(1)

In-netwerks u s-sistemi u s-servizzi tal-informazzjoni jaqdu rwol importanti ħafna fis-soċjetà. L-affidabbiltà u s-sigurtà tagħhom huma essenzjali għall-attivitajiet ekonomiċi u tas-soċjetà, u b'mod partikolari għall-funzjonament tas-suq intern.

(2)

Il-kobor, il-frekwenza u l-impatt ta' inċidenti ta' sigurtà qegħdin jiżdiedu, u huma ta' theddida kbira għall-funzjonament tan-netwerks u tas-sistemi tal-informazzjoni. Dawk is-sistemi jistgħu jsiru wkoll mira għall-azzjonijiet deliberatament dannużi bil-ħsieb li jikkawżaw ħsara jew jinterrompu t-tħaddim tas-sistemi. Inċidenti bħal dawn jistgħu jxekklu l-eżerċizzju ta' attivitajiet ekonomiċi, jiġġeneraw telf finanzjarju sostanzjali, jimminaw il-fiduċja tal-utenti u jikkawżaw ħsara kbira fl-ekonomija tal-Unjoni.

(3)

In-netwerks u s-sistemi tal-informazzjoni, u primarjament l-internet jaqdu rwol essenzjali fl-iffaċilitar tal-moviment transfruntier ta' oġġetti, servizzi u persuni. Minħabba din in-natura transnazzjonali, tfixkil sostanzjali ta' dawn is-sistemi, kemm jekk intenzjonat kif ukoll jekk mhux intenzjonat u irrispettivament fejn iseħħ, jista' jaffettwa lil Stati Membri individwali u lill-Unjoni inġenerali. Għalhekk is-sigurtà tan-netwerks u tas-sistemi tal-informazzjoni hija essenzjali għall-funzjonament tajjeb tas-suq intern.

(4)

Wara l-progress sinifikanti fi ħdan il-Forum Ewropew tal-Istati Membri fit-trawwim ta' diskussjonijiet u skambji ta' prattiki ta' politika tajba, inkluż l-iżvilupp ta' prinċipji għall-kooperazzjoni Ewropea fil-kriżi ċibernetika, għandu jiġi stabbilit Grupp ta' Kooperazzjoni magħmul minn rappreżentanti tal-Istati Membri, il-Kummissjoni u l-Aġenzija tal-Unjoni Ewropea dwar is-Sigurtà tan-Netwerks u l-Informazzjoni (“ENISA”) li jappoġġa u jiffaċilita l-kooperazzjoni strateġika bejn l-Istati Membri rigward is-sigurtà tan-netwerks u tas-sistemi tal-informazzjoni. Biex dak il-grupp ikun effettiv u inklussiv, huwa essenzjali li l-Istati Membri kollha jkollhom kapaċitajiet minimi u strateġija li tiżgura livell għoli ta' sigurtà tan-netwerks u tas-sistemi tal-informazzjoni fit-territorju tagħhom. Barra minn hekk, ir-rekwiżiti ta' sigurtà u ta' notifika għandhom japplikaw għal operaturi ta' servizzi essenzjali u fornituri ta' servizzi diġitali sabiex tiġi promossa kultura ta' ġestjoni tar-riskji u jiġi żgurat li l-aktar l-inċidenti serji jiġu rrappurtati.

(5)

Il-kapaċitajiet eżistenti mhumiex biżżejjed sabiex jiżguraw livell għoli ta' sigurtà tan-netwerks u tas-sistemi tal-informazzjoni fl-Unjoni. L-Istati Membri għandhom livelli differenti ħafna ta' tħejjija li jwasslu għal approċċi frammentati madwar l-Unjoni. Dan jirriżulta f'livelli differenti ta' protezzjoni tal-konsumaturi u tan-negozji, u jdgħajjef il-livell ġenerali ta' sigurtà tan-netwerks u tas-sistemi tal-informazzjoni fl-Unjoni. Min-naħa l-oħra, in-nuqqas ta' rekwiżiti komuni fuq l-operaturi ta' servizzi essenzjali u l-fornituri ta' servizzi diġitali jagħmilha impossibbli li jitwaqqaf mekkaniżmu globali u effettiv għal kooperazzjoni fil-livell tal-Unjoni. L-universitajiet u ċ-ċentri tar-riċerka għandhom rwol deċiżiv x'jaqdu fil-promozzjoni tar-riċerka, l-iżvilupp u l-innovazzjoni f'dawn l-oqsma.

(6)

Għalhekk rispons effettiv għall-isfidi tas-sigurtà tan-netwerks u tas-sistemi tal-informazzjoni jirrikjedi approċċ globali fil-livell tal-Unjoni li jkopri rekwiżiti minimi komuni ta' tisħiħ tal-kapaċitajiet u ppjanar, skambju tal-informazzjoni, rekwiżiti għall-kooperazzjoni u sigurtà komuni għall-operaturi ta' servizzi essenzjali u fornituri ta' servizzi diġitali. Madankollu, l-operaturi ta' servizzi essenzjali u fornituri ta' servizzi diġitali mhumiex preklużi milli jimplimentaw miżuri ta' sigurtà li huma aktar stretti minn dawk previsti f'din id-Direttiva.

(7)

Biex tkopri l-inċidenti u r-riskji rilevanti kollha, din id-Direttiva għandha tapplika kemm għall-operaturi ta' servizzi essenzjali kif ukoll għall-fornituri ta' servizzi diġitali. Madankollu, l-obbligi fuq l-operaturi ta' servizzi essenzjali u l-fornituri ta' servizzi diġitali m'għandhomx japplikaw għall-impriżi li jipprovdu netwerks pubbliċi ta' komunikazzjoni jew servizzi ta' komunikazzjoni elettronika disponibbli pubblikament fit-tifsira tad-Direttiva 2002/21/KE tal-Parlament Ewropew u tal-Kunsill (3), li huma soġġetti għar-rekwiżiti speċifiċi ta' sigurtà u integrità stabbiliti f'dik id-Direttiva, u lanqas m'għandhom japplikaw għall-fornituri ta' servizzi ta' fiduċja fit-tifsira tar-Regolament (UE) Nru 910/2014 tal-Parlament Ewropew u tal-Kunsill (4), li huma soġġetti għar-rekwiżiti ta' sigurtà stabbiliti f'dak ir-Regolament.

(8)

Din id-Direttiva għandha tkunu mingħajr preġudizzju għall-possibbiltà li kull Stat Membru jieħu l-miżuri meħtieġa sabiex jiżgura l-protezzjoni tal-interessi essenzjali tas-sigurtà tiegħu, jissalvagwardja l-ordni pubbliku u s-sigurtà pubblika, u jippermetti l-investigazzjoni, is-sejbien u l-prosekuzzjoni ta' reati kriminali. Skont l-Artikolu 346 tat-Trattat dwar il-Funzjonament tal-Unjoni Ewropea (TFUE), l-ebda Stat Membru m'għandu jkun obbligat li jagħti tagħrif li l-iżvelar tiegħu jkun jikkunsidrah li jmur kontra l-interessi essenzjali tas-sigurtà tiegħu. F'dan il-kuntest, id-Deċiżjoni tal-Kunsill 2013/488/UE (5) u ftehimiet ta' nondivulgazzjoni, jew ftehimiet ta' nondivulgazzjoni informali bħall-Protokoll dwar il-Kondiviżjoni ta' Informazzjoni, huma ta' rilevanza.

(9)

Ċerti setturi tal-ekonomija huma diġà regolati jew jistgħu jiġu rregolati fil-ġejjieni permezz ta' atti legali tal-Unjoni speċifiċi għas-settur li jinkludu regoli relatati mas-sigurtà tan-netwerks u tas-sistemi tal-informazzjoni. Kull meta dawk l-atti legali tal-Unjoni jkun fihom dispożizzjonijiet li jimponu rekwiżiti li jikkonċernaw is-sigurtà tan-netwerks u tas-sistemi tal-informazzjoni jew notifiki ta' inċidenti, dawk id-dispożizzjonijiet għandhom japplikaw jekk ikun fihom ir-rekwiżiti li tal-inqas ikunu ekwivalenti fl-effett għall-obbligi li jinsabu f'din id-Direttiva. L-Istati Membri għandhom imbagħad japplikaw id-dispożizzjonijiet ta' tali att legali tal-Unjoni speċifiku għas-settur, inklużi dawk li għandhom x'jaqsmu mal-ġurisdizzjoni, u m'għandhomx iwettqu l-proċess tal-identifikazzjoni għal operaturi ta' servizzi essenzjali kif definiti minn din id-Direttiva. F'dan il-kuntest, l-Istati Membri għandhom jipprovdu informazzjoni lill-Kummissjoni dwar l-applikazzjoni ta' tali dispożizzjonijiet lex specialis. Meta jkun qed jiġi stabbilit jekk ir-rekwiżiti dwar is-sigurtà tan-netwerks u tas-sistemi tal-informazzjoni u tan-notifika ta' inċidenti li jinsabu f'atti legali tal-Unjoni speċifiċi għas-settur humiex ekwivalenti għal dawk li jinsabu f'din id-Direttiva, għandhom jitqiesu biss id-dispożizzjonijiet ta' atti legali rilevanti tal-Unjoni u l-applikazzjoni tagħhom fl-Istati Membri.

(10)

Fis-settur tat-trasport fuq l-ilma, ir-rekwiżiti ta' sigurtà għall-kumpanniji, il-vapuri, il-faċilitajiet tal-port, il-portijiet u s-servizzi tal-ġestjoni tat-traffiku tal-bastimenti, skont l-atti legali tal-Unjoni jkopru l-operazzjonijiet kollha inklużi sistemi tar-radju u t-telekomunikazzjoni, sistemi bil-kompjuter u n-netwerks. Parti mill-proċeduri obbligatorji li għandhom jiġu segwiti tinkludi r-rapportar tal-inċidenti kollha u għalhekk għandha tiġi kkunsidrata bħala lex specialis, dment li dawk ir-rekwiżiti jkunu tal-anqas ekwivalenti għad-dispożizzjonijiet korrispondenti ta' din id-Direttiva.

(11)

Meta jiġu identifikati l-operaturi fis-settur tat-trasport fuq l-ilma, l-Istati Membri għandhom iqisu l-kodiċi u l-linji gwida internazzjonali eżistenti u futuri żviluppati b'mod partikolari mill-Organizzazzjoni Marittima Internazzjonali, bil-ħsieb li jipprovdu approċċ koerenti lill-operaturi marittimi individwali.

(12)

Regolamentazzjoni u superviżjoni fis-setturi tal-infrastrutturi bankarji u tas-suq finanzjarju huma ferm armonizzati fil-livell tal-Unjoni, bl-użu tal-liġi primarja u sekondarja tal-Unjoni u standards żviluppati flimkien mal-awtoritajiet superviżorji Ewropej. Fi ħdan l-unjoni bankarja, l-applikazzjoni u s-superviżjoni ta' dawk ir-rekwiżiti huma żgurati mill-mekkaniżmu superviżorju uniku. Għall-Istati Membri li ma jagħmlux parti mill-unjoni bankarja, dan jiġi żgurat mir-regolaturi bankarji rilevanti tal-Istati Membri. F'oqsma oħra ta' regolamentazzjoni fis-settur finanzjarju, is-Sistema Ewropea ta' Superviżjoni Finanzjarja tiżgura wkoll grad għoli ta' aspetti komuni u konverġenti fi prattiki superviżorji. L-Awtorità Ewropea tat-Titoli u s-Swieq għandha wkoll rwol ta' superviżjoni diretta għal ċerti entitajiet, jiġifieri aġenziji ta' klassifikazzjoni tal-kreditu u repożitorji tat-tranżazzjonijiet.

(13)

Ir-riskju operazzjonali huwa parti kruċjali tar-regolamentazzjoni prudenzjali u s-superviżjoni fis-setturi tal-infrastrutturi bankarji u tas-suq finanzjarju. Dan ikopri l-operazzjonijiet kollha inklużi s-sigurtà, l-integrità u r-reżiljenza tan-netwerks u tas-sistemi tal-informazzjoni. Ir-rekwiżiti fir-rigward ta' dawn is-sistemi, li spiss jeċċedu r-rekwiżiti previsti skont din id-Direttiva, huma stipulati f'għadd ta' atti legali tal-Unjoni, inkluż: regoli dwar l-aċċess għall-attività tal-istituzzjonijiet ta' kreditu u s-superviżjoni prudenzjali tal-istituzzjonijiet ta' kreditu u tad-ditti tal-investiment, u regoli dwar rekwiżiti prudenzjali għal istituzzjonijiet ta' kreditu u ditti tal-investiment, li jinkludu rekwiżiti li jikkonċernaw ir-riskju operazzjonali; regoli dwar swieq fi strumenti finanzjarji, li jinkludu rekwiżiti li jikkonċernaw il-valutazzjoni tar-riskju għal ditti tal-investiment u għal swieq regolati; regoli dwar derivati tal-OTC, kontropartijiet ċentrali u repożitorji tat-tranżazzjonijiet, li jinkludu rekwiżiti li jikkonċernaw ir-riskju operazzjonali għal kontropartijiet ċentrali u r-repożitorji tat-tranżazzjonijiet u r-regoli dwar it-titjib fis-saldu tat-titoli fl-Unjoni u dwar depożitorji ċentrali tat-titoli, li jinkludu rekwiżiti li jikkonċernaw ir-riskju operazzjonali. Barra minn hekk, ir-rekwiżiti għan-notifika ta' inċidenti huma parti mill-prattika normali ta' superviżjoni fis-settur finanzjarju u ta' spiss huma inklużi f'manwali ta' superviżjoni. L-Istati Membri għandhom iqisu dawk ir-regoli u r-rekwiżiti fl-applikazzjoni tagħhom ta' lex specialis.

(14)

Kif innotat mill-Bank Ċentrali Ewropew fl-opinjoni tiegħu tal-25 ta' Lulju 2014 (6), din id-Direttiva ma taffettwax ir-reġim skont id-dritt tal-Unjoni għas-sorveljanza mill-Eurosistema tas-sistemi ta' pagament u saldu. Ikun xieraq għall-awtoritajiet responsabbli minn tali sorveljanza li jkollhom skambju ta' esperjenzi dwar kwistjonijiet li jirrigwardaw is-sigurtà tan-netwerks u tas-sistemi tal-informazzjoni mal-awtoritajiet kompetenti taħt din id-Direttiva. L-istess kunsiderazzjoni tapplika għall-membri tas-Sistema Ewropea ta' Banek Ċentrali li mhumiex fiż-żona tal-Euro li jeżerċitaw tali sorveljanza tas-sistemi ta' pagament u saldu abbażi tal-liġijiet u r-regolamenti nazzjonali.

(15)

Is-suq online jippermetti lill-konsumaturi u n-negozjanti jikkonkludu bejgħ online jew kuntratti ta' servizzi ma' negozjanti, u huwa d-destinazzjoni finali għall-konklużjoni ta' dawk il-kuntratti. Dan ma għandux ikopri servizzi online li jservu biss bħala intermedjarji għal servizzi ta' partijiet terzi li permezz tagħhom fl-aħħar mill-aħħar jista' jiġi konkluż kuntratt. Għaldaqstant ma għandux ikopri servizzi online li jqabblu l-prezz ta' prodotti jew servizzi partikolari minn negozjanti differenti, u wara jibagħtu lill-utent lura lejn in-negozjant preferut sabiex jixtri l-prodott. Servizzi tal-informatika pprovduti mis-suq online jistgħu jinkludu l-ipproċessar ta' tranżazzjonijiet, l-aggregazzjonijiet ta' data jew it-tfassil ta' profili tal-utenti. Ħwienet ta' applikazzjonijiet, li joperaw bħala ħwienet online li jippermettu d-distribuzzjoni diġitali ta' applikazzjonijiet jew programmi ta' software minn partijiet terzi, għandhom jitqiesu bħala tip ta' suq online.

(16)

Sistema tat-tiftix online tippermetti lill-utent ifittex, fil-prinċipju, is-siti web kollha abbażi ta' domanda dwar kwalunkwe suġġett. Din tista' alternattivament tiġi ffokata fuq siti web b'lingwa partikolari. Id-definizzjoni ta' sistema tat-tiftix online prevista f'din id-Direttiva m'għandhiex tkopri funzjonijiet ta' tiftix li huma limitati għall-kontenut ta' sit web speċifiku, irrispettivament minn jekk il-funzjoni tat-tiftix hix ipprovduta minn sistema tat-tiftix esterna. Din lanqas ma għandha tkopri servizzi online li jqabblu l-prezz ta' prodotti jew servizzi partikolari minn negozjanti differenti, u wara jibagħtu lill-utent lura lejn in-negozjant preferut sabiex jixtri l-prodott.

(17)

Is-servizzi ta' cloud computing huma mifruxa fuq medda kbira ta' attivitajiet li jistgħu jiġu pprovduti skont mudelli differenti. Għall-finijiet ta' din id-Direttiva, it-terminu “servizzi ta' cloud computing” ikopri servizzi tat-teknoloġija tal-informatika li joffru riżorsi li kapaċi jespandu, li huma flessibbli skont id-domanda u li jistgħu jiġu kondiviżi. Dawk ir-riżorsi tal-informatika jinkludu riżorsi bħal netwerks, servers jew infrastruttura oħra, ħżin, applikazzjonijiet u servizzi. It-terminu “jespandu” jirreferi għal riżorsi tal-informatika li jiġu allokati b'mod flessibbli mill-fornitur tas-servizz tal-cloud, irrispettivament mil-lokalità ġeografika tar-riżorsi, sabiex ir-riżorsi pprovduti jlaħħqu mad-domanda. It-terminu “flessibbli” jintuża biex jiddeskrivi dawk ir-riżorsi tal-informatika li jingħataw u li jiġu rilaxxati skont id-domanda sabiex iżidu u jnaqqsu malajr ir-riżorsi disponibbli skont l-ammont ta' ħidma. It-terminu “jistgħu jiġu kondiviżi” jintuża biex jiddeskrivi dawk ir-riżorsi tal-informatika li jingħataw lil diversi utenti bl-użu ta' sistemi komuni, iżda fejn l-ipproċessar isir b'mod separat għal kull utent, għalkemm is-servizz jingħata mill-istess tagħmir elettroniku.

(18)

Il-funzjoni ta' internet exchange point (IXP) hija li n-netwerks jiġu interkonnessi. IXP ma jipprovdix aċċess għan-netwerk jew jaġixxi bħala fornitur jew trasportatur ta' tranżitu tal-internet. Barra minn hekk, IXP ma jipprovdix servizzi oħra li mhumiex relatati mal-interkonnessjoni, għalkemm dan ma jipprekludix operatur ta' IXP milli jipprovdi servizzi mhux relatati. IXP jeżisti biex jiġu interkonnessi netwerks li huma separati mil-lat tekniku u organizzattiv. It-terminu “sistema awtonoma” jintuża biex jiddeskrivi netwerk teknikament indipendenti.

(19)

L-Istati Membri għandhom ikunu responsabbli li jiddeċiedu liema entitajiet jissodisfaw il-kriterji tad-definizzjoni ta' operatur ta' servizzi essenzjali. Sabiex jiġi żgurat approċċ konsistenti, id-definizzjoni ta' operatur ta' servizzi essenzjali għandha tiġi applikata b'mod koerenti mill-Istati Membri kollha. Għal dan il-għan, din id-Direttiva tipprevedi l-valutazzjoni tal-entitajiet attivi f'setturi u sottosetturi speċifiċi, l-istabbiliment ta' lista ta' servizzi essenzjali, il-konsiderazzjoni ta' lista komuni ta' fatturi transsettorjali biex jiġi ddeterminat jekk inċident potenzjali jkollux effett ta' tfixkil sinifikanti, proċess ta' konsultazzjoni li jinvolvi l-Istati Membri rilevanti f'każ ta' entitajiet li jipprovdu servizzi f'aktar minn Stat Membru wieħed, u l-appoġġ tal-Grupp ta' Kooperazzjoni fil-proċess tal-identifikazzjoni. Sabiex jiġi żgurat li l-bidliet possibbli fis-suq jiġu riflessi b'mod preċiż, il-lista ta' operaturi identifikati għandha tiġi rieżaminata b'mod regolari mill-Istati Membri u aġġornata kull meta jkun meħtieġ. Fl-aħħar nett, l-Istati Membri għandhom jibagħtu lill-Kummissjoni l-informazzjoni meħtieġa sabiex tivvaluta kemm din il-metodoloġija komuni ppermettiet applikazzjoni konsistenti tad-definizzjoni mill-Istati Membri.

(20)

Fil-proċess tal-identifikazzjoni ta' operaturi ta' servizzi essenzjali, l-Istati Membri għandhom jivvalutaw, tal-inqas għal kull sottosettur imsemmi f'din id-Direttiva, liema servizzi għandhom jitqiesu bħala essenzjali għaż-żamma ta' attivitajiet tas-soċjetà u ekonomiċi kritiċi u jekk l-entitajiet elenkati fis-setturi u s-sottosetturi msemmija f'din id-Direttiva u li jipprovdu dawk is-servizzi jissodisfawx il-kriterji għall-identifikazzjoni ta' operaturi. Meta jiġi vvalutat jekk entità tipprovdix servizz li huwa essenzjali għaż-żamma ta' attivitajiet ekonomiċi u tas-soċjetà kritiċi, huwa biżżejjed li jiġi eżaminat jekk dik l-entità tipprovdix servizz li huwa inkluż fil-lista ta' servizzi essenzjali. Barra minn hekk, għandu jintwera li l-għoti tas-servizz essenzjali jiddependi fuq in-netwerks u s-sistemi tal-informazzjoni. Fl-aħħar nett, meta jiġi vvalutat jekk inċident ikollux effett sinifikanti ta' tfixkil fuq l-għoti tas-servizz, l-Istati Membri għandhom iqisu għadd ta' fatturi transsettorjali, kif ukoll, fejn meħtieġ, fatturi speċifiċi għas-settur.

(21)

Għall-finijiet tal-identifikazzjoni ta' operaturi ta' servizzi essenzjali, l-istabbiliment fi Stat Membru jimplika l-eżerċizzju effettiv u reali ta' attività permezz ta' arranġamenti stabbli. Il-forma ġuridika ta' dawn l-arranġamenti, sew jekk permezz ta' fergħa jew sussidjarja li għandha personalità ġuridika, mhijiex il-fattur determinanti f'dan ir-rigward.

(22)

Huwa possibbli li entitajiet li joperaw fis-setturi u s-sottosetturi msemmija f'din id-Direttiva jipprovdu kemm servizzi essenzjali kif ukoll servizzi mhux essenzjali. Pereżempju, fis-settur tat-trasport bl-ajru, l-ajruporti jipprovdu servizzi, li jistgħu jitqiesu minn Stat Membru bħala essenzjali, bħall-ġestjoni tar-runways, iżda wkoll għadd ta' servizzi li jistgħu jitqiesu bħala mhux essenzjali, bħad-disponibbiltà ta' żoni kummerċjali. L-operaturi ta' servizzi essenzjali għandhom ikunu soġġetti għal rekwiżiti speċifiċi tas-sigurtà fir-rigward ta' dawk is-servizzi li jitqiesu bħala essenzjali. Għall-fini tal-identifikazzjoni tal-operaturi, l-Istati Membri għandhom għaldaqstant jistabbilixxu lista tas-servizzi meqjusa bħala essenzjali.

(23)

Il-lista ta' servizzi għandu jkun fiha s-servizzi kollha disponibbli fit-territorju ta' Stat Membru speċifiku li jissodisfaw ir-rekwiżiti ta' din id-Direttiva. L-Istati Membri għandhom ikunu jistgħu jissupplimentaw il-lista eżistenti billi jinkludu servizzi ġodda. Il-lista ta' servizzi għandha sservi bħala punt ta' riferiment għall-Istati Membri li tippermetti l-identifikazzjoni ta' operaturi ta' servizzi essenzjali. L-għan tagħha huwa li tidentifika t-tipi ta' servizzi essenzjali fi kwalunkwe settur imsemmi f'din id-Direttiva, u b'hekk tiddistingwihom minn attivitajiet mhux essenzjali li entità attiva fi kwalunkwe settur partikolari tista' tkun responsabbli għalihom. Il-lista ta' servizzi stabbilita minn kull Stat Membru sservi bħala kontribut ulterjuri fil-valutazzjoni tal-prattika regolatorja ta' kull Stat Membru bil-għan li jiġi żgurat livell ta' konsistenza ġenerali tal-proċess ta' identifikazzjoni fost l-Istati Membri.

(24)

Għall-finijiet tal-proċess ta' identifikazzjoni, fejn entità tipprovdi servizz essenzjali f'żewġ Stati Membri jew aktar, dawk l-Istati Membri għandu jkollhom diskussjonijiet bilaterali jew multilaterali ma' xulxin. Dan il-proċess ta' konsultazzjoni huwa maħsub sabiex jgħinhom jivvalutaw in-natura kritika tal-operatur f'termini ta' impatt transfruntier, biex b'hekk jippermettu lil kull Stat Membru involut jippreżenta l-fehmiet tiegħu dwar ir-riskji assoċjati mas-servizzi pprovduti. L-Istati Membri kkonċernati għandhom iqisu l-fehmiet ta' xulxin f'dan il-proċess, u għandhom ikunu jistgħu jitolbu l-assistenza tal-Grupp ta' Kooperazzjoni f'dan ir-rigward.

(25)

B'riżultat tal-proċess ta' identifikazzjoni, l-Istati Membri għandhom jadottaw miżuri biex jiddeterminaw liema entitajiet huma soġġetti għall-obbligi rigward is-sigurtà tan-netwerks u tas-sistemi tal-informazzjoni. Dan ir-riżultat jista' jinkiseb billi tiġi adottata lista li telenka l-operaturi kollha ta' servizzi essenzjali jew billi jiġu adottati miżuri nazzjonali inkluż l-objettiv ta' kriterji kwantifikabbli, bħall-output tal-operatur jew in-numru ta' utenti, li jagħmluha possibbli li jiġi ddeterminat liema entitajiet huma soġġetti għal obbligi rigward is-sigurtà tan-netwerks u tas-sistemi tal-informazzjoni. Il-miżuri nazzjonali, kemm jekk diġà eżistenti kif ukoll jekk adottati fil-kuntest ta' din id-Direttiva, għandhom jinkludu l-miżuri legali kollha, il-miżuri u politiki amministrattivi li jippermettu l-identifikazzjoni ta' operaturi ta' servizzi essenzjali skont din id-Direttiva.

(26)

Sabiex tingħata indikazzjoni tal-importanza, fir-rigward tas-settur ikkonċernat, tal-operaturi tas-servizzi essenzjali identifikati, l-Istati Membri għandhom iqisu n-numru u d-daqs ta' dawk l-operaturi, pereżempju f'termini ta' sehem mis-suq jew tal-kwantità prodotta jew miżmuma, mingħajr ma jkunu obbligati li jiżvelaw informazzjoni li turi liema operaturi jkunu ġew identifikati.

(27)

Sabiex jiġi ddeterminat jekk inċident ikollux effett ta' tfixkil sinifikanti fuq l-għoti ta' servizz, l-Istati Membri għandhom iqisu għadd ta' fatturi differenti, bħall-għadd ta' utenti li jserrħu fuq dak is-servizz għal finijiet privati jew professjonali. L-użu ta' dak is-servizz jista' jkun dirett, indirett jew permezz ta' intermedjazzjoni. Meta jiġi vvalutat l-impatt li inċident jista' jkollu, f'termini tad-dimensjoni u t-tul ta' żmien tiegħu, fuq l-attivitajiet ekonomiċi u tas-soċjetà jew tas-sikurezza pubblika, l-Istati Membri għandhom jivvalutaw ukoll iż-żmien li x'aktarx jgħaddi qabel id-diskontinwità tibda tħalli impatt negattiv.

(28)

Flimkien ma' fatturi transsettorjali, iridu jitqiesu wkoll fatturi speċifiċi għas-settur sabiex jiġi ddeterminat jekk inċident ikollux effett ta' tfixkil sinifikanti fuq l-għoti ta' servizz. Fir-rigward tal-fornituri tal-enerġija, fatturi bħal dawn jistgħu jinkludu l-volum jew il-proporzjon ta' enerġija nazzjonali ġġenerata; għall-fornituri taż-żejt, il-volum ta' kuljum; għat-trasport bl-ajru, inklużi l-ajruporti u t-trasportaturi bl-ajru, trasport bil-ferrovija u portijiet marittimi, il-proporzjon tal-volum tat-traffiku nazzjonali u n-numru ta' passiġġieri jew operazzjonijiet ta' tagħbija fis-sena; għal infrastrutturi bankarji jew tas-suq finanzjarju, l-importanza sistemika tagħhom ibbażata fuq l-assi totali jew il-proporzjon ta' dawk l-assi totali mal-PDG; għas-settur tas-saħħa, in-numru ta' pazjenti taħt il-kura tal-fornitur kull sena; għall-produzzjoni, l-ipproċessar u l-provvista tal-ilma, il-volum u n-numru u t-tipi ta' utenti pprovduti, inkluż pereżempju sptarijiet, organizzazzjonijiet tas-servizz pubbliku, jew individwi, u l-eżistenza ta' sorsi alternattivi ta' ilma biex tiġi koperta l-istess żona ġeografika.

(29)

Biex jikseb u jżomm livell għoli ta' sigurtà tan-netwerks u tas-sistemi tal-informazzjoni, kull Stat Membru għandu jkollu strateġija nazzjonali għas-sigurtà tan-netwerks u tas-sistemi tal-informazzjoni li tiddefinixxi l-objettivi strateġiċi u l-azzjonijiet politiċi konkreti li għandhom ikunu implimentati.

(30)

Fid-dawl tad-differenzi fl-istrutturi nazzjonali ta' governanza u sabiex jiġu salvagwardjati arranġamenti settorjali jew korpi superviżorji u regolatorji tal-Unjoni diġà eżistenti u biex jiġi evitat xogħol doppju, l-Istati Membri għandhom ikunu jistgħu jaħtru aktar minn awtorità nazzjonali kompetenti waħda responsabbli għat-twettiq tal-kompiti marbuta mas-sigurtà tan-netwerks u tas-sistemi tal-informazzjoni ta' operaturi ta' servizzi essenzjali u fornituri ta' servizzi diġitali skont din id-Direttiva.

(31)

Sabiex jiġu ffaċilitati kooperazzjoni u komunikazzjoni transfruntiera u sabiex din id-Direttiva tiġi implimentata b'mod effettiv, huwa meħtieġ li kull Stat Membru, mingħajr preġudizzju għall-arranġamenti regolatorji settorjali, jaħtar punt uniku ta' kuntatt nazzjonali inkarigat biex jikkoordina kwistjonijiet relatati mas-sigurtà tan-netwerks u tas-sistemi tal-informazzjoni u mill-kooperazzjoni transfruntiera fil-livell tal-Unjoni. L-awtoritajiet kompetenti u l-punti uniċi ta' kuntatt għandhom jingħataw ir-riżorsi tekniċi, finanzjarji u umani adegwati sabiex ikun żgurat li jistgħu jwettqu b'mod effettiv u effiċjenti l-kompiti assenjati lilhom u b'hekk jilħqu l-objettivi ta' din id-Direttiva. Billi din id-Direttiva għandha l-għan li ttejjeb il-funzjonament tas-suq intern billi toħloq fiduċja, jeħtieġ li l-korpi tal-Istati Membri jkunu kapaċi jikkooperaw b'mod effettiv mal-atturi ekonomiċi u jkunu strutturati kif suppost.

(32)

L-awtoritajiet kompetenti jew l-iskwadri ta' rispons għal inċidenti relatati mas-sigurtà tal-kompjuters (“CSIRTs”) għandhom jirċievu n-notifiki tal-inċidenti. Il-punti uniċi ta' kuntatt m'għandhomx jirċievu direttament kwalunkwe notifika ta' inċidenti dment li dawn ma jaġixxux ukoll bħala awtorità kompetenti jew CSIRT. L-awtorità kompetenti jew CSIRT għandha madankollu tkun tista' tagħti l-kompitu lill-punt uniku ta' kuntatt sabiex jibgħat in-notifiki tal-inċidenti lill-punti uniċi ta' kuntatt ta' Stati Membri affettwati oħra.

(33)

Sabiex jiġi żgurat l-għoti effettiv ta' informazzjoni lill-Istati Membri u lill-Kummissjoni, għandu jiġi ppreżentat rapport ta' sinteżi mill-punt uniku ta' kuntatt lill-Grupp ta' Kooperazzjoni, u għandu jsir anonimu sabiex tinżamm il-kunfidenzjalità tan-notifiki u l-identità ta' operaturi ta' servizzi essenzjali u fornituri ta' servizzi diġitali bħala informazzjoni dwar l-identità tal-entitajiet notifikanti mhix meħtieġa għall-iskambju tal-aħjar prattika fil-Grupp ta' Kooperazzjoni. Ir-rapport ta' sinteżi għandu jinkludi informazzjoni dwar in-numru ta' notifiki rċevuti, kif ukoll indikazzjoni dwar in-natura tal-inċidenti notifikati, bħat-tip ta' vjolazzjoni tas-sigurtà, il-gravità jew it-tul ta' żmien tagħhom.

(34)

L-Istati Membri għandhom ikunu mgħammra b'mod adegwat, kemm f'dak li jirrigwarda l-kapaċitajiet tekniċi kif ukoll dawk organizzattivi, sabiex jipprevjenu, jidentifikaw, jirreaġixxu għal, u jnaqqsu l-inċidenti u r-riskji tan-netwerks u tas-sistemi tal-informazzjoni. L-Istati Membri għandhom għalhekk jiżguraw li jkollhom CSIRTs, magħrufa wkoll bħala skwadri ta' rispons għal inċidenti relatati mas-sigurtà tal-kompjuters (“CERTs”), li jiffunzjonaw tajjeb u li huma konformi ma' rekwiżiti essenzjali sabiex ikunu ggarantiti kapaċitajiet effettivi u kompatibbli li jindirizzaw l-inċidenti u r-riskji u jiżguraw kooperazzjoni effiċjenti fil-livell tal-Unjoni. Sabiex it-tipi kollha ta' operaturi ta' servizzi essenzjali u fornituri ta' servizzi diġitali jibbenefikaw minn tali kapaċitajiet u kooperazzjoni, l-Istati Membri għandhom jiżguraw li t-tipi kollha huma koperti minn CSIRT maħtura. Minħabba l-importanza tal-kooperazzjoni internazzjonali dwar iċ-ċibersigurtà, is-CSIRTs għandhom ikunu jistgħu jipparteċipaw f'netwerks ta' kooperazzjoni internazzjonali flimkien man-netwerk tas-CSIRTs stabbilit b'din id-Direttiva.

(35)

Peress li l-parti l-kbira tan-netwerks u tas-sistemi tal-informazzjoni huma operati mill-privat, il-kooperazzjoni bejn is-settur pubbliku u dak privat hija essenzjali. L-operaturi ta' servizzi essenzjali u fornituri ta' servizzi diġitali għandhom ikunu mħeġġa jsegwu l-mekkaniżmi ta' kooperazzjoni informali tagħhom stess sabiex jiżguraw is-sigurtà tan-netwerks u tas-sistemi tal-informazzjoni. Il-Grupp ta' Kooperazzjoni għandu jkun jista' jistieden lill-partijiet ikkonċernati rilevanti għad-diskussjonijiet fejn xieraq. Sabiex tiġi mħeġġa b'mod effettiv il-kondiviżjoni tal-informazzjoni u l-aħjar prattika, huwa essenzjali li jiġi żgurat li l-operaturi ta' servizzi essenzjali u l-fornituri ta' servizzi diġitali li jipparteċipaw f'dawn l-iskambji ma jkunux żvantaġġati b'riżultat tal-kooperazzjoni tagħhom.

(36)

L-ENISA għandha tassisti lill-Istati Membri u lill-Kummissjoni billi tipprovdi l-għarfien espert u l-pariri tagħha u billi tiffaċilita l-iskambju tal-aħjar prattika. B'mod partikolari, fl-applikazzjoni ta' din id-Direttiva, il-Kummissjoni għandha tikkonsulta l-ENISA u l-Istati Membri għandhom ikunu jistgħu jikkonsultawha wkoll. Sabiex jissaħħu l-kapaċitajiet u l-għarfien fost l-Istati Membri, il-Grupp ta' Kooperazzjoni għandu jservi wkoll bħala strument għall-iskambju tal-aħjar prattika, diskussjoni dwar il-kapaċitajiet u l-istat ta' tħejjija tal-Istati Membri u, fuq bażi volontarja, jassisti lill-membri tiegħu sabiex jevalwaw l-istrateġiji nazzjonali dwar is-sigurtà tan-netwerks u tas-sistemi tal-informazzjoni, it-tisħiħ tal-kapaċitajiet u jevalwa l-eżerċizzji relatati mas-sigurtà tan-netwerks u tas-sistemi tal-informazzjoni.

(37)

Fejn xieraq, l-Istati Membri għandhom ikunu jistgħu jużaw jew jadattaw strutturi organizzattivi jew strateġiji eżistenti meta japplikaw din id-Direttiva.

(38)

Il-kompiti rispettivi tal-Grupp ta' Kooperazzjoni u l-ENISA huma interdipendenti u komplementari. B'mod ġenerali, l-ENISA għandha tassisti lill-Grupp ta' Kooperazzjoni fit-twettiq tal-kompiti tiegħu, f'konformità mal-objettiv tal-ENISA stabbilit fir-Regolament (UE) Nru 526/2013 tal-Parlament Ewropew u tal-Kunsill (7), jiġifieri li tassisti lill-istituzzjonijiet, korpi, uffiċċji u aġenziji tal-Unjoni u lill-Istati Membri fl-implimentazzjoni tal-linji ta' politika meħtieġa biex ikunu sodisfatti r-rekwiżiti legali u regolatorji tas-sigurtà tan-netwerks u tas-sistemi tal-informazzjoni fl-atti legali eżistenti u futuri tal-Unjoni. B'mod partikolari, l-ENISA għandha tipprovdi assistenza f'dawk l-oqsma li jikkorrispondu mal-kompiti tagħha, kif stabbiliti fir-Regolament (UE) Nru 526/2013, jiġifieri l-analiżi tal-istrateġiji għas-sigurtà tan-netwerks u tas-sistemi tal-informazzjoni, l-appoġġ għall-organizzazzjoni u t-tmexxija tal-eżerċizzji tal-Unjoni relatati mas-sigurtà tan-netwerks u tas-sistemi tal-informazzjoni, u l-iskambju ta' informazzjoni u l-aħjar prattika dwar sensibilizzazzjoni u taħriġ. L-ENISA għandha tkun involuta wkoll fl-iżvilupp ta' linji gwida għal kriterji speċifiċi għas-settur sabiex jiġi ddeterminat il-kobor tal-impatt ta' inċident.

(39)

Sabiex tiġi promossa sigurtà avvanzata tan-netwerks u tas-sistemi tal-informazzjoni, il-Grupp ta' Kooperazzjoni għandu, fejn adatt, jikkoopera mal-istituzzjonijiet, il-korpi, l-uffiċċji u l-aġenziji rilevanti tal-Unjoni, sabiex ikun hemm skambju ta' għarfien u l-aħjar prattika u sabiex jingħataw pariri dwar aspetti ta' sigurtà tan-netwerks u tas-sistemi tal-informazzjoni li jista' jkollhom impatt fuq il-ħidma tagħhom, filwaqt li jiġu rrispettati l-arranġamenti eżistenti għall-iskambju ta' informazzjoni ristretta. F'kooperazzjoni mal-awtoritajiet tal-infurzar tal-liġi dwar l-aspetti ta' sigurtà tan-netwerks u tas-sistemi tal-informazzjoni li jista' jkollhom impatt fuq il-ħidma tagħhom, il-Grupp ta' Kooperazzjoni għandu jirrispetta l-kanali eżistenti ta' informazzjoni u n-netwerks stabbiliti.

(40)

L-informazzjoni dwar inċidenti qed issir dejjem aktar importanti għall-pubbliku ġenerali u n-negozji, b'mod partikolari l-intrapriżi żgħar u ta' daqs medju. F'xi każijiet, din l-informazzjoni diġà tingħata mis-siti web fil-livell nazzjonali, bil-lingwa ta' pajjiż speċifiku u tiffoka prinċipalment fuq inċidenti u okkorrenzi ta' dimensjoni nazzjonali. Billi n-negozji qegħdin joperaw dejjem aktar fil-livell transfruntier u ċ-ċittadini jużaw is-servizzi online, l-informazzjoni dwar l-inċidenti għandha tingħata f'forma aggregata fil-livell tal-Unjoni. Is-segretarjat tan-netwerk tas-CSIRTs huwa mħeġġeġ li jkollu sit web jew li jospita paġna ddedikata fuq sit web eżistenti fejn informazzjoni ġenerali dwar inċidenti maġġuri li seħħew madwar l-Unjoni tkun disponibbli għall-pubbliku ġenerali, b'fokus speċifiku fuq l-interessi u l-ħtiġijiet tan-negozji. Is-CSIRTs parteċipanti fin-netwerk tas-CSIRTs huma mħeġġa jipprovdu fuq bażi volontarja l-informazzjoni li tiġi ppubblikata f'dak is-sit web mingħajr ma jkun jinkludi informazzjoni kunfidenzjali jew sensittiva.

(41)

Meta l-informazzjoni titqies li hi kunfidenzjali skont ir-regoli tal-Unjoni u r-regoli nazzjonali dwar il-kunfidenzjalità tan-negozju, din il-kunfidenzjalità għandha tkun assigurata fit-twettiq tal-attivitajiet u fl-ilħuq tal-objettivi stabbiliti f'din id-Direttiva.

(42)

L-eżerċizzji li jagħmlu simulazzjoni ta' inċidenti f'ħin reali huma essenzjali għall-ittestjar tal-istat ta' tħejjija u l-kooperazzjoni tal-Istati Membri rigward is-sigurtà tan-netwerks u tas-sistemi tal-informazzjoni. Iċ-ċiklu CyberEurope ta' eżerċizzji kkoordinati mill-ENISA bil-parteċipazzjoni tal-Istati Membri huwa għodda utli għall-verifika u t-tfassil ta' rakkomandazzjonijiet dwar kif l-ittrattar ta' inċident fil-livell tal-Unjoni għandu jitjieb maż-żmien. Filwaqt li jitqies li fil-preżent l-Istati Membri mhumiex obbligati li jippjanaw jew jipparteċipaw f'eżerċizzji, il-ħolqien tan-netwerk tas-CSIRTs skont din id-Direttiva għandu jippermetti lill-Istati Membri jipparteċipaw f'eżerċizzji abbażi ta' ppjanar bir-reqqa u għażliet strateġiċi. Il-Grupp ta' Kooperazzjoni stabbilit skont din id-Direttiva għandu jiddiskuti deċiżjonijiet strateġiċi dwar l-eżerċizzji, b'mod partikolari iżda mhux esklużivament dwar ir-regolarità tal-eżerċizzji u t-tfassil tax-xenarji. L-ENISA għandha, f'konformità mal-mandat tagħha, tappoġġa l-organizzazzjoni u t-tmexxija ta' eżerċizzji fl-Unjoni kollha billi tipprovdi l-għarfien espert u l-pariri tagħha lill-Grupp ta' Kooperazzjoni u n-Netwerk tas-CSIRTs.

(43)

Minħabba n-natura globali tal-problemi tas-sigurtà li jaffettwaw in-netwerks u s-sistemi tal-informazzjoni, tinħtieġ kooperazzjoni internazzjonali aktar mill-qrib sabiex jittejbu l-istandards tas-sigurtà u l-iskambju tal-informazzjoni, u jiġi promoss approċċ globali komuni lejn il-kwistjonijiet ta' sigurtà.

(44)

Ir-responsabbiltajiet tal-iżgurar tas-sigurtà tan-netwerks u tas-sistemi tal-informazzjoni jaqgħu fil-parti l-kbira tagħhom taħt l-operaturi ta' servizzi essenzjali u l-fornituri ta' servizzi diġitali. Kultura tal-ġestjoni tar-riskju li tinvolvi valutazzjoni tar-riskju u l-implimentazzjoni ta' miżuri ta' sigurtà xierqa għar-riskji ffaċċjati, għandha tiġi promossa u żviluppata permezz ta' rekwiżiti regolatorji xierqa u prattiki industrijali volontarji. L-istabbiliment ta' kundizzjonijiet indaqs affidabbli huwa wkoll essenzjali għall-funzjonament effettiv tal-Grupp ta' Kooperazzjoni u n-netwerk tas-CSIRTs biex tiġi żgurata l-kooperazzjoni effettiva mill-Istati Membri kollha.

(45)

Din id-Direttiva tapplika biss għal dawk l-amministrazzjonijiet pubbliċi li huma identifikati bħala operaturi ta' servizzi essenzjali. Għaldaqstant hija r-responsabbiltà tal-Istati Membri li jiżguraw is-sigurtà tan-netwerks u tas-sistemi tal-informazzjoni tal-amministrazzjonijiet pubbliċi li ma jaqgħux fil-kamp ta' applikazzjoni ta' din id-Direttiva.

(46)

Miżuri biex jiġi ġestit ir-riskju jinkludu miżuri biex jiġi identifikat kwalunkwe riskju ta' inċident, biex jipprevjenu, jidentifikaw u jindirizzaw l-inċidenti u jnaqqsu l-impatt tagħhom. Is-sigurtà tan-netwerks u tas-sistemi tal-informazzjoni tinkludi s-sigurtà tad-data maħżuna, trażmessa u pproċessata.

(47)

L-awtoritajiet kompetenti għandhom iżommu l-kapaċità li jadottaw linji gwida nazzjonali rigward iċ-ċirkostanzi li fihom l-operaturi ta' servizzi essenzjali huma meħtieġa jinnotifikaw l-inċidenti.

(48)

Bosta negozji fl-Unjoni jiddependu fuq il-fornituri ta' servizzi diġitali għall-għoti tas-servizzi tagħhom. Billi xi servizzi diġitali jistgħu jkunu riżorsa importanti għall-utenti tagħhom, inklużi operaturi ta' servizzi essenzjali, u fil-fatt jista' jkun li dawn l-utenti mhux dejjem ikollhom alternattiva disponibbli, din id-Direttiva għandha tapplika wkoll għall-fornituri ta' servizzi bħal dawn. Is-sigurtà, il-kontinwità u l-affidabbiltà tat-tip ta' servizzi msemmija f'din id-Direttiva huma essenzjali għall-funzjonament bla xkiel ta' bosta negozji. It-tfixkil ta' servizz diġitali bħal dan jista' jipprevjeni l-għoti ta' servizzi oħra li jiddependu fuqu u għalhekk jista' jkollu impatt fuq attivitajiet ekonomiċi u tas-soċjetà ewlenin fl-Unjoni. Tali servizzi diġitali jistgħu għalhekk ikunu ta' importanza kruċjali għall-funzjonament bla xkiel tan-negozji li jiddependu minnhom u aktar minn hekk għall-parteċipazzjoni ta' dawn in-negozji fis-suq intern u l-kummerċ transfruntier madwar l-Unjoni. Dawk il-fornituri ta' servizzi diġitali li huma soġġetti għal din id-Direttiva huma dawk li huma meqjusa li joffru servizzi diġitali li bosta negozji fl-Unjoni qegħdin jiddependu dejjem aktar fuqhom.

(49)

Il-fornituri ta' servizzi diġitali għandhom jiżguraw livell ta' sigurtà proporzjonat mal-grad ta' riskju għas-sigurtà tas-servizzi diġitali li jipprovdu, minħabba l-importanza tas-servizzi tagħhom għall-operazzjonijiet ta' negozji oħra fi ħdan l-Unjoni. Fil-prattika l-grad ta' riskju għal operaturi ta' servizzi essenzjali, li spiss huma essenzjali għaż-żamma ta' attivitajiet tas-soċjetà u ekonomiċi kritiċi, huwa ogħla minn dak għall-fornituri tas-servizzi diġitali. Għaldaqstant ir-rekwiżiti ta' sigurtà għall-fornituri ta' servizzi diġitali għandhom ikunu inqas stretti. Il-fornituri ta' servizzi diġitali għandhom jibqgħu liberi li jieħdu miżuri li huma jqisu xierqa sabiex jindirizzaw ir-riskji għas-sigurtà tan-netwerks u tas-sistemi tal-informazzjoni tagħhom. Minħabba n-natura transfruntiera tagħhom, il-fornituri ta' servizzi diġitali għandhom ikunu soġġetti għal approċċ aktar armonizzat fil-livell tal-Unjoni. L-atti ta' implimentazzjoni għandhom jiffaċilitaw l-ispeċifikazzjoni u l-implimentazzjoni ta' tali miżuri.

(50)

Filwaqt li l-manifatturi tal-hardware u l-iżviluppaturi tas-software mhumiex operaturi ta' servizzi essenzjali, u lanqas ma huma fornituri ta' servizzi diġitali, il-prodotti tagħhom itejbu s-sigurtà tan-netwerks u tas-sistemi tal-informazzjoni. Għalhekk dawn għandhom rwol importanti sabiex l-operaturi ta' servizzi essenzjali u l-fornituri ta' servizzi diġitali jkunu jistgħu jiggarantixxu s-sigurtà tan-netwerks u tas-sistemi tal-informazzjoni tagħhom. Dawn il-prodotti tal-hardware u tas-software huma diġà soġġetti għal regoli eżistenti dwar ir-responsabbiltà għad-dannu minn prodott.

(51)

Il-miżuri tekniċi u organizzattivi imposti fuq l-operaturi ta' servizzi essenzjali u fornituri ta' servizzi diġitali m'għandhomx jirrikjedu li prodott kummerċjali partikolari tat-teknoloġija tal-informazzjoni u tal-komunikazzjoni jiġi mfassal, żviluppat jew immanifatturat b'xi mod partikolari.

(52)

L-Operaturi ta' servizzi essenzjali u fornituri ta' servizzi diġitali għandhom jiżguraw is-sigurtà tas-sistemi tan-netwerks u tal-informazzjoni li jużaw. Dawn huma primarjament sistemi tan-netwerks u tal-informazzjoni privati li jkunu ġestiti mill-persunal intern tagħhom tal-IT jew li s-sigurtà tagħhom tkun ġiet esternalizzata. Ir-rekwiżiti ta' sigurtà u ta' notifika għandhom japplikaw għall-operaturi rilevanti ta' servizzi essenzjali u l-fornituri rilevanti ta' servizzi diġitali irrispettivament minn jekk iwettqux il-manutenzjoni tan-netwerks u tas-sistemi tal-informazzjoni tagħhom internament jew jesternalizzawhiex.

(53)

Biex tiġi evitata l-impożizzjoni ta' piż finanzjarju u amministrattiv sproporzjonat fuq l-operaturi ta' servizzi essenzjali u fornituri ta' servizzi diġitali, ir-rekwiżiti għandhom ikunu proporzjonati għar-riskju ppreżentat mis-sistema tan-netwerk u tal-informazzjoni kkonċernata, filwaqt li jiġi kkunsidrat l-aktar stat avvanzat ta' dawn il-miżuri. Fil-każ ta' fornituri ta' servizzi diġitali, dawk ir-rekwiżiti m'għandhomx japplikaw għal mikrointrapriżi u intrapriżi żgħar.

(54)

Fejn l-amministrazzjonijiet pubbliċi fl-Istati Membri jużaw is-servizzi offruti minn fornituri ta' servizzi diġitali, b'mod partikolari servizzi tal-cloud computing, jistgħu jkollhom ix-xewqa li jitolbu minn fornituri ta' servizzi bħal dawn miżuri ta' sigurtà addizzjonali lil hinn minn dak li normalment joffru l-fornituri ta' servizz diġitali f'konformità mar-rekwiżiti ta' din id-Direttiva. Dawn għandhom ikunu jistgħu jagħmlu dan permezz ta' obbligi kuntrattwali.

(55)

Id-definizzjonijiet ta' swieq online, magni tat-tiftix online u servizzi tal-cloud computing f'din id-Direttiva huma għall-fini speċifika ta' din id-Direttiva, u mingħajr preġudizzju għal kwalunkwe strument ieħor.

(56)

Din id-Direttiva m'għandhiex tipprekludi lill-Istati Membri milli jadottaw miżuri nazzjonali li jirrikjedu lill-korpi tas-settur pubbliku jiżguraw rekwiżiti ta' sigurtà speċifiċi meta jikkuntrattaw servizzi tal-cloud computing. Kwalunkwe miżura nazzjonali bħal din għandha tapplika għall-korp tas-settur pubbliku kkonċernati u mhux għall-fornitur ta' servizz tal-cloud computing.

(57)

Minħabba d-differenzi fundamentali bejn operaturi ta' servizzi essenzjali, b'mod partikolari r-rabta diretta tagħhom mal-infrastruttura fiżika, u fornituri ta' servizzi diġitali, b'mod partikolari n-natura transfruntiera tagħhom, din id-Direttiva għandha tieħu approċċ differenzjat dwar il-livell ta' armonizzazzjoni fir-rigward ta' dawn iż-żewġ gruppi ta' entitajiet. Għal operaturi ta' servizzi essenzjali, l-Istati Membri għandhom ikunu jistgħu jidentifikaw l-operaturi rilevanti u jimponu rekwiżiti aktar stretti minn dawk stabbiliti f'din id-Direttiva. L-Istati Membri m'għandhomx jidentifikaw fornituri ta' servizzi diġitali, billi din id-Direttiva għandha tapplika għall-fornituri kollha ta' servizzi diġitali fi ħdan il-kamp ta' applikazzjoni tagħha. Barra minn hekk, din id-Direttiva u l-atti ta' implimentazzjoni adottati skontha għandhom jiżguraw livell għoli ta' armonizzazzjoni għall-fornituri ta' servizzi diġitali fir-rigward ta' rekwiżiti ta' sigurtà u ta' notifika. Din għandha twassal li l-fornituri ta' servizz diġitali jiġu ttrattati b'mod uniformi madwar l-Unjoni, b'mod li jkun proporzjonat għan-natura u l-grad ta' riskju li jistgħu jiffaċċjaw.

(58)

Din id-Direttiva m'għandhiex tipprekludi lill-Istati Membri milli jimponu rekwiżiti ta' sigurtà u ta' notifika fuq entitajiet li mhumiex fornituri ta' servizzi diġitali fi ħdan il-kamp ta' applikazzjoni ta' din id-Direttiva, mingħajr preġudizzju għall-obbligi tal-Istati Membri skont il-liġi tal-Unjoni.

(59)

L-awtoritajiet kompetenti għandhom jagħtu attenzjoni dovuta lill-preservazzjoni tal-mezzi informali u fdati għall-kondiviżjoni tal-informazzjoni. Ix-xandir tal-inċidenti rrapportati lill-awtoritajiet kompetenti għandu jżomm bilanċ kif xieraq bejn l-interess tal-pubbliku li jkun informat dwar it-theddid u l-ħsara possibbli għar-reputazzjoni u l-kummerċ tal-operaturi ta' servizzi essenzjali u l-fornituri ta' servizzi diġitali li jirrapportaw l-inċidenti. Fl-implimentazzjoni tal-obbligi ta' notifika, l-awtoritajiet kompetenti u s-CSIRTs għandhom jagħtu attenzjoni partikolari lill-ħtieġa li jżommu l-informazzjoni dwar il-vulnerabbiltajiet tal-prodott strettament kunfidenzjali qabel ma joħorġu xi soluzzjonijiet ta' sigurtà xierqa.

(60)

Il-fornituri ta' servizzi diġitali għandhom ikunu soġġetti għal attivitajiet superviżorji light-touch, reattivi u ex post iġġustifikati min-natura tas-servizzi u l-operazzjonijiet tagħhom. L-awtorità kompetenti kkonċernata għandha għalhekk tieħu azzjoni biss meta tingħatalha evidenza, pereżempju mill-fornitur innifsu ta' servizz diġitali, minn awtorità kompetenti oħra, inkluża awtorità kompetenti ta' Stat Membru ieħor, jew minn utent tas-servizz, li fornitur ta' servizz diġitali ma jkunx qed jikkonformi mar-rekwiżiti ta' din id-Direttiva, b'mod partikolari wara li jkun seħħ inċident. Għaldaqstant l-awtorità kompetenti m'għandu jkollha ebda obbligu ġenerali li tissorvelja fornituri ta' servizzi diġitali.

(61)

L-awtoritajiet kompetenti għandu jkollhom il-mezzi meħtieġa biex iwettqu d-doveri tagħhom, inklużi setgħat biex jiksbu biżżejjed informazzjoni sabiex jiġi vvalutat il-livell ta' sigurtà tan-netwerks u tas-sistemi tal-informazzjoni.

(62)

L-inċidenti jistgħu jkunu r-riżultat ta' attivitajiet kriminali, li l-prevenzjoni, l-investigazzjoni u l-prosekuzzjoni tagħhom tkun appoġġata mill-koordinazzjoni u l-kooperazzjoni bejn operaturi ta' servizzi essenzjali, fornituri ta' servizzi diġitali, awtoritajiet kompetenti u awtoritajiet tal-infurzar tal-liġi. Fejn huwa suspettat li inċident ikun relatat ma' attivitajiet kriminali serji skont il-liġi tal-Unjoni jew dik nazzjonali, l-Istati Membri għandhom jinkoraġġixxu lill-operaturi ta' servizzi essenzjali u fornituri ta' servizzi diġitali biex jirrapportaw suspetti ta' inċidenti ta' natura kriminali serja lill-awtoritajiet tal-infurzar tal-liġi rilevanti. Fejn xieraq, ikun ideali li l-koordinazzjoni bejn l-awtoritajiet kompetenti u l-awtoritajiet tal-infurzar tal-liġi ta' Stati Membri differenti tiġi ffaċilitata miċ-Ċentru Ewropew taċ-Ċiberkriminalità (EC3) u l-ENISA.

(63)

Id-data personali f'bosta każijiet hija kompromessa minħabba dawn l-inċidenti. F'dan il-kuntest, l-awtoritajiet kompetenti u l-awtoritajiet għall-protezzjoni tad-data għandhom jikkooperaw u jkollhom skambju tal-informazzjoni dwar il-kwistjonijiet rilevanti kollha biex tiġi ttrattata kwalunkwe vjolazzjoni fir-rigward tad-data personali li jirriżultaw minn inċidenti.

(64)

Il-ġurisdizzjoni fir-rigward ta' fornituri ta' servizzi diġitali għandha tiġi attribwita lill-Istat Membru li fih il-fornitur ikkonċernat ta' servizz diġitali jkollu s-sede prinċipali tiegħu fl-Unjoni, li, fil-prinċipju tikkorrispondi għall-post fejn il-fornitur ikollu l-uffiċċju reġistrat tiegħu fl-Unjoni. Is-sede timplika l-eżerċizzju effettiv u reali ta' attività permezz ta' arranġamenti stabbli. Il-forma ġuridika ta' dawn l-arranġamenti, sew jekk permezz ta' fergħa jew sussidjarja b'personalità ġuridika, mhijiex il-fattur determinanti f'dan ir-rigward. Dan il-kriterju ma għandux jiddependi fuq jekk in-netwerks u s-sistemi tal-informazzjoni jinsabux fiżikament f'post partikolari; il-preżenza u l-użu ta' sistemi bħal dawn, minnhom infushom, ma jikkostitwixxux sede prinċipali u għaldaqstant mhumiex kriterju għad-determinazzjoni tas-sede prinċipali.

(65)

Fejn il-fornitur ta' servizz diġitali li mhux stabbilit fl-Unjoni joffri servizzi fl-Unjoni, dan għandu jaħtar rappreżentant. Sabiex jiġi determinat jekk tali fornitur ta' servizz diġitali jkunx qiegħed joffri servizzi fl-Unjoni, għandu jiġi aċċertat jekk ikunx evidenti li l-fornitur ta' servizz diġitali jkunx qed jippjana li joffri servizzi lil persuni f'xi Stat Membru wieħed jew aktar. Is-sempliċi aċċessibbiltà fl-Unjoni tal-fornitur ta' servizz diġitali jew sit web intermedjarju jew ta' indirizz e-mail u ta' dettalji ta' kuntatt oħrajn, jew l-użu ta' lingwa użata b'mod ġenerali f'pajjiż terz fejn il-fornitur ta' servizz diġitali jkun stabbilit, mhijiex biżżejjed biex tiġi aċċertata tali intenzjoni. Madanakollu, fatturi bħall-użu ta' lingwa jew munita użati b'mod ġenerali fi Stat Membru wieħed jew aktar bil-possibbiltà li jiġu ordnati servizzi f'dik il-lingwa l-oħra, jew ir-referenza għal klijenti jew utenti li jinsabu fl-Unjoni, tista' turi li l-fornitur ta' servizz diġitali qed jippjana li joffri servizzi fl-Unjoni. Ir-rappreżentant għandu jaġixxi f'isem il-fornitur ta' servizz diġitali u għandu jkun possibbli li l-awtoritajiet kompetenti jew is-CSIRTs jikkuntattjaw lir-rappreżentant. Ir-rappreżentant għandu jinħatar espliċitament b'mandat bil-miktub tal-fornitur ta' servizz diġitali sabiex jaġixxi f'isem dan tal-aħħar fir-rigward tal-obbligi ta' dan tal-aħħar f'din id-Direttiva, inkluż ir-rapportar tal-inċidenti.

(66)

L-istandardizzazzjoni tar-rekwiżiti tas-sigurtà hija proċess immexxi mis-suq. Biex jassiguraw applikazzjoni konverġenti tal-istandards tas-sigurtà, l-Istati Membri għandhom jinkoraġġixxu l-osservanza jew il-konformità ma' standards speċifikati sabiex jassiguraw livell għoli ta' sigurtà tan-netwerks u tas-sistemi tal-informazzjoni fil-livell tal-Unjoni. L-ENISA għandha tassisti lill-Istati Membri permezz ta' pariri u linji gwida. Għaldaqstant jista' jkun utli li jiġu abbozzati standards armonizzati, li għandhom isiru f'konformità mar-Regolament (UE) Nru 1025/2012 tal-Parlament Ewropew u tal-Kunsill (8).

(67)

Entitajiet li jaqgħu barra l-kamp ta' applikazzjoni ta' din id-Direttiva jistgħu jesperjenzaw inċidenti li jkollhom impatt sinifikanti fuq is-servizzi li jipprovdu. Meta dawn l-entitajiet iqisu li huwa fl-interess pubbliku li jinnotifikaw l-okkorrenza ta' inċidenti bħal dawn, għandhom ikunu jistgħu jagħmlu dan fuq bażi volontarja. Dawn in-notifiki għandhom jiġu pproċessati mill-awtorità kompetenti jew mill-CSIRT fejn tali pproċessar ma jikkostitwixxix piż żejjed u sproporzjonat fuq l-Istati Membri kkonċernati.

(68)

Sabiex jiġu żgurati kundizzjonijiet uniformi għall-implimentazzjoni ta' din id-Direttiva, għandhom jingħataw setgħat ta' implimentazzjoni lill-Kummissjoni sabiex tistipula l-arranġamenti proċedurali meħtieġa għall-funzjonament tal-Grupp ta' Kooperazzjoni u r-rekwiżiti ta' sigurtà u ta' notifika applikabbli għal fornituri ta' servizzi diġitali. Dawk is-setgħat għandhom jiġu eżerċitati f'konformità mar-Regolament (UE) Nru 182/2011 tal-Parlament Ewropew u tal-Kunsill (9). Meta tadotta atti ta' implimentazzjoni relatati mal-arranġamenti proċedurali meħtieġa għall-funzjonament tal-Grupp ta' Kooperazzjoni, il-Kummissjoni għandha tqis b'mod sħiħ l-opinjoni tal-ENISA.

(69)

Meta jiġu adottati atti ta' implimentazzjoni relatati mar-rekwiżiti ta' sigurtà u ta' notifika għall-fornituri ta' servizzi diġitali, il-Kummissjoni għandha tqis b'mod sħiħ l-opinjoni tal-ENISA u tikkonsulta l-partijiet ikkonċernati. Barra minn hekk, il-Kummissjoni hija mħeġġa li tqis l-eżempji li ġejjin: fir-rigward tas-sigurtà ta' sistemi u faċilitajiet: is-sigurtà fiżika u ambjentali, is-sigurtà tal-provvisti, il-kontroll tal-aċċess għan-netwerks u għas-sistemi tal-informazzjoni u l-integrità tan-netwerks u tas-sistemi tal-informazzjoni; fir-rigward tal-ittrattar tal-inċidenti: proċeduri ta' trattar tal-inċidenti, kapaċità ta' detezzjoni ta' inċident, ir-rapportar ta' inċident u komunikazzjoni; fir-rigward tal-ġestjoni tal-kontinwità tal-attività: strateġija għall-kontinwità tas-servizz u pjanijiet ta' kontinġenza, il-kapaċitajiet ta' rkupru minn diżastru; u fir-rigward tal-monitoraġġ, il-verifika u l-ittestjar: politiki ta' monitoraġġ u reġistrazzjoni, użu ta' pjanijiet ta' kontinġenza, l-ittestjar tan-netwerks u tas-sistemi tal-informazzjoni, valutazzjonijiet tas-sigurtà u l-monitoraġġ tal-konformità.

(70)

Fl-implimentazzjoni ta' din id-Direttiva, il-Kummissjoni għandha tikkomunika kif xieraq mal-kumitati settorjali rilevanti u l-korpi rilevanti stabbiliti fil-livell tal-Unjoni fl-oqsma koperti minn din id-Direttiva.

(71)

Il-Kummissjoni għandha tirrevedi din id-Direttiva perjodikament, f'konsultazzjoni mal-partijiet interessati, b'mod partikolari bl-għan li tiddetermina l-ħtieġa ta' modifika fid-dawl ta' tibdil fil-kundizzjonijiet tas-soċjetà, dawk politiċi, teknoloġiċi jew tas-suq.

(72)

Il-kondiviżjoni tal-informazzjoni dwar ir-riskji u l-inċidenti fi ħdan il-Grupp ta' Kooperazzjoni u n-netwerk tas-CSIRTs u l-konformità mar-rekwiżiti ta' notifika tal-inċidenti lill-awtoritajiet kompetenti nazzjonali jew is-CSIRTs jistgħu jirrikjedu l-ipproċessar ta' data personali. Dan l-ipproċessar għandu jkun konformi mad-Direttiva 95/46/KE tal-Parlament Ewropew u tal-Kunsill (10) u r-Regolament (KE) Nru 45/2001 tal-Parlament Ewropew u tal-Kunsill (11). Fl-applikazzjoni ta' din id-Direttiva, għandu japplika kif xieraq ir-Regolament (KE) Nru 1049/2001 tal-Parlament Ewropew u tal-Kunsill (12).

(73)

Il-Kontrollur Ewropew għall-Protezzjoni tad-Data ġie kkonsultat f'konformità mal-Artikolu 28(2) tar-Regolament (KE) Nru 45/2001 u ta opinjoni fl-14 ta' Ġunju 2013 (13).

(74)

Minħabba li l-għanijiet ta' din id-Direttiva, jiġifieri li jinkiseb livell komuni għoli ta' sigurtà tan-netwerks u tas-sistemi tal-informazzjoni fl-Unjoni, ma jistgħux jinkisbu b'mod suffiċjenti mill-Istati Membri iżda jistgħu, minħabba l-effetti tal-azzjoni, jinkisbu aħjar fil-livell tal-Unjoni, l-Unjoni tista' tadotta miżuri, f'konformità mal-prinċipju tas-sussidjarjetà kif stipulat fl-Artikolu 5 tat-Trattat tal-Unjoni Ewropea. F'konformità mal-prinċipju tal-proporzjonalità, kif stabbilit f'dak l-Artikolu, din id-Direttiva ma tmurx lil hinn minn dak li huwa meħtieġ sabiex jinkisbu dak l-għan.

(75)

Din id-Direttiva tirrispetta d-drittijiet fundamentali, u tosserva l-prinċipji, rikonoxxuti mill-Karta tad-Drittijiet Fundamentali tal-Unjoni Ewropea, b'mod partikolari, id-dritt għar-rispett għall-ħajja privata u d-dritt tal-komunikazzjoni, il-protezzjoni tad-data personali, il-libertà ta' intrapriża, id-dritt għall-proprjetà, id-dritt għal rimedju effettiv quddiem qorti u d-dritt li persuna tiġi mismugħa. Din id-Direttiva għandha tiġi implimentata f'konformità ma' dawk id-drittijiet u l-prinċipji,