keyboard_tab Cyber Resilience Act 2023/2841 PT
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- Artigo 1.o Objeto
- Artigo 2.o Âmbito
- Artigo 3.o Definições
- Artigo 4.o Tratamento de dados pessoais
- Artigo 5.o Aplicação de medidas
- Artigo 6.o Regime de gestão, governação e controlo dos riscos de cibersegurança
- Artigo 7.o Avaliação da maturidade em matéria de cibersegurança
- Artigo 8.o Medidas de gestão dos riscos de cibersegurança
- Artigo 9.o Planos de cibersegurança
- Artigo 10.o Conselho Interinstitucional para a Cibersegurança
- Artigo 11.o Atribuições do IICB
- Artigo 12.o Conformidade
- Artigo 13.o
- Artigo 14.o Orientações, recomendações e apelos à ação
- Artigo 15.o
- Artigo 16.o Questões financeiras e de pessoal
- Artigo 17.o
- Artigo 18.o
- Artigo 19.o Tratamento de informações
- Artigo 20.o Acordos de partilha de informações sobre cibersegurança
- Artigo 21.o Obrigações de comunicação de informações
- Artigo 22.o Coordenação da resposta a incidentes e cooperação
- Artigo 23.o Gestão de incidentes graves
- Artigo 24.o Reafetação orçamental inicial
- Artigo 25.o Reexame
- Artigo 26.o Entrada em vigor
CAPÍTULO I
DISPOSIÇÕES GERAIS
CAPÍTULO II
MEDIDAS DESTINADAS A GARANTIR UM ELEVADO NIVEL COMUM DE CIBERSEGURANÇA
CAPÍTULO III
CONSELHO INTERINSTITUCIONAL PARA A CIBERSEGURANÇA
CAPÍTULO IV
CERT-UE
CAPÍTULO V
OBRIGAÇÕES DE COOPERAÇÃO E DE COMUNICAÇÃO DE INFORMAÇÕES
CAPÍTULO VI
DISPOSIÇÕES FINAIS
- cibersegurança 16
- para 10
- segurança 10
- medidas 9
- união 9
- riscos 8
- gestão 7
- incluindo 6
- incidentes 6
- sistemas 5
- como 5
- serviços 5
- entidade 5
- cada 4
- entidades 4
- caso 4
- vulnerabilidades 4
- nível 4
- software 4
- políticas 4
- conta 3
- disso 3
- ciberameaças 3
- utilização 3
- aplicação 3
- relativas 3
- seguras 3
- desenvolvimento 3
- rede 3
- formação 3
- comunicações 3
- informação 3
- mais 3
- seus 3
- prestadores 3
- avaliação 3
- ponta 2
- cibersegurança: 2
- menos 2
- pelo 2
- as 2
- artigo o 2
- refere 2
- objetivos 2
- cifragem 2
- presente 2
- auditorias 2
- prestador 2
- alínea 2
- específicas 2
Artigo 8.o
Medidas de gestão dos riscos de cibersegurança
1. Sem demora injustificada e, em qualquer caso, até 8 de setembro de 2025, cada entidade da União toma, sob a supervisão da direção ao mais alto nível respetiva, medidas técnicas, operacionais e organizativas adequadas e proporcionadas para gerir os riscos de cibersegurança identificados no âmbito do regime e prevenir ou minimizar o impacto dos incidentes. Tendo em conta os progressos técnicos mais recentes e, se aplicável, as normas europeias e internacionais pertinentes, essas medidas garantem um nível de segurança dos sistemas de rede e informação em todo o ambiente de TIC proporcional aos riscos de cibersegurança criados. Aquando da avaliação da proporcionalidade dessas medidas, são devidamente tidos em conta o grau de exposição da entidade da União aos riscos de cibersegurança, a sua dimensão, a probabilidade de ocorrência de incidentes e a sua gravidade, incluindo o seu impacto nos planos societal, económico e interinstitucional.
2. As entidades da União abordam, pelo menos, os seguintes domínios na aplicação das medidas de gestão dos riscos de cibersegurança:
a) | Política de cibersegurança, nomeadamente as medidas necessárias para alcançar os objetivos e prioridades referidos no artigo 6.o e no n.o 3 do presente artigo; |
b) | Políticas relativas à análise dos riscos de cibersegurança e de segurança dos sistemas de informação; |
c) | Objetivos políticos relativos à utilização de serviços de computação em nuvem; |
d) | Auditorias de cibersegurança, se for caso disso, que podem incluir uma avaliação do risco de cibersegurança, da vulnerabilidade e das ciberameaças, bem como testes de penetração realizados regularmente por um prestador privado de confiança; |
e) | Aplicação das recomendações resultantes das auditorias de cibersegurança a que se refere a alínea d), através da cibersegurança e de atualizações das políticas; |
f) | Organização da cibersegurança, incluindo a definição das funções e responsabilidades; |
g) | Gestão de ativos, incluindo o inventário dos ativos de TIC e o mapeamento da rede de TIC; |
h) | Segurança dos recursos humanos e controlo do acesso; |
i) | Segurança das operações; |
j) | Segurança das comunicações; |
k) | Aquisição, desenvolvimento e manutenção dos sistemas, incluindo políticas relativas ao tratamento e à divulgação de vulnerabilidades; |
l) | Se exequível, políticas relativas à transparência do código-fonte; |
m) | Segurança da cadeia de abastecimento, incluindo aspetos relacionados com a segurança no que se refere às relações entre cada entidade da União e os seus fornecedores diretos ou prestadores de serviços; |
n) | Tratamento de incidentes e cooperação com a CERT-UE, designadamente no âmbito da conservação de registos e da monitorização da segurança; |
o) | Gestão da continuidade das atividades, como a gestão de cópias de segurança e a recuperação de desastres, e gestão de crises; e |
p) | Promoção e desenvolvimento de programas de educação, competências, sensibilização, exercício e formação no domínio da cibersegurança. |
Para efeitos do primeiro parágrafo, alínea m), as entidades da União têm em conta as vulnerabilidades específicas de cada fornecedor direto e de cada prestador de serviços, bem como a qualidade global dos produtos e as práticas de cibersegurança dos seus fornecedores e prestadores de serviços, incluindo os seus procedimentos de desenvolvimento seguro.
3. As entidades da União tomam, pelo menos, as seguintes medidas específicas de gestão dos riscos de cibersegurança:
a) | Disposições técnicas para permitir e manter o teletrabalho; |
b) | Medidas concretas para avançar rumo a princípios de «confiança zero»; |
c) | Utilização, por norma, da autenticação multifatorial nos sistemas de rede e informação; |
d) | Utilização da criptografia e da cifragem, em particular da cifragem de ponta a ponta, bem como de assinaturas digitais seguras; |
e) | Implantação, se for caso disso, de comunicações seguras de voz, vídeo e texto e de sistemas seguros de comunicações de emergência na entidade da União; |
f) | Medidas proativas para a deteção e remoção de software malicioso e de software espião; |
g) | Garantia da segurança da cadeia de abastecimento de software por meio de critérios para a criação e avaliação seguras de software; |
h) | Estabelecimento e adoção de programas de formação sobre cibersegurança adequados às atribuições prescritas e às capacidades previstas para a direção ao mais alto nível e para os membros do pessoal da entidade da União incumbidos de garantir a aplicação do presente regulamento; |
i) | Formação periódica do pessoal em matéria de cibersegurança; |
j) | Se for caso disso, participação em análises dos riscos de interconectividade entre as entidades da União; |
k) | Reforço das regras de contratação pública para facilitar um elevado nível comum de cibersegurança através:
|
whereas