Kapitoli 08 Effettiv: 18 ta' Ottubru, 2024

Direttiva NIS2

Direttiva dwar is-Sigurtà tan-Netwerks u s-Sistemi ta' Informazzjoni

Ħarsa Ġenerali

NIS2 tissostitwixxi u twessa' b'mod sinifikanti d-Direttiva NIS oriġinali, tistabbilixxi livell għoli komuni ta' sigurtà ċibernetika madwar l-UE. Tapplika għal firxa ħafna usa' ta' setturi u entitajiet, introduċi miżuri ta' superviżjoni aktar stretti, u tarmonizza s-sanzjonijiet madwar l-Istati Membri.[1]

Bħala direttiva, NIS2 kienet teħtieġ li tiġi trasposta fil-liġi nazzjonali sal-17 ta' Ottubru, 2024. L-implimentazzjoni tvarja skont l-Istat Membru.

Qasam ta' Applikazzjoni: Entitajiet Essenzjali vs Importanti

Entitajiet Essenzjali (Ħarsa Aktar Stretta)[2]

SetturiEżempji
EnerġijaElettriku, żejt, gass, idroġenu, tisħin distrettwali
TrasportAjru, ferrovija, ilma, triq
BankarIstituzzjonijiet ta' kreditu
Swieq finanzjarjiPostijiet ta' kummerċ, counterparties ċentrali
SaħħaProvidituri ta' kura tas-saħħa, laboratorji, farmaċewtiċi, apparat mediku
Ilma tax-xorbProvidituri tal-ilma
Ilma mitlufTrattament tal-ilma mitluf
Infrastruttura diġitaliIXPs, DNS, reġistri TLD, cloud, ċentri tad-data, CDNs, TSPs
Ġestjoni tas-servizzi ICTProvidituri ta' servizzi mmexxija, providituri ta' servizzi ta' sigurtà mmexxija
Amministrazzjoni pubblikaEntitajiet tal-gvern ċentrali
SpazjuOperaturi ta' infrastruttura bbażata fuq l-art

Entitajiet Importanti (Ħarsa Iżgħar)

SetturiEżempji
Servizzi postaliServizzi postali u ta' kurrier
Ġestjoni tal-iskartĊentrali ta' ġbir u trattament tal-iskart
KimikaProduzzjoni u distribuzzjoni
IkelProduzzjoni u distribuzzjoni
ManifatturaApparat mediku, elettronika, magni, vetturi
Providituri diġitaliSwieq onlajn, magni ta' tfittxija, netwerks soċjali
RiċerkaOrganizzazzjonijiet ta' riċerka

Limiti ta' Daqs

NIS2 ġeneralment tapplika għal entitajiet medji u kbar:

  • Medju: 50+ impjegat jew €10M+ turnover/bilanċ
  • Kbir: 250+ impjegat jew €50M+ turnover jew €43M+ bilanċ

Xi entitajiet japplikaw irrispettivament mid-daqs (DNS, reġistri TLD, providituri tal-cloud, ċentri tad-data, eċċ.).

Rekwiżiti Ewlenin

Miżuri ta' Ġestjoni tar-Riskju (Artikolu 21)[3]

Entitajiet għandhom jimxu ma' miżuri tekniċi, operattivi u organizzattivi xierqa:

  1. Politiki: Analiżi tar-riskju u politiki ta' sigurtà tas-sistemi ta' informazzjoni
  2. Ħidma fuq inċidenti: Proċeduri ta' skoperta, reazzjoni, u rkupru
  3. Kontinwità tan-negozju: Backup, rkupru minn diżastru, ġestjoni ta' kriżi
  4. Sigurtà tal-katina tal-provvista: Rekwiżiti ta' sigurtà għall-fornituri
  5. Sigurtà tan-netwerk: Akkwist, żvilupp, u manutenzjoni tas-sigurtà
  6. Valutazzjoni tal-effettività: Politiki biex jivvalutaw l-effettività tal-miżuri ta' sigurtà
  7. Iġjene bażika ċibernetika: Programmi ta' taħriġ u għarfien
  8. Kriptografija: Politiki dwar kontrolli kriptografiċi u enkrizzjoni
  9. Riżorsi umani: Sigurtà tal-persunal u kontrolli ta' aċċess
  10. Awtentikazzjoni b'ħafna fatturi: MFA u sistemi ta' komunikazzjoni siguri

Rappurtar ta' Inċidenti (Artikolu 23)[4]

ŻmienRekwiżit
24 siegħaTwissija bikrija lill-CSIRT/awtorità kompetenti
72 siegħaNotifika ta' inċident b'analiżi inizjali
1 xaharRapport finali b'kawża prinċipali u mitigazzjoni

Inċidenti sinifikanti għandhom jiġu rrappurtati jekk jikkawżaw jew jistgħu jikkawżaw diżruzzjoni operattiva severa jew telf finanzjarju, jew jaffettwaw persuni naturali jew ġuridiċi oħra.

Responsabbiltà tal-Ġestjoni

Għadam ta' ġestjoni għandhom:

  • Japprovaw miżuri ta' ġestjoni tar-riskju ta' sigurtà ċibernetika
  • Jissorveljaw l-implimentazzjoni tal-miżuri ta' sigurtà
  • Ikunu responsabbli personalment għall-inċumpliment
  • Jgħaddu taħriġ dwar is-sigurtà ċibernetika

Sanzjonijiet

  • Entitajiet essenzjali: Sa €10 miljun jew 2% tal-turnover globali
  • Entitajiet importanti: Sa €7 miljun jew 1.4% tal-turnover globali[5]

L-Istati Membri jistgħu japplikaw sanzjonijiet addizzjonali inkluż il-projbizzjoni temporanja mill-ġestjoni.

Obbligi għall-Iżviluppaturi u Providituri ta' Servizzi ICT

Jekk tipprovdi servizzi jew prodotti ICT:

  1. Providituri ta' Servizzi Immexxija: Direttament fil-qasam bħala entitajiet essenzjali
  2. Providituri tal-Cloud: Direttament fil-qasam bħala entitajiet essenzjali
  3. Iżviluppaturi tas-Softwer: Obbligi fil-katina tal-provvista minn entitajiet klijenti
  4. Bejjiegħa ta' Sigurtà: Jistgħu jiġu ddisinjati bħala entitajiet importanti

Sorsi u Referenzi

[1]
Direttiva (UE) 2022/2555 dwar livell għoli komuni ta' sigurtà ċibernetika. EUR-Lex: Test Uffiċjali NIS2
[2]
Annessi I u II ta' NIS2: Setturi ta' entitajiet essenzjali u importanti. NIS2-Directive.com: Setturi
[3]
Artikolu 21 ta' NIS2: Miżuri ta' ġestjoni tar-riskju ta' sigurtà ċibernetika. NIS2-Directive.com: Artikolu 21
[4]
Artikolu 23 ta' NIS2: Obbligi ta' rappurtar ta' inċidenti. NIS2-Directive.com: Artikolu 23
[5]
Artikolu 34 ta' NIS2: Ħlasijiet amministrattivi. NIS2-Directive.com: Artikolu 34