keyboard_tab Cyber Resilience Act 2023/2841 PT
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Artigo 3.o Definições
- 1 Artigo 5.o Aplicação de medidas
- 1 Artigo 11.o Atribuições do IICB
CAPÍTULO I
DISPOSIÇÕES GERAIS
CAPÍTULO II
MEDIDAS DESTINADAS A GARANTIR UM ELEVADO NIVEL COMUM DE CIBERSEGURANÇA
CAPÍTULO III
CONSELHO INTERINSTITUCIONAL PARA A CIBERSEGURANÇA
CAPÍTULO IV
CERT-UE
CAPÍTULO V
OBRIGAÇÕES DE COOPERAÇÃO E DE COMUNICAÇÃO DE INFORMAÇÕES
CAPÍTULO VI
DISPOSIÇÕES FINAIS
- artigo o 26
- união 23
- cibersegurança 20
- cert-ue 18
- entidades 16
- ue / 12
- aceção 12
- termos 11
- para 11
- diretiva 10
- ponto 10
- nível 9
- aprovar 8
- gestão 8
- proposta 7
- adotar 6
- numa 6
- riscos 6
- orientações 6
- regulamento 6
- base 6
- diretor 6
- entidade 5
- presente 5
- avaliações 5
- acompanhar 4
- rede 4
- acordos 4
- sobre 4
- europeia 4
- pela 4
- pelo 4
- incidente 4
- alto 3
- incidentes 3
- matéria 3
- informações 3
- iicb 3
- respetivos 3
- anual 3
- efeitos 3
- mais 3
- no 3
- tratado 3
- plano 3
- medidas 3
- aplicação 3
- conta 3
- serviço 3
- recomendações 3
Artigo 3.o
Definições
Para efeitos do presente regulamento, entende-se por:
| 1) | «Entidades da União», as instituições, órgãos e organismos criados nos termos do Tratado da União Europeia, do Tratado sobre o Funcionamento da União Europeia (TFUE) ou do Tratado que institui a Comunidade Europeia da Energia Atómica; |
| 2) | «Sistema de rede e informação», um sistema de rede e informação na aceção do artigo 6.o, ponto 1, da Diretiva (UE) 2022/2555; |
| 3) | «Segurança dos sistemas de rede e informação», a segurança dos sistemas de rede e informação na aceção do artigo 6.o, ponto 2, da Diretiva (UE) 2022/2555; |
| 4) | «Cibersegurança», a cibersegurança na aceção do artigo 2.o, ponto 1, do Regulamento (UE) 2019/881; |
| 5) | «Direção ao mais alto nível», um dirigente, um organismo de direção ou um organismo de coordenação e supervisão, que é responsável pelo funcionamento de uma entidade da União ao mais alto nível administrativo, incumbido de adotar ou autorizar decisões em conformidade com as disposições em matéria de governação ao mais alto nível da entidade da União em causa, sem prejuízo das responsabilidades formais que incumbam a outros níveis de direção pela conformidade e gestão dos riscos de cibersegurança nos respetivos domínios de responsabilidade; |
| 6) | «Quase incidente», um quase incidente na aceção do artigo 6.o, ponto 5, da Diretiva (UE) 2022/2555; |
| 7) | «Incidente», um incidente na aceção do artigo 6.o, ponto 6, da Diretiva (UE) 2022/2555; |
| 8) | «Incidente grave», um incidente que causa um nível de perturbação que excede a capacidade de resposta de uma entidade da União e da CERT-UE ou que tem um impacto significativo em pelo menos duas entidades da União; |
| 9) | «Incidente de cibersegurança em grande escala», um incidente de cibersegurança em grande escala na aceção do artigo 6.o, ponto 7, da Diretiva (UE) 2022/2555; |
| 10) | «Tratamento de incidentes», o tratamento de incidentes na aceção do artigo 6.o, ponto 8, da Diretiva (UE) 2022/2555; |
| 11) | «Ciberameaça», uma ciberameaça na aceção do artigo 2.o, ponto 8, do Regulamento (UE) 2019/881; |
| 12) | «Ciberameaça significativa», uma ciberameaça significativa na aceção do artigo 6.o, ponto 11, da Diretiva (UE) 2022/2555; |
| 13) | «Vulnerabilidade», uma vulnerabilidade na aceção do artigo 6.o, ponto 15, da Diretiva (UE) 2022/2555; |
| 14) | «Risco de cibersegurança», um risco na aceção do artigo 6.o, ponto 9, da Diretiva (UE) 2022/2555; |
| 15) | «Serviço de computação em nuvem», um serviço de computação em nuvem na aceção do artigo 6.o, ponto 30, da Diretiva (UE) 2022/2555. |
Artigo 5.o
Aplicação de medidas
1. Até 8 de setembro de 2024, o Conselho Interinstitucional para a Cibersegurança, criado nos termos do artigo 10.o, emite, após consulta à Agência da União Europeia para a Cibersegurança (ENISA) e após receber orientações da CERT-UE, orientações destinadas às entidades da União para efeitos de uma análise inicial da cibersegurança e para criar um regime interno de gestão, governação e controlo dos riscos de cibersegurança nos termos do artigo 6.o, para realizar avaliações da maturidade em matéria de cibersegurança nos termos do artigo 7.o, tomar medidas de gestão dos riscos de cibersegurança nos termos do artigo 8.o e adotar o plano de cibersegurança nos termos do artigo 9.o.
2. Ao aplicar os artigos 6.o a 9.o, as entidades da União têm em conta as orientações a que se refere o n.o 1 do presente artigo, bem como as orientações e recomendações pertinentes adotadas nos termos dos artigos 11.o e 14.o.
Artigo 11.o
Atribuições do IICB
No exercício das suas responsabilidades, o IICB deve, em particular:
| a) | Dar orientações ao diretor da CERT-UE; |
| b) | Acompanhar e supervisionar eficazmente a aplicação do presente regulamento e apoiar as entidades da União no reforço da sua cibersegurança, incluindo, se for caso disso, solicitando relatórios ad hoc às entidades da União e à CERT-UE; |
| c) | adotar, na sequência de um debate estratégico, uma estratégia plurianual sobre o aumento do nível de cibersegurança nas entidades da União, avaliá-la periodicamente e, pelo menos, de cinco em cinco anos, e, se necessário, alterá-la; |
| d) | Estabelecer a metodologia e os aspetos organizacionais para a realização de avaliações voluntárias pelos pares por entidades da União, com vista a retirar ensinamentos de experiências partilhadas, reforçar a confiança mútua, alcançar um elevado nível comum de cibersegurança, bem como reforçar as capacidades de cibersegurança das entidades da União, assegurando que essas avaliações pelos pares sejam realizadas por peritos em cibersegurança designados por uma entidade da União diferente da entidade da União objeto de análise e que a metodologia se baseie no artigo 19.o da Diretiva (UE) 2022/2555 e seja, se for caso disso, adaptada às entidades da União; |
| e) | Aprovar, com base numa proposta do diretor da CERT-UE, o programa de trabalho anual da CERT-UE e acompanhar a sua execução; |
| f) | Aprovar, com base numa proposta do diretor da CERT-UE, o catálogo de serviços da CERT-UE e eventuais atualizações do mesmo; |
| g) | Aprovar, com base numa proposta do diretor da CERT-UE, o plano financeiro anual de receitas e despesas, nomeadamente despesas de pessoal, para as atividades da CERT-UE; |
| h) | Aprovar, com base numa proposta do diretor da CERT-UE, os termos dos acordos de nível de serviço; |
| i) | Examinar e aprovar o relatório anual elaborado pelo chefe da CERT-UE referente às atividades e à gestão dos fundos da CERT-UE; |
| j) | Aprovar e acompanhar os indicadores-chave de desempenho da CERT-UE, definidos com base numa proposta do seu diretor; |
| k) | Aprovar acordos de cooperação, acordos de nível de serviço ou contratos entre a CERT-UE e outras entidades nos termos do artigo 18.o; |
| l) | adotar orientações e recomendações com base numa proposta da CERT-UE nos termos do artigo 14.o, e dar instruções à CERT-UE no sentido de que emita, retire ou modifique uma proposta de orientação ou de recomendação, ou um apelo à ação; |
| m) | Criar grupos consultivos técnicos com atribuições concretas para assistir nos trabalhos do IICB, aprovar os respetivos estatutos e designar os respetivos presidentes; |
| n) | Receber e avaliar documentos e relatórios apresentados pelas entidades da União nos termos do presente regulamento, como por exemplo avaliações da maturidade em matéria de cibersegurança; |
| o) | Facilitar o estabelecimento de um grupo informal que reúna os responsáveis locais pela cibersegurança das entidades da União, apoiadas pela ENISA, visando o intercâmbio de práticas de excelência e de informações em relação à aplicação do presente regulamento; |
| p) | Tendo em conta as informações sobre os riscos de cibersegurança identificados e os ensinamentos apresentados pela CERT-UE, acompanhar a adequação dos acordos de interconectividade entre os ambientes das TIC das entidades da União e prestar aconselhamento sobre possíveis melhorias; |
| q) | Estabelecer um plano de gestão de cibercrises com vista a apoiar, a nível operacional, a gestão coordenada de incidentes graves que afetem entidades da União e a contribuir para o intercâmbio regular de informações pertinentes, em especial no que diz respeito aos impactos, à gravidade e às possíveis formas de atenuar os efeitos dos incidentes graves; |
| r) | Coordenar a adoção dos planos de gestão de cibercrises das entidades individuais da União referidos no artigo 9.o, n.o 2; |
| s) | adotar recomendações relacionadas com a segurança da cadeia de abastecimento a que se refere o artigo 8.o, n.o 2, primeiro parágrafo, alínea m), tendo em conta os resultados das avaliações coordenadas a nível da UE dos riscos de segurança das cadeias de abastecimento críticas referidas no artigo 22.o da Diretiva (UE) 2022/2555, para ajudar as entidades da União a adotar medidas de gestão dos riscos de cibersegurança eficazes e proporcionadas. |
whereas