-ġestjoni tar-riskji taċ-ċibersigurtà għandu jiġi applikat “meta xieraq”, “meta applikabbli” jew “sa fejn ikun fattibbli”, u meta entità rilevanti jkun jidhrilha li mhux xieraq, mhux applikabbli jew mhux fattibbli li l-entità rilevanti tapplika ċerti rekwiżiti tekniċi u metodoloġiċi bħal dawn, l-entità rilevanti għandha tiddokumenta b’mod komprensibbli r-raġunament tagħha għal dak il-għan.
Artikolu 3
Inċidenti sinifikanti
1.Inċident għandu jitqies sinifikanti għall-finijiet tal-Artikolu 23(3) tad-Direttiva 2022/2555 fir-rigward tal-entitajiet rilevanti meta jiġi ssodisfat wieħed jew aktar mill-kriterji li ġejjin:
(a)l-inċident ikun ikkawża jew kapaċi jikkawża telf finanzjarju dirett għall-entità rilevanti li jaqbeż il-EUR 500 000 jew il-5% tal-fatturat annwali totali tal-entità rilevanti fis-sena finanzjarja ta’ qabel, skont liema jkun l-inqas;
(b)l-inċident ikun ikkawża jew kapaċi jikkawża l-kxif ta’ sigrieti kummerċjali kif stabbilit fl-Artikolu 2, il-punt (1), tad-Direttiva (UE) 2016/943 tal-entità rilevanti;
(c)l-inċident ikun ikkawża jew kapaċi jikkawża l-mewt ta’ persuna fiżika;
(d)l-inċident ikun ikkawża jew kapaċi jikkawża ħsara konsiderevoli lis-saħħa ta’ persuna fiżika;
(e)ikun seħħ aċċess, issuspettat li hu malizzjuż u mhux awtorizzat għan-networks u għas-sistemi tal-informazzjoni, li kapaċi jikkaġuna tfixkil operazzjonali gravi;
(f)l-inċident jissodisfa l-kriterji stabbiliti fl-Artikolu 4;
(g)l-inċident jissodisfa wieħed jew aktar mill-kriterji stabbiliti fl-Artikoli 5 sa 14.
(2)L-interruzzjonijiet skedati fis-servizz u l-konsegwenzi ppjanati tal-operazzjonijiet skedati tal-manutenzjoni li jsiru minn jew f’isem l-entitajiet rilevanti ma għandhomx jitqiesu bħala inċidenti sinifikanti.
(3)Meta jikkalkulaw l-għadd ta’ utenti affettwati minn inċident għall-finijiet tal-Artikoli 7 u 9 sa 14, l-entitajiet rilevanti għandhom jikkunsidraw dan kollu li ġej:
(a)l-għadd ta’ klijenti li għandhom kuntratt mal-entità rilevanti li jagħtihom aċċess għan-network u għas-sistemi tal-informazzjoni jew għas-servizzi tal-entità rilevanti offruti minn dawk in-networks u s-sistemi tal-informazzjoni, jew aċċessibbli permezz tagħhom;
(b)l-għadd ta’ persuni fiżiċi u ġuridiċi assoċjati ma’ klijenti kummerċjali li jużaw in-network u s-sistemi tal-informazzjoni jew is-servizzi tal-entitajiet offruti minn dawk in-networks u s-sistemi tal-informazzjoni, jew aċċessibbli permezz tagħhom.
Artikolu 4
Inċidenti rikorrenti
Inċidenti li waħedhom ma jitqisux bħala inċident sinifikanti skont it-tifsira tal-Artikolu 3, għandhom jitqiesu kollettivament bħala inċident sinifikanti wieħed meta jkunu jissodisfaw il-kriterji kollha li ġejjin:
(a)ġraw mill-inqas darbtejn fi żmien 6 xhur;
(b)għandhom l-istess kawża ewlenija apparenti;
(c)kollettivament jissodisfaw il-kriterji stabbiliti fl-Artikolu 3(1).
Artikolu 5
Inċidenti sinifikanti fir-rigward tal-fornituri tas-servizzi DNS
Fir-rigward tal-fornituri tas-servizzi DNS, inċident għandu jitqies sinifikanti skont l-Artikolu 3(1)(g), meta jkun jissodisfa wieħed jew aktar mill-kriterji li ġejjin:
(a)servizz ta’ riżoluzzjoni tal-ismijiet tad-dominju ripetuti jew awtoritattivi ma jkunx disponibbli għalkollox għal aktar minn 30 minuta;
(b)għal perjodu ta’ aktar minn siegħa, il-ħin tar-rispons medju ta’ servizz ta’ riżoluzzjoni tal-ismijiet tad-dominju ripetuti jew awtoritattivi għat-talbiet tad-DNS ikun aktar minn 10 sekondi;
(c)jiġu kompromessi l-integrità, il-kunfidenzjalità jew l-awtentiċità tad-data maħżuna, trażmessa jew ipproċessata relatata mal-forniment tas-servizz awtoritattiv ta’ riżoluzzjoni tal-ismijiet tad-dominju, għajr meta d-data ta’ inqas minn 1 000 isem tad-dominju ġestit mill-fornitur tas-servizzi DNS, li jammontaw għal mhux aktar minn 1% tal-ismijiet tad-dominju ġestiti mill-fornitur tas-servizzi DNS, ma tkunx korretta minħabba konfigurazzjoni ħażina.
Artikolu 6
Inċidenti sinifikanti fir-rigward tar-reġistri tal-ismijiet tad-dominji tal-ogħla livell
Fir-rigward tar-reġistri tal-ismijiet tad-dominju tal-ogħla livell, inċident għandu jitqies sinifikanti skont l-Artikolu 3(1)(g) meta jkun jissodisfa wieħed jew aktar mill-kriterji li ġejjin:
(a)servizz ta’ riżoluzzjoni tal-ismijiet tad-dominju awtoritattivi ma jkunx disponibbli għalkollox;
(b)għal perjodu ta’ aktar minn siegħa, il-ħin tar-rispons medju ta’ servizz ta’ riżoluzzjoni tal-ismijiet tad-dominju awtoritattivi għat-talbiet tad-DNS ikun aktar minn 10 sekondi;
(c)jiġu kompromessi l-integrità, il-kunfidenzjalità jew l-awtentiċità tad-data maħżuna, trażmessa jew ipproċessata relatata mal-operazzjoni teknika tad-dominji tal-ogħla livell.
Artikolu 7
Inċidenti sinifikanti fir-rigward tal-fornituri tas-servizzi tal-cloud computing
Fir-rigward tal-fornituri tas-servizzi tal-cloud computing, inċident għandu jitqies sinifikanti skont l-Artikolu 3(1)(g) meta jkun jissodisfa wieħed jew aktar mill-kriterji li ġejjin:
(a)servizz tal-cloud computing ipprovdut ma jkunux disponibbli għalkollox għal aktar minn 30 minuta;
(b)id-disponibbiltà ta’ servizz tal-cloud computing ta’ fornitur tkun limitata għal aktar minn 5% tal-utenti ta’ dak is-servizz tal-cloud computing fl-Unjoni, jew għal aktar minn miljun utent ta’ dak is-servizz tal-cloud computing fl-Unjoni, skont liema wieħed ikun l-inqas, għal aktar minn siegħa;
(c)jiġu kompromessi l-integrità, il-kunfidenzjalità jew l-awtentiċità tad-data maħżuna, trażmessa jew ipproċessata relatata mal-forniment ta’ servizz tal-cloud computing minħabba xi azzjoni malizzjuża,
(d)jiġu kompromessi l-integrità, il-kunfidenzjalità jew l-awtentiċità tad-data maħżuna, trażmessa jew ipproċessata relatata mal-forniment ta’ servizz tal-cloud computing, b’impatt fuq aktar minn 5% tal-utenti ta’ dak is-servizz tal-cloud computing fl-Unjoni, jew fuq aktar minn miljun utent ta’ dak is-servizz tal-cloud computing fl-Unjoni, skont liema wieħed ikun l-inqas.
Artikolu 8
Inċidenti sinifikanti fir-rigward tal-fornituri tas-servizzi taċ-ċentri tad-data
Fir-rigward tal-fornituri tas-servizzi taċ-ċentri tad-data, inċident għandu jitqies sinifikanti skont l-Artikolu 3(1)(g) meta jkun jissodisfa wieħed jew aktar mill-kriterji li ġejjin:
(a)servizz ta’ ċentru tad-data li joffri ċentru tad-data mħaddem mill-fornitur ma jkun disponibbli xejn;
(b)id-disponibbiltà ta’ servizz ta’ ċentru tad-data li joffri ċentru tad-data mħaddem mill-fornitur tkun limitata għal aktar minn siegħa;
(c)jiġu kompromessi l-integrità, il-kunfidenzjalità jew l-awtentiċità tad-data maħżuna, trażmessa jew ipproċessata relatata mal-forniment ta’ servizz taċ-ċentru tad-data, minħabba azzjoni suspettata bħala malizzjuża;
(d)jiġi kompromess l-aċċess fiżiku għal ċentru tad-data mħaddem mill-fornitur.
Artikolu 9
Inċidenti sinifikanti fir-rigward tal-fornituri tan-networks tat-twassil tal-kontenut
Fir-rigward tal-fornituri tan-networks tat-twassil tal-kontenut, inċident għandu jitqies sinifikanti skont l-Artikolu 3(1)(g) meta jkun jissodisfa wieħed jew aktar mill-kriterji li ġejjin:
(a)network tat-twassil tal-kontenut ma jkunx disponibbli għalkollox għal aktar minn 30 minuta;
(b)id-disponibbiltà ta’ network tat-twassil tal-kontenut tkun limitata għal aktar minn 5% tal-utenti ta’ dak in-network tat-twassil tal-kontenut fl-Unjoni, jew għal aktar minn miljun utent ta’ dak in-network tat-twassil tal-kontenut fl-Unjoni, skont liema wieħed ikun l-inqas, għal aktar minn siegħa;
(c)jiġu kompromessi l-integrità, il-kunfidenzjalità jew l-awtentiċità tad-data maħżuna, trażmessa jew ipproċessata relatata mal-forniment ta’ network tat-twassil tal-kontenut, minħabba azzjoni suspettata bħala malizzjuża;
(d)jiġu kompromessi l-integrità, il-kunfidenzjalità jew l-awtentiċità tad-data maħżuna, trażmessa jew ipproċessata relatata mal-forniment ta’ network tat-twassil tal-kontenut, b’impatt fuq aktar minn 5% tal-utenti ta’ dak in-network tat-twassil tal-kontenut fl-Unjoni, jew fuq aktar minn miljun utent ta’ dak in-network tat-twassil tal-kontenut fl-Unjoni, skont liema wieħed ikun l-inqas.
Artikolu 10
Inċidenti sinifikanti fir-rigward tal-fornituri tas-servizzi ġestiti u l-fornituri tas-servizzi tas-sigurtà ġestiti
Fir-rigward tal-fornituri tas-servizzi ġestiti u l-fornituri tas-servizzi tas-sigurtà ġestiti, inċident għandu jitqies sinifikanti skont l-Artikolu 3(1)(g) meta jkun jissodisfa wieħed jew aktar mill-kriterji li ġejjin:
(a)servizz ġestit jew servizzi tas-sigurtà ġestit ma jkunx disponibbli għalkollox għal aktar minn 30 minuta;
(b)id-disponibbiltà ta’ servizzi ġestit jew servizz tas-sigurtà ġestit tkun limitata għal aktar minn 5% tal-utenti ta’ dak is-servizz fl-Unjoni, jew għal aktar minn miljun utent ta’ dak is-servizz fl-Unjoni, skont liema wieħed ikun l-inqas, għal aktar minn siegħa;
(c)jiġu kompromessi l-integrità, il-kunfidenzjalità jew l-awtentiċità tad-data maħżuna, trażmessa jew ipproċessata relatata mal-forniment ta’ servizz ġestit jew ta’ servizz tas-sigurtà ġestit, minħabba azzjoni suspettata bħala malizzjuża;
(d)jiġu kompromessi l-integrità, il-kunfidenzjalità jew l-awtentiċità tad-data maħżuna, trażmessa jew ipproċessata relatata mal-forniment ta’ servizz ġestit jew ta’ servizz tas-sigurtà ġestit, b’impatt fuq aktar minn 5% tal-utenti ta’ dak is-servizz ġestit jew is-servizz tas-sigurtà ġestit fl-Unjoni, jew fuq aktar minn miljun utent ta’ dak is-servizz fl-Unjoni, skont liema wieħed ikun l-inqas.
Artikolu 11
Inċidenti sinifikanti fir-rigward tal-fornituri tas-swieq online
Fir-rigward tal-fornituri tas-swieq online, inċident għandu jitqies sinifikanti skont l-Artikolu 3(1)(g) meta jkun jissodisfa wieħed jew aktar mill-kriterji li ġejjin:
(a)suq online jew parti mill-funzjonalità tiegħu ma jkunx disponibbli għalkollox għal aktar minn 5% tal-utenti ta’ suq online fl-Unjoni, jew għal aktar minn miljun utent ta’ suq online fl-Unjoni, skont liema wieħed ikun l-inqas;
(b)aktar minn 5% tal-utenti ta’ suq online fl-Unjoni, jew aktar minn miljun utent ta’ suq online fl-Unjoni, skont liema wieħed ikun l-inqas, huma affettwati minn disponibbiltà limitata ta’ dak is-suq online;
(c)jiġu kompromessi l-integrità, il-kunfidenzjalità jew l-awtentiċità tad-data maħżuna, trażmessa jew ipproċessata relatata mal-forniment ta’ suq online, minħabba azzjoni suspettata bħala malizzjuża;
(d)jiġu kompromessi l-integrità, il-kunfidenzjalità jew l-awtentiċità tad-data maħżuna, trażmessa jew ipproċessata relatata mal-forniment ta’ suq online, b’impatt fuq aktar minn 5% tal-utenti ta’ dak is-suq online fl-Unjoni, jew fuq aktar minn miljun utent ta’ dak is-suq online fl-Unjoni, skont liema wieħed ikun l-inqas.
Artikolu 12
Inċidenti sinifikanti fir-rigward tal-fornituri tal-magni tat-tiftix online
Fir-rigward tal-fornituri tal-magni tat-tiftix online, inċident għandu jitqies sinifikanti skont l-Artikolu 3(1)(g) meta jkun jissodisfa wieħed jew aktar mill-kriterji li ġejjin:
(a)magna tat-tiftix online jew parti mill-funzjonalità tiegħu ma jkunx disponibbli għalkollox għal aktar minn 5% tal-utenti ta’ dik il-magna tat-tiftix online fl-Unjoni, jew għal aktar minn miljun utent ta’ dik il-magna tat-tiftix online fl-Unjoni, skont liema wieħed ikun l-inqas;
(b)aktar minn 5% tal-utenti ta’ maġna tat-tiftix online fl-Unjoni, jew aktar minn miljun utent ta’ magna tat-tiftix online fl-Unjoni, skont liema wieħed ikun l-inqas, huma affettwati minn disponibbiltà limitata ta’ dik il-magna tat-tiftix online;
(c)jiġu kompromessi l-integrità, il-kunfidenzjalità jew l-awtentiċità tad-data maħżuna, trażmessa jew ipproċessata relatata mal-forniment ta’ magna tat-tiftix online, minħabba azzjoni suspettata bħala malizzjuża;
(d)jiġu kompromessi l-integrità, il-kunfidenzjalità jew l-awtentiċità tad-data maħżuna, trażmessa jew ipproċessata relatata mal-forniment ta’ magna tat-tiftix online, b’impatt fuq aktar minn 5% tal-utenti ta’ dik il-magna tat-tiftix online fl-Unjoni, jew fuq aktar minn miljun utenti ta’ dik il-magna tat-tiftix online fl-Unjoni, skont liema wieħed ikun l-inqas.
Artikolu 13
Inċidenti sinifikanti fir-rigward tal-fornituri tal-pjattaformi tas-servizzi tan-networking soċjali
Fir-rigward tal-fornituri tal-pjattaformi tas-servizzi tan-networking soċjali, inċident għandu jitqies sinifikanti skont l-Artikolu 3(1)(g) meta jkun jissodisfa wieħed jew aktar mill-kriterji li ġejjin:
(a)pjattaforma tas-servizzi tan-networking soċjali jew parti mill-funzjonalità tagħha ma tkunx disponibbli għalkollox għal aktar minn 5% tal-utenti ta’ dik il-pjattaforma tas-servizzi tan-networking soċjali fl-Unjoni, jew għal aktar minn miljun utent ta’ dik il-pjattaforma tas-servizzi tan-networking soċjali fl-Unjoni, skont liema wieħed ikun l-inqas;
(b)aktar minn 5% tal-utenti ta’ pjattaformi tas-servizzi tan-networking soċjali fl-Unjoni, jew aktar minn miljun utent ta’ pjattaforma tas-servizzi tan-networking soċjali fl-Unjoni, skont liema wieħed ikun l-inqas, huma affettwati minn disponibbiltà limitata ta’ dik il-pjattaforma tas-servizzi tan-networking soċjali;
(c)jiġu kompromessi l-integrità, il-kunfidenzjalità jew l-awtentiċità tad-data maħżuna, trażmessa jew ipproċessata relatata mal-forniment ta’ pjattaforma tas-servizzi tan-networking soċjali, minħabba azzjoni suspettata bħala malizzjuża;
(d)jiġu kompromessi l-integrità, il-kunfidenzjalità jew l-awtentiċità tad-data maħżuna, trażmessa jew ipproċessata relatata mal-forniment ta’ pjattaforma tas-servizzi tan-networking soċjali, b’impatt fuq aktar minn 5% tal-utenti ta’ dik il-pjattaforma tas-servizzi tan-networking soċjali fl-Unjoni, jew fuq aktar minn miljun utent ta’ dik il-pjattaforma tas-servizzi tan-networking soċjali fl-Unjoni, skont liema wieħed ikun l-inqas.
Artikolu 14
Inċidenti sinifikanti fir-rigward tal-fornituri tas-servizzi fiduċjarji
Fir-rigward tal-fornituri tas-servizzi fiduċjarji, inċident għandu jitqies sinifikanti skont l-Artikolu 3(1)(g), meta jkun jissodisfa wieħed jew aktar mill-kriterji li ġejjin:
(a)servizz fiduċjarju ma jkunx disponibbli għalkollox għal aktar minn 20 minuta;
(b)servizz fiduċjarju ma jkunx disponibbli għall-utenti, jew għall-partijiet dipendenti, għal aktar minn siegħa kkalkulata abbażi ta’ ġimgħa kalendarja;
(c)aktar minn 1% tal-utenti jew tal-partijiet dipendenti fl-Unjoni, jew aktar minn 200 000 utent jew parti dipendenti fl-Unjoni, skont liema wieħed ikun l-inqas, jintlaqtu minn disponibbiltà limitata ta’ servizz fiduċjarju;
(d)jiġi kompromess l-aċċess fiżiku għal żona fejn ikunu jinsabu n-networks u s-sistemi tal-informazzjoni u li l-aċċess għalihom ikun ristrett għall-persunal fdat tal-fornitur tas-servizzi fiduċjarji, jew tiġi kompromessa l-protezzjoni ta’ dan l-aċċess fiżiku;
(e)jiġu kompromessi l-integrità, il-kunfidenzjalità jew l-awtentiċità tad-data maħżuna, trażmessa jew ipproċessata relatata mal-forniment ta’ servizz fiduċjarju, b’impatt fuq aktar minn 0,1% tal-utenti jew tal-partijiet dipendenti, jew aktar minn 100 utent jew parti dipendenti, skont liema wieħed ikun l-inqas, tas-servizz fiduċjarju fl-Unjoni.
Artikolu 15
Tħassir
Ir-Regolament ta’ Implimentazzjoni tal-Kummissjoni (UE) 2018/151 huwa mħassar.
Artikolu 16
Dħul fis-seħħ u applikazzjoni
Dan ir-Regolament għandu jidħol fis-seħħ fl-għoxrin jum wara dak tal-pubblikazzjoni tiegħu f’Il-Ġurnal Uffiċjali tal-Unjoni Ewropea.
Dan ir-Regolament għandu jorbot fl-intier tiegħu u japplika direttament fl-Istati Membri kollha.
Magħmul fi Brussell, 17.10.2024
Għall-Kummissjoni
Il-President
Ursula VON DER LEYEN
ANNESS
Rekwiżiti tekniċi u metodoloġiċi msemmija fl-Artikolu 2 ta’ dan ir-Regolament
1.Politika dwar is-sigurtà tan-networks u tas-sistemi tal-informazzjoni (l-Artikolu 21(2), il-punt (a), tad-Direttiva (UE) 2022/2555)
1.1.Politika dwar is-sigurtà tan-networks u tas-sistemi tal-informazzjoni
1.1.1.Għall-fini tal-Artikolu 21(2), il-punt (a), tad-Direttiva (UE) 2022/2555, il-politika dwar is-sigurtà tan-networks u tas-sistemi tal-informazzjoni għandha:
(a)tistabbilixxi l-approċċ tal-entitajiet rilevanti għall-ġestjoni tas-sigurtà tan-networks u tas-sistemi tal-informazzjoni tagħhom;
(b)tkun xierqa għall-istrateġija u l-objettivi tan-negozju tal-entitajiet rilevanti u kumplimentari magħhom;
(c)tistabbilixxi objettivi tas-sigurtà tan-networks u tas-sistemi tal-informazzjoni;
(d)tinkludi impenn għal titjib kontinwu tas-sigurtà tan-networks u tas-sistemi tal-informazzjoni;
(e)tinkludi impenn li tipprovdi r-riżorsi xierqa meħtieġa għall-implimentazzjoni tagħha, inkluż il-persunal, ir-riżorsi finanzjarji, il-proċessi, l-għodod u t-teknoloġiji meħtieġa;
(f)tiġi kkomunikata lill-impjegati rilevanti u lill-partijiet esterni interessati rilevanti u tiġi rikonoxxuta minnhom;
(g)tistabbilixxi r-rwoli u r-responsabbiltajiet skont il-punt 1.2.;
(h)telenka d-dokumentazzjoni li trid tinżamm u t-tul taż-żmien taż-żamma tad-dokumentazzjoni;
(i)telenka l-politiki speċifiċi skont is-suġġett;
(j)tistabbilixxi indikaturi u miżuri għall-monitoraġġ tal-implimentazzjoni tagħha u l-istatus attwali tal-livell tal-maturità tas-sigurtà tan-networks u tas-sistemi tal-informazzjoni tal-entitajiet rilevanti;
(k)tindika d-data tal-approvazzjoni formali mill-korpi maniġerjali tal-entitajiet rilevanti (il-“korpi maniġerjali”).
1.1.2.Il-politika tas-sigurtà tan-networks u tas-sistemi tal-informazzjoni għandha tiġi rieżaminata u, meta xieraq, aġġornata mill-korpi maniġerjali mqar kull sena u meta jsiru inċidenti sinifikanti jew bidliet sinifikanti fl-operazzjonijiet jew fir-riskji. Ir-riżultat tar-rieżamijiet għandu jiġi ddokumentat.
1.2.Rwoli, responsabbiltajiet u awtoritajiet
1.2.1.Bħala parti mill-politika tagħhom dwar is-sigurtà tan-networks u tas-sistemi tal-informazzjoni msemmija fil-punt 1.1., l-entitajiet rilevanti għandhom jistabbilixxu r-responsabbiltajiet u l-awtoritajiet għas-sigurtà tan-networks u tas-sistemi tal-informazzjoni u jassenjawhom għar-rwoli, jallokawhom skont il-ħtiġijiet tal-entitajiet rilevanti, u jikkomunikawhom lill-korpi maniġerjali.
1.2.2.L-entitajiet rilevanti għandhom jeżiġu li l-persunal u l-partijiet terzi kollha japplikaw is-sigurtà tan-network u tas-sistema tal-informazzjoni f’konformità mal-politika stabbilita dwar is-sigurtà tan-networks u tas-sistemi tal-informazzjoni, il-politiki speċifiċi skont is-suġġett u l-proċeduri tal-entitajiet rilevanti.
1.2.3.Mill-inqas persuna waħda għandha tirrapporta direttament lill-korpi maniġerjali dwar kwistjonijiet tas-sigurtà tan-networks u tas-sistemi tal-informazzjoni.
1.2.4.Skont id-daqs tal-entitajiet rilevanti, is-sigurtà tan-networks u tas-sistemi tal-informazzjoni għandha tkun koperta minn rwoli jew dmirijiet apposta li jitwettqu flimkien mar-rwoli eżistenti.
1.2.5.Id-dmirijiet kunfliġġenti u l-oqsma tar-responsabbiltà kunfliġġenti għandhom jiġu segregati, meta applikabbli.
1.2.6.Ir-rwoli, ir-responsabbiltajiet u l-awtoritajiet għandhom jiġu rieżaminati u, meta xieraq, aġġornati mill-korpi maniġerjali f’intervalli ppjanati u meta jsiru inċidenti sinifikanti jew bidliet sinifikanti fl-operazzjonijiet jew fir-riskji.
2.Politika tal-ġestjoni tar-riskji (l-Artikolu 21(2), il-punt (a), tad-Direttiva (UE) 2022/2555)
2.1.Qafas tal-ġestjoni tar-riskji
2.1.1.Għall-fini tal-Artikolu 21(2), il-punt (a), tad-Direttiva (UE) 2022/2555, l-entitajiet rilevanti għandhom jistabbilixxu u jħaddmu qafas xieraq tal-ġestjoni tar-riskji biex jidentifikaw u jindirizzaw ir-riskji għas-sigurtà tan-networks u tas-sistemi tal-informazzjoni. L-entitajiet rilevanti għandhom iwettqu u jiddokumentaw valutazzjonijiet tar-riskju u, abbażi tar-riżultati, jistabbilixxu, jimplimentaw u jimmonitorjaw pjan tat-trattament tar-riskji. Ir-riżultati tal-valutazzjoni tar-riskju u r-riskji residwi għandhom jiġu aċċettati mill-korpi maniġerjali jew, meta applikabbli, mill-persuni responsabbli u li għandhom l-awtorità li jimmaniġġjaw ir-riskji, diment li l-entitajiet rilevanti jiżguraw rapportar adegwat lill-korpi maniġerjali.
2.1.2.Għall-fini tal-punt 2.1.1., l-entitajiet rilevanti għandhom jistabbilixxu proċeduri għall-identifikazzjoni, l-analiżi, il-valutazzjoni u t-trattament tar-riskji (“il-proċess tal-ġestjoni tar-riskji taċ-ċibersigurtà”). Il-proċess tal-ġestjoni tar-riskji taċ-ċibersigurtà għandu jkun parti integrali mill-proċess ġenerali tal-ġestjoni tar-riskji tal-entitajiet rilevanti, meta applikabbli. Bħala parti mill-proċess tal-ġestjoni tar-riskji taċ-ċibersigurtà, l-entitajiet rilevanti għandhom:
(a)jimxu ma’ metodoloġija tal-ġestjoni tar-riskji;
(b)jistabbilixxu l-livell tat-tolleranza tar-riskji f’konformità mal-predispożizzjoni għar-riskji tal-entitajiet rilevanti;
(c)jistabbilixxu u jħaddmu kriterji tar-riskji rilevanti;
(d)b’approċċ li jkopri l-perikli kollha, jidentifikaw u jiddokumentaw ir-riskji għas-sigurtà tan-networks u tas-sistemi tal-informazzjoni, b’mod partikolari fir-rigward tal-partijiet terzi u r-riskji li jistgħu jwasslu għal tfixkil fid-disponibbiltà, l-integrità, l-awtentiċità u l-kunfidenzjalità tan-network u tas-sistemi tal-informazzjoni, inkluż l-identifikazzjoni ta’ punt uniku tal-fallimenti;
(e)janalizzaw ir-riskji għas-sigurtà tan-networks u tas-sistemi tal-informazzjoni, inkluż it-theddid, il-probabbiltà, l-impatt, u l-livell tar-riskji, filwaqt li jqisu l-intelligence u l-vulnerabbiltajiet għat-theddid ċibernetiku;
(f)jevalwaw ir-riskji identifikati abbażi tal-kriterji tar-riskji;
(g)jidentifikaw u jipprijoritizzaw l-alternattivi u l-miżuri xierqa għat-trattament tar-riskji;
(h)jimmonitorjaw kontinwament l-implimentazzjoni tal-miżuri tat-trattament tar-riskji;
(i)jidentifikaw il-persuna responsabbli għall-implimentazzjoni tal-miżuri tat-trattament tar-riskji u meta għandhom jiġu implimentati;
(j)jiddokumentaw il-miżuri tat-trattament tar-riskji magħżula fi pjan tat-trattament tar-riskji u r-raġunijiet li jiġġustifikaw l-aċċettazzjoni tar-riskji residwi b’mod komprensibbli.
2.1.3.Meta jidentifikaw u jipprijoritizzaw l-alternattivi u l-miżuri xierqa tat-trattament tar-riskji, l-entitajiet rilevanti għandhom iqisu r-riżultati tal-valutazzjoni tar-riskju, ir-riżultati tal-proċedura biex tiġi vvalutata l-effettività tal-miżuri tal-ġestjoni tar-riskji taċ-ċibersigurtà, il-kost tal-implimentazzjoni meta mqabbla mal-benefiċċju mistenni, il-klassifikazzjoni tal-assi msemmija fil-punt 12.1., u l-analiżi tal-impatt tan-negozju msemmija fil-punt 4.1.3.
2.1.4.L-entitajiet rilevanti għandhom jirrieżaminaw u, meta xieraq, jaġġornaw ir-riżultati tal-valutazzjoni tar-riskju u l-pjan tat-trattament tar-riskji f’intervalli ppjanati u mill-inqas kull sena, u meta jsiru inċidenti sinifikanti jew bidliet sinifikanti fl-operazzjonijiet jew fir-riskji.
2.2.Monitoraġġ tal-konformità
2.2.1.L-entitajiet rilevanti għandhom jirrieżaminaw regolarment il-konformità mal-politiki tagħhom dwar is-sigurtà tan-networks u tas-sistemi tal-informazzjoni, il-politiki, ir-regoli u l-istandards speċifiċi skont is-suġġett. Il-korpi maniġerjali għandhom jiġu infurmati b’rapportar regolari dwar l-istatus tas-sigurtà tan-networks u tas-sistemi tal-informazzjoni abbażi tar-rieżamijiet tal-konformità.
2.2.2.L-entitajiet rilevanti għandhom jistabbilixxu sistema effettiva tar-rapportar tal-konformità li għandha tkun xierqa għall-istrutturi, l-ambjenti operattivi u x-xenarju tat-theddid tagħhom. Is-sistema tar-rapportar tal-konformità għandha tkun kapaċi tipprovdi opinjoni infurmata lill-korpi maniġerjali dwar l-istat attwali tal-ġestjoni tar-riskji mill-entitajiet rilevanti.
2.2.3.L-entitajiet rilevanti għandhom iwettqu l-monitoraġġ tal-konformità f’intervalli ppjanati u meta jsiru inċidenti sinifikanti jew bidliet sinifikanti fl-operazzjonijiet jew fir-riskji.
2.3.Rieżami indipendenti tas-sigurtà tan-networks u tas-sistemi tal-informazzjoni
2.3.1.L-entitajiet rilevanti għandhom jirrieżaminaw b’mod indipendenti l-approċċ tagħhom għall-ġestjoni tas-sigurtà tan-networks u tas-sistemi tal-informazzjoni u l-implimentazzjoni tagħha, inkluż il-persuni, il-proċessi u t-teknoloġiji.
2.3.2.L-entitajiet rilevanti għandhom jiżviluppaw u jħaddmu proċessi għal rieżamijiet indipendenti li għandhom isiru minn individwi b’kompetenza xierqa fl-awditjar. Meta r-rieżami indipendenti jagħmluh membri tal-persunal tal-entità rilevanti, il-persuni li jagħmlu r-rieżamijiet ma għandhomx ikunu fil-linja tal-awtorità tal-persunal tal-qasam jkun qed isirlu r-rieżami. Jekk id-daqs tal-entitajiet rilevanti ma jippermettix din is-separazzjoni tal-linja tal-awtorità, l-entitajiet rilevanti għandhom jistabbilixxu miżuri alternattivi biex jiżguraw l-imparzjalità tar-rieżamijiet.
2.3.3.Ir-riżultati tar-rieżamijiet indipendenti, inkluż ir-riżultati tal-monitoraġġ tal-konformità skont il-punt 2.2. u l-monitoraġġ u l-kejl skont il-punt 7, għandhom jiġu rrapportati lill-korpi maniġerjali. Għandhom jittieħdu azzjonijiet korrettivi jew jiġi aċċettat riskju residwu skont il-kriterji tal-aċċettazzjoni tar-riskji tal-entitajiet rilevanti.
2.3.4.Ir-rieżamijiet indipendenti għandhom isiru f’intervalli ppjanati u meta jsiru inċidenti sinifikanti jew bidliet sinifikanti fl-operazzjonijiet jew fir-riskji.
3.Trattament tal-inċidenti (l-Artikolu 21(2), il-punt (b), tad-Direttiva (UE) 2022/2555)
3.1.Politika dwar it-trattament tal-inċidenti
3.1.1.Għall-fini tal-Artikolu 21(2), il-punt (b), tad-Direttiva (UE) 2022/2555, l-entitajiet rilevanti għandhom jistabbilixxu u jimplimentaw politika dwar it-trattament tal-inċidenti li tistabbilixxi r-rwoli, ir-responsabbiltajiet, u l-proċeduri għad-detezzjoni, l-analiżi, it-trażżin jew ir-rispons għalihom, l-irkupru minnhom, id-dokumentazzjoni u r-rapportar tal-inċidenti fil-ħin.
3.1.2.Il-politika msemmija fil-punt 3.1.1 għandha tkun koerenti mal-pjan tal-kontinwità tal-operat u tal-irkupru minn diżastru msemmi fil-punt 4.1. Il-politika għandha tinkludi:
(a)sistema tal-kategorizzazzjoni għall-inċidenti li tkun konsistenti mal-valutazzjoni u l-klassifikazzjoni tal-avvenimenti mwettqa skont il-punt 3.4.1.;
(b)pjanijiet tal-komunikazzjoni effettivi, inkluż eskalazzjoni u rapportar;
(c)l-assenjar tar-rwoli biex l-inċidenti jiġu identifikati u indirizzati kif xieraq mal-impjegati kompetenti;
(d)id-dokumenti li jridu jintużaw waqt id-detezzjoni u r-rispons tal-inċidenti bħal manwali tar-rispons għall-inċidenti, ċarts ta’ eskalazzjoni, listi tal-kuntatt u mudelli.
3.1.3.Ir-rwoli, ir-responsabbiltajiet u l-proċeduri stabbiliti fil-politika għandhom jiġu ttestjati u rieżaminati u, meta xieraq, aġġornati f’intervalli ppjanati u wara li jsiru inċidenti sinifikanti jew bidliet sinifikanti fl-operazzjonijiet jew fir-riskji.
3.2.Monitoraġġ u rendikonti
3.2.1.L-entitajiet rilevanti għandhom jistabbilixxu proċeduri u jużaw għodod biex jimmonitorjaw u jirreġistraw l-attivitajiet tan-networks u tas-sistemi tal-informazzjoni tagħhom biex jidentifikaw avvenimenti li jistgħu jitqiesu bħala inċidenti u jirrispondu kif xieraq biex itaffu l-impatt.
3.2.2.Sa kemm ikun fattibbli, il-monitoraġġ għandu jkun awtomatizzat u jsir kontinwament jew f’intervalli perjodiċi, soġġett għall-kapaċitajiet tan-negozju. L-entitajiet rilevanti għandhom jimplimentaw l-attivitajiet tal-monitoraġġ tagħhom b’mod li jnaqqas kemm jista’ jkun il-pożittivi foloz u n-negattivi foloz.
3.2.3.Abbażi tal-proċeduri msemmija fil-punt 3.2.1., l-entitajiet rilevanti għandhom iżommu, jiddokumentaw u jirrieżaminaw ir-rendikonti. L-entitajiet rilevanti għandhom jistabbilixxu lista tal-assi li jridu jkunu soġġetti għal rendikonti abbażi tar-riżultati tal-valutazzjoni tar-riskju mwettqa skont il-punt 2.1. Meta xieraq, ir-rendikonti għandhom jinkludu:
(a)it-traffiku fin-network ’l barra u ’l ġewwa rilevanti;
(b)il-ħolqien, il-modifika jew it-tneħħija tal-utenti tan-networks u tas-sistemi tal-informazzjoni tal-entitajiet rilevanti u l-estensjoni tal-permessi;
(c)l-aċċess għas-sistemi u għall-applikazzjonijiet;
(d)l-avvenimenti relatati mal-awtentikazzjoni;
(e)l-aċċess privileġġat kollu għas-sistemi u għall-applikazzjonijiet, u l-attivitajiet imwettqa mill-kontijiet amministrattivi;
(f)l-aċċess jew il-bidliet fil-konfigurazzjoni kritika u l-fajls backup;
(g)ir-rendikonti tal-avvenimenti u r-rendikonti tal-għodod tas-sigurtà, bħal antivirus, sistemi tad-detezzjoni ta’ intrużjonijiet, jew firewalls;
(h)l-użu tar-riżorsi tas-sistema, kif ukoll il-prestazzjoni tagħhom;
(i)l-aċċess fiżiku għall-faċilitajiet;
(j)l-aċċess u l-użu tat-tagħmir u l-apparat tan-networks tagħhom;
(k)l-attivazzjoni, il-waqfien u l-pawżiet tad-diversi rendikonti;
(l)l-avvenimenti ambjentali.
3.2.4.Ir-rendikonti għandhom jiġu rieżaminati regolarment għal kull xejra mhux tas-soltu jew mhux mixtieqa. Meta xieraq, l-entitajiet rilevanti għandhom jistabbilixxu valuri xierqa għal-limiti tal-allarm. Jekk il-valuri stabbiliti għal-limiti tal-allarm jinqabżu, għandu jiġi attivat alarm, meta xieraq, awtomatikament. L-entitajiet rilevanti għandhom jiżguraw li, f’każ ta’ allarm, jiskatta rispons kwalifikat u xieraq fil-ħin.
3.2.5.L-entitajiet rilevanti għandhom iżommu u jagħmlu backup tar-rendikonti għal perjodu predefinit u għandhom jipproteġuhom minn aċċess jew bidliet mhux awtorizzati.
3.2.6.Sa kemm ikun fattibbli, l-entitajiet rilevanti għandhom jiżguraw li s-sistemi kollha jkollhom sorsi tal-ħin sinkronizzati biex ikunu jistgħu jikkorrelataw ir-rendikonti bejn is-sistemi għal valutazzjoni tal-avvenimenti. L-entitajiet rilevanti għandhom jistabbilixxu u jżommu lista tal-assi kollha li qed jiġu rreġistrati u jiżguraw li s-sistemi tal-monitoraġġ u tar-rendikonti jkunu ridonanti. Id-disponibbiltà tas-sistemi tal-monitoraġġ u tar-rendikonti għandha tiġi mmonitorjata indipendentement mis-sistemi li jkunu qed jimmonitorjaw.
3.2.7.Il-proċeduri kif ukoll il-lista tal-assi li qed jiġu rreġistrati għandhom jiġu rieżaminati u, meta xieraq, aġġornati f’intervalli regolari u wara inċidenti sinifikanti.
3.3.Rapportar tal-avvenimenti
3.3.1.L-entitajiet rilevanti għandhom jistabbilixxu mekkaniżmu sempliċi biex l-impjegati, il-fornituri u l-klijenti tagħhom ikunu jistgħu jirrapportaw avvenimenti suspettużi.
3.3.2.L-entitajiet rilevanti għandhom, meta xieraq, jikkomunikaw il-mekkaniżmu tar-rapportar tal-avvenimenti lill-fornituri u lill-klijenti tagħhom, u għandhom iħarrġu regolarment lill-impjegati tagħhom dwar kif jużaw il-mekkaniżmu.
3.4.Valutazzjoni u klassifikazzjoni tal-avvenimenti
3.4.1.L-entitajiet rilevanti għandhom jivvalutaw avvenimenti suspettużi biex jiddeterminaw jekk dawn ikunux jikkostitwixxu inċidenti u, jekk iva, jiddeterminaw in-natura u s-severità tagħhom.
3.4.2.Għall-fini tal-punt 3.4.1, l-entitajiet rilevanti għandhom jaġixxu bil-mod li ġej:
(a)iwettqu l-valutazzjoni abbażi ta’ kriterji predefiniti stabbiliti minn qabel, u fuq triage biex jiddeterminaw il-prijoritizzazzjoni tat-trażżin u l-eradikazzjoni tal-inċidenti;
(b)jivvalutaw l-eżistenza ta’ inċidenti rikorrenti kif imsemmi fl-Artikolu 4 ta’ dan ir-Regolament b’mod trimestrali;
(c)jirrieżaminaw ir-rendikonti xierqa għall-finijiet tal-valutazzjoni u l-klassifikazzjoni tal-avvenimenti;
(d)jistabbilixxu proċess għall-korrelazzjoni u l-analiżi tar-rendikonti, u
(e)jirrivalutaw u jirriklassifikaw l-avvenimenti jekk ikun hemm disponibbli informazzjoni ġdida jew wara analiżi tal-informazzjoni li kienet disponibbli qabel.
3.5.Rispons għall-inċidenti
3.5.1.L-entitajiet rilevanti għandhom jirrispondu għall-inċidenti skont proċeduri ddokumentati u fil-ħin.
3.5.2.Il-proċeduri tar-rispons għall-inċidenti għandhom jinkludu l-istadji li ġejjin:
(a)it-trażżin tal-inċidenti, biex ikun evitat it-tifrix tal-konsegwenzi tal-inċidenti;
(b)l-eradikazzjoni, biex ikun evitat li l-inċidenti jissoktaw jew jerġgħu jinqalgħu,
(c)l-irkupru mill-inċidenti, meta meħtieġ.
3.5.3.L-entitajiet rilevanti għandhom jistabbilixxu pjanijiet u proċeduri tal-komunikazzjoni:
(a)mal-Iskwadri tar-Rispons għall-Inċidenti relatati mas-Sigurtà tal-Kompjuters (CSIRTs) jew, meta applikabbli, mal-awtoritajiet kompetenti, b’rabta man-notifika tal-inċidenti;
(b)għall-komunikazzjoni fost il-membri tal-persunal tal-entità rilevanti, u għall-komunikazzjoni mal-partijiet ikkonċernati rilevanti esterni għall-entità rilevanti.
3.5.4.L-entitajiet rilevanti għandhom iżommu rendikont tal-attivitajiet tar-rispons għall-inċidenti f’konformità mal-proċeduri msemmija fil-punt 3.2.1., u jirreġistraw l-evidenza.
3.5.5.L-entitajiet rilevanti għandhom jittestjaw f’intervalli ppjanati l-proċeduri tar-rispons għall-inċidenti tagħhom.
3.6.Rieżamijiet ta’ wara l-inċidenti
3.6.1.Meta xieraq, wara l-irkupru mill-inċidenti, l-entitajiet rilevanti għandhom iwettqu rieżamijiet ta’ wara l-inċidenti. Ir-rieżamijiet ta’ wara l-inċidenti għandhom jidentifikaw, meta possibbli, il-kawża ewlenija tal-inċident partikolari u jiddokumentaw it-tagħlimiet ħalli jonqsu l-okkorrenzi u l-konsegwenzi ta’ inċidenti futuri.
3.6.2.L-entitajiet rilevanti għandhom jiżguraw li r-rieżamijiet ta’ wara l-inċidenti jgħinuhom itejbu l-approċċ tagħhom għas-sigurtà tan-networks u tas-sistemi tal-informazzjoni, għall-miżuri tat-trattament tar-riskji, u għall-proċeduri tat-trattament, id-detezzjoni u r-rispons għall-inċidenti.
3.6.3.L-entitajiet rilevanti għandhom jirrieżaminaw f’intervalli ppjanati jekk l-inċidenti jkunux wasslu għal rieżamijiet ta’ wara l-inċidenti.
4.Kontinwità tal-operat u ġestjoni tal-kriżijiet (l-Artikolu 21(2), il-punt (c), tad-Direttiva (UE) 2022/2555)
4.1.Pjanijiet tal-kontinwità tal-operat u tal-irkupru mid-diżastri
4.1.1.Għall-fini tal-Artikolu 21(2), il-punt (c), tad-Direttiva (UE) 2022/2555, l-entitajiet rilevanti għandhom jistabbilixxu u jħaddmu pjan tal-kontinwità tal-operat u tal-irkupru mid-diżastri li għandu japplika f’każ ta’ inċidenti.
4.1.2.L-operazzjonijiet tal-entitajiet rilevanti għandhom jitreġġgħu lura il-pjan tal-kontinwità tal-operat u tal-irkupru mid-diżastri. Il-pjan għandu jkun ibbażat fuq ir-riżultati tal-valutazzjoni tar-riskju mwettqa skont il-punt 2.1 u għandu jinkludi, meta xieraq, dan li ġej:
(a)skop, ambitu u udjenza;
(b)ir-rwoli u r-responsabbiltajiet;
(c)il-kuntatti ewlenin u l-mezzi tal-komunikazzjoni (interni u esterni);
(d)il-kundizzjonijiet għall-attivazzjoni u d-diżattivazzjoni tal-pjan;
(e)l-ordni tal-irkupru għall-operazzjonijiet;
(f)il-pjanijiet tal-irkupru għal operazzjonijiet speċifiċi, inkluż l-objettivi tal-irkupru;
(g)ir-riżorsi meħtieġa, inkluż il-backups u l-abbundanzi;
(h)ir-restawr u l-issoktar tal-attivitajiet minn miżuri temporanji.
4.1.3.L-entitajiet rilevanti għandhom iwettqu analiżi tal-impatt fuq in-negozju biex jivvalutaw l-impatt potenzjali ta’ tfixkil serju fl-operazzjonijiet tan-negozju tagħhom u għandhom, abbażi tar-riżultati tal-analiżi tal-impatt tan-negozju, jistabbilixxu rekwiżiti tal-kontinwità għan-network u għas-sistemi tal-informazzjoni.
4.1.4.Il-pjan tal-kontinwità tal-operat u l-pjan tal-irkupru mid-diżastri għandhom jiġu ttestjati, rieżaminati u, meta xieraq, aġġornati f’intervalli ppjanati u wara inċidenti sinifikanti jew bidliet sinifikanti fl-operazzjonijiet jew fir-riskji. L-entitajiet rilevanti għandhom jiżguraw li l-pjanijiet ikun fihom it-tagħlimiet miksuba minn dawn it-testijiet.
4.2.Ġestjoni tal-backup u tal-abbundanzi
4.2.1.L-entitajiet rilevanti għandhom iżommu kopji tal-backup tad-data u jipprovdu biżżejjed riżorsi disponibbli, inkluż faċilitajiet, networks u sistemi tal-informazzjoni u persunal, biex jiżguraw livell xieraq ta’ abbundanza.
4.2.2.Abbażi tar-riżultati tal-valutazzjoni tar-riskju mwettqa skont il-punt 2.1 u l-pjan tal-kontinwità tal-operat, l-entitajiet rilevanti għandhom jistabbilixxu pjanijiet tal-backup li jinkludu dan li ġej:
(a)il-ħinijiet tal-irkupru;
(b)assigurazzjoni li l-kopji tal-backup ikunu sħaħ u preċiżi, inkluż data tal-konfigurazzjoni u data maħżuna fl-ambjent tas-servizzi tal-cloud computing;
(c)il-ħżin tal-kopji tal-backup (online jew offline) f’post jew postijiet sikuri, li mhumiex fl-istess network bħas-sistema, u li jinsabu ’l bogħod biżżejjed biex jevitaw kull ħsara minn diżastru fis-sit ewlieni;
(d)il-kontrolli tal-aċċess fiżiċi u loġiċi xierqa għall-kopji tal-backup, skont il-livell tal-klassifikazzjoni tal-assi;
(e)ir-restawr tad-data mill-kopji tal-backup;
(f)perjodi taż-żamma abbażi ta’ rekwiżiti tan-negozju u regolatorji.
4.2.3.L-entitajiet rilevanti għandhom iwettqu kontrolli regolari tal-integrità fuq il-kopji tal-backup.
4.2.4.Abbażi tar-riżultati tal-valutazzjoni tar-riskju mwettqa skont il-punt 2.1 u l-pjan tal-kontinwità tal-operat, l-entitajiet rilevanti għandhom jiżguraw disponibbiltà biżżejjed tar-riżorsi b’mill-inqas l-abbundanza parzjali ta’ dawn li ġejjin:
(a)networks u sistemi tal-informazzjoni;
(b)assi, inkluż faċilitajiet, tagħmir u provvisti;
(c)persunal bir-responsabbiltà, l-awtorità u l-kompetenza meħtieġa;
(d)mezzi tal-komunikazzjoni xierqa.
4.2.5.Meta xieraq, l-entitajiet rilevanti għandhom jiżguraw li l-monitoraġġ u l-aġġustament tar-riżorsi, inkluż tal-faċilitajiet, is-sistemi u l-persunal, ikunu infurmati kif xieraq mir-rekwiżiti tal-backup u tal-abbundanzi.
4.2.6.L-entitajiet rilevanti għandhom iwettqu ttestjar regolari tal-irkupru tal-kopji tal-backup u tal-abbundanzi biex jiżguraw li, waqt irkupru, dawn ikunu jistgħu jistrieħu fuqhom u jkunu jkopru l-kopji, il-proċessi u l-għarfien biex jinkiseb irkupru effettiv. L-entitajiet rilevanti għandhom jiddokumentaw ir-riżultati tat-testijiet u, meta meħtieġ, jieħdu azzjoni korrettiva.
4.3.Ġestjoni tal-kriżijiet
4.3.1.L-entitajiet rilevanti għandhom jistabbilixxu proċess għall-ġestjoni tal-kriżijiet.
4.3.2.L-entitajiet rilevanti għandhom jiżguraw li l-proċess tal-ġestjoni tal-kriżijiet jindirizza mill-inqas l-elementi li ġejjin:
(a)ir-rwoli u r-responsabbiltajiet għall-persunal u, meta xieraq, il-fornituri u l-fornituri tas-servizzi, filwaqt li jispeċifikaw l-allokazzjoni tar-rwoli waqt kriżijiet, inkluż passi speċifiċi li għandhom jiġu segwiti;
(b)il-mezzi tal-komunikazzjoni xierqa bejn l-entitajiet rilevanti u l-awtoritajiet kompetenti rilevanti;
(c)l-applikazzjoni ta’ miżuri xierqa biex tkun żgurata l-manutenzjoni tas-sigurtà tan-networks u tas-sistemi tal-informazzjoni f’sitwazzjonijiet ta’ kriżi.
Għall-fini tal-punt (b), il-fluss tal-informazzjoni bejn l-entitajiet rilevanti u l-awtoritajiet kompetenti rilevanti għandu jinkludi l-komunikazzjonijiet obbligatorji, bħar-rapporti ta’ inċidenti u s-skedi taż-żmien relatati, kif ukoll il-komunikazzjonijiet mhux obbligatorji.
4.3.3.L-entitajiet rilevanti għandhom jimplimentaw proċess għall-ġestjoni u l-użu tal-informazzjoni li tasal mingħand is-CSIRTs jew, meta applikabbli, mingħand l-awtoritajiet kompetenti, dwar inċidenti, vulnerabbiltajiet, theddidiet jew miżuri tal-mitigazzjoni possibbli.
4.3.4.L-entitajiet rilevanti għandhom jittestjaw, jirrieżaminaw u, meta xieraq, jaġġornaw il-pjan tal-ġestjoni tal-kriżijiet b’mod regolari jew wara inċidenti sinifikanti jew bidliet sinifikanti fl-operazzjonijiet jew fir-riskji.
5.Sigurtà tal-katina tal-provvista (l-Artikolu 21(2), il-punt (d), tad-Direttiva (UE) 2022/2555)
5.1.Politika tas-sigurtà tal-katina tal-provvista
5.1.1.Għall-fini tal-Artikolu 21(2), il-punt (d), tad-Direttiva (UE) 2022/2555, l-entitajiet rilevanti għandhom jistabbilixxu, jimplimentaw u japplikaw politika tas-sigurtà tal-katina tal-provvista li tirregola r-relazzjonijiet mal-fornituri u l-fornituri tas-servizzi diretti tagħhom biex itaffu r-riskji identifikati għas-sigurtà tan-networks u tas-sistemi tal-informazzjoni. Fil-politika tas-sigurtà tal-katina tal-provvista, l-entitajiet rilevanti għandhom jidentifikaw ir-rwol tagħhom fil-katina tal-provvista u jikkomunikawh lill-fornituri u lill-fornituri tas-servizzi diretti tagħhom.
5.1.2.Bħala parti mill-politika tas-sigurtà tal-katina tal-provvista msemmija fil-punt 5.1.1, l-entitajiet rilevanti għandhom jistabbilixxu kriterji biex jagħżlu u jikkuntrattaw il-fornituri u l-fornituri tas-servizzi. Dawk il-kriterji għandhom jinkludu dan li ġej:
(a)il-prattiki taċ-ċibersigurtà tal-fornituri u tal-fornituri tas-servizzi, inkluż il-proċeduri siguri tal-iżvilupp tagħhom;
(b)il-kapaċità tal-fornituri u tal-fornituri tas-servizzi li jissodisfaw l-ispeċifikazzjonijiet taċ-ċibersigurtà stabbiliti mill-entitajiet rilevanti;
(c)il-kwalità u r-reżiljenza ġenerali tal-prodotti tal-ICT u tas-servizzi tal-ICT u l-miżuri tal-ġestjoni tar-riskji taċ-ċibersigurtà inkorporati fihom, inkluż ir-riskji u l-livell tal-klassifikazzjoni tal-prodotti tal-ICT u tas-servizzi tal-ICT;
(d)il-kapaċità tal-entitajiet rilevanti li jiddiversifikaw is-sorsi tal-provvista u jillimitaw l-intrappolament tal-klijentela, meta applikabbli.
5.1.3.Meta jistabbilixxu l-politika tas-sigurtà tal-katina tal-provvista tagħhom, l-entitajiet rilevanti għandhom iqisu r-riżultati tal-valutazzjonijiet tar-riskju tas-sigurtà kkoordinati tal-ktajjen tal-provvista kritiċi mwettqa f’konformità mal-Artikolu 22(1) tad-Direttiva (UE) 2022/2555, meta applikabbli.
5.1.4.Abbażi tal-politika tas-sigurtà tal-katina tal-provvista u filwaqt li jitqiesu r-riżultati tal-valutazzjoni tar-riskju mwettqa f’konformità mal-punt 2.1. ta’ dan l-Anness, l-entitajiet rilevanti għandhom jiżguraw li l-kuntratti tagħhom mal-fornituri u mal-fornituri tas-servizzi jispeċifikaw, meta xieraq bi ftehimiet dwar il-livell tas-servizz, dan li ġej, meta xieraq:
(a)ir-rekwiżiti taċ-ċibersigurtà għall-fornituri jew għall-fornituri tas-servizzi, inkluż ir-rekwiżiti fir-rigward tas-sigurtà fl-akkwist tas-servizzi tal-ICT jew tal-prodotti tal-ICT stabbiliti fil-punt 6.1.;
(b)ir-rekwiżiti dwar it-tixrid tal-għarfien, il-ħiliet u t-taħriġ, u meta xieraq iċ-ċertifikazzjonijiet, meħtieġa mill-impjegati tal-fornituri jew tal-fornituri tas-servizzi;
(c)ir-rekwiżiti rigward il-verifika tal-isfond personali tal-impjegati u tal-fornituri u l-fornituri tas-servizzi;
(d)l-obbligu fuq il-fornituri u l-fornituri tas-servizzi li jinnotifikaw, mingħajr dewmien żejjed, lill-entitajiet rilevanti dwar inċidenti li joħolqu riskju għas-sigurtà tan-networks u tas-sistemi tal-informazzjoni ta’ dawk l-entitajiet;
(e)id-dritt għal awditjar jew id-dritt li wieħed jirċievi rapporti tal-awditjar;
(f)l-obbligu fuq il-fornituri u l-fornituri tas-servizzi li jittrattaw il-vulnerabbiltajiet li joħolqu riskju għas-sigurtà tan-networks u tas-sistemi tal-informazzjoni tal-entitajiet rilevanti;
(g)ir-rekwiżiti dwar is-sottokuntrattar u, meta l-entitajiet rilevanti jippermettu s-sottokuntrattar, ir-rekwiżiti taċ-ċibersigurtà għas-sottokuntratturi f’konformità mar-rekwiżiti taċ-ċibersigurtà msemmija fil-punt (a);
(h)l-obbligi fuq il-fornituri u l-fornituri tas-servizzi waqt it-terminazzjoni tal-kuntratt, fosthom l-irkupru u t-tneħħija tal-informazzjoni miksuba mill-fornituri u mill-fornituri tas-servizzi waqt it-twettiq tal-kompiti tagħhom.
5.1.5.L-entitajiet rilevanti għandhom iqisu l-elementi msemmija fil-punt 5.1.2 u 5.1.3. bħala parti mill-proċess tal-għażla ta’ fornituri u fornituri tas-servizzi ġodda, kif ukoll parti mill-proċess tal-akkwist imsemmi fil-punt 6.1.
5.1.6.L-entitajiet rilevanti għandhom jirrieżaminaw il-politika tas-sigurtà tal-katina tal-provvista, u jimmonitorjaw, jevalwaw u, meta meħtieġ, jaġixxu fuq il-bidliet fil-prattiki taċ-ċibersigurtà tal-fornituri u tal-fornituri tas-servizzi, f’intervalli ppjanati u meta jsiru bidliet sinifikanti fl-operazzjonijiet jew fir-riskji jew inċidenti sinifikanti relatati mal-forniment tas-servizzi tal-ICT jew li jħallu impatt fuq is-sigurtà tal-prodotti tal-ICT mill-fornituri u mill-fornituri tas-servizzi.
5.1.7.Għall-fini tal-punt 5.1.6., l-entitajiet rilevanti għandhom:
(a)jimmonitorjaw regolarment ir-rapporti dwar l-implimentazzjoni tal-ftehimiet dwar il-livell tas-servizz, meta applikabbli;
(b)jirrieżaminaw inċidenti relatati ma’ prodotti tal-ICT u servizzi tal-ICT minn fornituri u fornituri tas-servizzi;
(c)jivvalutaw il-ħtieġa għal rieżamijiet mhux skedati u jiddokumentaw is-sejbiet b’mod komprensibbli;
(d)janalizzaw ir-riskji ppreżentati minn bidliet relatati mal-prodotti tal-ICT u mas-servizzi tal-ICT minn fornituri u fornituri tas-servizzi u, meta xieraq, jieħdu miżuri ta’ mitigazzjoni fil-ħin.
5.2.Direttorju tal-fornituri u tal-fornituri tas-servizzi
L-entitajiet rilevanti għandu jkollhom reġistru tal-fornituri u tal-fornituri tas-servizzi diretti tagħhom u, filwaqt li jżommuh aġġornat, ikun jinkludi:
(a)il-punti tal-kuntatt għal kull fornitur u fornitur tas-servizzi dirett;
(b)il-lista tal-prodotti tal-ICT, tas-servizzi tal-ICT, u tal-proċessi tal-ICT ipprovduti mill-fornitur jew mill-fornitur tas-servizzi dirett lill-entitajiet rilevanti.
6.Sigurtà fl-akkwist, l-iżvilupp u l-manutenzjoni tan-networks u tas-sistemi tal-informazzjoni (l-Artikolu 21(2), il-punt (e), tad-Direttiva (UE) 2022/2555)
6.1.Sigurtà fl-akkwist tas-servizzi tal-ICT jew tal-prodotti tal-ICT
6.1.1.Għall-fini tal-Artikolu 21(2), il-punt (e), tad-Direttiva (UE) 2022/2555, l-entitajiet rilevanti għandhom jistabbilixxu u jimplimentaw proċessi tal-ġestjoni tar-riskji li jinħolqu bl-akkwist ta’ servizzi tal-ICT jew prodotti tal-ICT għal komponenti li huma kritiċi għas-sigurtà tan-networks u tas-sistemi tal-informazzjoni tal-entitajiet rilevanti, abbażi tal-valutazzjoni tar-riskju mwettqa skont il-punt 2.1, mill-fornituri jew mill-fornituri tas-servizzi tul iċ-ċiklu tal-ħajja tagħhom.
6.1.2.Għall-fini tal-punt 6.1.1., il-proċessi msemmija fil-punt 6.1.1. għandhom jinkludu:
(a)ir-rekwiżiti tas-sigurtà li japplikaw għas-servizzi tal-ICT jew għall-prodotti tal-ICT li jkunu jridu jinkisbu;
(b)ir-rekwiżiti rigward l-aġġornamenti tas-sigurtà tul il-ħajja kollha tas-servizzi tal-ICT jew tal-prodotti tal-ICT, jew is-sostituzzjoni wara tmiem il-perjodu ta’ appoġġ;
(c)l-informazzjoni li tiddeskrivi l-komponenti tal-hardware u tas-software użati fis-servizzi ICT jew fil-prodotti tal-ICT;
(d)l-informazzjoni li tiddeskrivi l-funzjonijiet taċ-ċibersigurtà implimentati tas-servizzi ICT jew tal-prodotti tal-ICT u l-konfigurazzjoni meħtieġa għall-operat sigur tagħhom;
(e)l-assigurazzjoni li s-servizzi tal-ICT jew il-prodotti tal-ICT jikkonformaw mar-rekwiżiti tas-sigurtà skont il-punt (a);
(f)il-metodi għall-validazzjoni li s-servizzi tal-ICT jew il-prodotti tal-ICT mogħtija huma konformi mar-rekwiżiti tas-sigurtà ddikjarati, kif ukoll dokumentazzjoni tar-riżultati tal-validazzjoni.
6.1.3.L-entitajiet rilevanti għandhom jirrieżaminaw u, meta xieraq, jaġġornaw il-proċessi f’intervalli ppjanati u meta jsiru inċidenti sinifikanti.
6.2.Ċiklu tal-ħajja tal-iżvilupp sigur
6.2.1.Qabel ma jiżviluppaw network u sistema tal-informazzjoni, inkluż software, l-entitajiet rilevanti għandhom jistabbilixxu regoli għall-iżvilupp sigur tan-networks u tas-sistemi tal-informazzjoni u japplikawhom meta jiżviluppaw networks u sistemi tal-informazzjoni internament, jew meta jesternalizzaw l-iżvilupp tan-networks u tas-sistemi tal-informazzjoni. Ir-regoli għandhom ikopru l-fażijiet kollha tal-iżvilupp, inkluż l-ispeċifikazzjoni, id-disinn, l-iżvilupp, l-implimentazzjoni u l-ittestjar.
6.2.2.Għall-fini tal-punt 6.2.1., l-entitajiet rilevanti għandhom:
(a)iwettqu analiżi tar-rekwiżiti tas-sigurtà fil-fażijiet ta’ speċifikazzjoni u disinn ta’ kull proġett ta’ żvilupp jew akkwist li jagħmlu l-entitajiet rilevanti jew li jsiru f’isem dawk l-entitajiet;
(b)japplikaw prinċipji għal sistemi siguri tal-inġinerija u prinċipji tal-kodifikazzjoni siguri għal kull attività ta’ żvilupp ta’ sistema tal-informazzjoni, bħall-promozzjoni taċ-ċibersigurtà mid-disinn, arkitetturi ta’ fiduċja żero;
(c)jistabbilixxu rekwiżiti tas-sigurtà fir-rigward tal-ambjenti tal-iżvilupp;
(d)jistabbilixxu u jimplimentaw proċessi tal-ittestjar tas-sigurtà tul iċ-ċiklu tal-ħajja tal-iżvilupp;
(e)jagħżlu, jipproteġu u jimmaniġġjaw kif xieraq id-data tal-ittestjar tas-sigurtà;
(f)inaddfu u janonimizzaw id-data tal-ittestjar skont il-valutazzjoni tar-riskju mwettqa skont il-punt 2.1.
6.2.3.Għall-iżvilupp esternalizzat tan-networks u tas-sistemi tal-informazzjoni, l-entitajiet rilevanti għandhom ukoll japplikaw il-politiki u l-proċeduri msemmija fil-punti 5 u 6.1.
6.2.4.L-entitajiet rilevanti għandhom jirrieżaminaw u, meta meħtieġ, jaġġornaw ir-regoli tal-iżvilupp sigur tagħhom f’intervalli ppjanati.
6.3.Ġestjoni tal-konfigurazzjoni
6.3.1.L-entitajiet rilevanti għandhom jieħdu l-miżuri xierqa biex jistabbilixxu, jiddokumentaw, jimplimentaw u jimmonitorjaw il-konfigurazzjonijiet, inkluż il-konfigurazzjonijiet tas-sigurtà tal-hardware, tas-software, tas-servizzi u tan-networks.
6.3.2.Għall-fini tal-punt 6.3.1., l-entitajiet rilevanti għandhom:
(a)jistabbilixxu u jiżguraw is-sigurtà fil-konfigurazzjonijiet għall-hardware, is-software, is-servizzi u n-networks tagħhom;
(b)jistabbilixxu u jimplimentaw proċessi u għodod biex jinfurzaw il-konfigurazzjonijiet siguri stabbiliti għall-hardware, is-software, is-servizzi u n-networks, għas-sistemi installati ġodda u għas-sistemi li joperaw tul il-ħajja tagħhom.
6.3.3.L-entitajiet rilevanti għandhom jirrieżaminaw u, meta xieraq, jaġġornaw il-konfigurazzjonijiet f’intervalli ppjanati jew meta jsiru inċidenti sinifikanti jew bidliet sinifikanti fl-operazzjonijiet jew fir-riskji.
6.4.Ġestjoni tal-bidla, tiswijiet u manutenzjoni
6.4.1.L-entitajiet rilevanti għandhom japplikaw proċeduri tal-ġestjoni tal-bidla biex jikkontrollaw il-bidliet fin-networks u fis-sistemi tal-informazzjoni. Meta applikabbli, il-proċeduri għandhom ikunu konsistenti mal-politiki ġenerali tal-entitajiet rilevanti dwar il-ġestjoni tal-bidla.
6.4.2.Il-proċeduri msemmija fil-punt 6.4.1. għandhom jiġu applikati għar-rilaxxi, għall-modifiki u għall-bidliet ta’ emerġenza ta’ kull software u hardware li jkunu qed joperaw u l-bidliet fil-konfigurazzjoni. Il-proċeduri għandhom jiżguraw li dawk il-bidliet jiġu ddokumentati u, abbażi tal-valutazzjoni tar-riskju mwettqa skont il-punt 2.1, jiġu ttestjati u vvalutati fid-dawl tal-impatt potenzjali qabel ma jiġu implimentati.
6.4.3.Jekk il-proċeduri regolari tal-ġestjoni tal-bidla ma jkunux jistgħu jiġu segwiti minħabba emerġenza, l-entitajiet rilevanti għandhom jiddokumentaw ir-riżultat tal-bidla, u l-ispjegazzjoni għaliex il-proċeduri ma setgħux jiġu segwiti.
6.4.4.L-entitajiet rilevanti għandhom jirrieżaminaw u, meta xieraq, jaġġornaw il-proċeduri f’intervalli ppjanati u meta jsiru inċidenti sinifikanti jew bidliet sinifikanti fl-operazzjonijiet jew fir-riskji.
6.5.Ittestjar tas-sigurtà
6.5.1.L-entitajiet rilevanti għandhom jistabbilixxu, jimplimentaw u japplikaw politika u proċeduri għall-ittestjar tas-sigurtà.
6.5.2.L-entitajiet rilevanti għandhom:
(a)jistabbilixxu, abbażi tal-valutazzjoni tar-riskju mwettqa skont il-punt 2.1, il-ħtieġa, l-ambitu, il-frekwenza u t-tip ta’ testijiet tas-sigurtà;
(b)iwettqu testijiet tas-sigurtà skont metodoloġija tal-ittestjar iddokumentata, li tkun tkopri l-komponenti identifikati f’analiżi tar-riskju bħala rilevanti għal operazzjoni sigura;
(c)jiddokumentaw it-tip, l-ambitu, il-ħin u r-riżultati tat-testijiet, inkluż il-valutazzjoni tal-kritikalità u l-azzjonijiet ta’ mitigazzjoni għal kull sejba;
(d)japplikaw azzjonijiet ta’ mitigazzjoni f’każ ta’ sejbiet kritiċi.
6.5.3.L-entitajiet rilevanti għandhom jirrieżaminaw u, meta xieraq, jaġġornaw il-politiki tal-ittestjar tas-sigurtà tagħhom f’intervalli ppjanati.
6.6.Ġestjoni tal-patch tas-sigurtà
6.6.1.L-entitajiet rilevanti għandhom jispeċifikaw u japplikaw proċeduri, li jkunu koerenti mal-proċeduri tal-ġestjoni tal-bidla msemmija fil-punt 6.4.1. u mal-proċeduri tal-ġestjoni tal-vulnerabbiltajiet, tal-ġestjoni tar-riskji u ta’ ġestjoni rilevanti oħra, biex jiżguraw li:
(a)il-patches tas-sigurtà jiġu applikati f’ħin raġonevoli wara li jsiru disponibbli;
(b)il-patches tas-sigurtà jiġu ttestjati qabel ma jiġu applikati fis-sistemi tal-produzzjoni;
(c)il-patches tas-sigurtà jiġu mingħand sorsi fdati u jiġu vverifikati għall-integrità;
(d)jiġu implimentati miżuri addizzjonali u jiġu aċċettati riskji residwi meta ma jkunx hemm patch jew meta din ma tiġix applikata skont il-punt 6.6.2.
6.6.2.B’deroga mill-punt 6.6.1.(a), l-entitajiet rilevanti jistgħu jagħżlu li ma japplikawx il-patches tas-sigurtà meta l-iżvantaġġi tal-applikazzjoni tal-patches tas-sigurtà jkunu akbar mill-benefiċċji taċ-ċibersigurtà. L-entitajiet rilevanti għandhom jiddokumentaw u jissostanzjaw kif xieraq ir-raġunijiet għal kull deċiżjoni bħal din.
6.7.Sigurtà tan-networks
6.7.1.L-entitajiet rilevanti għandhom jieħdu l-miżuri xierqa biex jipproteġu n-networks u s-sistemi tal-informazzjoni tagħhom mit-theddid ċibernetiku.
6.7.2.Għall-fini tal-punt 6.7.1., l-entitajiet rilevanti għandhom:
(a)jiddokumentaw l-arkitettura tan-networks b’mod komprensibbli u aġġornat;
(b)jiddeterminaw u japplikaw kontrolli biex jipproteġu d-dominji tan-network intern tal-entitajiet rilevanti minn aċċess mhux awtorizzat;
(c)jikkonfiguraw kontrolli biex jipprevjenu l-aċċessi u l-komunikazzjoni tan-network li ma jkunux meħtieġa għall-operat tal-entitajiet rilevanti;
(d)jiddeterminaw u japplikaw kontrolli għall-aċċess remot għan-networks u s-sistemi tal-informazzjoni, inkluż l-aċċess mill-fornituri tas-servizzi;
(e)ma jużawx sistemi użati għall-amministrazzjoni tal-implimentazzjoni tal-politika tas-sigurtà għal skopijiet oħra;
(f)jipprojbixxu jew jiddiżattivaw b’mod espliċitu l-konnessjonijiet u s-servizzi mhux meħtieġa;
(g)meta xieraq, jippermettu esklużivament aċċess għan-network u s-sistemi tal-informazzjoni tal-entitajiet rilevanti minn apparati awtorizzati minn dawk l-entitajiet;
(h)jippermettu l-konnessjonijiet tal-fornituri tas-servizzi biss wara talba għall-awtorizzazzjoni u għal perjodu taż-żmien stabbilit, bħal pereżempju waqt operazzjoni tal-manutenzjoni;
(i)jistabbilixxu komunikazzjoni bejn sistemi distinti biss permezz ta’ mezzi fdati li huma iżolati b’separazzjoni loġika, kriptografika jew fiżika minn mezzi oħra tal-komunikazzjoni u jipprovdu identifikazzjoni assigurata tal-punti finali tagħhom u protezzjoni tad-data tal-mezzi minn modifika jew żvelar;
(j)jadottaw pjan tal-implimentazzjoni għal tranżizzjoni sħiħa lejn protokolli tal-komunikazzjoni tas-saff tan-network tal-aħħar ġenerazzjoni b’mod sigur, xieraq u gradwali u joħolqu miżuri li jħaffu din it-tranżizzjoni;
(k)jadottaw pjan tal-implimentazzjoni biex jiddaħħlu standards moderni tal-komunikazzjoni bl-email maqbula internazzjonalment u b’mod interoperabbli biex jiġu żgurati komunikazzjonijiet bl-email li jtaffu l-vulnerabbiltajiet marbuta ma’ theddid relatat mal-emails u jiġu stabbiliti miżuri li jħaffu din l-adozzjoni;
(l)japplikaw l-aqwa prattiki għas-sigurtà tad-DNS, u għas-sigurtà tar-routing tal-internet u l-iġjene tar-routing tat-traffiku li joriġinaw min-network u jkunu destinati lejn in-network.
6.7.3.L-entitajiet rilevanti għandhom jirrieżaminaw u, meta xieraq, jaġġornaw dawn il-miżuri f’intervalli ppjanati u meta jsiru inċidenti sinifikanti jew bidliet sinifikanti fl-operazzjonijiet jew fir-riskji.
6.8.Segmentazzjoni tan-network
6.8.1.L-entitajiet rilevanti għandhom jissegmentaw is-sistemi f’networks jew f’żoni skont ir-riżultati tal-valutazzjoni tar-riskju msemmija fil-punt 2.1. Għandhom jissegmentaw is-sistemi u n-networks tagħhom minn sistemi u networks ta’ partijiet terzi.
6.8.2.Għal dak il-għan, l-entitajiet rilevanti għandhom:
(a)jikkunsidraw ir-relazzjoni funzjonali, loġika u fiżika, inkluż il-post, bejn is-sistemi u s-servizzi affidabbli;
(b)jagħtu aċċess għal network jew żona abbażi ta’ valutazzjoni tar-rekwiżiti tas-sigurtà tagħha;
(c)iżommu s-sistemi kollha li huma kritiċi għall-operat tal-entitajiet rilevanti jew għas-sikurezza, f’żoni siguri;
(d)jintroduċu żona demilitarizzata fin-networks tal-komunikazzjoni tagħhom biex jiżguraw il-komunikazzjoni sigura f’dak li joriġina min-networks tagħhom jew f’dak li jkun destinat għan-networks tagħhom;
(e)jillimitaw l-aċċess u l-komunikazzjonijiet bejn u fi ħdan iż-żoni għal dawk meħtieġa għall-operat tal-entitajiet rilevanti jew għas-sikurezza;
(f)jisseparaw in-network iddedikat għall-amministrazzjoni tan-network u tas-sistemi tal-informazzjoni min-network operazzjonali tal-entitajiet rilevanti;
(g)jissegregaw il-mezzi tal-amministrazzjoni tan-network minn traffiku ieħor tan-network;
(h)jisseparaw is-sistemi tal-produzzjoni għas-servizzi tal-entitajiet rilevanti mis-sistemi użati għall-iżvilupp u l-ittestjar, inkluż għall-backups.
6.8.3.L-entitajiet rilevanti għandhom jirrieżaminaw u, meta xieraq, jaġġornaw is-segmentazzjoni tan-networks f’intervalli ppjanati u meta jsiru inċidenti sinifikanti jew bidliet sinifikanti fl-operazzjonijiet jew fir-riskji.
6.9.Protezzjoni mis-software malizzjuż u mhux awtorizzat
6.9.1.L-entitajiet rilevanti għandhom jipproteġu n-networks u s-sistemi tal-informazzjoni tagħhom mis-software malizzjuż u mhux awtorizzat.
6.9.2.Għal dak il-għan, l-entitajiet rilevanti għandhom b’mod partikolari jimplimentaw miżuri għad-detezzjoni jew għall-prevenzjoni tal-użu tas-software malizzjuż jew mhux awtorizzat. L-entitajiet rilevanti għandhom, meta xieraq, jiżguraw li n-networks u s-sistemi tal-informazzjoni tagħhom ikunu mgħammra b’software tad-detezzjoni u tar-rispons, li jkun aġġornat regolarment skont il-valutazzjoni tar-riskju mwettqa skont il-punt 2.1 u l-ftehimiet kuntrattwali mal-fornituri.
6.10.Trattament u żvelar tal-vulnerabbiltajiet
6.10.1.L-entitajiet rilevanti għandhom jiksbu informazzjoni dwar il-vulnerabbiltajiet tekniċi fin-networks u s-sistemi tal-informazzjoni tagħhom, jevalwaw l-esponiment tagħhom għal dawk il-vulnerabbiltajiet, u jieħdu miżuri xierqa biex jimmaniġġjaw il-vulnerabbiltajiet.
6.10.2.Għall-fini tal-punt 6.10.1., l-entitajiet rilevanti għandhom:
(a)jimmonitorjaw l-informazzjoni dwar il-vulnerabbiltajiet b’mezzi xierqa, bħal avviżi tas-CSIRTs, awtoritajiet kompetenti jew informazzjoni pprovduta mill-fornituri jew mill-fornituri tas-servizzi;
(b)iwettqu, meta xieraq, scans tal-vulnerabbiltajiet, u jirreġistraw l-evidenza tar-riżultati tal-iscans, f’intervalli ppjanati;
(c)jindirizzaw, mingħajr dewmien żejjed, il-vulnerabbiltajiet identifikati mill-entitajiet rilevanti bħala kritiċi għall-operazzjonijiet tagħhom;
(d)jiżguraw li t-trattament tal-vulnerabbiltajiet tagħhom ikun kompatibbli mal-ġestjoni tal-bidla, il-ġestjoni tal-patches tas-sigurtà, il-ġestjoni tar-riskji, u l-proċeduri tal-ġestjoni tal-inċidenti;
(e)jistabbilixxu proċedura għall-iżvelar tal-vulnerabbiltajiet f’konformità mal-politika nazzjonali kkoordinata applikabbli dwar l-iżvelar tal-vulnerabbiltajiet.
6.10.3.Meta jkun iġġustifikat bl-impatt potenzjali tal-vulnerabbiltà, l-entitajiet rilevanti għandhom joħolqu u jimplimentaw pjan biex itaffu l-vulnerabbiltà. F’każijiet oħra, l-entitajiet rilevanti għandhom jiddokumentaw u jissostanzjaw ir-raġuni għaliex il-vulnerabbiltà ma teħtieġx rimedju.
6.10.4.L-entitajiet rilevanti għandhom jirrieżaminaw u, meta xieraq, jaġġornaw f’intervalli ppjanati l-mezzi li jużaw għall-monitoraġġ tal-informazzjoni dwar il-vulnerabbiltà.
7.Politiki u proċeduri biex tiġi vvalutata l-effettività tal-miżuri tal-ġestjoni tar-riskji taċ-ċibersigurtà (l-Artikolu 21(2), il-punt (f), tad-Direttiva (UE) 2022/2555)
7.1.Għall-fini tal-Artikolu 21(2), il-punt (f), tad-Direttiva (UE) 2022/2555, l-entitajiet rilevanti għandhom jistabbilixxu, jimplimentaw u japplikaw politika u proċeduri biex jivvalutaw jekk il-miżuri tal-ġestjoni tar-riskji taċ-ċibersigurtà li ħadet l-entità rilevanti mhumiex implimentati u mħaddma b’mod effettiv.
7.2.Il-politika u l-proċeduri msemmija fil-punt 7.1. għandhom iqisu r-riżultati tal-valutazzjoni tar-riskju skont il-punt 2.1. u inċidenti sinifikanti tal-passat. L-entitajiet rilevanti għandhom jiddeterminaw:
(a)liema miżuri tal-ġestjoni tar-riskji taċ-ċibersigurtà għandhom jiġu mmonitorjati u mkejla, inkluż il-proċessi u l-kontrolli;
(b)il-metodi għall-monitoraġġ, il-kejl, l-analiżi u l-evalwazzjoni, kif applikabbli, li jiżguraw riżultati validi;
(c)meta għandhom isiru l-monitoraġġ u l-kejl;
(d)min hu responsabbli għall-monitoraġġ u l-kejl tal-effettività tal-miżuri tal-ġestjoni tar-riskji taċ-ċibersigurtà;
(e)meta r-riżultati tal-monitoraġġ u l-kejl għandhom jiġu analizzati u evalwati;
(f)min għandu janalizza u jevalwa dawn ir-riżultati.
7.3.L-entitajiet rilevanti għandhom jirrieżaminaw u, meta xieraq, jaġġornaw il-politika u l-proċeduri f’intervalli ppjanati u meta jsiru inċidenti sinifikanti jew bidliet sinifikanti fl-operazzjonijiet jew fir-riskji.
8.Prattiki bażiċi tal-iġjene ċibernetika u t-taħriġ fis-sigurtà (l-Artikolu 21(2), il-punt (g), tad-Direttiva (UE) 2022/2555)
8.1.Tixrid tal-għarfien u prattiki bażiċi tal-iġjene ċibernetika
8.1.1.Għall-fini tal-Artikolu 21(2), il-punt (g), tad-Direttiva (UE) 2022/2555, l-entitajiet rilevanti għandhom jiżguraw li l-impjegati tagħhom, inkluż il-membri tal-korpi maniġerjali, kif ukoll il-fornituri u l-fornituri tas-servizzi diretti jkunu jafu bir-riskji, ikunu infurmati dwar l-importanza taċ-ċibersigurtà u japplikaw prattiki tal-iġjene ċibernetika.
8.1.2.Għall-fini tal-punt 8.1.1., l-entitajiet rilevanti għandhom joffru programm ta’ tixrid tal-għarfien lill-impjegati tagħhom, inklużi lill-membri tal-korpi maniġerjali, kif ukoll lill-fornituri u lill-fornituri tas-servizzi diretti meta xieraq f’konformità mal-punt 5.1.4., u dan il-programm għandu:
(a)jkun mifrux fuq medda taż-żmien ħalli l-attivitajiet jiġu ripetuti u jilħqu lil impjegati ġodda;
(b)jiġi stabbilit skont il-politika dwar is-sigurtà tan-networks u tas-sistemi tal-informazzjoni, il-politiki speċifiċi skont is-suġġett, u l-proċeduri rilevanti dwar is-sigurtà tan-networks u tas-sistemi tal-informazzjoni;
(c)ikopri t-theddid ċibernetiku rilevanti, il-miżuri fis-seħħ tal-ġestjoni tar-riskji taċ-ċibersigurtà, il-punti tal-kuntatt u r-riżorsi għal informazzjoni u pariri addizzjonali dwar kwistjonijiet taċ-ċibersigurtà, kif ukoll prattiki tal-iġjene ċibernetika għall-utenti.
8.1.3.Il-programm tat-tixrid tal-għarfien għandu, meta xieraq, jiġi ttestjat mil-lat ta’ effettività. Il-programm tat-tixrid tal-għarfien għandu jiġi aġġornat u offrut f’intervalli ppjanati li jqisu l-bidliet fil-prattiki tal-iġjene ċibernetika, fix-xenarju tat-theddid attwali u fir-riskji għall-entitajiet rilevanti.
8.2.Taħriġ fis-sigurtà
8.2.1.L-entitajiet rilevanti għandhom jidentifikaw l-impjegati, li r-rwoli tagħhom jeħtieġu settijiet ta’ ħiliet u għarfien espert rilevanti għas-sigurtà, u jiżguraw li dawn jirċievu taħriġ regolari fis-sigurtà tan-networks u tas-sistemi tal-informazzjoni.
8.2.2.L-entitajiet rilevanti għandhom jistabbilixxu, jimplimentaw u japplikaw programm tat-taħriġ skont il-politika dwar is-sigurtà tan-networks u tas-sistemi tal-informazzjoni, politiki speċifiċi skont is-suġġett u proċeduri rilevanti oħra dwar is-sigurtà tan-networks u tas-sistemi tal-informazzjoni, li jistabbilixxi l-ħtiġijiet tat-taħriġ għal ċerti rwoli u pożizzjonijiet abbażi ta’ kriterji.
8.2.3.It-taħriġ imsemmi fil-punt 8.2.1. għandu jkun rilevanti għall-funzjoni tal-impjieg tal-impjegat u għandha tiġi vvalutata l-effettività tiegħu. It-taħriġ għandu jqis il-miżuri tas-sigurtà fis-seħħ u jkopri dan li ġej:
(a)struzzjonijiet dwar il-konfigurazzjoni u t-tħaddim siguri tan-networks u tas-sistemi tal-informazzjoni, inkluż tal-apparati mobbli;
(b)briefing dwar theddid ċibernetiku magħruf;
(c)taħriġ dwar l-imġiba meta jinqalgħu avvenimenti rilevanti għas-sigurtà.
8.2.4.L-entitajiet rilevanti għandhom japplikaw taħriġ lill-membri tal-persunal li jimxu lejn pożizzjonijiet jew rwoli ġodda li jeħtieġu settijiet ta’ ħiliet u għarfien espert rilevanti għas-sigurtà.
8.2.5.Il-programm għandu jiġi aġġornat u jsir perjodikament filwaqt li jitqiesu l-politiki u r-regoli applikabbli, ir-rwoli assenjati, ir-responsabbiltajiet, kif ukoll it-theddid ċibernetiku u l-iżviluppi teknoloġiċi magħrufa.
9.Il-kriptografija (l-Artikolu 21(2), il-punt (h), tad-Direttiva (UE) 2022/2555)
9.1.Għall-fini tal-Artikolu 21(2), il-punt (h), tad-Direttiva (UE) 2022/2555, l-entitajiet rilevanti għandhom jistabbilixxu, jimplimentaw u japplikaw politika u proċeduri relatati mal-kriptografija, biex jiżguraw użu adegwat u effettiv tal-kriptografija li jħares il-kunfidenzjalità, l-awtentiċità u l-integrità tad-data skont il-klassifikazzjoni tal-assi tal-entitajiet rilevanti u r-riżultati tal-valutazzjoni tar-riskju mwettqa skont il-punt 2.1.
9.2.Il-politika u l-proċeduri msemmija fil-punt 9.1. għandhom jistabbilixxu:
(a)f’konformità mal-klassifikazzjoni tal-assi tal-entitajiet rilevanti, it-tip, is-saħħa u l-kwalità tal-miżuri kriptografiċi meħtieġa għall-protezzjoni tal-assi tal-entitajiet rilevanti, inkluvż id-data wieqfa u d-data fi tranżitu;
(b)abbażi tal-punt (a), il-protokolli jew il-familji tal-protokolli li jridu jiġu adottati, u l-algoritmi kriptografiċi, is-saħħa taċ-ċifratura, is-soluzzjonijiet kriptografiċi u l-prattiki tal-użu li jridu jiġu approvati u li huma meħtieġa għall-użu fl-entitajiet rilevanti, skont, meta xieraq, approċċ ta’ aġilità kriptografika;
(c)l-approċċ tal-entitajiet rilevanti għall-ġestjoni tal-kjavi, inkluż, meta xieraq, il-metodi għal dawn li ġejjin:
(i)il-ġenerazzjoni ta’ kjavi differenti għas-sistemi u l-applikazzjonijiet kriptografiċi;
(ii)il-ħruġ u l-kisba ta’ ċertifikati ta’ kjavi pubbliċi;
(iii)id-distribuzzjoni tal-kjavi lill-entitajiet maħsuba, inkluż kif jiġu attivati l-kjavi malli jaslu;
(iv)il-ħżin tal-kjavi, inkluż kif l-utenti awtorizzati jiksbu aċċess għall-kjavi;
(v)it-tibdil jew l-aġġornament tal-kjavi, inkluż ir-regoli dwar meta u kif għandhom jinbidlu l-kjavi;
(vi)it-trattament tal-kjavi kompromessi;
(vii)it-tħassir tal-kjavi, inkluż kif jiġu rtirati jew diżattivati l-kjavi;
(viii)l-irkupru ta’ kjavi mitlufa jew korrotti;
(ix)il-backup jew l-arkivjar tal-kjavi;
(x)il-qerda tal-kjavi;
(xi)ir-reġistrazzjoni u l-awditjar tal-attivitajiet relatati mal-ġestjoni tal-kjavi;
(xii)l-istabbiliment ta’ dati tal-attivazzjoni u tad-diżattivazzjoni għall-kjavi li jiżguraw li l-kjavi jistgħu jintużaw biss għall-perjodu taż-żmien speċifikat skont ir-regoli tal-organizzazzjoni dwar il-ġestjoni tal-kjavi.
9.3.L-entitajiet rilevanti għandhom jirrieżaminaw u, meta xieraq, jaġġornaw il-politika u l-proċeduri tagħhom f’intervalli ppjanati, filwaqt li jqisu l-aktar kriptografija avvanzata.
10.Sigurtà tar-riżorsi umani (l-Artikolu 21(2), il-punt (i), tad-Direttiva (UE) 2022/2555)
10.1.Sigurtà tar-riżorsi umani
10.1.1.Għall-fini tal-Artikolu 21(2), il-punt (i), tad-Direttiva (UE) 2022/2555, l-entitajiet rilevanti għandhom jiżguraw li l-impjegati tagħhom u l-fornituri u l-fornituri tas-servizzi diretti tagħhom, kull meta applikabbli, jifhmu u jimpenjaw ruħhom għar-responsabbiltajiet tagħhom fejn tidħol is-sigurtà, kif xieraq għas-servizzi offruti u l-impjieg, u f’konformità mal-politika tal-entitajiet rilevanti dwar is-sigurtà tan-networks u tas-sistemi tal-informazzjoni.
10.1.2.Ir-rekwiżit imsemmi fil-punt 10.1.1. għandu jinkludi dan li ġej:
(a)mekkaniżmi li jiżguraw li l-impjegati, il-fornituri u l-fornituri tas-servizzi diretti kollha, kull meta applikabbli, jifhmu u jimxu mal-prattiki standard tal-iġjene ċibernetika li l-entitajiet rilevanti japplikaw skont il-punt 8.1.;
(b)mekkaniżmi li jiżguraw li l-utenti kollha b’aċċess amministrattiv jew privileġġjat ikunu konxji mir-rwoli, ir-responsabbiltajiet u l-awtoritajiet tagħhom u jaġixxu f’konformità magħhom;
(c)mekkaniżmi li jiżguraw li l-membri tal-korpi maniġerjali jifhmu u jaġixxu skont ir-rwoli, ir-responsabbiltajiet u l-awtoritajiet tagħhom fir-rigward tas-sigurtà tan-networks u tas-sistemi tal-informazzjoni;
(d)mekkaniżmi għar-reklutaġġ tal-persunal kwalifikat għar-rwoli rispettivi, bħal kontrolli ta’ referenza, proċeduri ta’ skrutinju, validazzjoni taċ-ċertifikazzjonijiet, jew testijiet bil-miktub.
10.1.3.L-entitajiet rilevanti għandhom jirrieżaminaw l-assenjar tal-persunal għal rwoli speċifiċi kif imsemmi fil-punt 1.2., u l-impenn tagħhom bħala riżorsi umani f’dak ir-rigward, f’intervalli ppjanati u mill-inqas kull sena. Dawn għandhom jaġġornaw l-assenjar meta meħtieġ.
10.2.Verifika tal-isfond personali
10.2.1.L-entitajiet rilevanti għandhom kemm jista’ jkun fattibbli jiżguraw li jwettqu verifika tal-isfond personali tal-impjegati tagħhom, u meta applikabbli tal-fornituri u l-fornituri tas-servizzi diretti f’konformità mal-punt 5.1.4, jekk meħtieġ għar-rwol, ir-responsabbiltajiet u l-awtorizzazzjonijiet tagħhom.
10.2.2.Għall-fini tal-punt 10.2.1., l-entitajiet rilevanti għandhom:
(a)idaħħlu kriterji li jistabbilixxu liema rwoli, responsabbiltajiet u awtoritajiet għandhom jiġu eżerċitati biss minn persuni li tkun saritilhom verifika tal-isfond personali;
(b)jiżguraw li l-verifika msemmija fil-punt 10.2.1 issir fuq dawn il-persuni qabel ma jibdew jeżerċitaw dawn ir-rwoli, ir-responsabbiltajiet u l-awtoritajiet, u dawn il-verifiki għandhom jikkunsidraw il-liġijiet, ir-regolamenti u l-etika applikabbli b’mod proporzjonat mar-rekwiżiti tan-negozju, il-klassifikazzjoni tal-assi kif imsemmi fil-punt 12.1. u n-networks u s-sistemi tal-informazzjoni li għandhom jiġu aċċessati, u r-riskji perċepiti.
10.2.3.L-entitajiet rilevanti għandhom jirrieżaminaw u, meta xieraq, jaġġornaw il-politika f’intervalli ppjanati u jaġġornawha meta meħtieġ.
10.3.Terminazzjoni jew bidla fil-proċeduri tal-impjieg
10.3.1.L-entitajiet rilevanti għandhom jiżguraw li r-responsabbiltajiet u d-dmirijiet tas-sigurtà tan-networks u tas-sistemi tal-informazzjoni li jibqgħu jgħoddu wara terminazzjoni jew bidla fl-impjieg tal-impjegati tagħhom jiġu definiti u infurzati kuntrattwalment.
10.3.2.Għall-fini tal-punt 10.3.1., fit-termini u l-kundizzjonijiet tal-impjieg, fil-kuntratt jew fil-ftehim mal-individwu, l-entitajiet rilevanti għandhom jinkludu r-responsabbiltajiet u d-dmirijiet li jibqgħu jgħoddu wara t-terminazzjoni tal-impjieg jew tal-kuntratt, bħal klawżoli tal-kunfidenzjalità.
10.4.Proċess dixxiplinarju
10.4.1.L-entitajiet rilevanti għandhom jistabbilixxu, jikkomunikaw u jħaddmu proċess dixxiplinarju li jindirizza xi ksur tal-politiki tas-sigurtà tan-networks u tas-sistemi tal-informazzjoni. Il-proċess għandu jqis ir-rekwiżiti legali, statutorji, kuntrattwali u tan-negozju rilevanti.
10.4.2.L-entitajiet rilevanti għandhom jirrieżaminaw u, meta xieraq, jaġġornaw il-proċess dixxiplinarju f’intervalli ppjanati, u meta jkun meħtieġ minħabba bidliet legali jew bidliet sinifikanti fl-operazzjonijiet jew fir-riskji.
11.Kontroll tal-aċċess (l-Artikolu 21(2), il-punti (i) u (j), tad-Direttiva (UE) 2022/2555)
11.1.Politika tal-kontroll tal-aċċess
11.1.1.Għall-fini tal-Artikolu 21(2), il-punt (i), tad-Direttiva (UE) 2022/2555, l-entitajiet rilevanti għandhom jistabbilixxu, jiddokumentaw u jimplimentaw politiki tal-kontroll tal-aċċess loġiċi u fiżiċi għall-aċċess għan-networks u għas-sistemi tal-informazzjoni tagħhom, abbażi ta’ rekwiżiti tan-negozju u rekwiżiti tas-sigurtà tan-networks u tas-sistemi tal-informazzjoni.
11.1.2.Il-politiki msemmija fil-punt 11.1.1. għandhom:
(a)jindirizzaw l-aċċess minn persuni, inkluż persunal, viżitaturi, u entitajiet esterni bħal fornituri u fornituri tas-servizzi;
(b)jindirizzaw l-aċċess min-networks u mis-sistemi tal-informazzjoni;
(c)jiżguraw li l-aċċess jingħata biss lill-utenti li jkunu ġew awtentikati kif xieraq.
11.1.3.L-entitajiet rilevanti għandhom jirrieżaminaw u, meta xieraq, jaġġornaw il-politiki f’intervalli ppjanati u meta jsiru inċidenti sinifikanti jew bidliet sinifikanti fl-operazzjonijiet jew fir-riskji.
11.2.Ġestjoni tad-drittijiet tal-aċċess
11.2.1.L-entitajiet rilevanti għandhom jipprovdu, jimmodifikaw, ineħħu u jiddokumentaw id-drittijiet tal-aċċess għan-networks u s-sistemi tal-informazzjoni skont il-politika tal-kontroll tal-aċċess imsemmija fil-punt 11.1.
11.2.2.L-entitajiet rilevanti għandhom:
(a)jassenjaw u jirrevokaw id-drittijiet tal-aċċess abbażi tal-prinċipji tal-ħtieġa ta’ għarfien, l-inqas privileġġ u s-separazzjoni tad-doveri;
(b)jiżguraw li d-drittijiet tal-aċċess jiġu modifikati kif xieraq wara terminazzjoni jew bidla fl-impjieg;
(c)jiżguraw li l-aċċess għan-networks u s-sistemi tal-informazzjoni jkun awtorizzat mill-persuni rilevanti;
(d)jiżguraw li d-drittijiet tal-aċċess jindirizzaw kif xieraq l-aċċess ta’ partijiet terzi, bħal viżitaturi, fornituri u fornituri tas-servizzi, b’mod partikolari billi jillimitaw id-drittijiet tal-aċċess mil-lat ta’ ambitu u tul ta’ ħin;
(e)iżommu reġistru tad-drittijiet tal-aċċess mogħtija;
(f)iżommu rendikonti għall-ġestjoni tad-drittijiet tal-aċċess.
11.2.3.L-entitajiet rilevanti għandhom jirrieżaminaw id-drittijiet tal-aċċess f’intervalli ppjanati u għandhom jimmodifikawhom skont il-bidliet organizzattivi. L-entitajiet rilevanti għandhom jiddokumentaw ir-riżultati tar-rieżami, inkluż il-bidliet meħtieġa fid-drittijiet tal-aċċess.
11.3.Kontijiet privileġġati u kontijiet tal-amministrazzjoni tas-sistema
11.3.1.L-entitajiet rilevanti għandhom iħaddmu politiki għall-ġestjoni tal-kontijiet privileġġati u tal-kontijiet tal-amministrazzjoni tas-sistema bħala parti mill-politika tal-kontroll tal-aċċess imsemmija fil-punt 11.1.
11.3.2.Il-politiki msemmija fil-punt 11.3.1. għandhom:
(a)jistabbilixxu identifikazzjoni soda, awtentikazzjoni bħal awtentikazzjoni b’diversi fatturi, u proċeduri tal-awtorizzazzjoni għall-kontijiet privileġġati u għall-kontijiet amministrattivi tas-sistema;
(b)jistabbilixxu kontijiet speċifiċi li jridu jintużaw esklussivament għall-operazzjonijiet tal-amministrazzjoni tas-sistema, bħal installazzjoni, konfigurazzjoni, ġestjoni jew manutenzjoni;
(c)jindividwalizzaw u jillimitaw kemm jista’ jkun il-privileġġi tal-amministrazzjoni tas-sistema,
(d)jiżguraw li l-kontijiet tal-amministrazzjoni tas-sistema jintużaw biss għal konnessjoni mas-sistemi tal-amministrazzjoni tas-sistema.
11.3.3.L-entitajiet rilevanti għandhom jirrieżaminaw id-drittijiet tal-aċċess tal-kontijiet privileġġati u tal-kontijiet tal-amministrazzjoni tas-sistema f’intervalli ppjanati u jiġu mmodifikati skont il-bidliet organizzattivi, u għandhom jiddokumentaw ir-riżultati tar-rieżami, inkluż il-bidliet meħtieġa fid-drittijiet tal-aċċess.
11.4.Sistemi tal-amministrazzjoni
11.4.1.L-entitajiet rilevanti għandhom jillimitaw u jikkontrollaw l-użu tas-sistemi tal-amministrazzjoni skont il-politika tal-kontroll tal-aċċess imsemmija fil-punt 11.1.
11.4.2.Għal dak il-għan, l-entitajiet rilevanti għandhom:
(a)jużaw is-sistemi tal-amministrazzjoni tas-sistema biss għal skopijiet ta’ amministrazzjoni tas-sistema, u mhux għal xi operazzjoni oħra;
(b)jisseparaw loġikament dawn is-sistemi mis-software tal-applikazzjonijiet li ma jintużax għal skopijiet amministrattivi tas-sistema,
(c)jipproteġu l-aċċess għas-sistemi tal-amministrazzjoni tas-sistema permezz ta’ awtentikazzjoni u kriptaġġ.
11.5.Identifikazzjoni
11.5.1.L-entitajiet rilevanti għandhom jimmaniġġjaw iċ-ċiklu tal-ħajja kollu tal-identitajiet tan-networks u tas-sistemi tal-informazzjoni u l-utenti tagħhom.
11.5.2.Għal dak il-għan, l-entitajiet rilevanti għandhom:
(a)jistabbilixxu identitajiet uniċi għan-networks u s-sistemi tal-informazzjoni u għall-utenti tagħhom;
(b)jorbtu l-identità tal-utenti ma’ persuna waħda;
(c)jiżguraw is-sorveljanza tal-identitajiet tan-networks u tas-sistemi tal-informazzjoni;
(d)japplikaw ir-rendikonti għall-ġestjoni tal-identitajiet.
11.5.3.L-entitajiet rilevanti għandhom jippermettu biss identitajiet assenjati lil diversi persuni, bħal identitajiet kondiviżi, meta dawn ikunu meħtieġa għal raġunijiet ta’ negozju jew operazzjonali, u dawn għandhom ikunu soġġetti għal proċess espliċitu tal-approvazzjoni u dokumentazzjoni. L-entitajiet rilevanti għandhom jikkunsidraw l-identitajiet assenjati lil diversi persuni fil-qafas tal-ġestjoni tar-riskji taċ-ċibersigurtà msemmi fil-punt 2.1.
11.5.4.L-entitajiet rilevanti għandhom jirrieżaminaw regolarment l-identitajiet għan-networks u s-sistemi tal-informazzjoni u għall-utenti tagħhom u, jekk ma jibqgħux meħtieġa, għandhom jiddiżattivawhom mingħajr dewmien.
11.6.Awtentikazzjoni
11.6.1.L-entitajiet rilevanti għandhom jimplimentaw proċeduri u teknoloġiji tal-awtentikazzjoni siguri abbażi ta’ restrizzjonijiet tal-aċċess u skont il-politika dwar il-kontroll tal-aċċess.
11.6.2.Għal dak il-għan, l-entitajiet rilevanti għandhom:
(a)jiżguraw li s-saħħa tal-awtentikazzjoni tkun xierqa għall-klassifikazzjoni tal-assi li jkun irid jiġi aċċessat;
(b)jikkontrollaw l-allokazzjoni lill-utenti u l-ġestjoni tal-informazzjoni sigrieta tal-awtentikazzjoni bi proċess li jiżgura l-kunfidenzjalità tal-informazzjoni, inkluż b’tixrid tal-għarfien fost il-persunal dwar it-trattament xieraq tal-informazzjoni tal-awtentikazzjoni;
(c)jeżiġu l-bidla tal-kredenzjali tal-awtentikazzjoni fil-bidu, f’intervalli predefiniti u meta jkun hemm suspett li l-kredenzjali ġew kompromessi;
(d)jeżiġu risettjar tal-kredenzjali tal-awtentikazzjoni u imblukkar tal-utenti wara għadd predefinit ta’ tentattivi ta’ log-in li ma rnexxewx;
(e)itemmu s-sessjonijiet inattivi wara perjodu predefinit ta’ inattività; u
(f)ikunu jitolbu kredenzjali separati biex jiġu aċċessi kontijiet b’aċċess privileġġjat jew kontijiet amministrattivi.
11.6.3.L-entitajiet rilevanti għandhom, sa fejn ikun fattibbli, jużaw metodi tal-awtentikazzjoni mill-aktar avvanzati, f’konformità mar-riskju vvalutat assoċjat u l-klassifikazzjoni tal-assi li jkun irid jiġi aċċessat, u l-informazzjoni unika dwar l-awtentikazzjoni.
11.6.4.L-entitajiet rilevanti għandhom jirrevedu l-proċeduri u t-teknoloġiji tal-awtentikazzjoni f’intervalli ppjanati.
11.7.Awtentikazzjoni b’diversi fatturi
11.7.1.L-entitajiet rilevanti għandhom jiżguraw li l-utenti jiġu awtentikati b’diversi fatturi tal-awtentikazzjoni jew b’mekkaniżmi ta’ awtentikazzjoni kontinwa biex jiksbu aċċess għan-network u s-sistemi tal-informazzjoni tal-entitajiet rilevanti, meta xieraq, f’konformità mal-klassifikazzjoni tal-assi li jkun irid jiġi aċċessat.
11.7.2.L-entitajiet rilevanti għandhom jiżguraw li s-saħħa tal-awtentikazzjoni tkun xierqa għall-klassifikazzjoni tal-assi li jkun irid jiġi aċċessat.
12.Ġestjoni tal-assi (l-Artikolu 21(2), il-punt (i), tad-Direttiva (UE) 2022/2555)
12.1.Klassifikazzjoni tal-assi
12.1.1.Għall-fini tal-Artikolu 21(2), il-punt (i), tad-Direttiva (UE) 2022/2555, l-entitajiet rilevanti għandhom jistabbilixxu l-livelli tal-klassifikazzjoni tal-assi kollha, inkluż l-informazzjoni, fl-ambitu tan-networks u tas-sistemi tal-informazzjoni tagħhom għal-livell tal-protezzjoni meħtieġ.
12.1.2.Għall-fini tal-punt 12.1.1., l-entitajiet rilevanti għandhom:
(a)jistabbilixxu sistema ta’ livelli tal-klassifikazzjoni tal-assi;
(b)jassoċjaw l-assi kollha ma’ livell tal-klassifikazzjoni, abbażi ta’ rekwiżiti tal-kunfidenzjalità, tal-integrità, tal-awtentiċità u tad-disponibbiltà, biex jindikaw il-protezzjoni meħtieġa skont is-sensittività, il-kritikalità, ir-riskju u l-valur tan-negozju tagħhom;
(c)jallinjaw ir-rekwiżiti tad-disponibbiltà tal-assi mal-objettivi ta’ twettiq u rkupru stabbiliti fil-pjanijiet tal-kontinwità tal-operat tagħhom u tal-irkupru mid-diżastri.
12.1.3.L-entitajiet rilevanti għandhom iwettqu rieżamijiet perjodiċi tal-livelli tal-klassifikazzjoni tal-assi u jaġġornawhom, meta xieraq.
12.2.Trattament tal-assi
12.2.1.L-entitajiet rilevanti għandhom jistabbilixxu, jimplimentaw u japplikaw politika għat-trattament xieraq tal-assi, inkluż l-informazzjoni, f’konformità mal-politika tagħhom tas-sigurtà tan-networks u tas-sistemi tal-informazzjoni, u għandhom jikkomunikaw il-politika tat-trattament xieraq tal-assi lil kull min juża jew jittratta l-assi.
12.2.2.Il-politika għandha:
(a)tkopri ċ-ċiklu tal-ħajja kollu tal-assi, inkluż l-akkwist, l-użu, il-ħżin, il-ġarr u t-tħassir;
(b)tipprovdi regoli dwar l-użu sikur, il-ħżin sikur, il-ġarr sikur, u t-tħassir u l-qerda irrimedjabbli tal-assi.
(c)jipprevedi li t-trasferiment għandu jsir b’mod sigur, f’konformità mat-tip ta’ assi li jrid jiġi ttrasferit.
12.2.3.L-entitajiet rilevanti għandhom jirrieżaminaw u, meta xieraq, jaġġornaw il-politika f’intervalli ppjanati u meta jsiru inċidenti sinifikanti jew bidliet sinifikanti fl-operazzjonijiet jew fir-riskji.
12.3.Politika dwar il-mezzi li jistgħu jitneħħew
12.3.1.L-entitajiet rilevanti għandhom jistabbilixxu, jimplimentaw u japplikaw politika dwar il-ġestjoni tal-mezzi tal-ħżin li jistgħu jitneħħew u jikkomunikawha lill-impjegati tagħhom u lil partijiet terzi li jittrattaw il-mezzi tal-ħżin li jistgħu jitneħħew, meta jkunu fil-bini tal-entitajiet rilevanti jew f’postijiet oħra fejn il-mezzi li jistgħu jitneħħew ikunu mqabbdin man-network u mas-sistemi tal-informazzjoni tal-entitajiet rilevanti.
12.3.2.Il-politika għandha:
(a)tipprevedi projbizzjoni teknika tal-konnessjoni tal-mezzi li jistgħu jitneħħew, sakemm ma jkunx hemm raġuni organizzattiva għall-użu tagħhom;
(b)tipprevedi d-diżattivazzjoni tal-awtoeżekuzzjoni ta’ dawn il-mezzi u l-iskennjar tal-mezzi kontra xi kodiċi malizzjuż qabel ma jintużaw fis-sistemi tal-entitajiet rilevanti;
(c)tipprovdi miżuri għall-kontroll u l-protezzjoni tal-apparat portabbli tal-ħżin li jkun fih data waqt it-tranżitu u l-ħżin;
(d)meta xieraq, tipprovdi miżuri għall-użu ta’ tekniki kriptografiċi li jipproteġu d-data fuq il-mezzi tal-ħżin li jistgħu jitneħħew.
12.3.3.L-entitajiet rilevanti għandhom jirrieżaminaw u, meta xieraq, jaġġornaw il-politika f’intervalli ppjanati u meta jsiru inċidenti sinifikanti jew bidliet sinifikanti fl-operazzjonijiet jew fir-riskji.
12.4.Inventarju tal-assi
12.4.1.L-entitajiet rilevanti għandhom jiżviluppaw u jżommu inventarju sħiħ, preċiż, aġġornat u konsistenti tal-assi tagħhom. Għandhom jirreġistraw il-bidliet fl-entrati tal-inventarju b’mod traċċabbli.
12.4.2.Il-granularità tal-inventarju tal-assi għandha tkun f’livell xieraq skont il-ħtiġijiet tal-entitajiet rilevanti. L-inventarju għandu jinkludi dan li ġej:
(a)il-lista tal-operazzjonijiet u tas-servizzi, u d-deskrizzjoni tagħhom,
(b)il-lista tan-networks u tas-sistemi tal-informazzjoni u ta’ assi assoċjati oħra li jappoġġaw l-operazzjonijiet u s-servizzi tal-entitajiet rilevanti.
12.4.3.L-entitajiet rilevanti għandhom jirrieżaminaw u jaġġornaw regolarment l-inventarju u l-assi tagħhom u jiddokumentaw il-bidliet li jsiru matul is-snin.
12.5.Depożitar, ritorn jew tħassir tal-assi waqt terminazzjoni ta’ impjieg
L-entitajiet rilevanti għandhom jistabbilixxu, jimplimentaw u japplikaw proċeduri li jiżguraw li l-assi tagħhom li jkunu fil-kustodja tal-persunal jiġu depożitati, jiġu rritornati jew jitħassru malli jitterminaw l-impjieg, u għandhom jiddokumentaw id-depożitu, ir-ritorn u t-tħassir ta’ dawk l-assi. Meta d-depożitar, ir-ritorn jew it-tħassir tal-assi ma jkunx possibbli, l-entitajiet rilevanti għandhom jiżguraw li l-assi ma jkunux jistgħu jaċċessaw aktar in-network u s-sistemi tal-informazzjoni tal-entitajiet rilevanti f’konformità mal-punt 12.2.2.
13.Sigurtà ambjentali u fiżika (l-Artikolu 21(2), il-punti (c), (e) u (i), tad-Direttiva (UE) 2022/2555)
13.1.Utilitajiet ta’ appoġġ
13.1.1.Għall-fini tal-Artikolu 21(2)(c) tad-Direttiva (UE) 2022/2555, l-entitajiet rilevanti għandhom jipprevjenu t-telf, il-ħsara jew il-kompromess tan-networks u tas-sistemi tal-informazzjoni jew l-interruzzjoni tal-operazzjonijiet tagħhom minħabba l-falliment u t-tfixkil tal-utilitajiet ta’ appoġġ.
13.1.2.Għal dak l-għan, l-entitajiet rilevanti għandhom, meta xieraq:
(a)jipproteġu l-faċilitajiet minn qtugħ fil-provvista tal-enerġija u interruzzjonijiet oħra kkawżati minn fallimenti fl-utilitajiet ta’ appoġġ bħall-elettriku, it-telekomunikazzjonijiet, il-provvista tal-ilma, il-gass, id-drenaġġ, il-ventilazzjoni u l-arja kundizzjonata;
(b)jikkunsidraw l-użu ta’ abbundanza fis-servizzi tal-utilitajiet;
(c)jipproteġu servizzi ta’ utilità għall-elettriku u t-telekomunikazzjonijiet, li jġorru d-data jew jipprovdu networks u sistemi tal-informazzjoni, minn kull interċettazzjoni u ħsara;
(d)jimmonitorjaw is-servizzi ta’ utilità msemmija fil-punt (c) u jirrapportaw lill-persunal kompetenti intern jew estern kull avveniment barra mil-limiti minimi u massimi ta’ kontroll imsemmija fil-punt 13.2.2 (b) li jaffettwaw is-servizzi ta’ utilità;
(e)jikkonkludu kuntratti għall-provvista ta’ emerġenza b’servizzi korrispondenti, bħal pereżempju għall-fjuwil li jipprovdi l-enerġija ta’ emerġenza;
(f)jiżguraw l-effettività kontinwa, jimmonitorjaw, iżommu u jittestjaw il-provvista tan-networks u tas-sistemi tal-informazzjoni meħtieġa għat-tħaddim tas-servizz offrut, b’mod partikolari l-elettriku, il-kontroll tat-temperatura u tal-umdità, it-telekomunikazzjoni u l-konnessjoni tal-internet.
13.1.3.L-entitajiet rilevanti għandhom jittestjaw, jirrieżaminaw u, meta xieraq, jaġġornaw il-miżuri ta’ protezzjoni b’mod regolari jew wara inċidenti sinifikanti jew bidliet sinifikanti fl-operazzjonijiet jew fir-riskji.
13.2.Protezzjoni mit-theddid fiżiku u ambjentali
13.2.1.Għall-fini tal-Artikolu 21(2)(e) tad-Direttiva (UE) 2022/2555, l-entitajiet rilevanti għandhom jipprevjenu jew inaqqsu l-konsegwenzi ta’ avvenimenti li joriġinaw minn theddid fiżiku u ambjentali, bħal diżastri naturali u theddid intenzjonali jew mhux intenzjonat ieħor, skont ir-riżultati tal-valutazzjoni tar-riskju mwettqa skont il-punt 2.1.
13.2.2.Għal dak l-għan, l-entitajiet rilevanti għandhom, meta xieraq:
(a)ifasslu u jimplimentaw miżuri ta’ protezzjoni mit-theddid fiżiku u ambjentali;
(b)jiddeterminaw il-limiti minimi u massimi ta’ kontroll għat-theddid fiżiku u ambjentali;
(c)jimmonitorjaw il-parametri ambjentali u jirrapportaw lill-persunal kompetenti intern jew estern l-avvenimenti barra mil-limiti minimi u massimi ta’ kontroll imsemmija fil-punt (b).
13.2.3.L-entitajiet rilevanti għandhom jittestjaw, jirrieżaminaw u, meta xieraq, jaġġornaw il-miżuri ta’ protezzjoni mit-theddid fiżiku u ambjentali b’mod regolari jew wara inċidenti sinifikanti jew bidliet sinifikanti fl-operazzjonijiet jew fir-riskji.
13.3.Perimetru u kontroll tal-aċċess fiżiku
13.3.1.Għall-fini tal-Artikolu 21(2)(i) tad-Direttiva (UE) 2022/2555, l-entitajiet rilevanti għandhom jipprevjenu u jimmonitorjaw l-aċċess fiżiku mhux awtorizzat, il-ħsara u l-interferenza għan-network u s-sistemi tal-informazzjoni tagħhom.
13.3.2.Għal dak il-għan, l-entitajiet rilevanti għandhom:
(a)skont il-valutazzjoni tar-riskju mwettqa skont il-punt 2.1, jistabbilixxu u jużaw perimetri tas-sigurtà biex jipproteġu ż-żoni fejn ikun hemm in-networks u s-sistemi tal-informazzjoni u assi assoċjati oħra;
(b)jipproteġu ż-żoni msemmija fil-punt (a) b’kontrolli tad-dħul u punti tal-aċċess xierqa;
(c)ifasslu u jimplimentaw is-sigurtà fiżika għall-uffiċċji, il-kmamar u l-faċilitajiet,
(d)jimmonitorjaw kontinwament il-bini tagħhom għal kull aċċess fiżiku mhux awtorizzat.
13.3.3.L-entitajiet rilevanti għandhom jittestjaw, jirrieżaminaw u, meta xieraq, jaġġornaw il-miżuri tal-kontroll tal-aċċess fiżiku b’mod regolari jew meta jsiru inċidenti sinifikanti jew bidliet sinifikanti fl-operazzjonijiet jew fir-riskji.