Rapport speċjali
05 2022

Ċibersigurtà tal‑istituzzjonijiet, il‑korpi u l-aġenziji tal‑UE: Il‑livell ta’ tħejjija b’mod ġenerali mhuwiex proporzjonat mat‑theddid

Dwar ir-rapport:L-għadd ta’ attakki ċibernetiċi fuq l‑istituzzjonijiet, il‑korpi u l-aġenziji tal‑UE (EUIBAs) qed jiżdied drastikament. Billi l‑EUIBAs huma interkonnessi b’mod qawwi, dgħufijiet f’EUIBA jistgħu jesponu lill-oħrajn għal theddid għas‑sigurtà. Aħna eżaminajna jekk l‑EUIBAs għandhomx arranġamenti adegwati biex jipproteġu lilhom infushom kontra t‑theddid ċibernetiku. Sibna li, b’mod ġenerali, il‑livell ta’ tħejjija tal‑EUIBAs mhuwiex proporzjonat mat‑theddid, u li dawn għandhom livelli differenti ħafna ta’ maturità fiċ-ċibersigurtà. Nirrakkomandaw li l‑Kummissjoni ttejjeb it-tħejjija tal‑EUIBAs billi tipproponi l‑introduzzjoni ta’ regoli vinkolanti dwar iċ-ċibersigurtà u żieda fir‑riżorsi għall‑Iskwadra ta’ Rispons f’Emerġenza relatata mal‑Kompjuters (CERT‑UE). Jenħtieġ li l‑Kummissjoni tippromwovi wkoll aktar sinerġiji fost l‑EUIBAs, u jenħtieġ li s‑CERT‑UE u l-Aġenzija tal‑Unjoni Ewropea għaċ-Ċibersigurtà jiffukaw l‑appoġġ tagħhom fuq EUIBAs li huma inqas maturi.

Rapport speċjali tal-QEA skont l-Artikolu 287(4), it-tieni subparagrafu, TFUE.

Din il-pubblikazzjoni hija disponibbli bi 24 lingwa fil-format li ġejt:
PDF
PDF Rapport Speċjali: Ċibersigurtà tal istituzzjonijiet, il korpi u l-aġenziji tal UE

Sommarju eżekuttiv

I L‑Att tal‑UE dwar iċ-Ċibersigurtà jiddefinixxi ċ-ċibersigurtà bħala “l‑attivitajiet meħtieġa biex jiġu mħarsa n‑networks u s‑sistemi tal‑informazzjoni, l‑utenti ta’ tali sistemi, u persuni oħra milquta minn theddid ċibernetiku”. Minħabba l‑informazzjoni sensittiva li jipproċessaw, l‑istituzzjonijiet, il‑korpi u l-aġenziji tal‑UE (EUIBAs) huma miri attraenti għal attakkanti potenzjali, b’mod partikolari gruppi li kapaċi jwettqu attakki sigrieti sofistikati ħafna għal spjunaġġ ċibernetiku u għal skopijiet oħra. L‑EUIBAs huma interkonnessi b’mod qawwi, minkejja l‑indipendenza istituzzjonali u l‑awtonomija amministrattiva tagħhom. Għalhekk, dgħufijiet fl‑EUIBAs individwali jistgħu jesponu lill-oħrajn għal theddid għas‑sigurtà.

II Minħabba li l-għadd ta’ attakki ċibernetiċi fuq l‑EUIBAs qed jiżdied drastikament, l‑objettiv ta’ dan l‑awditu kien li jiddetermina jekk l‑EUIBAs, fl‑intier tagħhom, stabbilewx arranġamenti adegwati biex jipproteġu lilhom infushom kontra t‑theddid ċibernetiku. Nikkonkludu li l‑komunità EUIBA ma laħqitx livell ta’ tħejjija ċibernetika proporzjonali mat‑theddid.

III Sibna li mhux dejjem ġew implimentati prattiki tajbin ewlenin fir‑rigward taċ-ċibersigurtà, inklużi xi kontrolli essenzjali, u għadd ta’ EUIBAs b’mod ċar qed jonfqu inqas fuq iċ-ċibersigurtà. Il‑governanza tajba taċ-ċibersigurtà għadha wkoll mhijiex fis‑seħħ f’xi EUIBAs: L‑istrateġiji għas‑sigurtà tal‑IT f’ħafna każijiet huma neqsin jew mhumiex approvati mill‑maniġment superjuri, il‑politiki ta’ sigurtà mhux dejjem jiġu formalizzati, u l‑valutazzjonijiet tar‑riskju ma jkoprux l‑ambjent tal‑IT kollu kemm hu. Mhux l‑EUIBAs kollha għandhom iċ-ċibersigurtà tagħhom suġġetta regolarment għal aċċertament indipendenti.

IV It‑taħriġ dwar iċ-ċibersigurtà mhux dejjem ikun sistematiku. Ftit aktar minn nofs l‑EUIBAs joffru taħriġ kontinwu dwar iċ-ċibersigurtà għall‑persunal tal‑IT u għall‑ispeċjalisti tas‑sigurtà tal‑IT. Ftit huma l‑EUIBAs li jipprovdu taħriġ obbligatorju dwar iċ-ċibersigurtà għall‑maniġers responsabbli għas‑sistemi tal‑IT li jkun fihom informazzjoni sensittiva. L-eżerċizzji ta’ phishing huma għodda importanti għat‑taħriġ tal‑persunal u għas‑sensibilizzazzjoni, iżda mhux l‑EUIBAs kollha jużawhom b’mod sistematiku.

V Filwaqt li l‑EUIBAs stabbilew strutturi għall‑kooperazzjoni u l‑iskambju ta’ informazzjoni dwar iċ-ċibersigurtà, aħna osservajna li s‑sinerġiji potenzjali mhumiex sfruttati bis-sħiħ. L‑EUIBAs ma jikkondividux b’mod sistematiku ma’ xulxin informazzjoni dwar proġetti relatati maċ-ċibersigurtà, valutazzjonijiet tas‑sigurtà u kuntratti ta’ servizz. Barra minn hekk, l-għodod bażiċi ta’ komunikazzjoni bħall‑posta elettronika kriptata jew is‑soluzzjonijiet tal‑vidjokonferenzi mhumiex interoperabbli bis-sħiħ. Dan jista’ jwassal għal skambji ta’ informazzjoni inqas siguri, duplikazzjoni tal‑isforzi u spejjeż akbar.

VI L‑Iskwadra ta’ Rispons f’Emerġenza relatata mal‑Kompjuters għall‑EUIBAs (CERT‑UE) u l-Aġenzija tal‑Unjoni Ewropea għaċ-Ċibersigurtà (ENISA) huma ż-żewġ entitajiet prinċipali inkarigati biex jappoġġaw lill‑EUIBAs f’dak li jirrigwarda ċ-ċibersigurtà. Madankollu, minħabba restrizzjonijiet fuq ir‑riżorsi jew il‑fatt li oqsma oħra qed jingħataw prijorità, dawn ma setgħux jipprovdu lill‑EUIBAs l‑appoġġ kollu li jeħtieġu, b’mod partikolari fir‑rigward tal‑bini tal‑kapaċitajiet għal EUIBAs inqas maturi. Għalkemm is‑CERT‑UE hija apprezzata ħafna mill‑EUIBAs, l‑effettività tagħha hija kompromessa minn ammont dejjem akbar ta’ xogħol, finanzjament u persunal instabbli, u kooperazzjoni insuffiċjenti minn xi wħud mill‑EUIBAs, li mhux dejjem jikkondividu informazzjoni f’waqtha dwar vulnerabbiltajiet u dwar inċidenti ċibernetiċi sinifikanti li ħallew impatt fuqhom jew li jista’ jkun li jħallu impatt fuq oħrajn.

VII Abbażi ta’ dawn il‑konklużjonijiet, aħna nirrakkomandaw li:

  • il‑Kummissjoni ttejjeb it-tħejjija ċibernetika tal‑EUIBAs permezz ta’ proposta leġiżlattiva li tintroduċi regoli vinkolanti komuni dwar iċ-ċibersigurtà għall‑EUIBAs kollha u żieda fir‑riżorsi għas‑CERT‑UE;
  • il‑Kummissjoni, fil‑kuntest tal‑Kumitat Interistituzzjonali għat‑Trasformazzjoni Diġitali, tippromwovi sinerġiji ulterjuri fost l‑EUIBAs f’oqsma magħżula;
  • is‑CERT‑UE u l‑ENISA jżidu l‑fokus tagħhom fuq l‑EUIBAs li huma inqas maturi fiċ-ċibersigurtà;

Introduzzjoni

X’inhi ċ-ċibersigurtà?

01 L‑Att tal‑UE dwar iċ-Ċibersigurtà1 jiddefinixxi ċ-ċibersigurtà bħala “l‑attivitajiet meħtieġa biex jiġu mħarsa n‑networks u s‑sistemi tal‑informazzjoni, l‑utenti ta’ tali sistemi, u persuni oħra milquta minn theddid ċibernetiku”. Iċ-ċibersigurtà tiddependi fuq is‑sigurtà tal‑informazzjoni, li tittratta l‑preservazzjoni tal‑kunfidenzjalità, l‑integrità u d‑disponibbiltà tal‑informazzjoni2, kemm jekk f’forma fiżika jew f’forma elettronika. Barra minn hekk, il‑protezzjoni tan‑networks u tas‑sistemi tal‑informazzjoni fejn tinħażen din l‑informazzjoni hija magħrufa bħala s‑sigurtà tat‑teknoloġija tal‑informazzjoni (IT) (Ara l‑Figura 1).

Figura 1 – Iċ-ċibersigurtà hija marbuta mas‑sigurtà tal‑informazzjoni u mas‑sigurtà tal‑IT

Sors: il‑QEA.

02 Bħala dixxiplina, iċ-ċibersigurtà tinvolvi l‑identifikazzjoni, il‑prevenzjoni u l‑kxif ta’ inċidenti ċibernetiċi, kif ukoll ir‑rispons għalihom u l‑irkupru minnhom. L‑inċidenti jistgħu jvarjaw, pereżempju, minn divulgazzjonijiet aċċidentali ta’ informazzjoni għal attakki li għandhom l-għan li jikkompromettu infrastruttura kritika, u għal serq ta’ identitajiet u ta’ data personali3.

03 Qafas taċ-ċibersigurtà jinkludi ħafna elementi, inklużi rekwiżiti u kontrolli tekniċi għas‑sigurtà tan‑networks u tas‑sistemi tal‑informazzjoni, kif ukoll arranġamenti ta’ governanza xierqa u programmi ta’ sensibilizzazzjoni ċibernetika għall‑persunal.

Iċ-ċibersigurtà fl‑istituzzjonijiet, il‑korpi u l-aġenziji tal‑UE

04 Minħabba l‑informazzjoni sensittiva li jipproċessaw, l‑istituzzjonijiet, il‑korpi u l-aġenziji tal‑UE (EUIBAs) huma miri attraenti għal attakkanti potenzjali, b’mod partikolari gruppi li kapaċi jwettqu attakki sigrieti sofistikati ħafna (“theddid persistenti avvanzat”) għal spjunaġġ ċibernetiku u għal skopijiet oħra4. Attakki ċibernetiċi li jirnexxu kontra l‑EUIBAs jista’ jkollhom implikazzjonijiet politiċi sinifikanti, jagħmlu ħsara lir‑reputazzjoni ġenerali tal‑UE u jimminaw il‑fiduċja fl‑istituzzjonijiet tagħha.

05 Il‑pandemija tal‑COVID‑19 ġiegħlet lill‑EUIBAs, bħal ħafna organizzazzjonijiet oħra madwar id‑dinja, jaċċelleraw f’daqqa t‑trasformazzjoni diġitali u jħaddnu x‑xogħol mill‑bogħod. Dan żied b’mod konsiderevoli l-għadd ta’ punti ta’ aċċess potenzjali għall‑attakkanti (is-“superfiċje ta’ attakk”), filwaqt li espanda l‑perimetru ta’ kull organizzazzjoni għal djar konnessi mal‑internet u għal apparat mobbli, fejn jistgħu jiġu sfruttati vulnerabbiltajiet ġodda. Is‑servizzi ta’ aċċess mill‑bogħod huma waħda mill‑aktar rotot komuni li bihom gruppi li jimmiraw lejn l‑EUIBAs b’theddid persistenti avvanzat jiksbu aċċess inizjali għan‑networks tagħhom5.

06 L-għadd ta’ inċidenti ċibernetiċi qed jiżdied, u xejra partikolarment ta’ tħassib hija ż-żieda drammatika f’inċidenti sinifikanti li jolqtu lill‑EUIBAs6, u dan jagħmel l‑2021 sena rekord. Inċidenti sinifikanti huma inċidenti li la huma ripetittivi u lanqas bażiċi. Dawn tipikament jinvolvu l-użu ta’ metodi u teknoloġiji ġodda, u l‑investigazzjoni tagħhom u l‑irkupru minnhom jistgħu jieħdu ġimgħat, jekk mhux xhur. L‑inċidenti sinifikanti żdiedu b’aktar minn 10 darbiet bejn l‑2018 u l‑20217. Mill‑inqas 22 EUIBA individwali ntlaqtu minn inċidenti sinifikanti f’dawn l-aħħar sentejn biss. Eżempju wieħed reċenti kien l‑attakk ċibernetiku fuq l-Aġenzija Ewropea għall‑Mediċini, fejn data sensittiva ġiet żvelata u mmanipulata b’mod imfassal biex tiġi mminata l‑fiduċja fil‑vaċċini8.

07 L‑EUIBAs huma grupp eteroġenu ħafna, li jinkludi istituzzjonijiet, aġenziji u għadd ta’ korpi differenti. Is‑seba’ istituzzjonijiet tal‑UE huma stabbiliti mit‑Trattati. L-aġenziji deċentralizzati u korpi oħra tal‑UE, min‑naħa l-oħra, huma stabbiliti minn atti ta’ leġiżlazzjoni sekondarja u kull wieħed u waħda minnhom huma entitajiet ġuridiċi separati. Hemm tipi ġuridiċi differenti ta’ aġenziji: 6 aġenziji eżekuttivi tal‑Kummissjoni u 37 aġenzija deċentralizzata tal‑UE9. L‑EUIBAs jinkludu wkoll uffiċċji tal‑UE, korpi diplomatiċi (is‑Servizz Ewropew għall‑Azzjoni Esterna), impriżi konġunti u korpi oħra. L‑EUIBAs huma kull wieħed u waħda responsabbli għad‑definizzjoni tar‑rekwiżiti taċ-ċibersigurtà tagħhom stess u għall‑implimentazzjoni tal‑miżuri ta’ sigurtà tagħhom stess.

08 Biex issaħħaħ iċ-ċibersigurtà tal‑EUIBAs, fl‑2012 il‑Kummissjoni stabbiliet l‑Iskwadra ta’ Rispons f’Emerġenza relatata mal‑Kompjuters għall‑EUIBAs (CERT‑UE) bħala task force permanenti. Is‑CERT‑UE taġixxi bħala ċ-ċentru ta’ koordinazzjoni għall‑iskambju ta’ informazzjoni dwar iċ-ċibersigurtà u r‑rispons għal inċidenti għall‑EUIBAs, u tikkoopera ma’ skwadri oħra ta’ rispons għal inċidenti relatati mas‑sigurtà tal‑kompjuters (CSIRTs) fl‑Istati Membri u ma’ kumpaniji speċjalizzati fis‑sigurtà tal‑IT. L‑organizzazzjoni u l‑operat tas‑CERT‑UE huma attwalment irregolati minn arranġament interistituzzjonali (IIA) tal‑201810 bejn l‑EUIBAs li hija sservi, magħrufa wkoll bħala l-“kostitwenti” tagħha. Attwalment hemm 87 kostitwent.

09 Attur ewlieni ieħor li jappoġġa lill‑EUIBAs huwa l-Aġenzija tal‑Unjoni Ewropea għaċ-Ċibersigurtà (ENISA), li hija ddedikata għall‑ilħuq ta’ livell komuni għoli ta’ ċibersigurtà fl‑UE kollha. Stabbilita fl‑2004, il‑missjoni tal‑ENISA hija li ttejjeb l‑affidabbiltà tal‑prodotti, tal‑proċessi u tas‑servizzi tat‑teknoloġija tal‑informazzjoni u tal‑komunikazzjoni (ICT) bi skemi ta’ ċertifikazzjoni taċ-ċibersigurtà, li tikkoopera mal‑EUIBAs u mal‑Istati Membri, u li tgħinhom iħejju ruħhom kontra t‑theddid ċibernetiku. L‑ENISA tassisti lill‑EUIBAs fil‑bini tal‑kapaċitajiet u fil‑kooperazzjoni operazzjonali.

10 Minkejja l‑indipendenza istituzzjonali tagħhom, l‑EUIBAs huma interkonnessi b’mod qawwi. Huma jiskambjaw informazzjoni fuq bażi ta’ kuljum u jikkondividu għadd ta’ sistemi u networks komuni. Id‑dgħufijiet fl‑EUIBAs individwali jistgħu jesponu lill-oħrajn għal theddid għas‑sigurtà, billi ħafna attakki ċibernetiċi jieħdu aktar minn pass wieħed biex jilħqu l‑objettiv jew il‑mira finali tagħhom11. Attakk li jirnexxi kontra EUIBA aktar dgħajfa jista’ jintuża bħala pass ’il quddiem biex jiġu mmirati oħrajn. L‑EUIBAs huma interkonnessi wkoll ma’ organizzazzjonijiet pubbliċi u privati fl‑Istati Membri u, billi mhumiex imħejjija b’mod suffiċjenti għaċ-ċibernetika, jista’ jkun li jiġu esposti bl‑istess mod għal theddid ċibernetiku.

11 Attwalment ma hemm l‑ebda qafas legali għas‑sigurtà tal‑informazzjoni u għaċ-ċibersigurtà fl‑EUIBAs. Dawn mhumiex suġġetti għall‑aktar leġiżlazzjoni wiesgħa tal‑UE dwar iċ-ċibersigurtà, għad‑Direttiva NIS tal‑201612, u lanqas għar‑reviżjoni proposta tagħha, id‑Direttiva NIS213. Lanqas ma hemm informazzjoni komprensiva dwar l‑ammont li ntefaq mill‑EUIBAs fuq iċ-ċibersigurtà.

12 F’Lulju 2020, il‑Kummissjoni ppubblikat komunikazzjoni dwar l‑Istrateġija tal‑UE dwar l‑Unjoni tas‑Sigurtà14 għall‑perjodu 2020‑2025. L‑azzjonijiet ewlenin tagħha jinkludu “regoli komuni dwar is‑sigurtà tal‑informazzjoni u dwar iċ-ċibersigurtà għall‑EUIBAs kollha”. Dan il‑qafas il-ġdid huwa intenzjonat biex ikun bażi għal kooperazzjoni operazzjonali b’saħħitha u effiċjenti ffukata fuq ir‑rwol tas‑CERT‑UE. Fl‑Istrateġija tal‑UE dwar iċ-Ċibersigurtà għad‑Deċennju Diġitali15, li ġiet ippubblikata f’Diċembru 2020, il‑Kummissjoni ħadet l‑impenn li tipproponi regolament dwar regoli komuni dwar iċ-ċibersigurtà għall‑EUIBAs kollha. Hija pproponiet ukoll l‑istabbiliment ta’ bażi ġuridika ġdida għas‑CERT‑UE biex issaħħaħ il‑mandat u l‑finanzjament tagħha.

Ambitu u approċċ tal‑awditjar

13 Minħabba li l-għadd ta’ attakki ċibernetiċi qed jiżdied drastikament u li d‑dgħufijiet f’EUIBA jistgħu jesponu lill-oħrajn għal theddid għas‑sigurtà, l‑objettiv ta’ dan l‑awditu kien li jiddetermina jekk l‑EUIBAs stabbilewx arranġamenti adegwati, fl‑intier tagħhom, biex jipproteġu lilhom infushom kontra t‑theddid ċibernetiku. Biex inwieġbu għal din il‑mistoqsija prinċipali tal‑awditjar, aħna indirizzajna tliet sottomistoqsijiet:

  1. Il‑prattiki ewlenin taċ-ċibersigurtà huma adottati fl‑EUIBAs kollha?
  2. Hemm kooperazzjoni effiċjenti bejn l‑EUIBAs dwar iċ-ċibersigurtà?
  3. L‑ENISA u s‑CERT‑UE jipprovdu appoġġ adegwat lill‑EUIBAs fil‑qasam taċ-ċibersigurtà?

14 It‑twaqqit tal‑awditu huwa allinjat mal‑Istrateġija tal‑UE dwar l‑Unjoni tas‑Sigurtà. Permezz tal‑valutazzjoni tal‑arranġamenti attwali taċ-ċibersigurtà tal‑EUIBAs, aħna għandna l-għan li nidentifikaw oqsma għal titjib, li l‑Kummissjoni tista’ tqis meta tkun qed tabbozza l‑proposta leġiżlattiva tagħha għal regoli vinkolanti komuni dwar iċ-ċibersigurtà għall‑EUIBAs kollha.

15 L‑awditu kopra l-iżviluppi u l‑inizjattivi fil‑qasam taċ-ċibersigurtà minn Jannar 2018 (meta ġie stabbilit l‑arranġament interistituzzjonali tas‑CERT‑UE) sa Ottubru 2021.

16 Aħna llimitajna l‑ambitu tal‑awditjar tagħna għar‑reżiljenza ċibernetika u għas‑sistemi mhux klassifikati. Iffukajna fuq aspetti ta’ tħejjija (attivitajiet li jikkorrispondu għal “identifikazzjoni, protezzjoni, kxif”). “Rispons” u “rkupru” kienu lil hinn mill‑ambitu tagħna. Madankollu, eżaminajna xi elementi organizzazzjonali tar‑rispons għal inċidenti. Barra minn hekk, aspetti tal‑protezzjoni tad‑data, tal‑infurzar tal‑liġi, taċ-ċiberdifiża u taċ-ċiberdiplomazija huma lil hinn mill‑ambitu tagħna (ara l‑Figura 2).

Figura 2 – Ambitu tal‑awditjar

Sors: il‑QEA.

17 Is‑sejbiet tal‑awditjar tagħna huma bbażati fuq analiżi estensiva tad‑dokumentazzjoni disponibbli, li ġiet ikkomplementata minn intervisti. Wettaqna stħarriġ ta’ awtovalutazzjoni li jinvolvi 65 EUIBA biex niġbru informazzjoni dwar l‑arranġamenti tagħhom taċ-ċibersigurtà u l‑fehmiet tagħhom dwar il‑kooperazzjoni interistituzzjonali. Stħarriġna l‑EUIBAs kollha li huma koperti mid‑drittijiet tal‑awditjar tal‑QEA u li jimmaniġġjaw l‑infrastruttura tal‑IT tagħhom stess, kif ukoll l‑istituzzjoni tagħna stess. Dawn kienu jinkludu istituzzjonijiet, aġenziji deċentralizzati, impriżi konġunti u korpi. Wettaqna wkoll stħarriġ tal‑missjonijiet ċivili, li huma entitajiet awtonomi temporanji ffinanzjati mill‑baġit tal‑UE u huma indipendenti minn perspettiva tal‑IT. L‑Anness I jipprovdi lista sħiħa tal‑EUIBAs mistħarrġa. L‑Ombudsman Ewropew u l‑Kontrollur Ewropew għall‑Protezzjoni tad‑Data ma ġewx inklużi fl‑ambitu ta’ dan l‑awditu.

18 L‑istħarriġ kellu rata ta’ rispons ta’ 100 % u serva bħala punt tat‑tluq għal analiżi ulterjuri. Barra minn hekk, għażilna kampjun ta’ seba’ EUIBAs li huwa rappreżentattiv tal‑eteroġeneità tal‑EUIBAs u tajna segwitu għat‑tweġibiet tagħhom b’intervisti u talbiet għal dokumentazzjoni. Il‑kriterji tal-għażla li qisna kienu jinkludu l‑bażi ġuridika, id‑daqs (f’termini ta’ persunal u baġit) u s‑settur. Il‑kampjun tal‑EUIBAs kien jikkonsisti mill‑Kummissjoni Ewropea, il‑Parlament Ewropew, l-Aġenzija tal‑UE għaċ-Ċibersigurtà (ENISA), l‑Awtorità Bankarja Ewropea (EBA), l-Aġenzija Ewropea għas‑Sigurtà Marittima (EMSA), il‑Missjoni ta’ Konsulenza tal‑UE fl‑Ukrajna (EUAM Ukrajna), u l‑Impriża Konġunta tal‑Inizjattiva tal‑Mediċini Innovattivi (IMI JU).

19 Organizzajna wkoll laqgħat bil‑vidjo mas‑CERT‑UE, mal‑Kumitat Konsultattiv dwar l‑ICT tan‑Network tal-Aġenzija (ICTAC), mal‑Kumitat Interistituzzjonali għat‑Trasformazzjoni Diġitali (ICDT) u ma’ partijiet ikkonċernati rilevanti oħra.

Osservazzjonijiet

L‑EUIBAs għandhom livelli differenti ħafna ta’ maturità fiċ-ċibersigurtà u mhux dejjem jikkonformaw ma’ prattika tajba

20 Din it‑taqsima teżamina l‑arranġamenti individwali u l‑oqfsa taċ-ċibersigurtà tal‑EUIBAs. Aħna vvalutajna jekk l‑approċċ tagħhom għaċ-ċibersigurtà huwiex konsistenti u adegwat, f’termini ta’ governanza tas‑sigurtà tal‑IT, ġestjoni tar‑riskju, allokazzjoni tar‑riżorsi, taħriġ ta’ sensibilizzazzjoni, kontrolli u aċċertament indipendenti.

Il‑governanza tas‑sigurtà tal‑IT fl‑EUIBAs spiss ma tkunx żviluppata sew u l‑valutazzjonijiet tar‑riskju mhumiex komprensivi

Hemm lakuni fil‑governanza tas‑sigurtà tal‑IT f’ħafna EUIBAs

21 Il‑governanza tajba għandha rwol essenzjali f’qafas effettiv għas‑sigurtà tal‑informazzjoni u tas‑sistemi tal‑IT, billi tiddefinixxi l‑objettivi tal‑organizzazzjoni u tipprovdi direzzjoni permezz tal‑prijoritizzazzjoni u t‑teħid ta’ deċiżjonijiet. Skont l‑Assoċjazzjoni għall‑Awditjar u l‑Kontroll tas‑Sistemi tal‑Informazzjoni (ISACA)16, jenħtieġ li qafas ta’ governanza tas‑sigurtà tal‑IT b’mod ġenerali jinkludi diversi elementi:

  • strateġija ta’ sigurtà komprensiva intrinsikament marbuta mal‑objettivi kummerċjali;
  • politiki ta’ sigurtà regolatorji li jindirizzaw kull aspett tal‑istrateġija, il‑kontrolli u r‑regolamentazzjoni;
  • sett komplut ta’ standards għal kull politika li jiddeskrivu l‑passi operazzjonali meħtieġa għall‑konformità mal‑politika;
  • proċessi ta’ monitoraġġ istituzzjonalizzati biex tiġi żgurata l‑konformità u jiġi pprovdut feedback dwar l‑effettività;
  • struttura organizzazzjonali effettiva mingħajr kunflitti ta’ interess.

22 Aħna sibna nuqqasijiet fil‑governanza tas‑sigurtà tal‑IT f’ħafna EUIBAs. Huma biss 58 % tal‑EUIBAs (38 minn 65) li għandhom strateġija għas‑sigurtà tal‑IT jew ta’ mill‑inqas pjan għas‑sigurtà tal‑IT approvati fil‑livell tal‑bord/tal‑maniġment superjuri. Ripartizzjoni skont it‑tip ta’ EUIBA tiżvela li l‑missjonijiet ċivili u l-aġenziji deċentralizzati (li flimkien jammontaw għal 71 % tal‑EUIBAs mistħarrġa) għandhom l‑aktar perċentwali baxxi (ara t‑Tabella 1). In‑nuqqas ta’ strateġija għas‑sigurtà tal‑IT jew ta’ pjan għas‑sigurtà tal‑IT approvati fil‑livell tal‑maniġment superjuri jinvolvi r‑riskju li l‑ogħla maniġment ma jkunx konxju ta’ kwistjonijiet ta’ sigurtà tal‑IT, jew ma jagħtihomx prijorità suffiċjenti.

Tabella 1 – Perċentwal ta’ EUIBAs bi strateġija jew pjan għas‑sigurtà tal‑IT approvati mill‑maniġment superjuri

Ripartizzjoni skont l-għadd tal‑persunal

< 100 membru tal‑persunal
(22 EUIBA)
100 sa 249 membru tal‑persunal
(17‑il EUIBA)
250 sa 1 000 membru tal‑persunal
(16‑il EUIBA)
>1 000 membru tal‑persunal
(10 EUIBAs)
45 % 53 % 69 % 80 %

Ripartizzjoni skont it‑tip ta’ EUIBA

Aġenziji deċentralizzati
(35 EUIBA)
Missjonijiet ċivili
(11-il EUIBA)
Korpi
(4 EUIBAs)
Istituzzjonijiet
(6 EUIBAs)
Impriżi Konġunti
(9 EUIBAs)
45 % 56 % 75 % 83 % 89 %

Sors: stħarriġ imwettaq mill‑QEA.

23 Eżaminajna l‑istrateġiji/pjanijiet għas‑sigurtà tal‑IT ipprovduti mis‑seba’ EUIBAs ikkampjunati (ara l‑paragrafu 18). Sibna li l‑istrateġiji tal‑EUIBAs huma raġonevolment konnessi tajjeb mal‑objettivi kummerċjali tagħhom. Pereżempju, l‑istrateġija tal‑Kummissjoni għas‑sigurtà tal‑IT tkopri d‑dimensjoni tas‑sigurtà tal‑IT tal‑Istrateġija Diġitali tal‑Kummissjoni Ewropea17 u hija mfassla biex tappoġġa l‑pjan direzzjonali u l‑objettivi tagħha. Madankollu, tliet EUIBAs biss fil‑kampjun tagħna kienu inkludew għanijiet konkreti fl‑istrateġiji/fil‑pjanijiet għas‑sigurtà tal‑IT tagħhom u skeda ta’ żmien għall‑ilħuq tagħhom.

24 Il‑politiki ta’ sigurtà jistabbilixxu r‑regoli u l‑proċeduri li l‑individwi li jużaw jew jimmaniġġjaw l‑informazzjoni u r‑riżorsi tal‑IT iridu jsegwu. Dawn jgħinu biex jittaffew ir‑riskji taċ-ċibersigurtà u jagħtu informazzjoni dwar x’għandu jsir f’każ ta’ inċidenti. Sibna li 78 % tal‑EUIBAs għandhom politika formali dwar is‑sigurtà tal‑informazzjoni, filwaqt li 60 % biss għandhom politiki formali dwar is‑sigurtà tal‑IT (ara l‑Figura 1 għad‑definizzjonijiet ta’ informazzjoni u ta’ sigurtà tal‑IT). Sibna wkoll li erbgħa mis‑seba’ EUIBAs fil‑kampjun tagħna għandhom politiki ta’ sigurtà f’konformità mal‑istrateġiji tagħhom għas‑sigurtà tal‑IT. Madankollu, fi tlieta minn dawn l‑erbgħa, il‑politiki ta’ sigurtà tal‑IT huma biss parzjalment ikkomplementati minn standards ta’ sigurtà dettaljati u aġġornati li jiddeskrivu l‑passi operazzjonali meħtieġa għall‑implimentazzjoni tal‑politiki. In‑nuqqas ta’ standards ta’ sigurtà formali jżid ir‑riskju li kwistjonijiet ta’ sigurtà tal‑IT ma jiġux trattati b’mod xieraq u konsistenti fl‑istess EUIBA. Barra minn hekk, dan jagħmilha aktar diffiċli li titkejjel il‑konformità tal‑organizzazzjoni mal‑politika ta’ sigurtà tal‑IT tagħha. Mis‑seba’ EUIBAs ikkampjunati, il‑Kummissjoni biss għandha proċeduri strutturati għall‑monitoraġġ tal‑konformità mal‑politiki u l‑istandards ta’ sigurtà tal‑IT tagħha, għalkemm jiġu użati biss minn għadd limitat ta’ Direttorati Ġenerali (DĠ) (ara l‑Kaxxa 1).

Kaxxa 1

Konformità tas‑sigurtà tal‑IT fil‑Kummissjoni

F’konformità mal‑governanza devoluta tal‑IT tal‑Kummissjoni, il‑kap ta’ kull DĠ huwa s‑sid tas‑servizz, li huwa responsabbli u għandu obbligu ta’ rendikont għas‑sistemi tiegħu biex jissodisfaw l‑istandards ta’ sigurtà tal‑IT. Id‑Direttorat Ġenerali għall‑Informatika (DĠ DIGIT) u d‑Direttorat Ġenerali tar‑Riżorsi Umani u tas‑Sigurtà (DĠ HR) jimmonitorjaw u jiffaċilitaw l‑implimentazzjoni ta’ prattiki tal-ġestjoni tal‑konformità. Id-DĠ DIGIT stabbilixxa għodda (magħrufa bħala “GRC”) li tippermetti li d-DĠ ikejlu u jirrappurtaw dwar il‑konformità tagħhom mal‑kontrolli tal‑politika ta’ sigurtà tal‑IT.

Il‑580 kontroll huma maqsuma fi tliet gruppi: kontrolli ġenerali (l‑aktar dwar il‑governanza); kontrolli speċifiċi għal DĠ; u kontrolli speċifiċi għal sistema. L-għodda hija operazzjonali, iżda sa issa qed jużawha biss ħames DĠ. Għalhekk, id-DĠ DIGIT ma għandu l‑ebda ħarsa ġenerali lejn il‑konformità fil‑Kummissjoni fl‑intier tagħha. Madankollu, il‑Bord tat‑Teknoloġija tal‑Informazzjoni u taċ-Ċibersigurtà (ITCB) tal‑Kummissjoni, jista’ jitlob lid-DĠ DIGIT jinvestiga l‑konformità ma’ standard speċifiku (eż. awtentikazzjoni b’diversi fatturi fl‑2021) u jista’ joħroġ opinjonijiet u rakkomandazzjonijiet mhux vinkolanti jew, għal riskji kritiċi, rekwiżiti formali wkoll.

25 Element importanti ieħor fil‑governanza tajba taċ-ċibersigurtà huwa l-ħatra ta’ Uffiċjal Kap tas‑Sigurtà tas‑Sistemi tal‑Informazzjoni (CISO). Għalkemm mhux espliċitament meħtieġ mill‑familja ta’ standards ISO 27 00018, li jkun hemm CISO jew rwol ekwivalenti saret prattika mifruxa fost l‑organizzazzjonijiet u hija parti mil‑linji gwida tal‑ISACA. Tipikament, is‑CISO għandu responsabbiltà ġenerali għall‑programmi ta’ informazzjoni u ta’ sigurtà tal‑IT tal‑organizzazzjoni. Biex jiġi evitat kwalunkwe kunflitt ta’ interess, jenħtieġ li s‑CISO jkollu ċertu grad ta’ indipendenza mill‑funzjoni/dipartiment tal‑IT19.

26 Skont l‑istħarriġ tagħna, 60 % tal‑EUIBAs ma ħatrux CISO indipendenti jew rwol ekwivalenti. Anki meta jinħatru s‑CISOs (jew ekwivalenti), ir‑rwoli tagħhom ivarjaw ħafna fin‑natura tagħhom – u l‑funzjonijiet tagħhom jinftiehmu b’mod differenti – bejn l‑EUIBAs. Speċjalment fl‑EUIBAs żgħar u ta’ daqs medju, is‑CISOs għandhom it‑tendenza li jkunu assoċjati ma’ rwoli aktar operazzjonali, li ma jkunux funzjonalment indipendenti mid‑dipartiment tal‑IT. Dan jista’ jillimita l‑awtonomija tas‑CISOs biex jimplimentaw il‑prijoritajiet ta’ sigurtà tagħhom. Attwalment l‑ENISA qed taħdem fuq Qafas tal‑UE dwar il-Ħiliet fiċ-Ċibersigurtà li, fost l-oħrajn, għandu l-għan li joħloq fehim komuni tar‑rwoli, tal‑kompetenzi u tal-ħiliet.

Il‑valutazzjonijiet tar‑riskju għas‑sigurtà tal‑IT tal‑EUIBAs fil‑biċċa l‑kbira ma jkoprux l‑ambjent tal‑IT tagħhom kollu kemm hu

27 L‑istandards internazzjonali kollha għas‑sigurtà tal‑IT jenfasizzaw l‑importanza li jiġi stabbilit metodu adatt għall‑valutazzjoni u t‑trattament tar‑riskji għas‑sigurtà li jolqtu s‑sistemi tal‑IT u d‑data li fihom. Jenħtieġ li l‑valutazzjonijiet tar‑riskju jitwettqu perjodikament biex jiġu indirizzati l‑bidliet fir‑rekwiżiti tas‑sigurtà tal‑informazzjoni tal‑organizzazzjoni u r‑riskji li tiffaċċja20. Jenħtieġ li l‑valutazzjonijiet jiġu segwiti minn pjan għall‑mitigazzjoni tar‑riskju (jew pjan għas‑sigurtà tal‑IT).

28 Il‑biċċa l‑kbira mill‑EUIBAs mistħarrġa (58 minn 65) indikaw li huma jsegwu qafas jew metodoloġija biex iwettqu valutazzjonijiet tar‑riskju fuq is‑sistemi tal‑IT tagħhom. Madankollu, ma hemm l‑ebda metodoloġija komuni fl‑EUIBAs kollha. Mill‑inqas 26 EUIBA jagħmlu użu parzjali jew sħiħ minn dawk żviluppati mill‑Kummissjoni, b’mod partikolari 31 % tal‑EUIBAs użaw il‑metodoloġija tal-ġestjoni tar‑riskju għas‑sigurtà tal‑IT tal‑2018 (ITSRM2). L-oħrajn isegwu metodoloġiji bbażati fuq standards tal‑industrija magħrufa sew (bħall‑ISO27 001, l‑ISO27 005, il‑qafas taċ-ċibersigurtà tal‑Istitut Nazzjonali tal‑Istandards u t‑Teknoloġija (NIST‑CSF) jew il‑kontrolli taċ-Ċentru għas‑Sigurtà tal‑Internet (CIS)) jew jużaw metodoloġiji interni oħra.

29 Fost is‑seba’ EUIBAs ikkampjunati, tnejn biss iwettqu valutazzjonijiet komprensivi tar‑riskju li jkopru l‑ambjent tal‑IT tagħhom kollu kemm hu (jiġifieri s‑sistemi tal‑IT kollha tagħhom). Il‑biċċa l‑kbira jwettqu valutazzjonijiet tar‑riskju individwali biss għas‑sistemi tal‑IT l‑aktar importanti tagħhom. Aħna identifikajna diversi eżempji ta’ valutazzjonijiet tar‑riskju li twettqu qabel ma ġew implimentati sistemi ġodda. Madankollu ma sibniex evidenza ta’ valutazzjonijiet tar‑riskju ta’ segwitu marbuta, pereżempju, ma’ bidliet sussegwenti fis‑sistemi/fl‑infrastruttura tagħhom.

L‑approċċ li l‑EUIBAs jieħdu għaċ-ċibersigurtà mhuwiex konsistenti u l‑kontrolli essenzjali mhux dejjem ikunu fis‑seħħ

L‑allokazzjoni tar‑riżorsi għaċ-ċibersigurtà tvarja ħafna fost l‑EUIBAs

30 Fl‑istħarriġ tagħna staqsejna lill‑EUIBAs biex jipprovdu n‑nefqa totali tagħhom fuq l‑IT fl‑2020 u stima tal‑ammont li ntefaq fuq iċ-ċibersigurtà. Id‑data tagħna turi varjazzjonijiet sinifikanti fil‑perċentwal tan‑nefqa fuq l‑IT li l‑EUIBAs individwali jallokaw għaċ-ċibersigurtà. Dan huwa minnu anki fost l‑EUIBAs ta’ daqs simili, f’termini ta’ għedud tal‑persunal. Kif jidher fil‑Figura 3, id‑differenzi għandhom it‑tendenza li jkunu partikolarment għoljin fost l‑EUIBAs b’inqas persunal.

Figura 3 – Nefqa fuq iċ-ċibersigurtà bħala perċentwal tan‑nefqa totali fuq l‑IT (EUIBAs raggruppati skont l-għadd tal‑persunal)

Nota: Erba’ EUIBAs ma pprovdewx ċifri dwar in‑nefqa fuq iċ-ċibersigurtà.

Sors: stħarriġ imwettaq mill‑QEA.

31 Huwa diffiċli li jiġi vvalutat livell ottimali ta’ nfiq fuq iċ-ċibersigurtà f’termini assoluti. Dan jiddependi fuq ħafna fatturi, bħas‑superfiċje ta’ attakk tal‑organizzazzjoni, is‑sensittività tad‑data li tittratta, il‑profil tar‑riskju u l‑predispożizzjoni għar‑riskju tagħha, u r‑rekwiżiti legali/regolatorji settorjali. Madankollu, id‑data tagħna tenfasizza li d‑differenzi huma sostanzjali u r‑raġunijiet għal dan mhux dejjem ikunu ovvji. Xi EUIBAs jonfqu konsiderevolment inqas fuq iċ-ċibersigurtà mill‑pari tagħhom ta’ daqs simili, li jista’ jindika nfiq insuffiċjenti jekk ikunu esposti għal theddid u riskji simili.

32 Il‑biċċa l‑kbira mill‑EUIBAs huma minn daqs żgħir sa medju f’termini kemm tan‑nefqa fuq il‑persunal kif ukoll dik fuq l‑IT, b’żewġ terzi tal‑EUIBAs għandhom inqas minn 350 membru tal‑persunal. L-iżgħar EUIBA għandha biss 15-il membru tal‑persunal. Għal EUIBAs iżgħar, il-ġestjoni taċ-ċibersigurtà hija aktar ta’ sfida u intensiva fir‑riżorsi. Fil‑biċċa l‑kbira mill‑każijiet, dawn ma jistgħux jibbenefikaw minn ekonomiji ta’ skala u ma għandhomx għarfien espert intern suffiċjenti. Abbażi tal‑istħarriġ u l‑intervisti tagħna, l‑akbar istituzzjonijiet, bħall‑Kummissjoni u l‑Parlament Ewropew, għandhom timijiet ta’ esperti li jimmaniġġjaw iċ-ċibersigurtà fuq bażi full‑time. Madankollu, fl-iżgħar EUIBAs, fejn il‑persunal u r‑riżorsi huma partikolarment limitati, ma hemm l‑ebda espert, u ċ-ċibersigurtà tiġi mmaniġġjata part‑time mill‑membri tal‑persunal bi sfond fl‑IT. Peress li l‑EUIBAs huma interkonnessi b’mod qawwi, dan joħloq riskju akbar (ara wkoll il‑paragrafu 10).

33 Fl‑istħarriġ tagħna staqsejna lill‑EUIBAs x’kienu l‑isfidi ewlenin fl‑implimentazzjoni ta’ politiki effettivi dwar iċ-ċibersigurtà fl‑organizzazzjonijiet tagħhom (ara l‑Figura 4). L‑akbar sfida hija li l‑esperti taċ-ċibersigurtà huma riżorsa skarsa u ħafna mill‑EUIBAs isibuha diffiċli biex jattirawhom, minħabba kompetizzjoni kemm mis‑settur privat kif ukoll minn EUIBAs oħra. Kwistjonijiet rikorrenti jinkludu proċeduri twal ta’ reklutaġġ, kundizzjonijiet kuntrattwali mhux kompetittivi u nuqqas ta’ prospetti ta’ karriera attraenti. In‑nuqqas ta’ persunal speċjalizzat joħloq riskju sinifikanti għat‑trattament effettiv taċ-ċibersigurtà.

Figura 4 – Sfidi fl‑implimentazzjoni ta’ politiki effettivi dwar iċ-ċibersigurtà fl‑EUIBAs (seta’ jintgħażel aktar minn fattur wieħed)

Sors: stħarriġ imwettaq mill‑QEA.

Il‑biċċa l‑kbira mill‑EUIBAs joffru xi forma ta’ taħriġ ta’ sensibilizzazzjoni dwar iċ-ċibersigurtà, iżda dan mhuwiex sistematiku jew immirat tajjeb

34 L‑isfruttar ta’ vulnerabbiltajiet fis‑sistemi u fl‑apparati mhuwiex l‑uniku mod kif attakkanti potenzjali jistgħu jikkawżaw ħsara. Dawn jistgħu wkoll iwasslu lill‑utenti biex jiżvelaw informazzjoni sensittiva jew iniżżlu software malizzjuż, pereżempju permezz ta’ phishing jew inġinerija soċjali. Il‑persunal huwa parti mill‑ewwel linja ta’ difiża għal kull organizzazzjoni. Għalhekk, il‑programmi ta’ sensibilizzazzjoni u ta’ taħriġ dwar iċ-ċibersigurtà huma element ewlieni f’qafas taċ-ċibersigurtà effettiv.

35 Il‑maġġoranza l‑kbira tal‑EUIBAs mistħarrġa (95 %) jipprovdu xi forma ta’ taħriġ ġenerali ta’ sensibilizzazzjoni dwar iċ-ċibersigurtà għall‑persunal kollu, iżda tlieta ma jagħmlux dan. Madankollu, 41 % biss tal‑EUIBAs jorganizzaw sessjonijiet speċifiċi ta’ taħriġ jew ta’ sensibilizzazzjoni għall‑maniġers u 29 % biss jipprovdu taħriġ obbligatorju dwar iċ-ċibersigurtà għall‑maniġers li huma responsabbli għas‑sistemi tal‑IT li jkun fihom informazzjoni sensittiva. Is‑sensibilizzazzjoni u l‑impenn tal‑maniġment huma kruċjali għal governanza effettiva taċ-ċibersigurtà. Mill‑11-il EUIBA li semmew in‑nuqqas ta’ appoġġ għall‑maniġment bħala sfida għal ċibersigurtà effettiva, 3 biss ipprovdew xi taħriġ ta’ sensibilizzazzjoni għall‑maniġment tagħhom. Taħriġ kontinwu dwar iċ-ċibersigurtà għall‑persunal tal‑IT u għall‑ispeċjalisti tas‑sigurtà tal‑IT jiġi offrut minn 58 % u 51 % tal‑EUIBAs rispettivament.

36 Mhux l‑EUIBAs kollha għandhom mekkaniżmi biex jimmonitorjaw l‑attendenza tal‑persunal fit‑taħriġ dwar iċ-ċibersigurtà u l‑bidla sussegwenti fis‑sensibilizzazzjoni u fl‑imġiba tagħhom. Speċjalment f’organizzazzjonijiet iżgħar, jistgħu jiġu pprovduti sessjonijiet ta’ sensibilizzazzjoni ċibernetika fil‑kuntest ta’ laqgħat informali tal‑persunal. Il‑mod prinċipali li bih l‑organizzazzjonijiet ikejlu s‑sensibilizzazzjoni tal‑persunal huwa li jittestjawhom perjodikament rigward l‑imġiba tagħhom, inkluż permezz ta’ stħarriġ tal‑maturità jew eżerċizzji ta’ phishing. F’dawn l-aħħar ħames snin, 55 % tal‑EUIBAs organizzaw kampanja waħda jew aktar dwar il‑phishing simulat (jew eżerċizzji simili). Billi l‑phishing huwa wieħed mit‑theddidiet ewlenin li qed jiffaċċja l‑persunal fl‑amministrazzjonijiet pubbliċi21, dawn l-eżerċizzji huma għodda importanti biex jitħarreġ il‑persunal u jkun hemm sensibilizzazzjoni. Sibna li l‑azzjonijiet ta’ sensibilizzazzjoni ċibernetika tal‑Kummissjoni huma prattika tajba u huma disponibbli għal EUIBAs oħra interessati (ara l‑Kaxxa 2).

Kaxxa 2

Taħriġ ta’ sensibilizzazzjoni dwar iċ-ċibersigurtà fil‑Kummissjoni

Fid-DĠ DIGIT, il‑Kummissjoni għandha tim “Cyber Aware” ddedikat li jmexxi l‑programm korporattiv ta’ sensibilizzazzjoni dwar iċ-ċibersigurtà. Il‑programm huwa mmaniġġjat u mmexxi b’mod konġunt mad-DĠ HR, is‑Segretarjat Ġenerali, id‑Direttorat Ġenerali għan‑Networks tal‑Komunikazzjonijiet, il‑Kontenut u t‑Teknoloġija (DĠ CNECT) u s‑CERT‑UE. It‑taħriġ huwa ta’ kwalità għolja u f’ħafna każijiet għandu lħuq interistituzzjonali. Is‑sessjonijiet ta’ taħriġ jiġu rreklamati permezz tal‑Learning Bulletin, li jilħaq madwar 65 000 membru tal‑persunal tal‑UE. Permezz tal‑pjattaforma “Cyber Aware”, il‑Kummissjoni organizzat 15-il eżerċizzju ta’ phishing f’dawn l-aħħar 5 snin u reċentement wettqet l‑ewwel eżerċizzju fil‑Kummissjoni kollha.

Il‑kontrolli essenzjali mhux dejjem jiġu implimentati, jew ma jiġux formalizzati fi standards

37 Tlabna lill‑EUIBAs biex iwettqu awtovalutazzjoni tal‑implimentazzjoni tagħhom ta’ għażla ta’ kontrolli essenzjali22. Għażilna sett tal-aħjar prattiki li anki organizzazzjoni iżgħar tista’ timplimenta b’mod raġonevoli23. Ir‑riżultati huma miġbura fil‑qosor fil‑Figura 5. Il‑biċċa l‑kbira mill‑EUIBAs mistħarrġa adottaw il‑kontrolli essenzjali magħżula. Madankollu, għal xi żoni, il‑kontrolli jidhru li huma neqsin jew limitati f’mill‑inqas 20 % tal‑EUIBAs.

Figura 5 – Implimentazzjoni ta’ kontrolli essenzjali fl‑EUIBAs (ir‑riżultati ta’ awtovalutazzjoni)

Sors: stħarriġ imwettaq mill‑QEA.

38 Għas‑seba’ EUIBAs ikkampjunati tlabna dokumenti ta’ sostenn u standards/politiki korrispondenti għal kull kontroll li huma ddikjaraw bħala li ġie implimentat. Aħna ksibna dawn id‑dokumenti għal 62 % tal‑kontrolli. Kif ġie kkjarifikat matul l‑intervisti, f’diversi każijiet kien hemm fis‑seħħ kontrolli tekniċi iżda ma ġewx formalizzati fi standards jew politiki aġġornati, u dan iżid ir‑riskju li kwistjonijiet ta’ sigurtà tal‑IT ma jiġux trattati b’mod konsistenti fl‑istess EUIBA (ara wkoll il‑paragrafu 24).

Diversi EUIBAs ma għandhomx l‑arranġamenti taċ-ċibersigurtà tagħhom suġġetti għal aċċertament indipendenti regolari

39 Skont l‑ISACA24, l‑awditu intern huwa wieħed mit‑tliet linji essenzjali ta’ difiża f’organizzazzjoni, bit‑tnejn l-oħra jkunu l-ġestjoni u l-ġestjoni tar‑riskju. L‑awditi interni jikkontribwixxu għal titjib fil‑governanza tas‑sigurtà tal‑informazzjoni u tas‑sigurtà tal‑IT. Analizzajna l‑frekwenza li biha l‑EUIBAs jiġbru aċċertament indipendenti dwar il‑qafas tas‑sigurtà tal‑IT tagħhom, permezz ta’ awditi interni jew esterni u permezz ta’ ttestjar proattiv taċ-ċiberdifiżi tagħhom.

40 Is‑Servizz tal‑Awditjar Intern (IAS) tal‑Kummissjoni huwa responsabbli, fost affarijiet oħra, għat‑twettiq tal‑awditi tal‑IT tal‑Kummissjoni, u ta’ aġenziji deċentralizzati, impriżi konġunti u s‑SEAE. Il‑mandat tas‑servizz ikopri 46 (70 %) mill‑65 EUIBA li stħarriġna u l‑IAS wettaq awditi relatati mas‑sigurtà tal‑IT fuq 6 EUIBAs differenti fl-aħħar 5 snin. Barra minn hekk, id-DĠ HR huwa kompetenti biex iwettaq spezzjonijiet għas‑sigurtà tal‑IT li jkopru aspetti tekniċi tas‑sigurtà tal‑informazzjoni25. Mill‑EUIBAs li jifdal, 7 rrappurtaw li għandhom il‑funzjoni tal‑awditjar intern tagħhom stess li tkopri aspetti tal‑IT, iżda għal 12‑il EUIBA, ir‑risposti għall‑istħarriġ tagħna ma kinux suffiċjenti biex jiġi ddeterminat jekk għandhomx tali kapaċità tal‑awditjar intern.

41 L‑awditi esterni tas‑sigurtà tal‑IT imwettqa minn entitajiet indipendenti huma mod ieħor ta’ kif jinġabar aċċertament indipendenti. Minkejja li x‑xenarju ċibernetiku qed jinbidel malajr, bejn il‑bidu tal‑2015 u l‑ewwel kwart tal‑2021, 34 % tal‑EUIBAs ma kienu suġġetti għall‑ebda awditu intern jew estern tas‑sigurtà tal‑IT. Ripartizzjoni tal-aħħar ċifra skont it‑tip ta’ EUIBA tiżvela li, mill‑2015 ’il hawn, 75 % tal‑korpi tal‑UE, 66 % tal‑impriżi konġunti u 45 % tal‑missjonijiet ċivili ma kinux ġew suġġetti għal awditu intern jew estern tas‑sigurtà tal‑IT.

42 Minbarra l‑awditi interni u esterni, mod ieħor għall‑organizzazzjonijiet biex jiksbu aċċertament dwar il‑qafas tas‑sigurtà tal‑IT tagħhom huwa billi jittestjaw b’mod proattiv iċ-ċiberdifiżi tagħhom biex jidentifikaw il‑vulnerabbiltajiet. It‑testijiet tal‑penetrazzjoni (magħrufa wkoll bħala hacking etiku), li jikkonsistu f’attakki ċibernetiċi simulati awtorizzati fuq sistemi tal‑kompjuter individwali, huma metodu wieħed ta’ kif isir dan. B’rispons għall‑istħarriġ tagħna, 69 % tal‑EUIBAs iddikjaraw li kienu wettqu mill‑inqas test wieħed tal‑penetrazzjoni fl-aħħar ħames snin. F’45 % tal‑każijiet, is‑CERT‑UE kienet l‑entità li wettqet it‑testijiet tal‑penetrazzjoni.

43 L-eżerċizzji tat-“Tim l-aħmar” huma mod ieħor ta’ kif jistgħu jiġu ttestjati ċ-ċiberdifiżi permezz ta’ attakki simulati, bl-użu ta’ tekniki li ntużaw reċentement f’attakki reali. Dawn huma aktar kumplessi u komprensivi mit‑testijiet tal‑penetrazzjoni, fis‑sens li jinvolvu diversi sistemi u modi potenzjali ta’ attakk. L‑EUIBAs iwettquhom inqas ta’ spiss: 46 % tal‑EUIBAs irrappurtaw mill‑inqas eżerċizzju wieħed tat‑tim l-aħmar f’dawn l-aħħar ħames snin. Is‑CERT‑UE wettqet 75 % ta’ dawn l-eżerċizzji. L-eżerċizzji tat‑tim l-aħmar jirrikjedu ammont sostanzjali ta’ xogħol biex jitħejjew u jitwettqu u attwalment is‑CERT‑UE għandha l‑kapaċità biex twettaq mhux aktar minn ħames sa sitt eżerċizzji fis‑sena.

44 Minbarra żewġ EUIBAs li ġew stabbiliti reċentement, 16 (25 %) mill‑EUIBAs mistħarrġa ma kinux wettqu testijiet tal‑penetrazzjoni jew eżerċizzji tat‑tim l-aħmar f’dawn l-aħħar 5 snin. B’mod ġenerali, seba’ EUIBAs (10 %) ma kienu suġġetti għall‑ebda forma ta’ aċċertament indipendenti dwar l‑arranġamenti tas‑sigurtà tal‑IT tagħhom: impriża konġunta waħda, aġenzija deċentralizzata waħda u ħames missjonijiet ċivili.

L‑EUIBAs stabbilew mekkaniżmi għall‑kooperazzjoni iżda hemm nuqqasijiet

45 Din it‑taqsima tħares lejn l‑atturi u l‑kumitati li ġew stabbiliti biex jippromwovu l‑kooperazzjoni fost l‑EUIBAs fil‑qasam taċ-ċibersigurtà, kif ukoll lejn l‑arranġamenti ta’ governanza u ta’ koordinazzjoni interistituzzjonali. B’mod aktar speċifiku, aħna eżaminajna żewġ atturi interistituzzjonali, l‑ENISA u s‑CERT‑UE, u żewġ kumitati interistituzzjonali, il‑Kumitat Interistituzzjonali għat‑Trasformazzjoni Diġitali (ICDT), b’mod partikolari s‑sottogrupp dwar iċ-ċibersigurtà (CSSG) tiegħu, u l‑Kumitat Konsultattiv dwar it‑Teknoloġiji tal‑Informazzjoni u tal‑Komunikazzjoni (ICTAC). Ivvalutajna wkoll sa liema punt dawn wasslu għal sinerġiji biex tiżdied it-tħejjija taċ-ċibersigurtà tal‑EUIBAs.

Hemm struttura formalizzata għall‑EUIBAs biex jikkoordinaw l‑attivitajiet tagħhom, għalkemm b’xi kwistjonijiet ta’ governanza

46 L‑ICDT u l‑ICTAC huma ż-żewġ kumitati prinċipali li jippromwovu l‑kooperazzjoni fuq l‑IT fost l‑EUIBAs. Filwaqt li jinkludi l‑maniġers tal‑IT tal‑istituzzjonijiet u l‑korpi tal‑UE, l‑ICDT huwa forum għat‑trawwim tal‑iskambju ta’ informazzjoni u l‑kooperazzjoni. Huwa għandu sottogrupp dwar iċ-ċibersigurtà (CSSG tal‑ICDT) li jirrapporta lill‑ICDT u jista’ jirrakkomanda t‑teħid ta’ deċiżjonijiet dwar kwistjonijiet speċifiċi. L‑ICTAC, min‑naħa l-oħra, huwa sottogrupp tan‑Network tal-Aġenziji tal‑UE (EUAN), network informali stabbilit mill‑kapijiet tal-aġenziji tal‑UE li jiffoka fuq il‑kooperazzjoni fost l-aġenziji u l‑impriżi konġunti. Kemm l‑ICDT kif ukoll l‑ICTAC għandhom rwoli komplementari ddefiniti b’mod ċar: l‑ICTAC ikopri l-aġenziji deċentralizzati u l‑impriżi konġunti, filwaqt li l‑ICDT ikopri l‑istituzzjonijiet u l‑korpi. Min‑natura tagħhom, l‑ICDT u l‑ICTAC huma gruppi u fora konsultattivi pjuttost informali għall‑iskambju ta’ informazzjoni u l-aħjar prattika. Aktar informazzjoni dwar dawn il‑kumitati interistituzzjonali hija ppreżentata fl‑Anness II.

Ir‑rappreżentanza tal‑EUIBAs f’fora rilevanti mhux dejjem tkun adegwata

47 Għalkemm l‑istrutturi għar‑rappreżentanza huma ċari, mhux l‑EUIBAs kollha jqisu li r‑rappreżentanza reali tagħhom hija suffiċjenti. Fl‑istħarriġ tagħna, meta ġew mitluba jagħtu opinjoni dwar id‑dikjarazzjoni “Il-ħtiġijiet tiegħi jitqiesu b’mod suffiċjenti fil‑fora interistituzzjonali rilevanti u l‑EUIBA tiegħi għandha rappreżentanza adegwata fil‑bordijiet tat‑teħid ta’ deċiżjonijiet”, 42 % tal‑EUIBAs ma qablux. Xi wħud minn dawk li huma iżgħar qiesu li ma kellhomx riżorsi suffiċjenti biex jipparteċipaw b’mod attiv f’fora interistituzzjonali.

48 Il‑bord ta’ tmexxija tas‑CERT‑UE, li huwa l‑korp prinċipali tiegħu għat‑teħid ta’ deċiżjonijiet, lanqas ma huwa rappreżentattiv tal‑kostitwenti tiegħu fl‑intier tagħhom. Is‑CERT‑UE tipprovdi servizzi lil 87 EUIBA u lil 3 li mhumiex EUIBAs. Madankollu, il‑bord ta’ tmexxija tagħha jinkludi biss rappreżentanti tal‑11-il firmatarju għall‑arranġament interistituzzjonali (is-7 istituzzjonijiet tal‑UE flimkien mas‑SEAE, il‑Kumitat Ekonomiku u Soċjali, il‑Kumitat tar‑Reġjuni u l‑Bank Ewropew tal‑Investiment), u rappreżentant tal‑ENISA, li kull wieħed minnhom għandu vot wieħed26.

49 Aktar minn nofs il‑kostitwenti tas‑CERT‑UE huma aġenziji deċentralizzati u impriżi konġunti tal‑UE, li flimkien għandhom bejn wieħed u ieħor 12 000 membru tal‑persunal. Formalment, l‑interessi tagħhom huma rrappreżentati fil‑bord ta’ tmexxija tas‑CERT‑UE mill‑ENISA. Madankollu, il‑mandat tal‑ENISA biex tirrappreżenta l-aġenziji u l‑impriżi konġunti tal‑UE huwa dgħajjef, billi hija ma kinitx ġiet maħtura jew eletta direttament minnhom. Fil‑prattika, il‑fehmiet tal-aġenziji deċentralizzati u tal‑impriżi konġunti jiġu espressi f’laqgħat tal‑bord ta’ tmexxija minn rappreżentant tal‑ICTAC, li jista’ jattendi biex jassisti lill‑ENISA fir‑rwol tagħha li tirrappreżenta l-aġenziji. Minkejja li jesprimi l‑fehmiet u l‑interessi ta’ 48 EUIBA, attwalment ir‑rappreżentant tal‑ICTAC ma għandu l‑ebda siġġu formali jew vot fuq il‑bord ta’ tmexxija. F’April 2021, l‑ICTAC bagħtet lill‑President tal‑bord ta’ tmexxija tas‑CERT‑UE talba formali għad‑drittijiet tal‑vot fuq il‑bord. Fiż-żmien li nkiteb dan ir‑rapport, din it‑talba kienet għadha ma ngħatatx. Ħarsa ġenerali lejn ir‑rappreżentanza tal‑EUIBAs fuq il‑bordijiet u l‑kumitati tat‑teħid ta’ deċiżjonijiet tingħata fil‑Figura 6.

Figura 6 – Ħarsa ġenerali lejn il‑governanza taċ-ċibersigurtà u r‑rappreżentanza fil‑bordijiet u fil‑kumitati tat‑teħid ta’ deċiżjonijiet

Sors: il‑QEA.

50 Il‑governanza interistituzzjonali taċ-ċibersigurtà tal‑EUIBAs hija frammentata u attwalment ma hemmx entità unika li għandha stampa komprensiva tal‑maturità tal‑EUIBAs fiċ-ċibersigurtà, jew li għandha l‑awtorità biex tieħu rwol ewlieni jew li tinforza regoli vinkolanti komuni. Kemm l‑ENISA kif ukoll is‑CERT‑UE jistgħu biss “jappoġġaw” u “jassistu” lill‑EUIBAs. Il‑kumitati rilevanti ma għandhom l‑ebda setgħa deċiżjonali u jistgħu jagħmlu biss rakkomandazzjonijiet lill‑EUIBAs. Barra minn hekk, għal wieħed minn kull ħamsa tal‑EUIBAs mistħarrġa mhuwiex ċar ukoll fejn wieħed għandu jmur għal servizz, għodda jew soluzzjoni speċifiċi.

Jeżistu memoranda ta’ qbil fost l‑atturi ewlenin iżda sa issa dawn ma pproduċewx riżultati konkreti

51 F’Mejju 2018 ġie ffirmat memorandum ta’ qbil (MtQ) bejn l‑ENISA, is‑CERT‑UE, iċ-Ċentru Ewropew taċ-Ċiberkriminalità tal‑Europol (EC3) u l-Aġenzija Ewropea għad‑Difiża (ADE). Dan iffoka fuq ħames oqsma ta’ kooperazzjoni: l‑iskambju ta’ informazzjoni; l‑edukazzjoni u t‑taħriġ; l-eżerċizzji ċibernetiċi; il‑kooperazzjoni teknika; u kwistjonijiet strateġiċi u amministrattivi. Għalkemm dan l‑MtQ jista’ jgħin biex jiġu evitati d‑duplikazzjonijiet billi jkun hemm programm ta’ ħidma komuni, ma rajna l‑ebda evidenza li pproduċa riżultati konkreti u azzjonijiet konġunti.

52 L‑Att dwar iċ-Ċibersigurtà (CSA), li daħal fis‑seħħ f’Ġunju 2019, ippreveda l‑iffirmar ta’ arranġament ta’ kooperazzjoni ġdid u speċifiku bejn is‑CERT‑UE u l‑ENISA. Ta’ min josserva li għaddiet aktar minn sena u nofs biex l‑MtQ finalment jiġi ffirmat, fi Frar 2021. Dan l‑MtQ jipprova jistabbilixxi kooperazzjoni strutturata bejn is‑CERT‑UE u l‑ENISA. Huwa jiddefinixxi l‑oqsma ta’ kooperazzjoni tagħhom (il‑bini tal‑kapaċitajiet, il‑kooperazzjoni operazzjonali, u l-għarfien u l‑informazzjoni) u jistabbilixxi diviżjoni approssimattiva tar‑rwoli bejniethom: is‑CERT‑UE se tieħu t‑tmexxija biex tassisti lill‑EUIBAs, filwaqt li l‑ENISA se tikkontribwixxi għall‑isforz. L‑MtQ ma jiddefinixxix l‑arranġamenti prattiċi, billi huma speċifikati fi pjan ta’ kooperazzjoni annwali. L‑ewwel pjan ta’ kooperazzjoni annwali għall‑2021 ġie adottat mill‑bord maniġerjali tal‑ENISA f’Lulju 2021 u mill‑bord ta’ tmexxija tas‑CERT‑UE f’Settembru 2021. Għalhekk għadu kmieni wisq biex l‑awditu tagħna jivvaluta jekk dan il‑pjan ipproduċiex kwalunkwe riżultat tanġibbli.

53 Billi ż-żewġ MtQ imsemmija fil‑paragrafi 5152 għandhom għanijiet u oqsma komuni ta’ kooperazzjoni bħal taħriġ, eżerċizzji, jew skambju ta’ informazzjoni, hemm riskju ta’ trikkib u sensji.

Is‑sinerġiji potenzjali permezz tal‑kooperazzjoni għadhom mhumiex sfruttati bis-sħiħ

Ittieħdu passi pożittivi biex jinkisbu sinerġiji

54 Il‑programmi ta’ ħidma tal‑kumitati tal‑ICTAC u tas‑CSSG tal‑ICDT jidentifikaw suġġetti rilevanti fejn jista’ jinkiseb titjib fl‑effiċjenza permezz tal‑kollaborazzjoni. Eżempji prattiċi ta’ inizjattivi li ppermettew lill‑EUIBAs jibbenefikaw minn sinerġiji jinkludu:

  • kuntratti qafas interistituzzjonali;
  • ċentru komuni ta’ rkupru minn diżastri ospitat sa mill‑2019 mill‑Uffiċċju tal‑Proprjetà Intellettwali tal‑Unjoni Ewropea (EUIPO) għall-aġenziji deċentralizzati, li jippermetti l‑iffrankar tal‑ispejjeż ta’ mill‑inqas 20 % meta mqabbel mal‑prezzijiet tas‑suq (disa’ aġenziji adottaw din is‑soluzzjoni għall‑irkupru mid‑diżastri);
  • ftehimiet bejn sitt impriżi konġunti li jinsabu fl‑istess bini biex jikkondividu infrastruttura komuni u qafas komuni għas‑sigurtà tal‑IT (mill‑2014 ’il hawn).

55 Eżempju importanti ieħor huwa l-“GovSec”, sistema li tgħin lill‑EUIBAs iwettqu valutazzjonijiet tar‑riskju bil-għan li jadottaw soluzzjonijiet tal‑cloud. Skont l‑istħarriġ tagħna, 75 % tal‑EUIBAs diġà jużaw xi pjattaformi pubbliċi tal‑cloud, u diversi minn dawk li mhumiex qed jippjanaw li jemigraw lejn il‑cloud. Mill‑2019 ’il hawn, il‑Kummissjoni segwiet approċċ “cloud‑first”, li jipprevedi offerta ta’ servizzi ibridi multicloud siguri27. Il‑Kummissjoni taġixxi wkoll bħala sensar tal‑cloud għall‑EUIBAs kollha, fil‑kuntest tal‑kuntratt qafas “Cloud II”. Il-ġestjoni tar‑riskji għas‑sigurtà u għall‑protezzjoni tad‑data fuq il‑pjattaformi tal‑cloud tirrikjedi ħiliet ġodda u approċċ differenti meta mqabbla mal‑infrastruttura tradizzjonali tal‑IT “fuq il‑post”. Il-ġestjoni effettiva tar‑riskju għas‑sigurtà tal‑informazzjoni fil‑cloud hija sfida komuni għall‑EUIBAs, u l‑GovSec hija eżempju ta’ soluzzjoni li tista’ twieġeb għall-ħtiġijiet ta’ diversi EUIBAs, jekk mhux ta’ kollha.

Il‑kollaborazzjoni u l‑kondiviżjoni tal‑prattiki fost l‑EUIBAs għadhom mhumiex ottimali

56 L-eżistenza ta’ kumitati interistituzzjonali ma twassalx awtomatikament għal sinerġiji, u l‑EUIBAs mhux dejjem jikkondividu l-aħjar prattiki, l-għarfien espert, il‑metodoloġiji u t‑tagħlimiet meħuda. Barra minn hekk, huwa f’idejn kull EUIBA li tiddeċiedi dwar il‑livell ta’ impenn tagħha fix‑xogħol tas‑CSSG tal‑ICDT. Il‑membri tas‑CSSG tal‑ICDT, minkejja li jattendu l‑laqgħat, jistgħu jikkontribwixxu biss sal‑punt li d‑dmirijiet regolari tagħhom fl‑EUIBAs jippermettulhom, u dan diġà naqqas ir‑ritmu tal‑progress fl‑implimentazzjoni tal‑azzjonijiet maqbula minn xi task forces.

57 Sibna oqsma speċifiċi fejn ma hemm l‑ebda arranġament għall‑EUIBAs biex jikkondividu l‑esperjenza u l‑inizjattivi. Pereżempju, skont il‑kuntratt qafas “Kapaċità ta’ Difiża tan‑Network” (NDC), l‑EUIBAs jistgħu jitolbu studju biex jiġu kkonsolidati r‑rekwiżiti taċ-ċibersigurtà u jinstabu soluzzjonijiet. Madankollu, ma hemm l‑ebda repożitorju ta’ studji ta’ dan it‑tip imwettqa jew mitluba minn EUIBAs oħra, u għalhekk l‑EUIBAs jistgħu jitolbu l‑istess studju diversi drabi. Barra minn hekk, l‑EUIBAs ma jiddivulgawx b’mod sistematiku lil xulxin li għandhom relazzjonijiet kuntrattwali ma’ fornituri speċifiċi jew li jużaw soluzzjoni ta’ software speċifika. Din id‑diskrepanza fl-għarfien tista’ twassal għal spejjeż addizzjonali u sinerġiji mitlufa.

58 L‑EUIBAs lanqas ma jikkondividu sistematikament l‑informazzjoni ma’ xulxin dwar il‑proġetti taċ-ċibersigurtà li qed iwettqu, anki jekk jista’ jkollhom impatt interistituzzjonali. Il‑mandat tas‑CSSG tal‑ICDT jinkludi dispożizzjoni għall‑EUIBAs biex jikkondividu informazzjoni dwar proġetti ġodda li potenzjalment jolqtu ċ-ċibersigurtà ta’ EUIBAs oħra u/jew il‑protezzjoni ta’ informazzjoni li toriġina minnhom. Madankollu, is‑CSSG tal‑ICDT ma jinżammx infurmat dwar proġetti bħal dawn.

59 Meta tinħoloq aġenzija ġdida, din trid tibni l‑infrastruttura tal‑IT tagħha u l‑qafas tas‑sigurtà tal‑IT mill‑bidu nett. Ma hemm l‑ebda “katalogu tas‑servizzi”, sett ta’ għodod jew linji gwida/rekwiżiti ċari għal aġenziji ġodda. Ir‑riżultat huwa eteroġeneità sostanzjali fl‑ambjenti tal‑IT fl‑EUIBAs kollha, fejn kull organizzazzjoni hija potenzjalment libera li takkwista s‑software, il‑hardware, l‑infrastruttura u s‑servizzi tagħha stess b’mod indipendenti. L‑istess jiġri fir‑rigward tal‑qafas tas‑sigurtà tal‑IT, fin‑nuqqas ta’ rekwiżiti u standards komuni. Din is‑sitwazzjoni twassal għal duplikazzjoni potenzjali tal‑isforzi u l-użu ineffiċjenti tal‑flus tal‑UE, iżda wkoll għal kumplessità akbar għas‑CERT‑UE f’termini tal‑appoġġ li jeħtieġ li tipprovdi.

Hemm nuqqasijiet prattiċi fl‑iskambju ta’ informazzjoni sensittiva

60 Xi EUIBAs għad ma għandhomx soluzzjonijiet xierqa għall‑iskambju ta’ informazzjoni sensittiva mhux klassifikata. Dawk li għandhom, ġeneralment ikunu adottaw il‑prodotti u s‑sistemi differenti tagħhom stess, li jfisser li l‑interoperabbiltà hija problema. Pjattaformi siguri komuni jeżistu biss għal skopijiet speċifiċi, bħal pereżempju l‑pjattaformi li s‑CERT‑UE toffri lill‑kostitwenti kollha għall‑iskambju ta’ informazzjoni sensittiva dwar inċidenti, theddid u vulnerabbiltajiet.

61 Pereżempju, aktar minn 20 % tal‑EUIBAs ma għandhomx servizz ta’ posta elettronika kriptata. Dawk li għandhom spiss jiffaċċjaw kwistjonijiet ta’ interoperabbiltà u ċ-ċertifikati ma jiġux rikonoxxuti b’mod reċiproku. L‑ICTAC u l‑ICDT ilhom snin jiddiskutu għażliet għal soluzzjoni skalabbli u interoperabbli, u fl‑2018 kien hemm proġett pilota. Madankollu, din il‑kwistjoni għadha ma ġietx solvuta.

62 Kwistjoni oħra hija n‑nuqqas ta’ mmarkar komuni għal informazzjoni sensittiva mhux klassifikata. L‑immarkar huwa kategorizzazzjonijiet li jgħidu lid‑detenturi tal‑informazzjoni r‑rekwiżiti speċifiċi ta’ protezzjoni għal dik l‑informazzjoni. Dawn ivarjaw bejn l‑EUIBAs, u b’hekk jikkumplikaw l‑iskambju u t‑trattament xieraq tal‑informazzjoni.

63 Fl‑2020, il‑pandemija tal‑COVID‑19 ġiegħlet lill‑EUIBAs jadottaw għodod ta’ komunikazzjoni u ta’ vidjokonferenzi fuq skala kbira biex jiżguraw il‑kontinwità tal‑operat. Aħna identifikajna mill‑inqas 15-il soluzzjoni differenti ta’ software tal‑vidjokonferenzi li jintużaw fost l‑EUIBAs. Anki meta l‑EUIBAs differenti jużaw l‑istess soluzzjoni/pjattaforma, spiss ikun hemm nuqqas ta’ interoperabbiltà anki meta l‑partijiet kollha jużaw l‑istess soluzzjoni ta’ software. Barra minn hekk, il‑linji gwida dwar liema informazzjoni (f’termini ta’ sensittività) tista’ tiġi kondiviża jew diskussa fuq pjattaforma partikolari kienu differenti bejn l‑EUIBAs. Tali kwistjonijiet iwasslu għal ineffiċjenzi ekonomiċi u operazzjonali u jista’ jkun li joħolqu problemi potenzjali ta’ sigurtà.

L‑ENISA u s‑CERT‑UE għadhom ma pprovdewx lill‑EUIBAs l‑appoġġ kollu li jeħtieġu

64 Għal din it‑taqsima eżaminajna ż-żewġ entitajiet prinċipali li huma inkarigati biex jappoġġaw lill‑EUIBAs f’dak li jirrigwarda ċ-ċibersigurtà: l‑ENISA u s‑CERT‑UE. Aħna nivvalutaw jekk l‑appoġġ ipprovdut miż-żewġ entitajiet laħaqx lill‑EUIBAs u jekk huwiex qed jindirizza l-ħtiġijiet tagħhom, filwaqt li nenfasizzaw ir‑raġunijiet għan‑nuqqasijiet li ġew identifikati.

L‑ENISA hija attur ewlieni fix‑xenarju taċ-ċibersigurtà tal‑UE, iżda l‑appoġġ tagħha sa issa laħaq wisq ftit EUIBAs

65 F’Ġunju 2019, l‑Att dwar iċ-Ċibersigurtà (CSA)28, li ħa post il‑bażi ġuridika preċedenti tal‑ENISA29, daħal fis‑seħħ u ta mandat aktar b’saħħtu lill-aġenzija. B’mod aktar speċifiku, dan jipprevedi li jenħtieġ li l‑ENISA tappoġġa b’mod attiv kemm l‑Istati Membri kif ukoll l‑EUIBAs fit‑titjib taċ-ċibersigurtà permezz tal‑bini tal‑kapaċitajiet, it‑tisħiħ tal‑kooperazzjoni operazzjonali u l‑istabbiliment ta’ sinerġiji. Fil‑qasam tal‑bini tal‑kapaċitajiet, l‑ENISA issa għandha mandat biex tassisti lill‑EUIBAs “fl‑isforzi tagħhom biex itejbu l‑prevenzjoni, il‑kxif u l‑analiżi ta’ theddid u inċidenti ċibernetiċi […], b’mod partikolari permezz ta’ appoġġ xieraq għas‑CERT‑EU”30. Jenħtieġ li l‑ENISA tassisti wkoll lill‑istituzzjonijiet tal‑UE fl-iżvilupp u fir‑rieżaminar tal‑istrateġiji tal‑UE dwar iċ-ċibersigurtà, filwaqt li tippromwovi t‑tixrid tagħhom u tittraċċa l‑progress fl‑implimentazzjoni tagħhom.

66 Għalkemm is‑CSA jiddikjara b’mod ċar li jenħtieġ li l‑ENISA tappoġġa lill‑EUIBAs biex itejbu ċ-ċibersigurtà tagħhom, l‑ENISA għadha ma kkompletat l‑ebda pjan ta’ azzjoni fir‑rigward tal‑objettiv tagħha li tassisti fil‑bini tal‑kapaċitajiet tal‑EUIBAs (ara l‑Kaxxa 3 għad‑dettalji).

Kaxxa 3

Allinjament insuffiċjenti bejn l‑objettiv u l‑outputs tal‑ENISA fir‑rigward tal‑EUIBAs

Xi wħud mill‑prijoritajiet ta’ tliet snin tal‑ENISA elenkati fil‑programm ta’ ħidma pluriennali tal‑perjodu 2018‑2020 taħt l‑Objettiv 3.2: Tassisti fil‑bini tal‑kapaċitajiet tal‑istituzzjonijiet tal‑UE huma:

  • Toffri parir proattiv lill‑istituzzjonijiet tal‑Unjoni dwar it‑tisħiħ tas‑sigurtà tan‑networks u tal‑informazzjoni (NIS) tagħhom (Tidentifika l‑prijoritajiet għall-aġenziji u l‑korpi tal‑UE bl‑aktar ħtiġijiet ta’ bini tal‑kapaċitajiet tal‑NIS billi tistabbilixxi interazzjonijiet regolari magħhom (eż. sessjonijiet ta’ ħidma annwali) u tiffoka fuq dawn il‑prijoritajiet);
  • Tfittex li tassisti u tiffaċilita lill‑istituzzjonijiet tal‑UE fir‑rigward tal‑approċċi dwar l‑NIS (Tagħmel sħubijiet mas‑CERT‑UE u mal‑istituzzjonijiet b’kapaċitajiet qawwija tal‑NIS bil-għan li jiġu appoġġati l‑azzjonijiet tagħha taħt dan l‑objettiv.)

Fil‑programmi ta’ ħidma tal‑ENISA għall‑2018, l‑2019 u l‑2020, hemm biss żewġ objettivi operazzjonali (outputs) taħt l‑Objettiv 3.2:

  • Il‑parteċipazzjoni fil‑Bord ta’ Tmexxija tas‑CERT‑UE u r‑rappreżentanza tal-aġenziji tal‑UE li jużaw is‑servizz CERT‑UE.
  • Kooperazzjoni mal‑korpi rilevanti tal‑UE dwar inizjattivi li jkopru d‑dimensjoni tal‑NIS b’rabta mal‑missjonijiet tagħhom (inklużi l‑EASA, is‑CERT‑UE, l‑EDA, l‑EC3).

L‑objettivi operazzjonali ma jinkludu l‑ebda attività relatata ma’ pariri proattivi. Barra minn hekk, l‑objettiv li jiġu identifikati l‑prijoritajiet għall-aġenziji bl‑akbar ħtiġijiet ma ġiex ikkonkretizzat f’outputs operazzjonali, billi ġie sostitwit bl‑objettiv tal‑kollegament mal-aġenziji biex il-ħtiġijiet tagħhom jiġu rappreżentati fil‑bord ta’ tmexxija tas‑CERT‑UE.

67 Il‑korp prinċipali tal‑ENISA għat‑teħid ta’ deċiżjonijiet huwa l‑bord maniġerjali tagħha, li huwa magħmul minn membru wieħed maħtur minn kull wieħed mis‑27 Stat Membru u 2 membri maħtura mill‑Kummissjoni31 (ara l‑Figura 6). Kull membru għandu vot wieħed u d‑deċiżjonijiet jittieħdu b’vot ta’ maġġoranza32. B’riżultat ta’ dan, l‑azzjonijiet li jikkonċernaw l‑Istati Membri jista’ jkollhom prijorità ogħla fuq dawk għall‑EUIBAs. Pereżempju, fil‑programm ta’ ħidma tal‑ENISA għall‑2018, il‑bord maniġerjali ddeċieda, minħabba nuqqas ta’ riżorsi suffiċjenti, li jipprijoritizza ċerti attivitajiet u jneħħi tlieta, b’waħda minnhom tkun l‑appoġġ għall‑valutazzjoni tal‑politiki/proċeduri/prattiki eżistenti dwar l‑NIS fl‑istituzzjonijiet tal‑UE. Din l‑attività kienet maħsuba biex tippermetti lill‑ENISA tibni ħarsa ġenerali lejn il‑prattiki tal‑EUIBAs u l‑maturità indikattiva tagħhom fiċ-ċibersigurtà, bħala bażi għal azzjonijiet immirati futuri.

68 Għalhekk, l‑ambizzjoni tal‑ENISA li tipprovdi assistenza proattiva lill‑EUIBAs, kif espressa fl‑objettivi strateġiċi tagħha, ma mmaterjalizzatx f’objettivi operazzjonali jew f’azzjonijiet konkreti. L‑appoġġ fl‑oqsma tal‑bini tal‑kapaċitajiet u tal‑kooperazzjoni operazzjonali sa issa kien limitat, fuq talba, għal ftit EUIBAs speċifiċi.

69 Is‑CSA jistipula wkoll li, sabiex l‑EUIBAs jiġu assistiti fil‑bini tal‑kapaċitajiet, jenħtieġ li l‑ENISA tipprovdi appoġġ xieraq lis‑CERT‑UE. Fiż-żmien meta sar l‑awditu, tali appoġġ kien ġie limitat għal ftit azzjonijiet speċifiċi. Pereżempju, fl‑2019 l‑ENISA wettqet evalwazzjoni bejn il‑pari tas‑CERT‑UE, fil‑kuntest tas-sħubija tagħha fin‑network tas‑CSIRTs tal‑UE (stabbilit bid‑Direttiva NIS).

70 Skont ir‑risposti tagħna għall‑istħarriġ, l‑ENISA tippubblika rapporti u linji gwida ta’ kwalità għolja dwar iċ-ċibersigurtà, li xi wħud minnhom jintużaw mill‑EUIBAs. Madankollu, ma hemm l‑ebda linja gwida speċifika mmirata lejn l‑EUIBAs u lejn l‑ambjent u l-ħtiġijiet tagħhom stess. L‑EUIBAs, speċjalment dawk inqas avvanzati fiċ-ċibersigurtà, jeħtieġu gwida prattika mhux biss dwar “x’għandu” jsir, iżda wkoll “kif” għandu jsir. Sal‑lum il-ġurnata, l‑ENISA u s‑CERT‑UE pprovdew dan l‑appoġġ sa livell limitat u mhux sistematiku.

71 L‑ENISA organizzat għadd ta’ korsijiet ta’ taħriġ dwar iċ-ċibersigurtà, li kienu prinċipalment immirati lejn l‑awtoritajiet tal‑Istati Membri iżda li għalihom attendew ukoll għadd limitat ta’ parteċipanti mill‑EUIBAs. Hija pprovdiet biss żewġ korsijiet ta’ awtotagħlim immirati speċifikament lejn l‑EUIBAs. L‑ENISA toffri wkoll materjal ta’ taħriġ online fuq is‑sit web tagħha li l‑EUIBAs jistgħu jaċċessaw, iżda sal‑lum il-ġurnata dawn kienu prinċipalment korsijiet għal esperti tekniċi tas‑CSIRT u, bħala tali, ma kinux ta’ għajnuna għall‑biċċa l‑kbira mill‑EUIBAs.

72 Minbarra t‑taħriġ, l‑ENISA tista’ tappoġġa lill‑EUIBAs permezz ta’ eżerċizzji taċ-ċibersigurtà. F’Ottubru 2020, l‑ENISA, f’kooperazzjoni mas‑CERT‑UE, għenet biex twettaq eżerċizzju taċ-ċibersigurtà għall‑ICTAC, li huwa l‑uniku eżerċizzju li l‑ENISA organizzat speċifikament għall‑parteċipanti mill‑EUIBAs. Minbarra dan, l‑ENISA għenet biex jiġu organizzati għadd ta’ eżerċizzji fuq talba ta’ xi EUIBAs (eż. l‑EU-LISA, l‑EMSA, il‑Parlament Ewropew u l‑Europol), prinċipalment għall‑partijiet ikkonċernati tagħhom fl‑awtoritajiet tal‑Istati Membri, bil‑parteċipazzjoni wkoll ta’ xi membri tal‑persunal tal‑EUIBA.

73 Is‑CSA introduċa wkoll rwol ġdid għall‑ENISA biex tassisti lill‑EUIBAs bil‑politiki tagħhom dwar l-iżvelar tal‑vulnerabbiltajiet, fuq bażi volontarja. Madankollu, l‑ENISA għad ma għandha l‑ebda ħarsa ġenerali lejn il‑politiki individwali ta’ divulgazzjoni tal‑vulnerabbiltà tal‑EUIBAs u ma tassistihomx biex jistabbilixxu u jimplimentaw dawn il‑politiki.

Is‑CERT‑UE hija apprezzata ħafna mill‑kostitwenti tagħha iżda l‑mezzi tagħha mhumiex proporzjonati mal‑isfidi attwali taċ-ċibersigurtà

74 Wara sensiela ta’ inizjattivi (ara l‑Figura 7), f’Settembru 2012, deċiżjoni tal‑Kummissjoni33 stabbiliet l‑Iskwadra ta’ Rispons f’Emerġenza relatata mal‑Kompjuters (CERT‑UE) bħala task force permanenti għall‑EUIBAs (ara l‑paragrafu 08).

Figura 7 – L‑istorja tas‑CERT‑EU

Sors: il‑QEA.

75 Għalkemm hija indipendenti fl‑operazzjonijiet tagħha, is‑CERT‑UE tibqa’ task force, mingħajr l‑ebda personalità ġuridika. Hija amministrattivament kollokata fil‑Kummissjoni Ewropea (DĠ DIGIT), li minnha tirċievi appoġġ loġistiku u amministrattiv. L-għan tas‑CERT‑UE huwa li tagħmel l‑infrastruttura tal‑ICT tal‑EUIBAs aktar sigura billi ttejjeb il‑kapaċità tagħhom li jindirizzaw it‑theddid ċibernetiku u l‑vulnerabbiltajiet, kif ukoll li jipprevienu u jikxfu l‑attakki ċibernetiċi u jirrispondu għalihom. Is‑CERT‑UE għandha madwar 40 membru tal‑persunal li huma organizzati f’timijiet ta’ speċjalisti li jiffukaw, pereżempju, fuq l‑intelliġenza dwar it‑theddid ċibernetiku, il‑forensika diġitali u r‑rispons għal inċidenti.

Is‑CERT‑UE hija sieħeb apprezzat, b’ammont ta’ xogħol dejjem akbar

76 Is‑CERT‑UE titlob feedback u suġġerimenti mill‑kostitwenti tagħha permezz ta’ sessjonijiet ta’ ħidma trimestrali, kif ukoll laqgħat bilaterali annwali u stħarriġiet dwar is‑sodisfazzjon. Skont l‑istħarriġiet dwar is‑sodisfazzjon u l‑istħarriġ tagħna stess, il‑kostitwenti huma fil‑biċċa l‑kbira sodisfatti bis‑servizzi pprovduti mis‑CERT‑UE. L‑evoluzzjoni tal‑katalogu tas‑servizzi tas‑CERT‑UE tafferma l‑isforz tagħha biex tadatta għall-ħtiġijiet tal‑EUIBAs.

77 Filwaqt li l‑EUIBAs kbar b’kapaċità interna sinifikanti għandhom it‑tendenza li jużaw is‑CERT‑UE prinċipalment bħala ċentru għall‑kondiviżjoni tal‑informazzjoni u bħala sors ta’ intelliġenza dwar it‑theddid, l‑EUIBAs iżgħar jiddependu fuq is‑CERT‑UE għal firxa usa’ ta’ servizzi, bħar‑reġistri ta’ monitoraġġ, it‑testijiet tal‑penetrazzjoni, l-eżerċizzji tat‑tim l-aħmar u l‑appoġġ għar‑rispons għal inċidenti. Is‑servizzi tas‑CERT‑UE huma partikolarment siewja għal EUIBAs iżgħar, minħabba li għandhom għarfien espert intern limitat u nuqqas ta’ ekonomiji ta’ skala (ara l‑paragrafi 3133).

78 Is‑CERT‑UE saħħet il‑kapaċitajiet u l‑proċeduri tagħha fi snin reċenti, fl‑isfond ta’ żieda drammatika fit‑theddid u fl‑inċidenti. L-għadd ta’ prodotti ta’ informazzjoni tas‑CERT‑UE, b’mod partikolari twissijiet u memos ta’ theddid, qed jikber b’mod kostanti (il‑Figura 8). Fl‑2020, is‑CERT‑UE ħarġet 171 memo ta’ theddid u 53 twissija ta’ theddid (konsiderevolment aktar mit‑80 memo u l‑40 twissija li oriġinarjament kienet mistennija toħroġ).

Figura 8 – Żieda fil‑prodotti ta’ intelliġenza dwar it‑theddid

Sors: il‑QEA, ibbażat fuq data mis‑CERT‑UE.

79 Is‑CERT‑UE tappoġġa wkoll lill‑EUIBAs fit‑trattament ta’ inċidenti ċibernetiċi. Filwaqt li 52 % tal‑EUIBAs għandhom skwadra ta’ rispons interna jew ta’ mill‑inqas koordinatur tal‑inċidenti, it‑48 % l-oħra jiddependu fuq is‑CERT‑UE u/jew fuq fornituri esterni oħra fil‑każ ta’ inċident. Madankollu, anki EUIBAs kbar b’kapaċità interna ta’ rispons jistgħu jitolbu appoġġ mis‑CERT‑UE biex jindirizzaw inċidenti kumplessi.

80 L-għadd totali ta’ inċidenti ttrattati mis‑CERT‑UE żdied minn 561 fl‑2019 għal 884 fl‑2020. L‑inċidenti sinifikanti, b’mod partikolari, żdiedu minn wieħed biss fl‑2018, għal 13 fl‑2020. Fl‑2021, l-għadd ta’ inċidenti sinifikanti laħaq is‑17, żieda mit‑13 fis‑sena 2020, li hija stess kienet sena rekord. Dawn l‑inċidenti sinifikanti huma ġeneralment ikkawżati minn theddid sofistikat ħafna. Jistgħu jolqtu lil bosta EUIBAs, jinvolvu kuntatt mal‑awtoritajiet, u normalment il‑partijiet milquta u s‑CERT‑UE jieħdu minn ġimgħat sa xhur ta’ xogħol biex jinvestigawhom u jeradikawhom.

81 Is‑CERT‑UE hija wkoll il‑fornitur prinċipali ta’ valutazzjonijiet u testijiet proattivi taċ-ċiberdifiżi tal‑EUIBAs. Sommarju tal‑attività tas‑CERT‑UE f’dan il‑qasam huwa ppreżentat fil‑Figura 9 hawn taħt. Barra minn hekk, mill‑2020, is‑CERT‑UE twettaq ukoll scans tan‑network estern.

Figura 9 – Testijiet u valutazzjonijiet imwettqa mis‑CERT‑UE

Sors: il‑QEA, ibbażat fuq data mis‑CERT‑UE.

Il‑kostitwenti ma jikkondividu l‑ebda informazzjoni rilevanti mas‑CERT‑UE b’mod f’waqtu

82 L‑IIA34 jiddikjara li jenħtieġ li l‑kostitwenti jinnotifikaw lis‑CERT‑UE dwar inċidenti ċibernetiċi sinifikanti. Madankollu, fil‑prattika, dan mhux dejjem seħħ. L‑IIA ma jipprovdix mekkaniżmu biex jiġi infurzat ir‑rappurtar obbligatorju u f’waqtu ta’ inċidenti “sinifikanti” mill‑kostitwenti tas‑CERT‑UE. Id‑definizzjoni ġenerika ta’ “inċidenti sinifikanti” fl‑IIA tħalli għad‑diskrezzjoni tal‑EUIBAs dwar jekk jirrappurtawx inċident. Skont il‑maniġment tas‑CERT‑UE, xi kostitwenti ma kkondividewx informazzjoni dwar inċidenti sinifikanti b’mod f’waqtu, u dan ifixkel ir‑rwol tas‑CERT‑UE bħala ċentru ta’ koordinazzjoni għall‑iskambju ta’ informazzjoni u r‑rispons għal inċidenti fil‑qasam taċ-ċibersigurtà għall‑EUIBAs kollha. Pereżempju, kostitwent wieħed li kien qed jiffaċċja theddida sofistikata ħafna ma infurmax lis‑CERT‑UE jew ma fittixx l‑appoġġ tagħha. Dan ippreviena lis‑CERT‑UE milli tiġbor intelliġenza dwar it‑theddid ċibernetiku li kienet tkun utli meta tappoġġa kostitwenti oħra li jkunu qed jiffaċċjaw l‑istess theddida. Mill‑inqas sitt EUIBAs intlaqtu minn dan l‑attakk.

83 Il‑kostitwenti lanqas ma kkondividew b’mod attiv informazzjoni f’waqtha mas‑CERT‑UE dwar it‑theddid u l‑vulnerabbiltajiet taċ-ċibersigurtà li jolqtuhom, minkejja li l‑IIA35 jirrikjedi li huma jagħmlu dan. It‑tim tas‑CERT‑UE inkarigat mill‑Forensika Diġitali u r‑Rispons għal Inċidenti ma rċeviex notifiki ta’ vulnerabbiltajiet jew defiċjenzi fil‑kontrolli li ġew skoperti barra mill‑kuntest tal‑inċidenti li qed jinvestiga b’mod attiv. Il‑kostitwenti ma jikkondividux b’mod proattiv is‑sejbiet rilevanti mill‑awditi interni jew esterni tas‑sigurtà.

84 Barra minn hekk, l‑IIA ma jagħmilhiex obbligatorja għall‑EUIBAs biex jirrappurtaw bidliet sinifikanti fl‑ambjent tal‑IT tagħhom lis‑CERT‑UE u, b’riżultat ta’ dan, il‑kostitwenti ma infurmawx lis‑CERT‑UE b’mod sistematiku dwar bidliet rilevanti. Pereżempju, l‑EUIBAs mhux dejjem jinfurmaw lis‑CERT‑UE dwar kwalunkwe bidla fil‑firxiet tal‑IP tagħhom (jiġifieri l‑lista tal‑infrastruttura tagħhom ta’ indirizzi tal‑internet). Is‑CERT‑UE teħtieġ firxiet tal‑IP aġġornati sabiex, pereżempju, twettaq scans meta jiġu skoperti vulnerabbiltajiet kbar. In‑nuqqas mill‑EUIBAs li jinfurmaw lis‑CERT‑UE dwar dawn il‑bidliet jaffettwa l‑kapaċità tagħha li tappoġġahom. In‑nuqqas ta’ notifika lis‑CERT‑UE jħalli impatt ukoll fuq il‑kapaċità tagħha li timmonitorja s‑sistemi u jwassal għal aktar xogħol biex tiġi kkoreġuta data mhux preċiża fl-għodod ta’ monitoraġġ. Skont il‑maniġment tagħha, meta tindirizza inċident, is‑CERT‑UE xi drabi tiskopri infrastruttura tal‑IT li qabel ma kinitx magħrufa. Barra minn hekk, lil hinn minn każijiet speċifiċi, attwalment is‑CERT‑UE ma għandha l‑ebda stampa ġenerali komprensiva tas‑sistemi u n‑networks tal‑IT tal‑komunità EUIBA.

85 Fin‑nuqqas ta’ kwalunkwe mekkaniżmu ta’ infurzar fl‑IIA, in‑notifiki mill‑EUIBAs lis‑CERT‑UE – element essenzjali fil-ħolqien ta’ komunità EUIBA ta’ tħejjija ċibernetika ffukata fuq is‑CERT‑UE – se jibqgħu mhux sistematiċi.

Ir‑riżorsi tas‑CERT‑UE huma instabbli u mhumiex proporzjonati mal‑livell ta’ theddid attwali

86 L‑IIA36 jiddikjara li s-“CERT‑UE għandu jingħatalha finanzjament u persunal sostenibbli, filwaqt li jkun żgurat il‑valur għall‑flus u qafas adegwat ta’ persunal permanenti”. L‑aktar assi importanti tas‑CERT‑UE huwa l‑persunal imħarreġ sew u speċjalizzat ħafna tagħha. Il‑Figura 10 turi l‑bidla fil‑livelli tal‑persunal fis‑CERT‑UE mill‑bidu tagħha fl‑2011 sal-ġurnata tal‑lum.

87 Aktar minn żewġ terzi tal‑membri tal‑persunal tas‑CERT‑UE għandhom kuntratti temporanji. Is‑salarju tagħhom mhuwiex kompetittiv ħafna fis‑suq għall‑esperti taċ-ċibersigurtà, u skont il‑maniġment tas‑CERT‑UE, sar dejjem aktar diffiċli biex dawn jiġu impjegati u jinżammu. Meta s‑salarji ma jkunux attraenti biżżejjed għall‑kandidati ta’ livell għoli, is‑CERT‑UE trid tirrikorri għall‑impjieg ta’ persunal subaltern u tinvesti l-ħin fit‑taħriġ tagħhom. Barra minn hekk, il‑kuntratti għandhom durata massima ta’ sitt snin, li jfisser li s‑CERT‑UE ma għandha l‑ebda għażla ħlief li tħalli lill‑persunal kuntrattwali jitlaq fl‑ogħla livell tal-għarfien espert tagħhom. Id‑dawran tal‑impjegati kien partikolarment għoli fl‑2020: 21 % tal‑persunal telaq mis‑CERT‑UE u mhux is‑sostituzzjonijiet kollha setgħu jiġu reklutati. Fir‑rigward tas‑snin preċedenti, 9 % tal‑persunal telaq fl‑2019 u 13 % fl‑2018.

Figura 10 – Riżorsi u sfidi tas‑CERT‑UE

Sors: il‑QEA, ibbażat fuq data mis‑CERT‑UE.

88 Il‑maniġment tas‑CERT‑UE enfasizza li, fil‑preżent, it‑Tim tas‑CERT‑UE inkarigat mill‑Forensika Diġitali u r‑Rispons għal Inċidenti huwa spiss taħt pressjoni kbira, u t‑timijiet l-oħra tiegħu ma jistgħux ilaħħqu mad‑domanda. B’riżultat ta’ dan, is‑CERT‑UE kienet kostretta tnaqqas l‑attivitajiet. Pereżempju, attwalment is‑CERT‑UE ma twettaqx valutazzjonijiet tal‑maturità tal‑kostitwenti tagħha, minħabba nuqqas ta’ riżorsi. Is‑servizz ta’ “twissijiet dwar attività suspettuża” tas‑CERT‑UE daħal fil‑produzzjoni aktar tard milli mistenni, għal darba oħra minħabba nuqqas ta’ riżorsi. Barra minn hekk, diversi kostitwenti li intervistajna kkummentaw dwar iż-żmien twil li kellhom jistennew biex jaċċessaw is‑servizzi tas‑CERT‑UE.

89 Ir‑restrizzjonijiet fuq ir‑riżorsi sa issa ġiegħlu lis‑CERT‑UE tiffoka b’mod partikolari fuq il‑protezzjoni ta’ infrastruttura tal‑IT konvenzjonali “fuq il‑post” kontra theddid kbir minn gruppi (tipikament appoġġati mill‑Istat Nazzjon) li joħolqu theddid persistenti avvanzat. Iżda skont il‑maniġment tagħha, il‑perimetru tal‑IT estiż tal‑EUIBAs (li issa jinkludi l‑cloud, l‑apparat mobbli u l-għodod tat‑telexogħol) jeħtieġ monitoraġġ u protezzjoni mtejba, u t‑theddid ta’ livell aktar baxx (bħaċ-ċiberkriminalità u r‑ransomware) ukoll jeħtieġ aktar attenzjoni.

90 L‑IIA ma jipprevedix li s‑CERT‑UE jkollha kapaċità operazzjonali 24 siegħa kuljum, 7 ijiem fil-ġimgħa. Attwalment is‑CERT‑UE ma għandhiex ir‑riżorsi jew il‑qafas xieraq tar‑riżorsi umani biex topera lil hinn mill-ħinijiet tax‑xogħol fuq bażi permanenti u strutturata, minkejja li l‑attakki taċ-ċibersigurtà ma jsegwux dawn is‑sigħat. Għall‑EUIBAs infushom, 35 biss mill‑65 EUIBA mistħarrġa għandhom uffiċjal tal‑IT li jista’ jintlaħaq barra mill-ħinijiet tax‑xogħol.

91 Biex jiffinanzja l‑operazzjonijiet tas‑CERT‑UE, il‑bord ta’ tmexxija fl‑2012 approva mudell ta’ ftehim dwar il‑livell ta’ servizz (SLA). Il‑kostitwenti kollha jirċievu servizzi ewlenin bla ħlas u jistgħu jħallsu biex jiksbu servizzi estiżi, billi jiffirmaw SLA. Il‑baġit tas‑CERT‑UE għall‑2020 kien ta’ EUR 3 745 000, li minnhom 6 % ġew iffinanzjati mill‑Baġit tal‑UE u 94 % minn SLAs. Madankollu, il‑kostitwenti huma eteroġeni ħafna: xi wħud għandhom rekwiżiti maturi ta’ sigurtà tal‑IT filwaqt li oħrajn għandhom baġits tal‑IT modesti u livell baxx ħafna ta’ maturità fiċ-ċibersigurtà. Minħabba dan, id‑diskussjonijiet dwar l‑SLA jirriżultaw f’kombinament ta’ rekwiżiti ta’ sigurtà għoljin għal xi EUIBAs u f’nuqqas relattiv ta’ rieda jew kapaċità ta’ kontribuzzjoni min‑naħa ta’ oħrajn.

92 Barra minn hekk, jeħtieġ li l‑SLAs jiġġeddu b’mod individwali kull sena. Minbarra li huwa piż amministrattiv, dan joħloq problemi fil‑fluss tal‑flus, billi s‑CERT‑UE ma għandhiex fondi li ġejjin mill‑SLAs kollha fl‑istess ħin. Barra minn hekk, l-aġenziji jistgħu jitterminaw l‑SLAs fi kwalunkwe mument. Dan jirriskja li jibda ċirku vizzjuż fejn, minħabba dħul mitluf, is‑CERT‑UE trid tnaqqas is‑servizzi tagħha u ma tistax tlaħħaq mad‑domanda, u dan iwassal biex EUIBAs oħra jitterminaw l‑SLAs tagħhom u jmorru għand fornituri privati. Fid‑dawl ta’ dawn il‑kunsiderazzjonijiet, il‑mudell ta’ finanzjament attwali mhuwiex ideali biex jiżgura livell stabbli u ottimali ta’ servizz.

93 Quddiem xenarju ta’ theddid għaċ-ċibersigurtà li qed jevolvi malajr (ara l‑paragrafi 0680), il‑bord ta’ tmexxija tas‑CERT‑UE, fil‑laqgħa tiegħu tad‑19 ta’ Frar 2020, approva proposta strateġika għas‑CERT‑UE biex twessa’ s‑servizzi taċ-ċibersigurtà tagħha u tiżviluppa “kapaċitajiet operazzjonali sħaħ”. Il‑proposta kienet akkumpanjata minn analiżi tal-ħtiġijiet ta’ persunal u ta’ finanzjament tas‑CERT‑UE. Din l‑analiżi kkonkludiet li s‑CERT‑UE tkun teħtieġ 14-il post permanenti addizzjonali ta’ amministratur, miżjuda b’mod inkrementali matul il‑perjodu 2021-2023. Imbagħad is‑CERT‑UE tkun topera b’kapaċità sħiħa mill‑2023 ’il quddiem. Skont din il‑proposta, f’termini ta’ finanzjament, is‑CERT‑UE jkollha bżonn iżżid il‑baġit tagħha b’EUR 7.6 miljun matul il‑perjodu 2021-2023, biex tilħaq il‑EUR 11.3 miljun sal‑2024.

94 Madankollu, minkejja li approvaw il‑proposta strateġika dwar il‑forniment ta’ riżorsi addizzjonali għas‑CERT‑UE, l‑EUIBAs għadhom ma laħqux ftehim dwar il‑modalitajiet prattiċi, l‑ewwel nett għall‑perjodu interim tal‑2021-2023, u t‑tieni għal terminu twil wara li jidħol fis‑seħħ ir‑regolament futur dwar iċ-ċibersigurtà (ara l‑paragrafu 12).

Konklużjonijiet u rakkomandazzjonijiet

95 Nikkonkludu li l‑istituzzjonijiet, il‑korpi u l-aġenziji (EUIBA) tal‑UE ma laħqux livell ta’ tħejjija ċibernetika li huwa proporzjonat mat‑theddid. Ix‑xogħol li wettaqna juri li l‑EUIBAs għandhom livelli differenti ta’ maturità fiċ-ċibersigurtà, u peress li spiss ikunu interkonnessi ma’ xulxin u ma’ organizzazzjonijiet pubbliċi u privati fl‑Istati Membri, dgħufijiet fiċ-ċibersigurtà ta’ EUIBA jistgħu jesponu lil diversi organizzazzjonijiet oħra għal theddid ċibernetiku.

96 Sibna li mhux dejjem ġew implimentati prattiki tajbin ewlenin fir‑rigward taċ-ċibersigurtà, inklużi xi kontrolli essenzjali. Governanza tajba taċ-ċibersigurtà hija essenzjali għas‑sigurtà tal‑informazzjoni u tas‑sistemi tal‑IT, iżda għadha mhijiex fis‑seħħ f’xi EUIBAs: L‑istrateġiji u l‑pjanijiet għas‑sigurtà tal‑IT f’ħafna każijiet huma neqsin jew mhumiex approvati mill‑maniġment superjuri, il‑politiki tas‑sigurtà mhux dejjem jiġu formalizzati, u l‑valutazzjonijiet tar‑riskju ma jkoprux l‑ambjent kollu tal‑IT. L‑infiq fuq iċ-ċibersigurtà huwa irregolari u xi EUIBAs b’mod ċar qed jonfqu inqas meta mqabbla ma’ pari ta’ daqs simili (ara l‑paragrafi 21-3337-38).

97 Il‑programmi ta’ sensibilizzazzjoni u ta’ taħriġ dwar iċ-ċibersigurtà huma element ewlieni f’qafas taċ-ċibersigurtà effettiv. Madankollu, 29 % biss tal‑EUIBAs jipprovdu taħriġ obbligatorju dwar iċ-ċibersigurtà għall‑maniġers responsabbli għas‑sistemi tal‑IT li jkun fihom informazzjoni sensittiva, u t‑taħriġ offrut spiss ikun informali. F’dawn l-aħħar ħames snin, 55 % tal‑EUIBAs organizzaw kampanja waħda jew aktar dwar il‑phishing simulat (jew eżerċizzji simili). Dawn l-eżerċizzji huma għodda importanti għat‑taħriġ tal‑persunal u għas‑sensibilizzazzjoni, iżda l‑EUIBAs ma jużawhomx b’mod sistematiku (ara l‑paragrafi 34-36). Barra minn hekk, mhux l‑EUIBAs kollha għandhom iċ-ċibersigurtà tagħhom suġġetta regolarment għal aċċertament indipendenti (ara l‑paragrafi 39-44).

98 Is‑CERT‑UE hija apprezzata ħafna mill‑EUIBAs li hija sservi, iżda l‑kapaċità tagħha tinsab taħt pressjoni kbira. L‑ammont ta’ xogħol tagħha, f’termini ta’ intelliġenza dwar it‑theddid u indirizzar ta’ inċident, ilu jikber b’mod rapidu mill‑2018. L‑inċidenti ċibernetiċi sinifikanti żdiedu b’aktar minn 10 darbiet. Fl‑istess ħin, l‑EUIBAs mhux dejjem jikkondividu informazzjoni f’waqtha dwar l‑inċidenti sinifikanti, il‑vulnerabbiltajiet u l‑bidliet importanti fl‑infrastruttura tal‑IT tagħhom. Dan ifixkel l‑effettività tas‑CERT‑UE, u jippreveniha milli twissi lil EUIBAs oħra li potenzjalment ikunu ġew milquta, u jista’ jkun li jirriżulta f’inċidenti sinifikanti li jibqgħu ma jinkixfux. Barra minn hekk, ir‑riżorsi tas‑CERT‑UE huma instabbli u fil‑preżent mhumiex proporzjonati mal‑livell ta’ theddid attwali jew mal-ħtiġijiet tal‑EUIBAs. Proposta strateġika dwar il‑forniment tar‑riżorsi addizzjonali meħtieġa mis‑CERT‑UE ġiet approvata mill‑bord ta’ tmexxija tagħha fl‑2020, iżda l‑kostitwenti għadhom ma laħqux ftehim dwar il‑modalitajiet prattiċi għall‑forniment ta’ tali riżorsi. B’riżultat ta’ dan, il‑persunal tas‑CERT‑UE ma jistax ilaħħaq mad‑domanda u huwa kostrett inaqqas l‑attivitajiet (ara l‑paragrafi 74-93).

Rakkomandazzjoni 1 – Titjieb it-tħejjija ċibernetika tal‑EUIBAs kollha permezz ta’ regoli vinkolanti komuni u żieda fir‑riżorsi għas‑CERT‑UE

Jenħtieġ li l‑Kummissjoni tinkludi l‑prinċipji li ġejjin fil‑proposta li jmiss tagħha għal regolament dwar miżuri għal livell għoli komuni ta’ ċibersigurtà fl‑EUIBAs kollha:

  1. Jenħtieġ li l‑maniġment superjuri jkollu r‑responsabbiltà għall‑governanza taċ-ċibersigurtà billi japprova l‑istrateġiji taċ-ċibersigurtà u l‑politiki ewlenin ta’ sigurtà u jaħtar Uffiċjal Kap għas‑Sigurtà tas‑Sistemi tal‑Informazzjoni indipendenti (jew rwol ekwivalenti).
  2. Jenħtieġ li l‑EUIBAs ikollhom qafas ta’ ġestjoni tar‑riskju għas‑sigurtà tal‑IT li jkopri l‑infrastruttura tal‑IT tagħhom kollha kemm hi u jwettqu valutazzjonijiet tar‑riskju regolari.
  3. Jenħtieġ li l‑EUIBAs jipprovdu taħriġ sistematiku ta’ sensibilizzazzjoni għall‑persunal kollu, inkluż il‑maniġment.
  4. Jenħtieġ li l‑EUIBAs jiżguraw awditi u testijiet regolari taċ-ċiberdifiżi tagħhom. Jenħtieġ li l‑awditi jinkludu wkoll l‑adegwatezza tar‑riżorsi ddedikati għaċ-ċibersigurtà.
  5. Jenħtieġ li l‑EUIBAs jirrappurtaw, mingħajr dewmien, lis‑CERT‑UE dwar inċidenti ċibernetiċi sinifikanti u dwar bidliet u vulnerabbiltajiet rilevanti fir‑rigward tal‑infrastruttura tal‑IT tagħhom;
  6. Jenħtieġ li l‑EUIBAs iżidu u jallokaw fil‑baġits tagħhom ir‑riżorsi allokati lis‑CERT‑UE f’konformità mal-ħtiġijiet identifikati fil‑proposta strateġika approvata mill‑bord ta’ tmexxija tagħha;
  7. Jenħtieġ li r‑regolament jinkludi dispożizzjonijiet għall-ħatra ta’ entità, rappreżentattiva tal‑EUIBAs kollha, li jkollha l‑mandat u l‑mezzi xierqa biex timmonitorja l‑konformità tal‑EUIBAs kollha mar‑regoli komuni dwar iċ-ċibersigurtà u biex toħroġ gwida, rakkomandazzjonijiet u sejħiet għal azzjonijiet.

Data mmirata għall‑implimentazzjoni: l‑ewwel trimestru tal‑2023

99 L‑EUIBAs stabbilew mekkaniżmi għall‑kooperazzjoni fil‑qasam taċ-ċibersigurtà, iżda aħna osservajna li s‑sinerġiji potenzjali mhumiex sfruttati bis-sħiħ. Hemm struttura formalizzata għall‑iskambju ta’ informazzjoni, b’atturi u kumitati li għandhom rwoli komplementari. Madankollu, il‑parteċipazzjoni f’fora interistituzzjonali minn EUIBAs iżgħar hija mfixkla minn riżorsi limitati, u r‑rappreżentanza tal-aġenziji deċentralizzati u tal‑impriżi konġunti fuq il‑bord ta’ tmexxija tas‑CERT‑UE mhijiex ottimali. Sibna wkoll li l‑EUIBAs ma jikkondividux b’mod sistematiku bejn xulxin informazzjoni oħra dwar proġetti relatati maċ-ċibersigurtà, valutazzjonijiet tas‑sigurtà u kuntratti oħra ta’ servizz. Dan jista’ jwassal għal duplikazzjoni tal‑isforzi u għal spejjeż akbar. Osservajna diffikultajiet operazzjonali fl‑iskambju ta’ informazzjoni sensittiva mhux klassifikata, permezz ta’ posta elettronika kriptata jew f’vidjokonferenza, minħabba nuqqas ta’ interoperabbiltà tas‑soluzzjonijiet tal‑IT, linji gwida inkonsistenti dwar l-użu permess tagħhom u n‑nuqqas ta’ regoli komuni dwar l‑immarkar u t‑trattament ta’ informazzjoni (ara l‑paragrafi 45-63).

Rakkomandazzjoni 2 – Jiġu promossi aktar sinerġiji fost l‑EUIBAs f’oqsma magħżula

Jenħtieġ li l‑Kummissjoni, fil‑kuntest tal‑Kumitat Interistituzzjonali għat‑Trasformazzjoni Diġitali, tippromwovi l‑azzjonijiet li ġejjin fost l‑EUIBAs:

  1. jiġu adottati soluzzjonijiet għall‑interoperabbiltà ta’ kanali ta’ komunikazzjoni siguri mill‑posta elettronika kriptata sal‑vidjokonferenzi, u jiġu promossi regoli komuni dwar l‑immarkar u regoli komuni dwar it‑trattament għal informazzjoni sensittiva mhux klassifikata;
  2. tiġi kondiviża b’mod sistematiku informazzjoni dwar proġetti relatati maċ-ċibersigurtà b’impatt interistituzzjonali potenzjali, dwar valutazzjonijiet tas‑sigurtà mwettqa fuq software, u dwar kuntratti fis‑seħħ ma’ fornituri esterni u;
  3. jiġu ddefiniti speċifikazzjonijiet għal kuntratti ta’ akkwist komuni u kuntratti qafas għal servizzi taċ-ċibersigurtà li fihom l‑EUIBAs kollha jistgħu jipparteċipaw biex irawmu ekonomiji ta’ skala.

Data mmirata għall‑implimentazzjoni: ir‑raba’ trimestru tal‑2023

100 L-Aġenzija tal‑Unjoni Ewropea għaċ-Ċibersigurtà (ENISA) u s‑CERT‑UE huma ż-żewġ entitajiet prinċipali inkarigati biex jappoġġaw lill‑EUIBAs f’dak li jirrigwarda ċ-ċibersigurtà. Madankollu, minħabba restrizzjonijiet fuq ir‑riżorsi u l‑fatt li oqsma oħra qed jingħataw prijorità, dawn ma setgħux jipprovdu lill‑EUIBAs l‑appoġġ kollu li jeħtieġu, b’mod partikolari fir‑rigward tal‑bini tal‑kapaċitajiet għal EUIBAs li huma inqas maturi fiċ-ċibersigurtà (ara l‑paragrafi 64-93).

Rakkomandazzjoni 3 – Jiżdied il‑fokus tas‑CERT‑UE u tal‑ENISA fuq l‑EUIBAs inqas maturi

Jenħtieġ li s‑CERT‑UE u l‑ENISA:

  1. jidentifikaw oqsma ta’ prijorità fejn l‑EUIBAs jeħtieġu l‑aktar appoġġ, pereżempju permezz ta’ valutazzjonijiet tal‑maturità;
  2. jimplimentaw azzjonijiet ta’ bini tal‑kapaċitajiet, f’konformità mal‑MtQ tagħhom.

Data mmirata għall‑implimentazzjoni: ir‑raba’ trimestru tal‑2022

Dan ir‑Rapport ġie adottat mill‑Awla III, immexxija mis‑Sinjura Bettina Jakobsen, Membru tal‑Qorti tal‑Awdituri, fil‑Lussemburgu fit‑22 ta’ Frar 2022.

 

Għall‑Qorti tal‑Awdituri

Klaus‑Heiner Lehne
Il‑President

Annessi

Anness I – Lista tal‑EUIBAs mistħarrġa

Isem tal‑EUIBA Tip
Il‑Parlament Ewropew Istituzzjoni (l‑Artikolu 13(1) TUE)
Il‑Kunsill tal‑Unjoni Ewropea u l‑Kunsill Ewropew (GSC) Istituzzjoni (l‑Artikolu 13(1) TUE)
Il‑Kummissjoni Ewropea (KE) Istituzzjoni (l‑Artikolu 13(1) TUE)
Il‑Qorti tal-Ġustizzja tal‑Unjoni Ewropea (QĠUE) Istituzzjoni (l‑Artikolu 13(1) TUE)
Il‑Bank Ċentrali Ewropew (BĊE) Istituzzjoni (l‑Artikolu 13(1) TUE)
Il‑Qorti Ewropea tal‑Awdituri (QEA) Istituzzjoni (l‑Artikolu 13(1) TUE)
Is‑Servizz Ewropew għall‑Azzjoni Esterna (SEAE) Korp (l‑Artikolu 27(3) TUE)
Il‑Kumitat Ekonomiku u Soċjali Ewropew (KESE) u l‑Kumitat Ewropew tar‑Reġjuni (KtR)37 Korpi (l‑Artikolu 13(4) TUE)
Il‑Bank Ewropew tal‑Investiment (BEI) Korp (l‑Artikolu 308 TFUE)
L‑Awtorità Ewropea tax‑Xogħol (ELA) Aġenzija deċentralizzata
L-Aġenzija tal‑Unjoni Ewropea għall‑Kooperazzjoni tar‑Regolaturi tal‑Enerġija (ACER) Aġenzija deċentralizzata
L‑Uffiċċju tal‑Korp ta’ Regolaturi Ewropej tal‑Komunikazzjonijiet Elettroniċi (l‑Uffiċċju BEREC) Aġenzija deċentralizzata
L‑Uffiċċju Komunitarju tal‑Varjetajiet tal‑Pjanti (CPVO) Aġenzija deċentralizzata
L-Aġenzija Ewropea għas‑Sigurtà u s‑Saħħa fuq il‑Post tax‑Xogħol (EU-OSHA) Aġenzija deċentralizzata
L-Aġenzija Ewropea għall‑Gwardja tal‑Fruntiera u tal‑Kosta (Frontex/EBCGA) Aġenzija deċentralizzata
L-Aġenzija tal‑Unjoni Ewropea għat‑tmexxija operattiva ta’ sistemi tal‑IT fuq skala kbira fl‑ispazju ta’ libertà, sigurtà u ġustizzja (eu-LISA) Aġenzija deċentralizzata
L-Aġenzija tal‑Unjoni Ewropea għall-Ażil (EUAA) Aġenzija deċentralizzata
L-Aġenzija tas‑Sikurezza tal‑Avjazzjoni tal‑Unjoni Ewropea (EASA) Aġenzija deċentralizzata
L‑Awtorità Bankarja Ewropea (EBA) Aġenzija deċentralizzata
Iċ-Ċentru Ewropew għall‑Prevenzjoni u l‑Kontroll tal‑Mard (ECDC) Aġenzija deċentralizzata
Iċ-Ċentru Ewropew għall-Iżvilupp ta’ Taħriġ Vokazzjonali (Cedefop) Aġenzija deċentralizzata
L-Aġenzija Ewropea għas‑Sustanzi Kimiċi (ECHA) Aġenzija deċentralizzata
L-Aġenzija Ewropea għall‑Ambjent (EEA) Aġenzija deċentralizzata
L-Aġenzija Ewropea għall‑Kontroll tas‑Sajd (EFCA) Aġenzija deċentralizzata
L‑Awtorità Ewropea dwar is‑Sigurtà fl‑Ikel (EFSA) Aġenzija deċentralizzata
Il‑Fondazzjoni Ewropea għat‑Titjib tal‑Kondizzjonijiet tal-Ħajja u tax‑Xogħol (Eurofound) Aġenzija deċentralizzata
L-Aġenzija tal‑Unjoni Ewropea għall‑Programm Spazjali (EUSPA) Aġenzija deċentralizzata
L‑Istitut Ewropew għall‑Ugwaljanza bejn is‑Sessi (EIGE) Aġenzija deċentralizzata
L‑Awtorità Ewropea tal‑Assigurazzjoni u l‑Pensjonijiet tax‑Xogħol (EIOPA) Aġenzija deċentralizzata
L-Aġenzija Ewropea għas‑Sigurtà Marittima (EMSA) Aġenzija deċentralizzata
L-Aġenzija Ewropea għall‑Mediċini (EMA) Aġenzija deċentralizzata
Iċ-Ċentru Ewropew għall‑Monitoraġġ tad‑Droga u d‑Dipendenza fuq id‑Droga (EMCDDA) Aġenzija deċentralizzata
L-Aġenzija tal‑Unjoni Ewropea għaċ-Ċibersigurtà (ENISA) Aġenzija deċentralizzata
L-Aġenzija tal‑Unjoni Ewropea għat‑Taħriġ fl‑Infurzar tal‑Liġi (CEPOL) Aġenzija deċentralizzata
L‑Uffiċċju Ewropew tal‑Pulizija (Europol) Aġenzija deċentralizzata
L-Aġenzija tal‑Unjoni Ewropea għall‑Ferroviji (ERA) Aġenzija deċentralizzata
L‑Awtorità Ewropea tat‑Titoli u s‑Swieq (ESMA) Aġenzija deċentralizzata
Il‑Fondazzjoni Ewropea għat‑Taħriġ (ETF) Aġenzija deċentralizzata
L-Aġenzija tal‑Unjoni Ewropea għad‑Drittijiet Fundamentali (FRA) Aġenzija deċentralizzata
L‑Uffiċċju tal‑Proprjetà Intellettwali tal‑Unjoni Ewropea [magħruf bħala l‑OHIM sat‑23 ta’ Marzu 2016] (EUIPO) Aġenzija deċentralizzata
Il‑Bord Uniku ta’ Riżoluzzjoni (SRB) Aġenzija deċentralizzata
L-Aġenzija tal‑Unjoni Ewropea għall‑Kooperazzjoni fil-Ġustizzja Kriminali (Eurojust) Aġenzija deċentralizzata
Iċ-Ċentru tat‑Traduzzjoni għall‑Korpi tal‑Unjoni Ewropea (CdT) Aġenzija deċentralizzata
L‑Uffiċċju tal‑Prosekutur Pubbliku Ewropew (UPPE) Aġenzija deċentralizzata
L‑Istitut Ewropew tal‑Innovazzjoni u t‑Teknoloġija (EIT) Korp li nħoloq taħt ir-R&I
L‑Impriża Konġunta għar‑Riċerka dwar il-Ġestjoni tat‑Traffiku tal‑Ajru Uniku Ewropew (SESAR) Impriża Konġunta skont it‑TFUE
L‑Impriża Konġunta Komponenti u Sistemi Elettroniċi għal Tmexxija Ewropea (ECSEL) Impriża Konġunta skont it‑TFUE
L‑Impriża Konġunta taċ-Ċelloli tal‑Fjuwil u l‑Idroġenu 2 (FCH2) Impriża Konġunta skont it‑TFUE
L‑Impriża Konġunta tal‑Inizjattiva tal‑Mediċini Innovattivi 2 (IMI 2) Impriża Konġunta skont it‑TFUE
L‑Impriża Konġunta Clean Sky 2 (Cleansky 2) Impriża Konġunta skont it‑TFUE
L‑Impriża Konġunta għall‑implimentazzjoni tal‑JTI dwar l‑Industriji b’bażi Bijoloġika (BBI) Impriża Konġunta skont it‑TFUE
L‑Impriża Konġunta għall‑implimentazzjoni tal‑Inizjattiva Teknoloġika Konġunta dwar Shift2Rail (S2R) Impriża Konġunta skont it‑TFUE
L‑Impriża Konġunta għall‑Computing ta’ Prestazzjoni Għolja Ewropew (EuroHPC) Impriża Konġunta skont it‑TFUE
L‑Impriża Konġunta Ewropea għall‑ITER ‑Fużjoni għall‑Enerġija (F4E) Impriża Konġunta skont it‑TFUE
Il‑Missjoni ta’ Konsulenza tal‑Unjoni Ewropea fl‑Ukrajna (EUAM Ukraine) Missjoni Ċivili (PSDK)
Il‑Missjoni tal‑Unjoni Ewropea ta’ Assistenza għall-Ġestjoni Integrata tal‑Fruntieri fil‑Libja (EUBAM Libya) Missjoni Ċivili (PSDK)
Il‑Missjoni tal‑Unjoni Ewropea ta’ Bini tal‑Kapaċità fin‑Niġer (EUCAP Sahel Niger) Missjoni Ċivili (PSDK)
Il‑Missjoni ta’ Monitoraġġ tal‑Unjoni Ewropea fil‑Georgia (EUMM Georgia) Missjoni Ċivili (PSDK)
Il‑Missjoni tal‑Pulizija tal‑Unjoni Ewropea għat‑Territorji Palestinjani (EUPOL COPPS) Missjoni Ċivili (PSDK)
Il‑Missjoni Konsultattiva tal‑Unjoni Ewropea fir‑Repubblika Ċentru-Afrikana (EUAM Central‑African Republic) Missjoni Ċivili (PSDK)
Il‑Missjoni ta’ Konsulenza tal‑Unjoni Ewropea fl‑Iraq (EUAM Iraq) Missjoni Ċivili (PSDK)
Il‑Missjoni tal‑Unjoni Ewropea ta’ Assistenza fil‑Fruntieri għall‑Punt ta’ Qsim ta’ Rafah (EUBAM Rafah) Missjoni Ċivili (PSDK)
Il‑Missjoni tal‑Unjoni Ewropea ta’ Bini tal‑Kapaċità fil‑Mali (EUCAP Sahel Mali) Missjoni Ċivili (PSDK)
Il‑Missjoni tal‑Unjoni Ewropea ta’ Bini tal‑Kapaċità fis‑Somalja (EUCAP Somalia) Missjoni Ċivili (PSDK)
Il‑Missjoni tal‑Unjoni Ewropea għall‑Istat tad‑Dritt fil‑Kosovo (EULEX Kosovo) Missjoni Ċivili (PSDK)

Anness II – Informazzjoni addizzjonali dwar il‑kumitati interistituzzjonali ewlenin

Il‑Kumitat Interistituzzjonali għat‑Trasformazzjoni Diġitali (ICDT)

L‑ICDT huwa forum għall‑iskambju ta’ informazzjoni u għat‑trawwim tal‑kooperazzjoni fl‑IT. Dan ġie stabbilit f’Mejju 2020, u jissostitwixxi l‑Comité Interinstitutionnel de l’Informatique (CII) preċedenti. L‑ICDT huwa magħmul mill‑maniġers tad‑dipartimenti tal‑IT fl‑EUIBAs. L‑ICDT għandu sottogrupp dwar iċ-ċibersigurtà (CSSG tal‑ICDT) li r‑rwol tiegħu huwa li jippromwovi l‑kooperazzjoni bejn l‑EUIBAs fuq iċ-ċibersigurtà, u jservi bħala forum għall‑iskambju ta’ informazzjoni.

Is‑setgħa deċiżjonali tal‑ICDT hija limitata għal kwistjonijiet li ma jaffettwawx il‑mod kif l‑istituzzjonijiet iwettqu l‑missjoni tagħhom u li ma jaffettwawx il‑governanza f’kull istituzzjoni. Għal deċiżjonijiet li jmorru lil hinn mill‑mandat tiegħu, l‑ICDT jista’ jagħmel rakkomandazzjonijiet lill‑kulleġġ tas‑segretarji ġenerali tal‑istituzzjonijiet u l‑korpi tal‑UE.

Skont il‑mandat tal‑ICDT, il‑membri tiegħu huma rappreżentanti ta’ kull istituzzjoni u korp tal‑UE, u rappreżentant wieħed maħtur mill-aġenziji tal‑UE (ICTAC). Is‑Segretarjat Ġenerali tal‑Kunsill attwalment qed jippresiedi l‑ICDT.

Sottogrupp tal‑ICDT dwar iċ-ċibersigurtà (CSSG tal‑ICDT)

Is‑CSSG tal‑ICDT, fil‑konfigurazzjoni attwali tiegħu, ġie stabbilit f’Settembru 2020, u jissostitwixxi s‑sottogrupp permanenti preċedenti tas‑CII dwar is‑sigurtà. Meta mqabbel mal‑predeċessur tiegħu, is‑CSSG tal‑ICDT għandu approċċ aktar strutturat, ambizzjuż u orjentat lejn ir‑riżultati. L‑attivitajiet tiegħu jitwettqu minn task forces (TF) li jiltaqgħu regolarment u jiffukaw fuq kwistjonijiet komuni ewlenin:

  • TF1 “Standards komuni, valutazzjoni komparattiva u maturità”
  • TF2 “Kondiviżjoni ta’ metodi ta’ pjattaforma u għodod u kuntratti”
  • TF3 “Sigurtà tal‑cloud”
  • TF4 “Żvilupp tat‑talent fil-ħiliet ċibernetiċi”
  • TF5 “Sensibilizzazzjoni dwar iċ-ċibersigurtà”
  • TF6 “Sigurtà tal‑vidjokonferenzi”

Skont il‑mandat tas‑CSSG, is‑segretarjat tiegħu huwa responsabbli għall‑monitoraġġ u r‑rappurtar regolari dwar il‑progress tal‑attivitajiet tat‑task forces. Dan iwassal rapporti regolari lill‑President u lill‑Viċi President tas‑sottogrupp tal‑ICDT dwar iċ-ċibersigurtà, u jiġbor regolarment input mill‑koordinaturi tat‑task force. Fi tmiem kull sena, is‑CSSG irid jippreżenta wkoll rapport ta’ sinteżi tal‑attività.

Attwalment il‑Kummissjoni qed tippresiedi s‑CSSG tal‑ICDT, b’rappreżentant tal‑ICTAC bħala viċi president. Għalkemm is‑CSSG ma għandu l‑ebda setgħa deċiżjonali, jista’ jirrakkomanda deċiżjonijiet dwar kwistjonijiet li huma rilevanti għall‑ICDT.

In‑Network tal-Aġenziji

In‑Network tal-Aġenziji tal‑UE (EUAN) huwa network informali li ġie stabbilit mill‑Kapijiet tal-Aġenziji tal‑UE fl‑2012. Attwalment l‑EUAN jinkludi 48 aġenzija deċentralizzata u Impriżi Konġunti tal‑UE. L-għan tiegħu huwa li jipprovdi pjattaforma għall‑iskambju u l‑kooperazzjoni għall‑membri tan‑Network dwar oqsma ta’ interess komuni. Il‑Kumitat Konsultattiv tal‑ICT (ICTAC) huwa s‑sottogrupp tal‑EUAN inkarigat mill‑promozzjoni tal‑kooperazzjoni fil‑qasam tal‑ICT, inkluż fiċ-ċibersigurtà.

Kumitat Konsultattiv dwar it‑Teknoloġiji tal‑Informazzjoni u tal‑Komunikazzjoni (ICTAC)

L‑ICTAC jippromwovi l‑kooperazzjoni fost l-aġenziji u l‑impriżi konġunti fil‑qasam tal‑ICT. Huwa għandu l-għan li jsib soluzzjonijiet vijabbli u ekonomiċi għal problemi komuni, li jiskambja informazzjoni u li jadotta pożizzjonijiet komuni, fejn xieraq. Skont it‑termini ta’ referenza tal‑ICTAC, il‑laqgħat ġenerali li jlaqqgħu flimkien il‑membri kollha tiegħu jsiru darbtejn fis‑sena. Hemm ukoll laqgħat regolari ta’ kull xahar bejn ir‑rappreżentanti tal‑ICTAC dwar it‑Task Forces tas‑CSSG, ir‑rappreżentant tal‑ICTAC dwar it-“Trojka” tas‑CSSG u tal‑ICTAC. It‑Trojka tikkonsisti mill‑Presidenti attwali, preċedenti u futuri tal‑ICTAC (kull President iservi għal perjodu ta’ sena). Ir‑rwol tat‑Trojka huwa li tappoġġa lill‑President attwali fil‑kwistjonijiet kollha relatati mar‑rwol tiegħu/tagħha, inkluża s‑sostituzzjoni tiegħu/tagħha, jekk iċ-ċirkustanzi jirrikjedu dan.

Akronimi u abbrevjazzjonijiet

APT: Theddida Persistenti Avvanzata

CERT‑UE: Skwadra ta’ Rispons f’Emerġenza relatata mal‑Kompjuters għall‑EUIBAs

CISO: Uffiċjal Kap tas‑Sigurtà tas‑Sistemi tal‑Informazzjoni

CSA: Att dwar iċ-Ċibersigurtà

CSIRT: Skwadra ta’ Rispons għal Inċidenti relatati mas‑Sigurtà tal‑Kompjuters

CSSG tal‑ICDT: Il‑Kumitat Interistituzzjonali għat‑Trasformazzjoni Diġitali tas‑Sottogrupp dwar iċ-Ċibersigurtà

DĠ DIGIT: Id‑Direttorat Ġenerali għall‑Informatika

DĠ HR: Id‑Direttorat Ġenerali tar‑Riżorsi Umani u tas‑Sigurtà

ENISA: L-Aġenzija tal‑Unjoni Ewropea għaċ-Ċibersigurtà

EUAN: In‑Network tal-Aġenziji tal‑Unjoni Ewropea

EUIBAs: Istituzzjonijiet, Korpi u Aġenziji tal‑Unjoni Ewropea

EU-LISA: L-Aġenzija tal‑Unjoni Ewropea għat‑tmexxija operattiva ta’ sistemi tal‑IT fuq skala kbira fl‑ispazju ta’ libertà, sigurtà u ġustizzja

FLS: Ftehim dwar il‑Livell ta’ Servizz

FTE: Ekwivalenti għall‑Full Time

ICDT: Il‑Kumitat Interistituzzjonali għat‑Trasformazzjoni Diġitali

ICT: Teknoloġija tal‑Informazzjoni u tal‑Komunikazzjoni

ICTAC: Il‑Kumitat Konsultattiv dwar it‑Teknoloġija tal‑Informazzjoni u tal‑Komunikazzjoni

IIA: Arranġament Interistituzzjonali

ISACA: L‑Assoċjazzjoni għall‑Awditjar u l‑Kontroll tas‑Sistemi tal‑Informazzjoni

ITCB: Il‑Bord tat‑Teknoloġija tal‑Informazzjoni u taċ-Ċibersigurtà

MtQ: Memorandum ta’ Qbil

NIS: Sigurtà tan‑Networks u tal‑Informazzjoni

SKI: Sistema ta’ Komunikazzjoni u Informazzjoni

Glossarju

Ċibersigurtà: Miżuri għall‑protezzjoni tan‑networks u tal‑infrastruttura tal‑IT, u l‑informazzjoni li fihom, minn theddid estern.

Ċiberspazju: l‑ambjent online globali li fih il‑persuni, is‑software u s‑servizzi jikkomunikaw permezz ta’ networks ta’ kompjuters u apparat ieħor konness.

Inġinerija soċjali: Fil‑qasam tas‑sigurtà tal‑informazzjoni, il‑manipulazzjoni psikoloġika biex persuni jiġu ingannati jagħmlu xi ħaġa jew jikkondividu informazzjoni kunfidenzjali.

Ittestjar tal‑penetrazzjoni: Il‑metodu għall‑valutazzjoni tas‑sigurtà ta’ sistema tal‑IT billi wieħed jipprova jikser is‑salvagwardji tas‑sigurtà tagħha bl-għodod u t‑tekniki li tipikament jintużaw mill‑avversarji.

Phishing: Meta tintbagħat posta elettronika li tkun tidher li toriġina minn sors fdat biex ir‑riċevituri jiġu ingannati biex jiftħu links malizzjużi jew jaqsmu data personali.

Skwadra ta’ Rispons f’Emerġenza relatata mal‑Kompjuters għall‑EUIBAs: Ċentru ta’ koordinazzjoni għall‑iskambju ta’ informazzjoni u r‑rispons għal inċidenti li l‑klijenti (“kostitwenti”) tiegħu huma l‑istituzzjonijiet, il‑korpi u l-aġenziji tal‑UE.

Spjunaġġ ċibernetiku: L‑att jew il‑prattika li jinkisbu sigrieti u informazzjoni mill‑internet, min‑networks jew minn kompjuters individwali mingħajr il‑permess u l-għarfien tad‑detentur tal‑informazzjoni.

Theddida Persistenti Avvanzata: Attakk li fih utent mhux awtorizzat jaċċessa sistema jew network sabiex jisraq data sensittiva, u jibqa’ hemm għal perjodu ta’ żmien estiż.

Użu ta’ tim aħmar: Simulazzjoni realistika ta’ attakki ċibernetiċi bl-użu tal‑element ta’ sorpriża u ta’ tekniki li ġew osservati reċentement fid‑dinja reali, b’fokus fuq objettivi speċifiċi permezz ta’ diversi linji ta’ attakk.

Risposti tas‑CERT‑UE u tal‑ENISA

https://www.eca.europa.eu/mt/Pages/DocItem.aspx?did=60922

Noti finali

1 Ir-Regolament (UE) 2019/881.

2 ISO/IEC 27 000:2018.

3 Ir-Rapport Analitiku Nru 02/2019 tal‑QEA: Sfidi għal politika effettiva tal‑UE fil‑qasam taċ-ċibersigurtà (Dokument Informattiv u Analitiku).

4 Is‑CERT‑UE, Threat Landscape Report, Ġunju 2021.

5 Ibid.

6 Ibid.

7 Ibid.

8 Cyberattack on EMA – update 6, 25.1.2021.

9 Ir-Rapport Speċjali Nru 22/2020 tal‑QEA: Il‑futur tal-aġenziji tal‑UE – Potenzjal għal aktar flessibbiltà u kooperazzjoni, il‑paragrafu 01.

10 ĠU C 12, 13.1.2018, p. 1.

11 L‑ENISA Threat Landscape 2020, Analiżi settorjali/tematika tat‑theddid.

12 Id-Direttiva (UE) 2016/1148 dwar miżuri għal livell għoli komuni ta’ sigurtà tan‑networks u tas‑sistemi tal‑informazzjoni madwar l‑Unjoni.

13 Il-Proposta għal Direttiva dwar miżuri għal livell għoli komuni ta’ ċibersigurtà madwar l‑Unjoni kollha.

14 COM(2020) 605 final.

15 JOIN(2020) 18 final.

16 L‑ISACA, Certified Information System Auditor review manual, 2019.

17 Il‑Komunikazzjoni lill‑Kummissjoni, European Commission digital Strategy: A digitally transformed, user‑focused and data-driven Commission, C(2018) 7118 final, 21.11.2018.

18 Standard ISO/IEC 27 000:2018, il‑Kapitolu 5.

19 COBIT 5 for Information Security, it‑Taqsima 4.2.

20 Ara pereżempju ISO/IEC 27 000:2018, it‑Taqsima 4.5.

21 ENISA, Thread Landscape 2020, Analiżi tat‑theddid settorjali/tematiku.

22 Sett ta’ kontrolli derivati mill‑Kontrolli tas‑CIS 7.1, qafas tal-aħjar prattiki kkurat miċ-Ċentru għas‑Sigurtà tal‑Internet.

23 Grupp ta’ implimentazzjoni 1 (IG1) tal‑Kontrolli tas‑CIS.

24 L‑ISACA, Auditing Cyber Security: Evaluating Risk and Auditing Controls, 2017.

25 Id-Deċiżjoni 46/2017 dwar is‑sigurtà tas‑sistemi ta’ komunikazzjoni u informazzjoni fil‑Kummissjoni Ewropea.

26 L‑Artikolu 7 tal-arranġament interistituzzjonali (IIA) li ġie ffirmat fl‑20.12.2017.

27 Il‑Kummissjoni Ewropea, The European Commission Cloud Strategy, 2019.

28 Il‑kompiti tal‑ENISA huma elenkati fil‑Kapitolu II (l‑Artikoli 5-12) tar-Regolament (UE) 2019/881.

29 Ir-Regolament (UE) Nru 526/2013 tal‑Parlament Ewropew u tal‑Kunsill; għall‑kompiti tal‑ENISA skont dan ir‑regolament, ara l‑Artikolu 3.

30 L‑Artikolu 6 tar-Regolament (UE) 2019/881.

31 L‑Artikolu 14 tas-CSA.

32 L‑Artikolu 18 tas-CSA.

33 Stqarrija għall‑istampa tal‑Kummissjoni Ewropea: Tissaħħaħ is‑sigurtà informatika tal‑istituzzjonijiet tal‑UE wara s‑suċċess tal‑proġett pilota.

34 L‑Artikolu 3.3 tal-arranġament interistituzzjonali (IIA) li ġie ffirmat fl‑20.12.2017.

35 L‑Artikolu 3.2 tal-arranġament interistituzzjonali (IIA).

36 Il‑Premessa 7 tal-arranġament interistituzzjonali (IIA).

37 Il‑KESE u l‑KtR jitqiesu bħala EUIBA waħda.

Kuntatt

IL-QORTI EWROPEA TAL-AWDITURI
12, rue Alcide De Gasperi
1615 Luxembourg
LUXEMBOURG

Tel. +352 4398-1
Mistoqsijiet: eca.europa.eu/mt/Pages/ContactForm.aspx
Sit web: eca.europa.eu
Twitter: @EUAuditors

Ħafna informazzjoni addizzjonali dwar l-Unjoni Ewropea hija disponibbli fuq l-Internet.
Jista’ jsir aċċess għaliha permezz tas-server Europa (https://europa.eu).

Il-Lussemburgu: L-Uffiċċju tal-Pubblikazzjonijiet tal-Unjoni Ewropea, 2022

PDF ISBN 978-92-847-7604-7 ISSN 1977-5741 doi:10.2865/969026 QJ-AB-22-003-MT-N
HTML ISBN 978-92-847-7587-3 ISSN 1977-5741 doi:10.2865/458048 QJ-AB-22-003-MT-Q

DRITTIJIET TAL-AWTUR

© L-Unjoni Ewropea, 2022

Il-politika tal-Qorti Ewropea tal-Awdituri (QEA) dwar l-użu mill-ġdid hija stabbilita fid-Deċiżjoni Nru 6-2019 tal-QEA dwar il-politika tad-data miftuħa u l-użu mill-ġdid ta’ dokumenti.

Sakemm ma jkunx indikat mod ieħor (eż. f’avviżi individwali dwar id-drittijiet tal-awtur), kontenut tal-QEA li huwa proprjetà tal-UE huwa liċenzjat taħt il-liċenzja Creative Commons Attribution 4.0 International (CC BY 4.0). Għalhekk, bħala regola ġenerali, l-użu mill-ġdid huwa awtorizzat dment li jingħata kreditu xieraq u li kwalunkwe bidla tiġi indikata. Dawk li jużaw mill-ġdid il-kontenut tal-QEA ma jistgħux jgħawġu t-tifsira jew il-messaġġ oriġinali. Il-QEA ma għandhiex tkun responsabbli għal kwalunkwe konsegwenza relatata mal-użu mill-ġdid.

Irid jinkiseb permess addizzjonali jekk kontenut speċifiku juri individwi privati identifikabbli, eż. f’ritratti li jkun fihom il-membri tal-persunal tal-QEA, jew jekk ikun jinkludi xogħlijiet ta’ parti terza.

Fejn ikun inkiseb tali permess, dan għandu jikkanċella u jissostitwixxi l-permess ġenerali msemmi hawn fuq u għandu jindika b’mod ċar kwalunkwe restrizzjoni dwar l-użu.

Biex tuża jew tirriproduċi kontenut li ma jkunx proprjetà tal-UE, jista’ jkun meħtieġ li titlob il-permess direttament mingħand id-detenturi tad-drittijiet tal-awtur.

Software jew dokumenti li jkunu koperti mid-drittijiet ta’ proprjetà industrijali, bħal privattivi, trademarks, disinji rreġistrati, logos u ismijiet, huma esklużi mill-politika tal-QEA dwar l-użu mill-ġdid.

Il-familja ta’ siti web istituzzjonali tal-Unjoni Ewropea, fi ħdan id-dominju europa.eu, tipprovdi links għal siti ta’ partijiet terzi. Peress li l-QEA ma għandha l-ebda kontroll fuqhom, dawn, inti mħeġġeġ biex tirrieżamina l-politiki tagħhom dwar il-privatezza u dwar id-drittijiet tal-awtur.

Użu tal-logo tal-QEA

Il-logo tal-QEA ma jridx jintuża mingħajr ma jinkiseb il-kunsens tagħha minn qabel.

Kif tikkuntattja lill-UE

Personalment
Madwar l-Unjoni Ewropea kollha hemm mijiet ta’ ċentri ta’ informazzjoni tal-Europe Direct. Tista’ ssib l-indirizz tal-eqreb ċentru għalik f'dan is-sit: https://europa.eu/european-union/contact_mt

Bit-telefown jew bil-posta elettronika
Europe Direct huwa servizz li jwieġeb il-mistoqsijiet tiegħek dwar l-Unjoni Ewropea. Tista’ tikkuntattja dan is-servizz:

  • bit-telefown bla ħlas: 00 800 6 7 8 9 10 11 (ċerti operaturi jafu jimponu ħlas għal dawn it-telefonati),
  • fuq dan in-numru standard: +32 22999696, jew
  • bil-posta elettronika permezz: https://europa.eu/european-union/contact_mt

Kif issib tagħrif dwar l-UE

Online
L-informazzjoni dwar l-Unjoni Ewropea bil-lingwi uffiċjali kollha tal-UE hija disponibbli fuq is-sit web Europa fuq: https://europa.eu/european-union/index_mt

Pubblikazzjonijiet tal-UE
Tista’ tniżżel mill-internet jew tordna l-pubblikazzjonijiet tal-UE, li xi wħud minnhom huma bla ħlas u xi oħrajn bil-ħlas, minn: https://op.europa.eu/mt/publications. Kopji multipli ta’ pubblikazzjonijiet bla ħlas tista’ tiksibhom billi tikkuntattja lil Europe Direct jew liċ-ċentru tal-informazzjoni lokali tiegħek (ara https://europa.eu/european-union/contact_mt).

Il-liġi tal-UE u dokumenti relatati
Għal aċċess għall-informazzjoni legali tal-UE, inkluż il-liġijiet kollha tal-UE mill-1951 ’l hawn, fil-verżjonijiet lingwistiċi uffiċjali kollha, żur is-sit EUR-Lex hawnhekk: http://eur-lex.europa.eu

Data Miftuħa mill-UE
Il-portal tad-Data Miftuħa mill-UE (https://copenhagenizeindex.eu/) jipprovdi aċċess għal settijiet tad-data mill-UE. Id-data tista’ titniżżel mill-internet u tintuża mill-ġdid bla ħlas, kemm għal skopijiet kummerċjali kif ukoll mhux kummerċjali.