keyboard_tab Cyber Resilience Act 2023/2841 PT
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Artigo 17.o
- 2 Artigo 18.o
CAPÍTULO I
DISPOSIÇÕES GERAIS
CAPÍTULO II
MEDIDAS DESTINADAS A GARANTIR UM ELEVADO NIVEL COMUM DE CIBERSEGURANÇA
CAPÍTULO III
CONSELHO INTERINSTITUCIONAL PARA A CIBERSEGURANÇA
CAPÍTULO IV
CERT-UE
CAPÍTULO V
OBRIGAÇÕES DE COOPERAÇÃO E DE COMUNICAÇÃO DE INFORMAÇÕES
CAPÍTULO VI
DISPOSIÇÕES FINAIS
- cert-ue 20
- união 15
- entidade 12
- contrapartes 11
- informações 10
- afetada 9
- incidentes 9
- artigo o 8
- para 7
- incidente 6
- matéria 6
- como 5
- iicb 5
- consentimento 5
- termos 5
- entidades 5
- pode 4
- não 4
- nomeadamente 4
- colaboração 4
- divulgação 4
- cibersegurança 4
- identidade 4
- informa 4
- sobre 4
- ciberameaças 4
- tais 4
- caso 4
- estados-membros 4
- diretiva 4
- diretor 3
- confidencialidade 3
- são 3
- ue / 3
- essa 3
- trocar 3
- aplicável 3
- colaborar 3
- específicos 3
- parceiros 3
- proteção 3
- pertinentes 3
- estado-membro 3
- dados 3
- demora 3
- aprovação 3
- a 3
- prévia 3
- específicas 3
- vulnerabilidades 3
Artigo 17.o
1. A CERT-UE deve, sem demora injustificada, colaborar e trocar informações com as contrapartes dos Estados-Membros, incluindo as CSIRT designadas ou estabelecidas nos termos do artigo 10.o da Diretiva (UE) 2022/2555, ou, se aplicável, as autoridades competentes e pontos de contacto únicos designados ou estabelecidos nos termos do artigo 8.o dessa diretiva, relativamente a incidentes, ciberameaças, vulnerabilidades, quase incidentes, a possíveis contramedidas, bem como a boas práticas e a todas as questões pertinentes para melhorar a proteção do ambiente das TIC das entidades da União, nomeadamente por meio da rede de CSIRT referida no artigo 15.o da Diretiva (UE) 2022/2555. A CERT-UE apoia a Comissão no âmbito da UE-CyCLONe estabelecida nos termos do artigo 16.o da Diretiva (UE) 2022/2555 no que diz respeito à gestão coordenada a incidentes e crises de cibersegurança em grande escala.
2. Caso tome conhecimento de um incidente significativo ocorrido no território de um Estado-Membro, a CERT-UE informa, sem demora, quaisquer contrapartes relevantes nesse Estado-Membro, em conformidade com o n.o 1.
3. Desde que os dados pessoais estejam protegidos em conformidade com a legislação aplicável da União em matéria de proteção de dados, a CERT-UE deve, sem demora injustificada, trocar informações específicas pertinentes sobre incidentes com as contrapartes dos Estados-Membros para facilitar a deteção de ciberameaças ou incidentes semelhantes, ou contribuam para a análise de um incidente, sem a autorização da entidade da União afetada. A CERT-UE só partilha informações específicas sobre incidentes que revelem a identidade do seu alvo num dos seguintes casos:
| a) | A entidade da União afetada der o seu consentimento; |
| b) | A entidade da União afetada não der o consentimento previsto na alínea a) mas a divulgação da identidade da entidade da União afetada aumentar a probabilidade de evitar ou atenuar incidentes noutros locais. |
| c) | A entidade da União afetada já tenha tornado público o facto de ter sido afetada. |
As decisões relativas ao intercâmbio de informações específicas sobre um incidente que revelem a identidade do alvo do incidente nos termos do primeiro parágrafo, alínea b), são aprovadas pelo diretor da CERT-UE. Antes de emitir essa decisão, a CERT-UE contacta por escrito a entidade da União afetada, explicando claramente de que forma a divulgação da sua identidade contribuiria para evitar ou atenuar incidentes noutros locais. O diretor da CERT-UE apresenta a explicação e solicita explicitamente à entidade da União que declare se dá o seu consentimento dentro de um determinado prazo. O diretor da CERT-UE informa igualmente a entidade da União de que, à luz da explicação fornecida, se reserva o direito de divulgar as informações, mesmo na falta de consentimento. A entidade da União afetada é informada antes da divulgação das informações.
Artigo 18.o
1. A CERT-UE pode colaborar com contrapartes da União distintas das mencionadas no artigo 17.o que estejam sujeitas aos requisitos da União em matéria de cibersegurança, nomeadamente contrapartes setoriais, em matéria de ferramentas e métodos, como técnicas, táticas, procedimentos e boas práticas, bem como em matéria de ciberameaças e vulnerabilidades informáticas. No que respeita à colaboração com tais contrapartes, a CERT-UE deve obter a aprovação prévia do IICB numa base casuística. Caso estabeleça a cooperação com tais contrapartes, a CERT-UE informa todas as contrapartes pertinentes dos Estados-Membros referidas no artigo 17.o, n.o 1, no Estado-Membro onde a contraparte se encontre. Se aplicável e for caso disso, essa cooperação e as respetivas condições, nomeadamente em matéria de cibersegurança, proteção de dados e tratamento de informações, são estabelecidas em acordos de confidencialidade específicos, tais como contratos ou convénios administrativos. Os acordos de confidencialidade não carecem da aprovação prévia do IICB mas são levados ao conhecimento do seu presidente. Em caso de necessidade urgente e iminente de trocar informações em matéria de cibersegurança no interesse das entidades da União ou de outra parte, a CERT-UE pode fazê-lo com uma entidade cuja competência, capacidade e conhecimentos específicos sejam justificadamente necessários para prestar assistência em caso de uma tal necessidade urgente e iminente, mesmo que a CERT-UE não disponha de um acordo de confidencialidade com essa entidade. Nesses casos, a CERT-UE informa imediatamente o presidente do IICB e mantém o IICB informado através de relatórios periódicos ou reuniões.
2. A CERT-UE pode colaborar com parceiros, como entidades comerciais, nomeadamente entidades setoriais, organizações internacionais, entidades nacionais de países terceiros ou determinados peritos, de forma a recolher informações sobre as ciberameaças, quase incidentes, vulnerabilidades e contramedidas possíveis, em termos gerais e específicos. Para uma colaboração mais alargada com tais parceiros, a CERT-UE deve obter a aprovação prévia do IICB numa base casuística.
3. Mediante consentimento da entidade da União afetada por um incidente e desde que exista um acordo ou contrato de não divulgação com a contraparte ou parceiro em causa, a CERT-UE pode transmitir informações relacionadas com o incidente específico às contrapartes ou parceiros a que se referem os n.os 1 e 2 unicamente com o objetivo de contribuir para a sua análise.
CAPÍTULO V
OBRIGAÇÕES DE COOPERAÇÃO E DE COMUNICAÇÃO DE INFORMAÇÕES
whereas