search

keyboard_tab Cyber Resilience Act 2023/2841 PT

 BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf

2023/2841 PT Art. 26 cercato: 'incluir' . Output generated live by software developed by IusOnDemand srl


expand index incluir:


whereas incluir:


definitions:


cloud tag: and the number of total unique words without stopwords is: 561

 

Artigo 26.o

Entrada em vigor

O presente regulamento entra em vigor no vigésimo dia seguinte ao da sua publicação no Jornal Oficial da União Europeia.

O presente regulamento é obrigatório em todos os seus elementos e diretamente aplicável em todos os Estados-Membros.

Feito em Estrasburgo, em 13 de dezembro de 2023.

Pelo Parlamento Europeu

A Presidente

R. METSOLA

Pelo Conselho

O Presidente

P. NAVARRO RÍOS

(1)  Posição do Parlamento Europeu de 21 de novembro de 2023 (ainda não publicada no Jornal Oficial) e decisão do Conselho de 8 de dezembro de 2023.

(2)  Diretiva (UE) 2022/2555 do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022, relativa a medidas destinadas a garantir um elevado nível comum de cibersegurança na União que altera o Regulamento (UE) n.o 910/2014 e a Diretiva (UE) 2018/1972 e revoga a Diretiva (UE) 2016/1148 (Diretiva SRI 2) (JO L 333 de 27.12.2022, p. 80).

(3)  Regulamento (UE) 2019/881 do Parlamento Europeu e do Conselho, de 17 de abril de 2019, relativo à ENISA (Agência da União Europeia para a Cibersegurança) e à certificação da cibersegurança das tecnologias da informação e comunicação e que revoga o Regulamento (UE) n.o 526/2013 (Regulamento Cibersegurança) (JO L 151 de 7.6.2019, p. 15).

(4)  Acordo entre o Parlamento Europeu, o Conselho Europeu, o Conselho da União Europeia, a Comissão Europeia, o Tribunal de Justiça da União Europeia, o Banco Central Europeu, o Tribunal de Contas Europeu, o Serviço Europeu para a Ação Externa, o Comité Económico e Social Europeu, o Comité das Regiões Europeu e o Banco Europeu de Investimento sobre a organização e o funcionamento de uma equipa de resposta a emergências informáticas das instituições, órgãos e organismos da União (CERT-UE) (JO C 12 de 13.1.2018, p. 1).

(5)  Regulamento (CEE, Euratom, CECA) n.o 259/68 do Conselho, de 29 de fevereiro de 1968, que fixa o Estatuto dos Funcionários das Comunidades Europeias assim como o Regime aplicável aos outros agentes destas Comunidades, e institui medidas especiais temporariamente aplicáveis aos funcionários da Comissão (JO L 56 de 4.3.1968, p. 1).

(6)  Recomendação (UE) 2017/1584 da Comissão, de 13 de setembro de 2017, sobre a resposta coordenada a incidentes e crises de cibersegurança em grande escala (JO L 239 de 19.9.2017, p. 36).

(7)  Regulamento (UE) 2018/1725 do Parlamento Europeu e do Conselho, de 23 de outubro de 2018, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições e pelos órgãos e organismos da União e à livre circulação desses dados, e que revoga o Regulamento (CE) n.o 45/2001 e a Decisão n.o 1247/2002/CE (JO L 295 de 21.11.2018, p. 39).

(8)   JO C 258 de 5.7.2022, p. 10.

(9)  Regulamento (UE, Euratom) 2018/1046 do Parlamento Europeu e do Conselho, de 18 de julho de 2018, relativo às disposições financeiras aplicáveis ao orçamento geral da União, que altera os Regulamentos (UE) n.o 1296/2013, (UE) n.o 1301/2013, (UE) n.o 1303/2013, (UE) n.o 1304/2013, (UE) n.o 1309/2013, (UE) n.o 1316/2013, (UE) n.o 223/2014 e (UE) n.o 283/2014, e a Decisão n.o 541/2014/UE, e revoga o Regulamento (UE, Euratom) n.o 966/2012 (JO L 193 de 30.7.2018, p. 1).

(10)  Regulamento (CE) n.o 1049/2001 do Parlamento Europeu e do Conselho, de 30 de maio de 2001, relativo ao acesso do público aos documentos do Parlamento Europeu, do Conselho e da Comissão (JO L 145 de 31.5.2001, p. 43).

ELI: http://data.europa.eu/eli/reg/2023/2841/oj

ISSN 1977-0774 (electronic edition)

Artigo 8.o

Medidas de gestão dos riscos de cibersegurança

1.   Sem demora injustificada e, em qualquer caso, até 8 de setembro de 2025, cada entidade da União toma, sob a supervisão da direção ao mais alto nível respetiva, medidas técnicas, operacionais e organizativas adequadas e proporcionadas para gerir os riscos de cibersegurança identificados no âmbito do regime e prevenir ou minimizar o impacto dos incidentes. Tendo em conta os progressos técnicos mais recentes e, se aplicável, as normas europeias e internacionais pertinentes, essas medidas garantem um nível de segurança dos sistemas de rede e informação em todo o ambiente de TIC proporcional aos riscos de cibersegurança criados. Aquando da avaliação da proporcionalidade dessas medidas, são devidamente tidos em conta o grau de exposição da entidade da União aos riscos de cibersegurança, a sua dimensão, a probabilidade de ocorrência de incidentes e a sua gravidade, incluindo o seu impacto nos planos societal, económico e interinstitucional.

2.   As entidades da União abordam, pelo menos, os seguintes domínios na aplicação das medidas de gestão dos riscos de cibersegurança:

a)

Política de cibersegurança, nomeadamente as medidas necessárias para alcançar os objetivos e prioridades referidos no artigo 6.o e no n.o 3 do presente artigo;

b)

Políticas relativas à análise dos riscos de cibersegurança e de segurança dos sistemas de informação;

c)

Objetivos políticos relativos à utilização de serviços de computação em nuvem;

d)

Auditorias de cibersegurança, se for caso disso, que podem incluir uma avaliação do risco de cibersegurança, da vulnerabilidade e das ciberameaças, bem como testes de penetração realizados regularmente por um prestador privado de confiança;

e)

Aplicação das recomendações resultantes das auditorias de cibersegurança a que se refere a alínea d), através da cibersegurança e de atualizações das políticas;

f)

Organização da cibersegurança, incluindo a definição das funções e responsabilidades;

g)

Gestão de ativos, incluindo o inventário dos ativos de TIC e o mapeamento da rede de TIC;

h)

Segurança dos recursos humanos e controlo do acesso;

i)

Segurança das operações;

j)

Segurança das comunicações;

k)

Aquisição, desenvolvimento e manutenção dos sistemas, incluindo políticas relativas ao tratamento e à divulgação de vulnerabilidades;

l)

Se exequível, políticas relativas à transparência do código-fonte;

m)

Segurança da cadeia de abastecimento, incluindo aspetos relacionados com a segurança no que se refere às relações entre cada entidade da União e os seus fornecedores diretos ou prestadores de serviços;

n)

Tratamento de incidentes e cooperação com a CERT-UE, designadamente no âmbito da conservação de registos e da monitorização da segurança;

o)

Gestão da continuidade das atividades, como a gestão de cópias de segurança e a recuperação de desastres, e gestão de crises; e

p)

Promoção e desenvolvimento de programas de educação, competências, sensibilização, exercício e formação no domínio da cibersegurança.

Para efeitos do primeiro parágrafo, alínea m), as entidades da União têm em conta as vulnerabilidades específicas de cada fornecedor direto e de cada prestador de serviços, bem como a qualidade global dos produtos e as práticas de cibersegurança dos seus fornecedores e prestadores de serviços, incluindo os seus procedimentos de desenvolvimento seguro.

3.   As entidades da União tomam, pelo menos, as seguintes medidas específicas de gestão dos riscos de cibersegurança:

a)

Disposições técnicas para permitir e manter o teletrabalho;

b)

Medidas concretas para avançar rumo a princípios de «confiança zero»;

c)

Utilização, por norma, da autenticação multifatorial nos sistemas de rede e informação;

d)

Utilização da criptografia e da cifragem, em particular da cifragem de ponta a ponta, bem como de assinaturas digitais seguras;

e)

Implantação, se for caso disso, de comunicações seguras de voz, vídeo e texto e de sistemas seguros de comunicações de emergência na entidade da União;

f)

Medidas proativas para a deteção e remoção de software malicioso e de software espião;

g)

Garantia da segurança da cadeia de abastecimento de software por meio de critérios para a criação e avaliação seguras de software;

h)

Estabelecimento e adoção de programas de formação sobre cibersegurança adequados às atribuições prescritas e às capacidades previstas para a direção ao mais alto nível e para os membros do pessoal da entidade da União incumbidos de garantir a aplicação do presente regulamento;

i)

Formação periódica do pessoal em matéria de cibersegurança;

j)

Se for caso disso, participação em análises dos riscos de interconectividade entre as entidades da União;

k)

Reforço das regras de contratação pública para facilitar um elevado nível comum de cibersegurança através:

i)

remoção dos obstáculos contratuais que limitam a partilha de informações com a CERT-UE por parte dos prestadores de serviços TIC sobre os incidentes, as vulnerabilidades e as ciberameaças,

ii)

obrigações contratuais de comunicar os incidentes, as vulnerabilidades e as ciberameaças, bem como de dispor de um sistema adequado de monitorização e resposta a incidentes.

Artigo 14.o

Orientações, recomendações e apelos à ação

1.   A CERT-UE apoia a aplicação do presente regulamento através de:

a)

Apelos à ação, descrevendo medidas urgentes de segurança que as entidades da União são instadas a tomar num determinado prazo;

b)

Propostas ao IICB com vista à adoção de orientações dirigidas a todas ou a um conjunto de entidades da União;

c)

Propostas ao IICB com vista à adoção de recomendações dirigidas a entidades individuais da União.

No que diz respeito ao primeiro parágrafo, alínea a), a entidade da União em causa informa a CERT-UE, sem demora injustificada após receber o convite à ação, da forma como as medidas de segurança urgentes foram aplicadas.

2.   As orientações e recomendações podem incluir:

a)

Metodologias comuns e um modelo de avaliação da maturidade em matéria de cibersegurança das entidades da União, incluindo as escalas ou os indicadores-chave de desempenho correspondentes, que sirva de referência para apoiar uma melhoria contínua da cibersegurança em todas as entidades da União e facilitar a atribuição de prioridades dos domínios e medidas de cibersegurança, tendo em conta a postura das entidades em matéria de cibersegurança;

b)

Disposições práticas ou melhorias relativas à gestão dos riscos de cibersegurança e das medidas de gestão dos riscos de cibersegurança;

c)

Disposições práticas relativas às avaliações da maturidade em matéria de cibersegurança e aos planos de cibersegurança;

d)

Se for caso disso, a utilização em comum de uma tecnologia, arquitetura, fonte aberta e das boas práticas conexas no intuito de concretizar a interoperabilidade e normas comuns, incluindo uma abordagem coordenada no que diz respeito à segurança da cadeia de abastecimento;

e)

Se for caso disso, informações destinadas a facilitar a utilização de instrumentos de contratação pública colaborativa para a aquisição de serviços e produtos de cibersegurança relevantes a fornecedores terceiros;

f)

Acordos de partilha de informações nos termos do artigo 20.o.

Artigo 16.o

Questões financeiras e de pessoal

1.   A CERT-UE é integrada na estrutura administrativa de uma direção-geral da Comissão, a fim de beneficiar das estruturas de apoio administrativo, financeiro e contabilístico da Comissão, mantendo simultaneamente o seu estatuto de prestador de serviços interinstitucional autónomo para todas as entidades da União. A Comissão informa o IICB sobre a localização da sede administrativa da CERT-UE, bem como de qualquer alteração desta. A Comissão reexamina periodicamente as disposições administrativas relacionadas com a CERT-UE e, em qualquer caso, antes da criação de qualquer quadro financeiro plurianual nos termos do artigo 312.o do TFUE, a fim de permitir a adoção de medidas adequadas. O reexame deve incluir a possibilidade de criar a CERT-UE como um serviço da União.

2.   Relativamente à aplicação dos procedimentos administrativos e financeiros, o diretor da CERT-UE está subordinado à autoridade da Comissão, sob supervisão do IICB.

3.   As atribuições e atividades da CERT-UE, incluindo os serviços que preste nos termos do artigo 13.o, n.os 3, 4, 5 e 7, e do artigo 14.o, n.o 1, às entidades da União financiados a partir da rubrica do quadro financeiro plurianual dedicada à administração pública europeia, são financiadas por uma rubrica orçamental distinta do orçamento da Comissão. Os postos afetados à CERT-UE são especificados numa nota de rodapé no quadro de pessoal da Comissão.

4.   As entidades da União distintas das referidas no n.o 3 do presente artigo devem prestar uma contribuição financeira anual à CERT-UE para cobrir os serviços prestados pela CERT-UE nos termos desse mesmo número. As contribuições baseiam-se nas orientações dadas pelo IICB e acordadas entre cada entidade da União e a CERT-UE em acordos de nível de serviço. As contribuições devem representar uma parte justa e proporcionada dos custos totais dos serviços prestados. Serão registadas na rubrica orçamental distinta referida no n.o 3 do presente artigo como receitas afetadas internas, tal como previsto no artigo 21.o, n.o 3, alínea c), do Regulamento (UE, Euratom) 2018/1046.

5.   Os custos dos serviços indicados no artigo 13.o, n.o 6, devem ser recuperados junto das entidades da União que beneficiem dos serviços da CERT-UE. As receitas são afetadas às rubricas orçamentais de apoio aos custos.

Artigo 25.o

Reexame

1.   Até 8 de janeiro de 2025 e, posteriormente, numa base anual, o IICB, com a assistência da CERT-UE, deve comunicar à Comissão informações sobre a aplicação do presente regulamento. O IICB pode formular recomendações dirigidas à Comissão para que esta reexamine o presente regulamento.

2.   Até 8 de janeiro de 2027 e, posteriormente, de dois em dois anos, a Comissão avalia a aplicação do presente regulamento e apresenta ao Parlamento Europeu e ao Conselho um relatório sobre essa matéria e sobre a experiência adquirida a nível estratégico e operacional.

O relatório a que se refere o primeiro parágrafo do presente número deve incluir o reexame a que se refere o artigo 16.o, n.o 1, relativa à possibilidade de a CERT-UE ser constituída um organismo da União.

3.   Até 8 de janeiro de 2029, a Comissão avalia o funcionamento do presente regulamento e apresenta um relatório ao Parlamento Europeu, ao Conselho, ao Comité Económico e Social Europeu e ao Comité das Regiões. A Comissão avalia igualmente a conveniência de incluir no âmbito de aplicação do presente regulamento os sistemas de rede e informação que tratam ICUE, tendo em conta outros atos legislativos da União aplicáveis a esses sistemas. Se necessário, o relatório é acompanhado de uma proposta legislativa.


whereas
keyboard_arrow_down