Iċ-ċibersigurtà fl-istituzzjonijiet, il-korpi, l-uffiċċji u l-aġenziji tal-Unjoni Ewropea

 

SOMMARJU TA’:

Ir-Regolament (UE, Euratom) 2023/2841 li jistabbilixxi miżuri għal livell għoli komuni ta’ ċibersigurtà fl-istituzzjonijiet, korpi, uffiċċji u aġenziji tal-Unjoni

X’INHU L-GĦAN TAR-REGOLAMENT?

Ir-regolament għandu l-għan li jiżgura livell komuni għoli ta’ ċibersigurtà fl-istituzzjonijiet, fil-korpi, fl-uffiċċji u fl-aġenziji kollha tal-Unjoni Ewropea (UE) (definiti fih bħala “entitajiet tal-Unjoni”). Huwa jipprovdi għal:

• l-istabbiliment ta’ qafas intern tal-ġestjoni tar-riskju taċ-ċibersigurtà, ta’ governanza u ta’ kontroll tal-qafas għal kull entità tal-Unjoni;
• il-ġestjoni tar-riskju taċ-ċibersigurtà, ir-rappurtar u l-kondiviżjoni tal-informazzjoni;
• il-ħolqien ta’ Bord Interistituzzjonali taċ-Ċibersigurtà (IICB) u l-estensjoni tal-mandat għas-Servizz taċ-Ċibersigurtà għall-Istituzzjonijiet, Korpi u Aġenziji tal-Unjoni (CERT-EU);
• il-monitoraġġ tal-implimentazzjoni tar-regolament.

PUNTI EWLENIN

Miżuri u skeda ta’ żmien taċ-ċibersigurtà

L-IICB se joħroġ linji gwida sat-8 a’ Settembru 2024 lill-entitajiet kollha tal-Unjoni biex:

• iwettqu analiżi inizjali taċ-ċibersigurtà;
• jistabbilixxu qafas intern tal-ġestjoni tar-riskju taċ-ċibersigurtà, tal-governanza u tal-kontroll;
• iwettqu valutazzjonijiet tal-maturità taċ-ċibersigurtà;
• jieħdu miżuri għall-ġestjoni tar-riskju taċ-ċibersigurtà;
• jadottaw pjan taċ-ċibersigurtà.

Kull entità tal-Unjoni se timpenja ruħha għal dan li ġej.

• Se tistabbilixxi qafas intern tal-ġestjoni, governanza u kontroll tar-riskju taċ-ċibersigurtà sat-8 ta’ April 2025. Il-qafas se:
  • ikopru l-ambjent sħiħ tal-ICT mhux ikklassifikat tal-entità tal-Unjoni u jkun ibbażat fuq approċċ għall-perikli kollha;
  • jiżgura livell għoli ta’ ċibersigurtà u jistabbilixxu politiki interni dwar iċ-ċibersigurtà;
  • jiġi rivedut b’mod regolari, fid-dawl tal-bidliet tar-riskji taċ-ċibersigurtà, u tal-anqas kull 4 snin.
• Se jaħtar uffiċjal lokali taċ-ċibersigurtà bħala l-punt uniku ta’ kuntatt għall-kwistjonijiet kollha taċ-ċibersigurtà.
• Dan se jwettaq valutazzjoni tal-maturità taċ-ċibersigurtà sat-8 ta’ Lulju 2025, u mill-anqas kull sentejn wara dan. Entitajiet tal-Unjoni bi strutturi simili jistgħu jikkooperaw fit-twettiq ta’ tali valutazzjonijiet għall-entitajiet rispettivi tagħhom. Il-valutazzjoni se:
  • jinkorporaw l-elementi kollha tal-ambjent tal-ICT tal-entità;
  • jinkludu għarfien espert estern, fejn xieraq.
• Se jieħu miżuri tekniċi, operazzjonali u organizzattivi xierqa u proporzjonati sat-8 ta’ Settembru 2025 biex jiġġestixxi r-riskji identifikati fil-qafas u jipprevjeni jew jimminimizza l-impatt ta’ inċidenti.
• Huwa se japprova pjan taċ-ċibersigurtà mingħajr dewmien żejjed, u sa mhux aktar tard mit-8 ta’ Jannar 2026. Il-pjan se:
  • jiġi rivedut kull sentejn, jew b’mod aktar frekwenti jekk meħtieġ;
  • jinkludi l-pjan ta’ ġestjoni tal-kriżi ċibernetika għal inċidenti maġġuri;
  • jiġi sottomess lill-IICB.

L-IICB:

• huwa responsabbli għal:
  • il-monitoraġġ u l-appoġġ għall-implimentazzjoni tal-entitajiet tal-Unjoni tar-regolament,
  • is-sorveljana tal-implimentazzjoni tas-CERT-UE tal-prijoritajiet u l-objettivi ġenerali tagħha, u jipprovdilh b’direzzjoni strateġika;
• jikkonsisti minn rappreżentanti tal-entitajiet tal-Unjoni, il-kap tas-CERT-UE u parteċipanti rilevanti oħra;
• jaħtar president għal terminu ta’ 3 snin, jadotta r-regoli ta’ proċedura interni tiegħu u jiltaqa’ mill-inqas 3 darbiet fis-sena;
• għandu kompiti speċifiċi, bħall-adozzjoni ta’ linji gwida u rakkomandazzjonijiet għall-entitajiet tal-Unjoni, l-adozzjoni ta’ strateġija pluriennali sabiex jiżdied il-livell ta’ ċibersigurtà fl-entitajiet tal-Unjoni u li jistabbilixxi gruppi konsultattivi tekniċi;
• jieħu miżuri ta’ konformità lejn entità tal-Unjoni li ma timplimentax b’mod effettiv ir-regolament, il-linji gwida, ir-rakkomandazzjonijiet jew jitlob li tittieħed azzjoni.

CERT-EU:

• jagħti pariri lill-entitajiet tal-Unjoni dwar iċ-ċibersigurtà, jgħinhom jipprevjenu, jiskopru, jimmaniġġjaw, itaffu, jirrispondu għal u jirkupraw minn inċidenti u jaġixxi bħala l-iskambju ta’ informazzjoni tagħhom u ċentru ta’ koordinazzjoni tar-rispons ta’ inċidenti;
• huwa integrat fl-istruttura amministrattiva ta’ direttorata ġenerali tal-Kummissjoni Ewropea, u l-atti ewlenin tiegħu taħt l-awtorità tal-Kummissjoni u s-superviżjoni tal-IICB għall-applikazzjoni tal-proċeduri amministrattivi u finanzjarji;
• jiġbor, jimmaniġġja, janalizza u jaqsam informazzjoni mal-entitajiet tal-Unjoni dwar it-theddid ċibernetiku, il-vulnerabbiltajiet u l-inċidenti f’infrastruttura tal-ICT mhux klassifikata;
• iwettaq firxa wiesgħa ta’ kompiti, bħal li joffri servizzi standard ta’ rispons għal inċidenti relatati mas-sigurtà tal-kompjuters (CSIRT) u li jżomm network ta’ pari u msieħba;
• jistgħu jikkooperaw ma’ komunitajiet ta’ ċibersigurtà rilevanti fl- UE u fl-Istati Membri tal-UE;
• jorganizza eżerċizzji taċ-ċibersigurtà;
• joħroġ sejħiet għal azzjoni u proposti għal linji gwida u rakkomandazzjonijiet.

Rappurtar għal inċidenti sinifikanti

Inċident jitqies sinifikanti jekk:

• ikkawża jew kapaċi jikkawża tfixkil operattiv gravi għall-funzjonament ta’, jew għat-telf finanzjarju lill-entità tal-Unjoni kkonċernata;
• affettwa jew kapaċi jaffettwa lil persuni fiżiċi jew ġuridiċi oħra billi jikkawża ħsara konsiderevoli materjal jew mhux materjali.

L-entitajiet tal-Unjoni se jinnotifikaw lis-CERT-UE u jinfurmaw lill-awtoritajiet nazzjonali rilevanti malajr kemm jista’ jkun, fi żmien 24 siegħa minn inċident sinifikanti, segwit minn rappurtar dettaljat lis-CERT-UE.

CERT-EU se:

• jiddeterminaw jekk hemmx xi impatt bejn l-entitajiet, u, jekk iva, joħroġ twissija dwar iċ-ċibersigurtà;
• jissottomettu rapport fil-qosor kull tliet xhur lill-IICB, l- Aġenzija tal-Unjoni Ewropea għaċ-Ċibersigurtà ( ENISA), iċ-Ċentru tal-Intelliġenza u s-Sitwazzjoni tal-Unjoni Ewropea (EU INTCEN) u n-network tas-CSIRTs b’data anonimizzata u aggregata dwar inċidenti sinifikanti, inċidenti, theddid ċibernetiku, inċidenti li kważi seħħew u vulnerabbiltajiet.

L-IICB se:

• joħroġ linji gwida jew rakkomandazzjonijiet dwar:
  • l-arranġamenti għal, u l-format u l-kontenut ta’, rappurtar għal inċidenti sinifikanti sat- 8 ta’ Lulju 2024,
  • koordinazzjoni u kooperazzjoni ta’ rispons ta’ inċidenti għal inċidenti sinifikanti sat-8 ta’ Jannar 2025.

Inċidenti maġġuri

L-IICB se jistabbilixxi pjan ta’ ġestjoni ta’ kriżi ċibernetika li jinkludi arranġamenti għall-koordinazzjoni u l-fluss tal-informazzjoni, proċeduri operattivi standard, klassifikazzjoni ta’ severità ta’ inċidenti maġġuri u punti li jikkawżaw kriżi, eżerċizzji regolari u mezzi siguri ta’ komunikazzjoni.

CERT-EU se:

• jikkoordina l-ġestjoni ta’ inċidenti kbar fost entitajiet tal-Unjoni;
• iżomm inventarju ta’ għarfien tekniku disponibbli;
• jassisti lill-IICB fil-koordinazzjoni tal-pjanijiet ta’ ġestjoni tal-kriżi ċibernetika tal-entitajiet tal-Unjoni għal inċidenti maġġuri.

L-entitajiet tal-Unjoni se jikkontribwixxu għall-inventarju tal-għarfien espert tekniku tas-CERT-UE.

Rieżami

• Sat-8 ta’ Jannar 2025, u minn hemm ’il quddiem kull sena, l-IICB se jirrapporta lill-Kummissjoni dwar l-implimentazzjoni tar-regolament.
• Sat-8 ta’ Jannar 2027, u minn hemm ’il quddiem kull sentejn, il-Kummissjoni se tirrapporta lill-Parlament Ewropew u lill-Kunsill tal-Unjoni Ewropea dwar l-implimentazzjoni tar-regolament.
• Sat-8 ta’ Jannar 2029,il-Kummissjoni se tippreżenta rapport lill-Parlament Ewropew, lill-Kunsill, lill-Kumitat Ekonomiku u Soċjali Ewropew u lill-Kumitat tar-Reġjuni dwar il-funzjonament tar-regolament.

Id-data personali kollha li l-entitajiet tal-Unjoni, il-proċess IICB u CERT-UE għandhom jikkonformaw mal-leġiżlazzjoni tal-UE dwar il-protezzjoni tad-data, u b’mod partikolari r-Regolament (UE) 2018/1725 (ara s-sommarju).

MINN META BEDA JAPPLIKA R-REGOLAMENT?

Huwa daħal fis-seħħ fis-7 ta’ Jannar 2024.

SFOND

Fir- riżoluzzjoni tiegħu ta’ Marzu 2021, il-Kunsill tal-Unjoni Ewropea enfasizza l-importanza ta’ qafas ta’ sigurtà robust u konsistenti biex jipproteġi l-persunal, id-data, in-networks ta’ komunikazzjoni, is-sistemi ta’ informazzjoni u l-proċessi tat-teħid tad-deċiżjonijiet kollha tal-UE.

Ir-regolament fih regoli li huma konsistenti mad-Direttiva (UE) 2022/2555 (ara s-sommarju) u jallinja miegħu f’termini ta’ prinċipji u livell ta’ ambizzjoni filwaqt li tirrispetta l-ispeċifiċità tal-entitajiet tal-Unjoni.

DOKUMENT PRINĊIPALI

Ir-Regolament (UE, Euratom) 2023/2841 tal-Parlament Ewropew u tal-Kunsill tat-13 ta’ Diċembru 2023 li jistabbilixxi miżuri għal livell għoli komuni ta’ ċibersigurtà fl-istituzzjonijiet, korpi, uffiċċji u aġenziji tal-Unjoni (ĠU L, 2023/2841, 18.12.2023).

DOKUMENTI RELATATI

Id-Direttiva (UE) 2022/2555 tal-Parlament Ewropew u tal-Kunsill tal-14 ta’ Diċembru 2022 dwar miżuri għal livell għoli komuni ta’ ċibersigurtà madwar l-Unjoni, li temenda r-Regolament (UE) Nru 910/2014 u d-Direttiva (UE) 2018/1972, u li tħassar id-Direttiva (UE) 2016/1148 (NIS 2 Direttiva) (ĠU L 333, 27.12.2022, pp. 80–152).

Emendi suċċessivi għad-Direttiva (UE) 2022/2555 ġew inkorporati fit-test oriġinali. Din il-verżjoni konsolidata għandha valur dokumentarju biss.

Ir-Regolament (UE) 2019/881tal-Parlament Ewropew u tal-Kunsill tas-17 ta’ April 2019 dwar l-ENISA (l-Aġenzija tal-Unjoni Ewropea għaċ-Ċibersigurtà) u dwar iċ-ċertifikazzjoni taċ-ċibersigurtà tat-teknoloġija tal-informazzjoni u tal-komunikazzjoni u li jħassar ir-Regolament (UE) Nru 526/2013 (l-Att dwar iċ-Ċibersigurtà) (ĠU L 151, 7.6.2019, pp. 15–69).

Ir-Regolament (UE) 2018/1725 tal-Parlament Ewropew u tal-Kunsill tat-23 ta’ Ottubru 2018 dwar il-protezzjoni ta’ persuni fiżiċi fir-rigward tal-ipproċessar ta’ data personali mill-istituzzjonijiet, korpi, uffiċċji u aġenziji tal-Unjoni u dwar il-moviment liberu ta’ tali data, u li jħassar ir-Regolament (KE) Nru 45/2001 u d-Deċiżjoni Nru 1247/2002/KE (ĠU L 295, 21.11.2018, pp. 39–98).

l-aħħar aġġornament 22.04.2024