Id-Direttiva NIS2: regoli ġodda dwar iċ-ċibersigurtà tan-networks u tas-sistemi tal-informazzjoni

Iċ-ċibersigurtà tinvolvi l-protezzjoni tan-netwerks u tas-sistemi tal-informazzjoni (NIS), l-utenti tagħhom, u individwi oħra affettwati minn inċidenti u theddid ċibernetiċi. Biex twieġeb għaż-żieda fl-esponiment tal-Ewropa għat-theddid ċibernetiku, id-Direttiva 2022/2555, magħrufa wkoll bħala NIS2, issostitwiet il-predeċessur tagħha, id-Direttiva 2016/1148 jew NIS1. L-NIS2 tgħolli l-livell komuni ta’ ambizzjoni tal-UE dwar iċ-ċibersigurtà, permezz ta’ kamp ta’ applikazzjoni usa’, regoli aktar ċari u għodod ta’ superviżjoni aktar b’saħħithom. Dan jirrikjedi li l-Istati Membri jtejbu l-kapaċitajiet taċ-ċibersigurtà tagħhom, filwaqt li jintroduċu miżuri ta’ ġestjoni tar-riskju u rekwiżiti ta’ rapportar lil entitajiet minn aktar setturi u jistabbilixxu regoli għall-kooperazzjoni, il-kondiviżjoni tal-informazzjoni, is-superviżjoni u l-infurzar tal-miżuri taċ-ċibersigurtà.

Id-direttiva tagħti mandat li kull Stat Membru jadotta strateġija nazzjonali taċ-ċibersigurtà, li tinkludi politiki għas-sigurtà tal-katina tal-provvista, il-ġestjoni tal-vulnerabbiltajiet, u l-edukazzjoni u s-sensibilizzazzjoni dwar iċ-ċibersigurtà. L-Istati Membri jridu wkoll jistabbilixxu u jaġġornaw regolarment lista ta’ operaturi ta’ servizzi essenzjali, filwaqt li jiżguraw li dawn l-entitajiet jikkonformaw mar-rekwiżiti tad-Direttiva. 

Minbarra s-setturi diġà koperti mill-NIS 1, bħall-enerġija, it-trasport, il-kura tas-saħħa, il-finanzi, il-ġestjoni tal-ilma u l-infrastruttura diġitali, dawn ir-regoli japplikaw għall-fornituri ta’ servizzi pubbliċi tal-komunikazzjoni elettronika, aktar servizzi diġitali bħall-pjattaformi soċjali, l-ilma mormi u l-ġestjoni tal-iskart, il-manifattura ta’ prodotti kritiċi, is-servizzi postali u tal-kurrier, l-amministrazzjoni pubblika, kemm fil-livell ċentrali kif ukoll f’dak reġjonali jew l-ispazju. Bħala regola, l-entitajiet medji u kbar f’dawn is-setturi kritiċi, se jkollhom jieħdu miżuri xierqa ta’ ġestjoni tar-riskji taċ-ċibersigurtà u jinnotifikaw lill-awtoritajiet nazzjonali rilevanti dwar inċidenti sinifikanti. Dawn huma inċidenti li jistgħu jikkawżaw tfixkil jew ħsara sinifikanti. 

Id-direttiva tinkludi wkoll dispożizzjonijiet għas-superviżjoni, l-infurzar, u l-evalwazzjonijiet volontarji bejn il-pari biex jissaħħu l-fiduċja reċiproka u l-kapaċitajiet taċ-ċibersigurtà madwar l-UE. Tintroduċi wkoll ir-responsabbiltà tal-maniġment superjuri għan-nuqqas ta’ konformità mal-miżuri ta’ ġestjoni tar-riskji taċ-ċibersigurtà u b’hekk iġġib iċ-ċibersigurtà għall-attenzjoni tal-bord tad-diretturi.

Id-direttiva tistabbilixxi netwerk ta' Skwadri ta' Rispons għal Inċidenti relatati mas-Sigurtà tal-Kompjuters (CSIRTs) għall-iskambju ta' informazzjoni dwar theddid ċibernetiku, u r-rispons għal inċidenti. Dawn it-timijiet huma kruċjali biex jinżamm l-għarfien tas-sitwazzjoni u tiġi offruta l-assistenza. Sabiex jiġu ġestiti inċidenti jew kriżijiet taċ-ċibersigurtà fuq skala kbira, id-direttiva toħloq in-network Ewropew ta' organizzazzjoni ta' kollegament f'każ ta' ċiberkriżijiet (EU-CyCLONe). Dan in-network jappoġġa ġestjoni kkoordinata u jiżgura skambju regolari ta’ informazzjoni fost l-Istati Membri u l-istituzzjonijiet tal-UE f’każ ta’ inċidenti u kriżijiet fuq skala kbira. 

B’mod parallel, il-Grupp ta’ Kooperazzjoni tal-NIS huwa pjattaforma stabbilita mid-Direttiva NIS biex tiffaċilita l-kooperazzjoni strateġika u l-iskambju ta’ informazzjoni fost l-Istati Membri tal-UE, il-Kummissjoni Ewropea, u l-Aġenzija tal-UE għaċ-Ċibersigurtà (ENISA). Il-grupp jippubblika linji gwida u rakkomandazzjonijiet mhux vinkolanti biex jappoġġa l-implimentazzjoni tad-Direttiva NIS.

Il-kuntest

L-NIS 1 (id-Direttiva 2016/1148) kienet l-ewwel leġiżlazzjoni komprensiva tal-UE li għandha l-għan li tagħti spinta liċ-ċibersigurtà tan-networks u tas-sistemi tal-informazzjoni biex tissalvagwardja s-servizzi vitali għall-ekonomija u s-soċjetà tal-UE. F’Diċembru 2020, il-Kummissjoni pproponiet ir-reviżjoni tal-NIS 1, li rriżultat fl-adozzjoni tal-NIS 2, li daħlet fis-seħħ f’Jannar 2023. L-Istati Membri kellhom sas-17 ta’ Ottubru 2024 biex jittrasponu d-Direttiva NIS2 fil-liġi nazzjonali. L-NIS 2 ħassret l-NIS1 mit-18 ta’ Ottubru 2024.

Il-Kummissjoni bdiet proċeduri ta’ ksur, billi bagħtet ittri ta’ intimazzjoni lil 23 Stat Membru talli naqsu milli jittrasponu bis-sħiħ id-Direttiva NIS2 fil-liġi nazzjonali sal-iskadenza tas-17 ta’ Ottubru 2024. L-Istati Membri għandhom iwieġbu u jlestu t-traspożizzjoni tagħhom tad-direttiva. Jekk jonqsu milli jagħmlu dan, il-Kummissjoni tista’ toħroġ opinjoni motivata, li hija talba formali għall-konformità mad-dritt tal-UE. Nuqqas ta’ konformità kontinwa jista’ eventwalment iwassal biex il-każ jitressaq quddiem il-Qorti tal-Ġustizzja tal-Unjoni Ewropea, li tista’ timponi penali finanzjarji.