keyboard_tab Cyber Resilience Act 2023/2841 PT
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Artigo 7.o Avaliação da maturidade em matéria de cibersegurança
- 1 Artigo 17.o
CAPÍTULO I
DISPOSIÇÕES GERAIS
CAPÍTULO II
MEDIDAS DESTINADAS A GARANTIR UM ELEVADO NIVEL COMUM DE CIBERSEGURANÇA
CAPÍTULO III
CONSELHO INTERINSTITUCIONAL PARA A CIBERSEGURANÇA
CAPÍTULO IV
CERT-UE
CAPÍTULO V
OBRIGAÇÕES DE COOPERAÇÃO E DE COMUNICAÇÃO DE INFORMAÇÕES
CAPÍTULO VI
DISPOSIÇÕES FINAIS
- união 14
- entidade 11
- cert-ue 10
- afetada 8
- cibersegurança 8
- incidentes 8
- artigo o 7
- matéria 6
- para 6
- informações 6
- termos 5
- consentimento 5
- maturidade 5
- incidente 4
- diretiva 4
- contrapartes 4
- identidade 4
- locais 3
- entidades 3
- específicas 3
- sobre 3
- âmbito 3
- avaliação 3
- ue / 3
- divulgação 3
- estados-membros 3
- diretor 3
- demora 3
- rede 2
- antes 2
- injustificada 2
- revelem 2
- ciberameaças 2
- evitar 2
- alvo 2
- boas 2
- práticas 2
- csirt 2
- atenuar 2
- trocar 2
- noutros 2
- conselho 2
- aplicável 2
- explicação 2
- estado-membro 2
- informa 2
- pelo 2
- dois 2
- conformidade 2
- dados 2
Artigo 7.o
Avaliação da maturidade em matéria de cibersegurança
1. Até 8 de julho de 2025 e, posteriormente, pelo menos de dois em dois anos, cada entidade da União realiza uma avaliação da maturidade em matéria de cibersegurança que inclua todos os elementos do seu ambiente das TIC.
2. As avaliações da maturidade em matéria de cibersegurança são, se for caso disso, realizadas com a assistência de um terceiro especializado.
3. As entidades da União com estruturas semelhantes podem cooperar na realização de avaliações da maturidade em matéria de cibersegurança para as respetivas entidades.
4. Com base num pedido do pedido do Conselho Interinstitucional para a Cibersegurança, criado nos termos do artigo 10.o, e com o consentimento explícito da entidade da União em causa, os resultados de uma avaliação da maturidade em matéria de cibersegurança podem ser debatidos no âmbito do Conselho ou no âmbito da rede de responsáveis locais pela cibersegurança, tendo em vista tirar ilações da aplicação e partilhar boas práticas de excelência.
Artigo 17.o
1. A CERT-UE deve, sem demora injustificada, colaborar e trocar informações com as contrapartes dos Estados-Membros, incluindo as CSIRT designadas ou estabelecidas nos termos do artigo 10.o da Diretiva (UE) 2022/2555, ou, se aplicável, as autoridades competentes e pontos de contacto únicos designados ou estabelecidos nos termos do artigo 8.o dessa diretiva, relativamente a incidentes, ciberameaças, vulnerabilidades, quase incidentes, a possíveis contramedidas, bem como a boas práticas e a todas as questões pertinentes para melhorar a proteção do ambiente das TIC das entidades da União, nomeadamente por meio da rede de CSIRT referida no artigo 15.o da Diretiva (UE) 2022/2555. A CERT-UE apoia a Comissão no âmbito da UE-CyCLONe estabelecida nos termos do artigo 16.o da Diretiva (UE) 2022/2555 no que diz respeito à gestão coordenada a incidentes e crises de cibersegurança em grande escala.
2. Caso tome conhecimento de um incidente significativo ocorrido no território de um Estado-Membro, a CERT-UE informa, sem demora, quaisquer contrapartes relevantes nesse Estado-Membro, em conformidade com o n.o 1.
3. Desde que os dados pessoais estejam protegidos em conformidade com a legislação aplicável da União em matéria de proteção de dados, a CERT-UE deve, sem demora injustificada, trocar informações específicas pertinentes sobre incidentes com as contrapartes dos Estados-Membros para facilitar a deteção de ciberameaças ou incidentes semelhantes, ou contribuam para a análise de um incidente, sem a autorização da entidade da União afetada. A CERT-UE só partilha informações específicas sobre incidentes que revelem a identidade do seu alvo num dos seguintes casos:
| a) | A entidade da União afetada der o seu consentimento; |
| b) | A entidade da União afetada não der o consentimento previsto na alínea a) mas a divulgação da identidade da entidade da União afetada aumentar a probabilidade de evitar ou atenuar incidentes noutros locais. |
| c) | A entidade da União afetada já tenha tornado público o facto de ter sido afetada. |
As decisões relativas ao intercâmbio de informações específicas sobre um incidente que revelem a identidade do alvo do incidente nos termos do primeiro parágrafo, alínea b), são aprovadas pelo diretor da CERT-UE. Antes de emitir essa decisão, a CERT-UE contacta por escrito a entidade da União afetada, explicando claramente de que forma a divulgação da sua identidade contribuiria para evitar ou atenuar incidentes noutros locais. O diretor da CERT-UE apresenta a explicação e solicita explicitamente à entidade da União que declare se dá o seu consentimento dentro de um determinado prazo. O diretor da CERT-UE informa igualmente a entidade da União de que, à luz da explicação fornecida, se reserva o direito de divulgar as informações, mesmo na falta de consentimento. A entidade da União afetada é informada antes da divulgação das informações.
whereas