keyboard_tab Cyber Resilience Act 2023/2841 PT
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Artigo 8.o Medidas de gestão dos riscos de cibersegurança
- 1 Artigo 15.o
- 1 Artigo 20.o Acordos de partilha de informações sobre cibersegurança
CAPÍTULO I
DISPOSIÇÕES GERAIS
CAPÍTULO II
MEDIDAS DESTINADAS A GARANTIR UM ELEVADO NIVEL COMUM DE CIBERSEGURANÇA
CAPÍTULO III
CONSELHO INTERINSTITUCIONAL PARA A CIBERSEGURANÇA
CAPÍTULO IV
CERT-UE
CAPÍTULO V
OBRIGAÇÕES DE COOPERAÇÃO E DE COMUNICAÇÃO DE INFORMAÇÕES
CAPÍTULO VI
DISPOSIÇÕES FINAIS
- cert-ue 28
- cibersegurança 21
- união 19
- para 15
- informações 13
- incluindo 11
- diretor 11
- incidentes 11
- medidas 10
- segurança 10
- entidade 10
- iicb 9
- sobre 9
- serviços 9
- entidades 9
- artigo o 9
- riscos 9
- gestão 8
- nível 7
- como 7
- vulnerabilidades 6
- sistemas 6
- caso 6
- conta 5
- partilha 5
- as 5
- pelo 5
- o 5
- ciberameaças 5
- cada 5
- termos 5
- avaliação 4
- proposta 4
- pode 4
- menos 4
- âmbito 4
- aplicação 4
- software 4
- atividades 4
- pessoal 4
- atualizações 4
- relatórios 4
- não 4
- tratamento 4
- políticas 4
- relativas 4
- acordos 4
- desenvolvimento 3
- comunicações 3
- pedido 3
Artigo 8.o
Medidas de gestão dos riscos de cibersegurança
1. Sem demora injustificada e, em qualquer caso, até 8 de setembro de 2025, cada entidade da União toma, sob a supervisão da direção ao mais alto nível respetiva, medidas técnicas, operacionais e organizativas adequadas e proporcionadas para gerir os riscos de cibersegurança identificados no âmbito do regime e prevenir ou minimizar o impacto dos incidentes. Tendo em conta os progressos técnicos mais recentes e, se aplicável, as normas europeias e internacionais pertinentes, essas medidas garantem um nível de segurança dos sistemas de rede e informação em todo o ambiente de TIC proporcional aos riscos de cibersegurança criados. Aquando da avaliação da proporcionalidade dessas medidas, são devidamente tidos em conta o grau de exposição da entidade da União aos riscos de cibersegurança, a sua dimensão, a probabilidade de ocorrência de incidentes e a sua gravidade, incluindo o seu impacto nos planos societal, económico e interinstitucional.
2. As entidades da União abordam, pelo menos, os seguintes domínios na aplicação das medidas de gestão dos riscos de cibersegurança:
a) | Política de cibersegurança, nomeadamente as medidas necessárias para alcançar os objetivos e prioridades referidos no artigo 6.o e no n.o 3 do presente artigo; |
b) | Políticas relativas à análise dos riscos de cibersegurança e de segurança dos sistemas de informação; |
c) | Objetivos políticos relativos à utilização de serviços de computação em nuvem; |
d) | Auditorias de cibersegurança, se for caso disso, que podem incluir uma avaliação do risco de cibersegurança, da vulnerabilidade e das ciberameaças, bem como testes de penetração realizados regularmente por um prestador privado de confiança; |
e) | Aplicação das recomendações resultantes das auditorias de cibersegurança a que se refere a alínea d), através da cibersegurança e de atualizações das políticas; |
f) | Organização da cibersegurança, incluindo a definição das funções e responsabilidades; |
g) | Gestão de ativos, incluindo o inventário dos ativos de TIC e o mapeamento da rede de TIC; |
h) | Segurança dos recursos humanos e controlo do acesso; |
i) | Segurança das operações; |
j) | Segurança das comunicações; |
k) | Aquisição, desenvolvimento e manutenção dos sistemas, incluindo políticas relativas ao tratamento e à divulgação de vulnerabilidades; |
l) | Se exequível, políticas relativas à transparência do código-fonte; |
m) | Segurança da cadeia de abastecimento, incluindo aspetos relacionados com a segurança no que se refere às relações entre cada entidade da União e os seus fornecedores diretos ou prestadores de serviços; |
n) | Tratamento de incidentes e cooperação com a CERT-UE, designadamente no âmbito da conservação de registos e da monitorização da segurança; |
o) | Gestão da continuidade das atividades, como a gestão de cópias de segurança e a recuperação de desastres, e gestão de crises; e |
p) | Promoção e desenvolvimento de programas de educação, competências, sensibilização, exercício e formação no domínio da cibersegurança. |
Para efeitos do primeiro parágrafo, alínea m), as entidades da União têm em conta as vulnerabilidades específicas de cada fornecedor direto e de cada prestador de serviços, bem como a qualidade global dos produtos e as práticas de cibersegurança dos seus fornecedores e prestadores de serviços, incluindo os seus procedimentos de desenvolvimento seguro.
3. As entidades da União tomam, pelo menos, as seguintes medidas específicas de gestão dos riscos de cibersegurança:
a) | Disposições técnicas para permitir e manter o teletrabalho; |
b) | Medidas concretas para avançar rumo a princípios de «confiança zero»; |
c) | Utilização, por norma, da autenticação multifatorial nos sistemas de rede e informação; |
d) | Utilização da criptografia e da cifragem, em particular da cifragem de ponta a ponta, bem como de assinaturas digitais seguras; |
e) | Implantação, se for caso disso, de comunicações seguras de voz, vídeo e texto e de sistemas seguros de comunicações de emergência na entidade da União; |
f) | Medidas proativas para a deteção e remoção de software malicioso e de software espião; |
g) | Garantia da segurança da cadeia de abastecimento de software por meio de critérios para a criação e avaliação seguras de software; |
h) | Estabelecimento e adoção de programas de formação sobre cibersegurança adequados às atribuições prescritas e às capacidades previstas para a direção ao mais alto nível e para os membros do pessoal da entidade da União incumbidos de garantir a aplicação do presente regulamento; |
i) | Formação periódica do pessoal em matéria de cibersegurança; |
j) | Se for caso disso, participação em análises dos riscos de interconectividade entre as entidades da União; |
k) | Reforço das regras de contratação pública para facilitar um elevado nível comum de cibersegurança através:
|
Artigo 15.o
1. A Comissão, tendo obtido a aprovação por maioria de dois terços dos membros do IICB, nomeia o diretor da CERT-UE. O IICB é consultado em todas as fases do processo de nomeação do diretor da CERT-UE, em especial no que respeita à elaboração dos anúncios de abertura de vaga, à análise das candidaturas e à nomeação de júris de seleção para o cargo. O processo de seleção, incluindo a lista restrita final de candidatos para a nomeação do diretor da CERT-UE, assegura uma representação equitativa de cada género, tendo em conta as candidaturas apresentadas.
2. O diretor da CERT-UE é responsável pelo bom funcionamento da CERT-UE, atuando no âmbito das suas competências e sob a direção do IICB. O diretor da CERT-UE presta periodicamente informações ao presidente do IICB e apresenta relatórios ad hoc ao IICB, a pedido do referido presidente.
3. O diretor da CERT-UE presta assistência ao gestor orçamental delegado competente na elaboração do relatório anual de atividades que contém informações financeiras e de gestão, incluindo os resultados dos controlos, e é elaborado nos termos do artigo 74.o, n.o 9, do Regulamento (UE, Euratom) 2018/1046 do Parlamento Europeu e do Conselho (9), e informa-o regularmente sobre a aplicação das medidas para as quais tenham sido subdelegadas competências no diretor da CERT-UE.
4. O diretor da CERT-UE elabora anualmente um planeamento financeiro das receitas e despesas administrativas relacionadas com as suas atividades, uma proposta de programa de trabalho anual, uma proposta de catálogo de serviços da CERT-UE e as respetivas revisões, uma proposta dos termos dos acordos de nível de serviço e uma proposta de indicadores-chave de desempenho para a CERT-UE, com vista à sua aprovação pelo IICB nos termos do artigo 11.o. No âmbito da revisão da lista de serviços incluídos no catálogo de serviços da CERT-UE, o diretor da CERT-UE tem em conta os recursos afetados à CERT-UE.
5. O diretor da CERT-UE apresenta, pelo menos anualmente, relatórios ao IICB e ao presidente do IICB sobre as atividades e o desempenho da CERT-UE durante o período de referência, inclusive sobre a execução do orçamento, os acordos de nível de serviço e os acordos escritos celebrados, a colaboração com as contrapartes e os parceiros, bem como as missões realizadas pelos membros do seu pessoal, incluindo os relatórios referidos no artigo 11.o. Os referidos relatórios incluem um programa de trabalho para o período seguinte, o planeamento financeiro das receitas e despesas, incluindo o pessoal, as atualizações previstas do catálogo de serviços da CERT-UE e uma avaliação do impacto esperado dessas atualizações em termos de recursos financeiros e humanos.
Artigo 20.o
Acordos de partilha de informações sobre cibersegurança
1. As entidades da União podem, a título voluntário, informar a CERT-UE e prestar-lhe informações sobre incidentes, ciberameaças, quase incidentes e vulnerabilidades que as afetem. A CERT-UE garante a disponibilidade de meios de comunicação eficientes, com um nível elevado de rastreabilidade, confidencialidade e fiabilidade, com o objetivo de facilitar a partilha de informações com as entidades da União. No tratamento de notificações, a CERT-UE pode dar prioridade ao tratamento das notificações obrigatórias em detrimento das notificações voluntárias. Sem prejuízo do artigo 12.o, a notificação voluntária não pode resultar na imposição à entidade da União notificadora de quaisquer obrigações adicionais às quais esta não estaria sujeita se não tivesse procedido à notificação.
2. Com vista a cumprir a sua missão e as atribuições conferidas nos termos do artigo 13.o, a CERT-UE pode solicitar que as entidades da União lhe transmitam informações dos respetivos inventários de sistemas das TIC, incluindo informações relacionadas com ciberameaças, quase incidentes, vulnerabilidades, indicadores de exposição a riscos, alertas de cibersegurança e recomendações relativas à configuração das ferramentas de cibersegurança destinadas a detetar incidentes de cibersegurança. A entidade da União requerida deve transmitir sem demora injustificada as informações solicitadas, bem como eventuais atualizações subsequentes dessas informações.
3. A CERT-UE pode partilhar com as entidades da União informações específicas sobre incidentes que permitam identificar a entidade da União afetada por um determinado incidente, desde que a entidade da União afetada em tal consinta. Caso uma entidade da União recuse dar o seu consentimento, deve indicar à CERT-UE os motivos que fundamentam essa decisão.
4. As entidades da União, mediante pedido, partilham informações com o Parlamento Europeu e o Conselho sobre a conclusão dos planos de cibersegurança.
5. O IICB ou a CERT-UE, consoante o caso, partilham, mediante pedido, orientações, recomendações e apelos à ação com o Parlamento Europeu e o Conselho.
6. As obrigações de partilha impostas no presente artigo não abrangem:
a) | As ICUE; |
b) | As informações cuja distribuição posterior tenha sido excluída por meio de uma marcação visível, a menos que a sua partilha com a CERT-UE tenha sido explicitamente autorizada. |
whereas