keyboard_tab Cyber Resilience Act 2023/2841 PT
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Artigo 7.o Avaliação da maturidade em matéria de cibersegurança
- 1 Artigo 21.o Obrigações de comunicação de informações
CAPÍTULO I
DISPOSIÇÕES GERAIS
CAPÍTULO II
MEDIDAS DESTINADAS A GARANTIR UM ELEVADO NIVEL COMUM DE CIBERSEGURANÇA
CAPÍTULO III
CONSELHO INTERINSTITUCIONAL PARA A CIBERSEGURANÇA
CAPÍTULO IV
CERT-UE
CAPÍTULO V
OBRIGAÇÕES DE COOPERAÇÃO E DE COMUNICAÇÃO DE INFORMAÇÕES
CAPÍTULO VI
DISPOSIÇÕES FINAIS
- união 24
- incidente 18
- europeu 16
- cibersegurança 14
- no / 14
- conselho 13
- entidades 11
- significativo 11
- artigo o 9
- cert-ue 9
- parlamento 9
- incidentes 8
- entidade 8
- para 8
- relatório 8
- informações 8
- ue / 7
- impacto 7
- jo l 7
- caso 7
- regulamento 6
- aplicável 6
- medidas 6
- as 6
- termos 6
- resposta 5
- sobre 5
- europeia 5
- demora 5
- injustificada 5
- presente 5
- diretiva 5
- matéria 5
- maturidade 5
- causa 4
- rede 4
- regulamento 4
- informação 4
- revoga 4
- comunicação 4
- pedido 4
- avaliação 4
- relativo 4
- comissão 4
- de 4
- conhecimento 4
- qualquer 4
- prazo 4
- ambiente 4
- no 3
Artigo 7.o
Avaliação da maturidade em matéria de cibersegurança
1. Até 8 de julho de 2025 e, posteriormente, pelo menos de dois em dois anos, cada entidade da União realiza uma avaliação da maturidade em matéria de cibersegurança que inclua todos os elementos do seu ambiente das TIC.
2. As avaliações da maturidade em matéria de cibersegurança são, se for caso disso, realizadas com a assistência de um terceiro especializado.
3. As entidades da União com estruturas semelhantes podem cooperar na realização de avaliações da maturidade em matéria de cibersegurança para as respetivas entidades.
4. Com base num pedido do pedido do Conselho Interinstitucional para a Cibersegurança, criado nos termos do artigo 10.o, e com o consentimento explícito da entidade da União em causa, os resultados de uma avaliação da maturidade em matéria de cibersegurança podem ser debatidos no âmbito do Conselho ou no âmbito da rede de responsáveis locais pela cibersegurança, tendo em vista tirar ilações da aplicação e partilhar boas práticas de excelência.
Artigo 21.o
Obrigações de comunicação de informações
1. Considera-se que um incidente é significativo se:
| a) | Tiver causado ou for suscetível de causar graves perturbações operacionais no que se refere ao funcionamento da entidade da União ou perdas financeiras para a entidade da União em causa; |
| b) | Tiver afetado ou for suscetível de afetar outras pessoas singulares ou coletivas, causando danos materiais ou imateriais consideráveis. |
2. As entidades da União apresentam à CERT-UE:
| a) | Sem demora injustificada e, em qualquer caso, no prazo de 24 horas depois de terem tomado conhecimento do incidente significativo, um alerta rápido, que, se aplicável, indica se há suspeitas de que o incidente significativo foi causado por um ato ilícito ou malicioso ou se pode ter um impacto transfronteiriço ou transversal a várias entidades; |
| b) | Sem demora injustificada e, em qualquer caso, no prazo de 72 horas depois de terem tomado conhecimento do incidente significativo, uma notificação de incidente, que, se aplicável, deve atualizar as informações a que se refere a alínea a) e disponibilizar uma avaliação inicial do incidente significativo, incluindo da sua gravidade e do seu impacto, bem como, se disponíveis, dos indicadores de exposição a riscos; |
| c) | A pedido da CERT-UE, um relatório intercalar com atualizações de estado pertinentes; |
| d) | O mais tardar um mês após a apresentação da notificação de incidente mencionada na alínea b), um relatório final que contenha os seguintes elementos:
|
| e) | Em caso de incidente em curso no momento da apresentação do relatório final referido na alínea d), um relatório intercalar nessa altura e um relatório final no prazo de um mês após terem tratado o incidente. |
3. Sem demora injustificada e, em qualquer caso, no prazo de 24 horas depois de ter tomado conhecimento de um incidente significativo, uma entidade da União informa as contrapartes pertinentes dos Estados-Membros a que se refere o artigo 17.o, n.o 1, no Estado-Membro em que está localizada de que ocorreu um incidente significativo.
4. As entidades da União comunicam, nomeadamente, quaisquer informações que permitam à CERT-UE determinar qualquer impacto transversal às entidades, impacto no Estado-Membro de acolhimento ou impacto transfronteiriço após a ocorrência de um incidente significativo. Sem prejuízo do artigo 12.o, a mera notificação não sujeita a entidade da União notificadora a responsabilidades acrescidas.
5. Se aplicável, as entidades da União comunicam, sem demora injustificada, aos utilizadores dos sistemas de rede e informação afetados, ou de outros componentes do ambiente das TIC, que serão potencialmente afetados por um incidente significativo ou por uma ciberameaça significativa, e, se for caso disso, que necessitam de tomar medidas de atenuação, e as medidas proativas ou corretivas que podem ser tomadas em resposta ao incidente ou à ameaça. Se for caso disso, as entidades da União devem informar esses utilizadores da própria ciberameaça significativa.
6. Se um incidente significativo ou uma ciberameaça significativa afetar um sistema de rede e informação ou um componente do ambiente das TIC de uma entidade da União que se saiba estar ligado ao ambiente das TIC de outra entidade da União, a CERT-UE emite um alerta de cibersegurança pertinente.
7. As entidades da União, a pedido da CERT-UE, facultam-lhe sem demora injustificada as informações digitais decorrentes da utilização dos dispositivos eletrónicos envolvidos nos incidentes em causa. A CERT-UE pode dar mais pormenores sobre os tipos de informação de que necessita para fins de conhecimento situacional e resposta a incidentes.
8. A CERT-UE apresenta, a cada três meses, ao IICB, à ENISA, ao INTCEN da UE e à rede de CSIRT, um relatório de síntese que inclua dados anonimizados e agregados sobre incidentes significativos, incidentes, ciberameaças, quase incidentes e vulnerabilidades nos termos do artigo 20.o e incidentes significativos notificados nos termos do n.o 2 do presente artigo. O referido relatório de síntese constitui um contributo para o relatório bienal sobre o estado da cibersegurança na União, elaborado nos termos do artigo 18.o da Diretiva (UE) 2022/2555.
9. Até 8 de julho de 2024, o IICB emite orientações ou recomendações no sentido de especificar melhor as modalidades, o formato e o conteúdo da comunicação de informações nos termos do presente artigo. Ao elaborar essas orientações ou recomendações, o IICB deve ter em conta quaisquer atos de execução adotados nos termos do artigo 23.o, n.o 11, da Diretiva (UE) 2022/2555 que especifiquem o tipo de informações, o formato e o procedimento das notificações. A CERT-UE divulga os pormenores técnicos necessários para permitir uma deteção proativa, a resposta a incidentes ou a tomada de medidas de atenuação por parte das entidades da União.
10. As obrigações de comunicação de informações impostas no presente artigo não abrangem:
| a) | As ICUE; |
| b) | As informações cuja distribuição posterior tenha sido excluída por meio de uma marcação visível, a menos que a sua partilha com a CERT-UE tenha sido explicitamente autorizada. |
Artigo 26.o
Entrada em vigor
O presente regulamento entra em vigor no vigésimo dia seguinte ao da sua publicação no Jornal Oficial da União Europeia.
O presente regulamento é obrigatório em todos os seus elementos e diretamente aplicável em todos os Estados-Membros.
Feito em Estrasburgo, em 13 de dezembro de 2023.
Pelo Parlamento Europeu
A Presidente
R. METSOLA
Pelo Conselho
O Presidente
P. NAVARRO RÍOS
(1) Posição do Parlamento Europeu de 21 de novembro de 2023 (ainda não publicada no Jornal Oficial) e decisão do Conselho de 8 de dezembro de 2023.
(2) Diretiva (UE) 2022/2555 do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022, relativa a medidas destinadas a garantir um elevado nível comum de cibersegurança na União que altera o Regulamento (UE) n.o 910/2014 e a Diretiva (UE) 2018/1972 e revoga a Diretiva (UE) 2016/1148 (Diretiva SRI 2) (JO L 333 de 27.12.2022, p. 80).
(3) Regulamento (UE) 2019/881 do Parlamento Europeu e do Conselho, de 17 de abril de 2019, relativo à ENISA (Agência da União Europeia para a Cibersegurança) e à certificação da cibersegurança das tecnologias da informação e comunicação e que revoga o Regulamento (UE) n.o 526/2013 (Regulamento Cibersegurança) (JO L 151 de 7.6.2019, p. 15).
(4) Acordo entre o Parlamento Europeu, o Conselho Europeu, o Conselho da União Europeia, a Comissão Europeia, o Tribunal de Justiça da União Europeia, o Banco Central Europeu, o Tribunal de Contas Europeu, o Serviço Europeu para a Ação Externa, o Comité Económico e Social Europeu, o Comité das Regiões Europeu e o Banco Europeu de Investimento sobre a organização e o funcionamento de uma equipa de resposta a emergências informáticas das instituições, órgãos e organismos da União (CERT-UE) (JO C 12 de 13.1.2018, p. 1).
(5) Regulamento (CEE, Euratom, CECA) n.o 259/68 do Conselho, de 29 de fevereiro de 1968, que fixa o Estatuto dos Funcionários das Comunidades Europeias assim como o Regime aplicável aos outros agentes destas Comunidades, e institui medidas especiais temporariamente aplicáveis aos funcionários da Comissão (JO L 56 de 4.3.1968, p. 1).
(6) Recomendação (UE) 2017/1584 da Comissão, de 13 de setembro de 2017, sobre a resposta coordenada a incidentes e crises de cibersegurança em grande escala (JO L 239 de 19.9.2017, p. 36).
(7) Regulamento (UE) 2018/1725 do Parlamento Europeu e do Conselho, de 23 de outubro de 2018, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições e pelos órgãos e organismos da União e à livre circulação desses dados, e que revoga o Regulamento (CE) n.o 45/2001 e a Decisão n.o 1247/2002/CE (JO L 295 de 21.11.2018, p. 39).
(8) JO C 258 de 5.7.2022, p. 10.
(9) Regulamento (UE, Euratom) 2018/1046 do Parlamento Europeu e do Conselho, de 18 de julho de 2018, relativo às disposições financeiras aplicáveis ao orçamento geral da União, que altera os Regulamentos (UE) n.o 1296/2013, (UE) n.o 1301/2013, (UE) n.o 1303/2013, (UE) n.o 1304/2013, (UE) n.o 1309/2013, (UE) n.o 1316/2013, (UE) n.o 223/2014 e (UE) n.o 283/2014, e a Decisão n.o 541/2014/UE, e revoga o Regulamento (UE, Euratom) n.o 966/2012 (JO L 193 de 30.7.2018, p. 1).
(10) Regulamento (CE) n.o 1049/2001 do Parlamento Europeu e do Conselho, de 30 de maio de 2001, relativo ao acesso do público aos documentos do Parlamento Europeu, do Conselho e da Comissão (JO L 145 de 31.5.2001, p. 43).
ELI: http://data.europa.eu/eli/reg/2023/2841/oj
ISSN 1977-0774 (electronic edition)