keyboard_tab Cyber Resilience Act 2023/2841 PT
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 3 Artigo 6.o Regime de gestão, governação e controlo dos riscos de cibersegurança
- 1 Artigo 13.o
- 1 Artigo 19.o Tratamento de informações
CAPÍTULO I
DISPOSIÇÕES GERAIS
CAPÍTULO II
MEDIDAS DESTINADAS A GARANTIR UM ELEVADO NIVEL COMUM DE CIBERSEGURANÇA
CAPÍTULO III
CONSELHO INTERINSTITUCIONAL PARA A CIBERSEGURANÇA
CAPÍTULO IV
CERT-UE
CAPÍTULO V
OBRIGAÇÕES DE COOPERAÇÃO E DE COMUNICAÇÃO DE INFORMAÇÕES
CAPÍTULO VI
DISPOSIÇÕES FINAIS
- união 45
- cibersegurança 27
- cert-ue 27
- entidade 22
- entidades 21
- nível 15
- regulamento 15
- informações 14
- serviços 13
- artigo o 13
- pela 12
- presente 12
- aplicação 12
- para 12
- incidentes 11
- pode 11
- regime 11
- a 11
- rede 9
- base 9
- como 8
- atribuições 7
- no 7
- cooperação 7
- não 7
- iicb 6
- responsável 6
- cada 6
- gestão 6
- caso 6
- funcionários 6
- informação 6
- termos 6
- causa 6
- local 5
- todos 5
- mais 5
- ambiente 5
- o 5
- alto 5
- direção 5
- sobre 5
- riscos 5
- prejuízo 4
- equivalente 4
- obrigações 4
- conta 4
- segurança 4
- sistemas 4
- pedido 4
Artigo 6.o
Regime de gestão, governação e controlo dos riscos de cibersegurança
1. Até 8 de abril de 2025, cada entidade da União estabelece, após efetuar uma análise inicial da cibersegurança, designadamente uma auditoria, um regime interno de gestão, governação e controlo dos riscos de cibersegurança («regime»). O estabelecimento do regime é supervisionado pela direção ao mais alto nível da entidade da União e é da sua responsabilidade.
2. O regime abrange a totalidade do ambiente das TIC não classificado da entidade da União em causa, incluindo todos os ambientes das TIC nas instalações, a rede de tecnologia operacional locais, os ativos e serviços subcontratados em ambientes de computação em nuvem ou alojados por terceiros, os dispositivos móveis, as redes institucionais, as redes institucionais não ligadas à Internet e todos os dispositivos ligados aos referidos ambientes («ambiente das TIC»). O regime baseia-se numa abordagem que tem em conta todos os perigos.
3. O regime garante um elevado nível de cibersegurança. Estabelece políticas internas de cibersegurança, incluindo objetivos e prioridades, para a segurança dos sistemas de rede e informação, bem como as funções e responsabilidades do pessoal da entidade da União encarregado de assegurar a aplicação efetiva do presente regulamento. O regime inclui também mecanismos para medir a eficácia da aplicação.
4. O regime é reexaminado periodicamente, na perspetiva da evolução dos riscos de cibersegurança, e, pelo menos, de quatro em quatro anos. Se for caso disso e na sequência de um pedido do Conselho Interinstitucional para a Cibersegurança, criado nos termos do artigo 10.o, o regime de uma entidade da União pode ser atualizado com base nas orientações da CERT-UE sobre incidentes identificados ou eventuais lacunas observadas na aplicação do presente regulamento.
5. Incumbe à direção ao mais alto nível de cada entidade da União a responsabilidade pela aplicação do presente regulamento, assim como a supervisão do cumprimento, por parte da respetiva organização, das obrigações relacionadas com o regime.
6. Se for caso disso e sem prejuízo da sua responsabilidade pela aplicação do presente regulamento, a direção ao mais alto nível de cada entidade da União pode delegar obrigações específicas ao abrigo do presente regulamento em altos funcionários, na aceção do artigo 29.o, n.o 2, do Estatuto dos Funcionários, ou noutros funcionários de nível equivalente, dentro da entidade da União em causa. Independentemente dessa delegação, a direção ao mais alto nível pode ser considerada responsável por infrações ao presente regulamento cometidas pela entidade da União em causa.
7. Cada entidade da União deve dispor de mecanismos eficazes para assegurar que uma percentagem adequada do orçamento para as TIC seja aplicada em cibersegurança. O regime é devidamente tido em conta na definição da referida percentagem.
8. Cada entidade da União designa um responsável local pela cibersegurança, ou função equivalente, que atue como ponto de contacto único relativamente a todos os aspetos de cibersegurança. O responsável local pela cibersegurança facilita a aplicação do presente regulamento e reporta diretamente à direção ao mais alto nível, numa base periódica, o ponto da situação no que se refere à aplicação. Sem prejuízo do facto de o responsável local pela cibersegurança ser o ponto de contacto único em cada entidade da União, uma entidade da União pode delegar na CERT-UE determinadas atribuições do responsável local pela cibersegurança no que diz respeito à aplicação do presente regulamento, com base num acordo de nível de serviço celebrado entre essa entidade da União e a CERT-UE, ou essas atribuições podem ser partilhadas por várias entidades da União. Caso essas atribuições sejam delegadas na CERT-UE, o Comité Interinstitucional para a Cibersegurança, criado nos termos do artigo 10.o, decide se a prestação desse serviço deve fazer parte dos serviços de base da CERT-UE, tendo em conta os recursos humanos e financeiros da entidade da União em causa. Cada entidade da União informa a CERT-UE, sem demora injustificada, do responsável local pela cibersegurança designado e de eventuais alterações subsequentes a este respeito.
A CERT-UE cria a lista de responsáveis locais pela cibersegurança designados e garante a respetiva atualização.
9. Os altos funcionários na aceção do artigo 29.o, n.o 2, do Estatuto dos Funcionários ou outros funcionários de nível equivalente de cada entidade da União, bem como todos os membros do pessoal pertinentes incumbidos da aplicação das medidas de gestão dos riscos de cibersegurança e do cumprimento das obrigações previstas no presente regulamento, frequentam periodicamente ações específicas de formação, a fim de adquirir conhecimentos e competências suficientes para compreender e avaliar os riscos de segurança e as práticas de gestão, bem como o seu impacto no funcionamento da entidade da União.
Artigo 13.o
1. A missão da CERT-UE é contribuir para a segurança do ambiente das TIC não classificado das entidades da União, aconselhando-as em matéria de cibersegurança, ajudando-as a prevenir, detetar, gerir, atenuar e dar resposta a incidentes, assim como a recuperar após os mesmos, e agindo como plataforma de intercâmbio de informações de cibersegurança e centro de coordenação da resposta a incidentes.
2. A CERT-UE recolhe, gere, analisa e partilha com as entidades da União as informações sobre as ciberameaças, as vulnerabilidades e os incidentes relativos à infraestrutura de TIC não classificada. Coordena as respostas a incidentes ocorridos a nível interinstitucional e da entidade da União, nomeadamente prestando ou coordenando a prestação de assistência operacional especializada.
3. A CERT-UE desempenha as seguintes atribuições em relação às entidades da União:
| a) | Apoio na aplicação do presente regulamento e contributo para a coordenação dessa aplicação, por meio das medidas enumeradas no artigo 14.o, n.o 1, ou através de relatórios ad hoc solicitados pelo IICB; |
| b) | Disponibilização de serviços normalizados da CSIRT a todas as entidades da União através de um pacote de serviços de cibersegurança descritos no seu catálogo de serviços (serviços de base); |
| c) | Manutenção de uma rede de pares e parceiros para apoiar os serviços, conforme previsto nos artigos 17.o e 18.o; |
| d) | Informação ao IICB relativamente a qualquer questão relacionada com a aplicação do presente regulamento e das orientações, recomendações e apelos à ação; |
| e) | Com base nas informações referidas no n.o 2, contribuir para o conhecimento da situação cibernética na União, em estreita cooperação com a ENISA; |
| f) | Coordenar a gestão de incidentes graves; |
| g) | Exercer, em nome das entidades da União, uma função equivalente à do coordenador designado para fins de divulgação coordenada das vulnerabilidades, nos termos do artigo 12.o, n.o 1, da Diretiva (UE) 2022/2555; |
| h) | Disponibilizar, a pedido de uma entidade da União, uma análise proativa e não intrusiva dos sistemas de rede e informação acessíveis ao público dessa entidade da União. |
As informações a que se refere o primeiro parágrafo, alínea e), são partilhadas com o IICB, a rede de CSIRT e o Centro de Situação e de Informações da União Europeia (INTCEN da UE), se aplicável e for caso disso, e sob reserva de condições de confidencialidade adequadas.
4. A CERT-UE pode, em conformidade com o artigo 17.o ou o artigo 18.o, conforme adequado, cooperar com as comunidades de cibersegurança pertinentes na União e nos seus Estados-Membros, nomeadamente nos seguintes domínios:
| a) | Preparação, coordenação em caso de incidentes, intercâmbio de informações e resposta a situações de crise a nível técnico em casos relacionados com entidades da União; |
| b) | Cooperação operacional no que respeita à rede CSIRT, nomeadamente em matéria de assistência mútua; |
| c) | Informações sobre ciberameaças, incluindo o conhecimento situacional; |
| d) | Qualquer tema que exija os conhecimentos técnicos especializados de cibersegurança da CERT-UE. |
5. A CERT-UE enceta, no âmbito das suas competências, uma cooperação estruturada com a ENISA no que respeita ao reforço das capacidades, à cooperação operacional e a análises estratégicas a longo prazo das ciberameaças, em conformidade com o Regulamento (UE) 2019/881. A CERT-UE pode cooperar e trocar informações com o Centro Europeu da Cibercriminalidade da Europol.
6. A CERT-UE pode prestar os seguintes serviços não descritos no seu catálogo de serviços («serviços sujeitos a cobrança»):
| a) | Serviços de apoio à cibersegurança do ambiente de TIC das entidades da União, distintos dos referidos no n.o 3, com base em acordos de nível de serviço e sob reserva dos recursos disponíveis, nomeadamente monitorização de largo espectro da rede, inclusive a monitorização de primeira linha, a qualquer hora, das ciberameaças de maior gravidade; |
| b) | Serviços de apoio a operações ou projetos de cibersegurança das entidades da União, distintos dos serviços destinados a proteger o respetivo ambiente das TIC, com base em acordos escritos e mediante aprovação prévia do IICB; |
| c) | Uma análise proativa dos sistemas de rede e informação da entidade da União em causa, mediante pedido, a fim de detetar vulnerabilidades com um impacto significativo potencial; |
| d) | Serviços de apoio à cibersegurança do ambiente das TIC de organizações distintas das entidades da União mas que colaborem estreitamente com as mesmas, por exemplo, por terem atribuições ou responsabilidades conferidas ao abrigo do direito da União, com base em acordos escritos e mediante aprovação prévia do IICB. |
No respeitante ao primeiro parágrafo, alínea d), a CERT-UE pode, a título excecional, celebrar acordos de nível de serviço com entidades que não sejam as entidades da União, com a aprovação prévia do IICB.
7. A CERT-UE organiza e pode participar em exercícios de cibersegurança ou recomendar a participação em exercícios existentes, se aplicável em estreita cooperação com a ENISA, de forma a testar o nível de cibersegurança das entidades da União.
8. A CERT-UE pode prestar assistência às entidades da União relativamente a incidentes em sistemas de rede e informação que tratam ICUE, se as entidades da União envolvidas o solicitarem explicitamente, em conformidade com os respetivos procedimentos. A prestação de assistência pela CERT-UE nos termos do presente número é efetuada sem prejuízo das regras aplicáveis relacionadas com a proteção de informações classificadas.
9. A CERT-UE informa as entidades da União dos seus procedimentos e processos de tratamento de incidentes.
10. A CERT-UE contribui, com um elevado nível de confidencialidade e fiabilidade, através dos mecanismos de cooperação e canais de comunicação adequados, com informações pertinentes e anonimizadas sobre incidentes graves e a forma como foram tratados. As referidas informações são integradas no relatório a que se refere o artigo 10.o, n.o 14.
11. A CERT-UE apoia, em cooperação com a AEPD, as entidades da União em causa aquando da gestão de incidentes que tenham originado violações de dados pessoais, sem prejuízo das competências e atribuições da AEPD enquanto autoridade de supervisão nos termos do Regulamento (UE) 2018/1725.
12. Se os departamentos temáticos das entidades da União o solicitarem expressamente, a CERT-UE pode prestar aconselhamento técnico ou informações técnicas sobre questões estratégicas pertinentes.
Artigo 19.o
Tratamento de informações
1. As entidades da União e a CERT-UE devem respeitar as obrigações de sigilo profissional nos termos do artigo 339.o do TFUE ou dos regimes equivalentes aplicáveis.
2. O Regulamento (CE) n.o 1049/2001 do Parlamento Europeu e do Conselho (10) é aplicável no que respeita aos pedidos de acesso do público a documentos na posse da CERT-UE, tendo em conta a obrigação, prevista no referido regulamento, de consultar as outras entidades da União ou, se for caso disso, os Estados-Membros, sempre que um pedido diga respeito a documentos seus.
3. O tratamento das informações pelas entidades da União e pela CERT-UE deve cumprir as regras aplicáveis relativas à segurança da informação.
whereas