keyboard_tab Cyber Resilience Act 2023/2841 PT
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Artigo 11.o Atribuições do IICB
- 1 Artigo 15.o
- 1 Artigo 18.o
- 1 Artigo 21.o Obrigações de comunicação de informações
- 1 Artigo 25.o Reexame
- Artigo 26.o Entrada em vigor
CAPÍTULO I
DISPOSIÇÕES GERAIS
CAPÍTULO II
MEDIDAS DESTINADAS A GARANTIR UM ELEVADO NIVEL COMUM DE CIBERSEGURANÇA
CAPÍTULO III
CONSELHO INTERINSTITUCIONAL PARA A CIBERSEGURANÇA
CAPÍTULO IV
CERT-UE
CAPÍTULO V
OBRIGAÇÕES DE COOPERAÇÃO E DE COMUNICAÇÃO DE INFORMAÇÕES
CAPÍTULO VI
DISPOSIÇÕES FINAIS
- cert-ue 54
- união 33
- entidades 26
- artigo o 22
- iicb 21
- incidente 20
- para 18
- informações 18
- diretor 17
- termos 14
- relatório 14
- cibersegurança 14
- sobre 13
- proposta 12
- presente 12
- caso 12
- entidade 11
- significativo 11
- incidentes 10
- acordos 9
- base 9
- contrapartes 9
- nível 9
- numa 9
- regulamento 9
- como 8
- no 8
- impacto 8
- aprovar 8
- matéria 7
- relatórios 7
- incluindo 7
- pode 7
- conta 6
- medidas 6
- aplicação 6
- refere 6
- anual 6
- gestão 6
- comissão 6
- nomeadamente 5
- conhecimento 5
- aplicável 5
- recomendações 5
- apresenta 5
- serviços 5
- não 5
- aprovação 5
- atividades 5
- tendo 5
Artigo 11.o
Atribuições do IICB
No exercício das suas responsabilidades, o IICB deve, em particular:
| a) | Dar orientações ao diretor da CERT-UE; |
| b) | Acompanhar e supervisionar eficazmente a aplicação do presente regulamento e apoiar as entidades da União no reforço da sua cibersegurança, incluindo, se for caso disso, solicitando relatórios ad hoc às entidades da União e à CERT-UE; |
| c) | Adotar, na sequência de um debate estratégico, uma estratégia plurianual sobre o aumento do nível de cibersegurança nas entidades da União, avaliá-la periodicamente e, pelo menos, de cinco em cinco anos, e, se necessário, alterá-la; |
| d) | Estabelecer a metodologia e os aspetos organizacionais para a realização de avaliações voluntárias pelos pares por entidades da União, com vista a retirar ensinamentos de experiências partilhadas, reforçar a confiança mútua, alcançar um elevado nível comum de cibersegurança, bem como reforçar as capacidades de cibersegurança das entidades da União, assegurando que essas avaliações pelos pares sejam realizadas por peritos em cibersegurança designados por uma entidade da União diferente da entidade da União objeto de análise e que a metodologia se baseie no artigo 19.o da Diretiva (UE) 2022/2555 e seja, se for caso disso, adaptada às entidades da União; |
| e) | Aprovar, com base numa proposta do diretor da CERT-UE, o programa de trabalho anual da CERT-UE e acompanhar a sua execução; |
| f) | Aprovar, com base numa proposta do diretor da CERT-UE, o catálogo de serviços da CERT-UE e eventuais atualizações do mesmo; |
| g) | Aprovar, com base numa proposta do diretor da CERT-UE, o plano financeiro anual de receitas e despesas, nomeadamente despesas de pessoal, para as atividades da CERT-UE; |
| h) | Aprovar, com base numa proposta do diretor da CERT-UE, os termos dos acordos de nível de serviço; |
| i) | Examinar e aprovar o relatório anual elaborado pelo chefe da CERT-UE referente às atividades e à gestão dos fundos da CERT-UE; |
| j) | Aprovar e acompanhar os indicadores-chave de desempenho da CERT-UE, definidos com base numa proposta do seu diretor; |
| k) | Aprovar acordos de cooperação, acordos de nível de serviço ou contratos entre a CERT-UE e outras entidades nos termos do artigo 18.o; |
| l) | Adotar orientações e recomendações com base numa proposta da CERT-UE nos termos do artigo 14.o, e dar instruções à CERT-UE no sentido de que emita, retire ou modifique uma proposta de orientação ou de recomendação, ou um apelo à ação; |
| m) | Criar grupos consultivos técnicos com atribuições concretas para assistir nos trabalhos do IICB, aprovar os respetivos estatutos e designar os respetivos presidentes; |
| n) | Receber e avaliar documentos e relatórios apresentados pelas entidades da União nos termos do presente regulamento, como por exemplo avaliações da maturidade em matéria de cibersegurança; |
| o) | Facilitar o estabelecimento de um grupo informal que reúna os responsáveis locais pela cibersegurança das entidades da União, apoiadas pela ENISA, visando o intercâmbio de práticas de excelência e de informações em relação à aplicação do presente regulamento; |
| p) | Tendo em conta as informações sobre os riscos de cibersegurança identificados e os ensinamentos apresentados pela CERT-UE, acompanhar a adequação dos acordos de interconectividade entre os ambientes das TIC das entidades da União e prestar aconselhamento sobre possíveis melhorias; |
| q) | Estabelecer um plano de gestão de cibercrises com vista a apoiar, a nível operacional, a gestão coordenada de incidentes graves que afetem entidades da União e a contribuir para o intercâmbio regular de informações pertinentes, em especial no que diz respeito aos impactos, à gravidade e às possíveis formas de atenuar os efeitos dos incidentes graves; |
| r) | Coordenar a adoção dos planos de gestão de cibercrises das entidades individuais da União referidos no artigo 9.o, n.o 2; |
| s) | Adotar recomendações relacionadas com a segurança da cadeia de abastecimento a que se refere o artigo 8.o, n.o 2, primeiro parágrafo, alínea m), tendo em conta os resultados das avaliações coordenadas a nível da UE dos riscos de segurança das cadeias de abastecimento críticas referidas no artigo 22.o da Diretiva (UE) 2022/2555, para ajudar as entidades da União a adotar medidas de gestão dos riscos de cibersegurança eficazes e proporcionadas. |
Artigo 15.o
1. A Comissão, tendo obtido a aprovação por maioria de dois terços dos membros do IICB, nomeia o diretor da CERT-UE. O IICB é consultado em todas as fases do processo de nomeação do diretor da CERT-UE, em especial no que respeita à elaboração dos anúncios de abertura de vaga, à análise das candidaturas e à nomeação de júris de seleção para o cargo. O processo de seleção, incluindo a lista restrita final de candidatos para a nomeação do diretor da CERT-UE, assegura uma representação equitativa de cada género, tendo em conta as candidaturas apresentadas.
2. O diretor da CERT-UE é responsável pelo bom funcionamento da CERT-UE, atuando no âmbito das suas competências e sob a direção do IICB. O diretor da CERT-UE presta periodicamente informações ao presidente do IICB e apresenta relatórios ad hoc ao IICB, a pedido do referido presidente.
3. O diretor da CERT-UE presta assistência ao gestor orçamental delegado competente na elaboração do relatório anual de atividades que contém informações financeiras e de gestão, incluindo os resultados dos controlos, e é elaborado nos termos do artigo 74.o, n.o 9, do Regulamento (UE, Euratom) 2018/1046 do Parlamento Europeu e do Conselho (9), e informa-o regularmente sobre a aplicação das medidas para as quais tenham sido subdelegadas competências no diretor da CERT-UE.
4. O diretor da CERT-UE elabora anualmente um planeamento financeiro das receitas e despesas administrativas relacionadas com as suas atividades, uma proposta de programa de trabalho anual, uma proposta de catálogo de serviços da CERT-UE e as respetivas revisões, uma proposta dos termos dos acordos de nível de serviço e uma proposta de indicadores-chave de desempenho para a CERT-UE, com vista à sua aprovação pelo IICB nos termos do artigo 11.o. No âmbito da revisão da lista de serviços incluídos no catálogo de serviços da CERT-UE, o diretor da CERT-UE tem em conta os recursos afetados à CERT-UE.
5. O diretor da CERT-UE apresenta, pelo menos anualmente, relatórios ao IICB e ao presidente do IICB sobre as atividades e o desempenho da CERT-UE durante o período de referência, inclusive sobre a execução do orçamento, os acordos de nível de serviço e os acordos escritos celebrados, a colaboração com as contrapartes e os parceiros, bem como as missões realizadas pelos membros do seu pessoal, incluindo os relatórios referidos no artigo 11.o. Os referidos relatórios incluem um programa de trabalho para o período seguinte, o planeamento financeiro das receitas e despesas, incluindo o pessoal, as atualizações previstas do catálogo de serviços da CERT-UE e uma avaliação do impacto esperado dessas atualizações em termos de recursos financeiros e humanos.
Artigo 18.o
1. A CERT-UE pode colaborar com contrapartes da União distintas das mencionadas no artigo 17.o que estejam sujeitas aos requisitos da União em matéria de cibersegurança, nomeadamente contrapartes setoriais, em matéria de ferramentas e métodos, como técnicas, táticas, procedimentos e boas práticas, bem como em matéria de ciberameaças e vulnerabilidades informáticas. No que respeita à colaboração com tais contrapartes, a CERT-UE deve obter a aprovação prévia do IICB numa base casuística. Caso estabeleça a cooperação com tais contrapartes, a CERT-UE informa todas as contrapartes pertinentes dos Estados-Membros referidas no artigo 17.o, n.o 1, no Estado-Membro onde a contraparte se encontre. Se aplicável e for caso disso, essa cooperação e as respetivas condições, nomeadamente em matéria de cibersegurança, proteção de dados e tratamento de informações, são estabelecidas em acordos de confidencialidade específicos, tais como contratos ou convénios administrativos. Os acordos de confidencialidade não carecem da aprovação prévia do IICB mas são levados ao conhecimento do seu presidente. Em caso de necessidade urgente e iminente de trocar informações em matéria de cibersegurança no interesse das entidades da União ou de outra parte, a CERT-UE pode fazê-lo com uma entidade cuja competência, capacidade e conhecimentos específicos sejam justificadamente necessários para prestar assistência em caso de uma tal necessidade urgente e iminente, mesmo que a CERT-UE não disponha de um acordo de confidencialidade com essa entidade. Nesses casos, a CERT-UE informa imediatamente o presidente do IICB e mantém o IICB informado através de relatórios periódicos ou reuniões.
2. A CERT-UE pode colaborar com parceiros, como entidades comerciais, nomeadamente entidades setoriais, organizações internacionais, entidades nacionais de países terceiros ou determinados peritos, de forma a recolher informações sobre as ciberameaças, quase incidentes, vulnerabilidades e contramedidas possíveis, em termos gerais e específicos. Para uma colaboração mais alargada com tais parceiros, a CERT-UE deve obter a aprovação prévia do IICB numa base casuística.
3. Mediante consentimento da entidade da União afetada por um incidente e desde que exista um acordo ou contrato de não divulgação com a contraparte ou parceiro em causa, a CERT-UE pode transmitir informações relacionadas com o incidente específico às contrapartes ou parceiros a que se referem os n.os 1 e 2 unicamente com o objetivo de contribuir para a sua análise.
CAPÍTULO V
OBRIGAÇÕES DE COOPERAÇÃO E DE COMUNICAÇÃO DE INFORMAÇÕES
Artigo 21.o
Obrigações de comunicação de informações
1. Considera-se que um incidente é significativo se:
| a) | Tiver causado ou for suscetível de causar graves perturbações operacionais no que se refere ao funcionamento da entidade da União ou perdas financeiras para a entidade da União em causa; |
| b) | Tiver afetado ou for suscetível de afetar outras pessoas singulares ou coletivas, causando danos materiais ou imateriais consideráveis. |
2. As entidades da União apresentam à CERT-UE:
| a) | Sem demora injustificada e, em qualquer caso, no prazo de 24 horas depois de terem tomado conhecimento do incidente significativo, um alerta rápido, que, se aplicável, indica se há suspeitas de que o incidente significativo foi causado por um ato ilícito ou malicioso ou se pode ter um impacto transfronteiriço ou transversal a várias entidades; |
| b) | Sem demora injustificada e, em qualquer caso, no prazo de 72 horas depois de terem tomado conhecimento do incidente significativo, uma notificação de incidente, que, se aplicável, deve atualizar as informações a que se refere a alínea a) e disponibilizar uma avaliação inicial do incidente significativo, incluindo da sua gravidade e do seu impacto, bem como, se disponíveis, dos indicadores de exposição a riscos; |
| c) | A pedido da CERT-UE, um relatório intercalar com atualizações de estado pertinentes; |
| d) | O mais tardar um mês após a apresentação da notificação de incidente mencionada na alínea b), um relatório final que contenha os seguintes elementos:
|
| e) | Em caso de incidente em curso no momento da apresentação do relatório final referido na alínea d), um relatório intercalar nessa altura e um relatório final no prazo de um mês após terem tratado o incidente. |
3. Sem demora injustificada e, em qualquer caso, no prazo de 24 horas depois de ter tomado conhecimento de um incidente significativo, uma entidade da União informa as contrapartes pertinentes dos Estados-Membros a que se refere o artigo 17.o, n.o 1, no Estado-Membro em que está localizada de que ocorreu um incidente significativo.
4. As entidades da União comunicam, nomeadamente, quaisquer informações que permitam à CERT-UE determinar qualquer impacto transversal às entidades, impacto no Estado-Membro de acolhimento ou impacto transfronteiriço após a ocorrência de um incidente significativo. Sem prejuízo do artigo 12.o, a mera notificação não sujeita a entidade da União notificadora a responsabilidades acrescidas.
5. Se aplicável, as entidades da União comunicam, sem demora injustificada, aos utilizadores dos sistemas de rede e informação afetados, ou de outros componentes do ambiente das TIC, que serão potencialmente afetados por um incidente significativo ou por uma ciberameaça significativa, e, se for caso disso, que necessitam de tomar medidas de atenuação, e as medidas proativas ou corretivas que podem ser tomadas em resposta ao incidente ou à ameaça. Se for caso disso, as entidades da União devem informar esses utilizadores da própria ciberameaça significativa.
6. Se um incidente significativo ou uma ciberameaça significativa afetar um sistema de rede e informação ou um componente do ambiente das TIC de uma entidade da União que se saiba estar ligado ao ambiente das TIC de outra entidade da União, a CERT-UE emite um alerta de cibersegurança pertinente.
7. As entidades da União, a pedido da CERT-UE, facultam-lhe sem demora injustificada as informações digitais decorrentes da utilização dos dispositivos eletrónicos envolvidos nos incidentes em causa. A CERT-UE pode dar mais pormenores sobre os tipos de informação de que necessita para fins de conhecimento situacional e resposta a incidentes.
8. A CERT-UE apresenta, a cada três meses, ao IICB, à ENISA, ao INTCEN da UE e à rede de CSIRT, um relatório de síntese que inclua dados anonimizados e agregados sobre incidentes significativos, incidentes, ciberameaças, quase incidentes e vulnerabilidades nos termos do artigo 20.o e incidentes significativos notificados nos termos do n.o 2 do presente artigo. O referido relatório de síntese constitui um contributo para o relatório bienal sobre o estado da cibersegurança na União, elaborado nos termos do artigo 18.o da Diretiva (UE) 2022/2555.
9. Até 8 de julho de 2024, o IICB emite orientações ou recomendações no sentido de especificar melhor as modalidades, o formato e o conteúdo da comunicação de informações nos termos do presente artigo. Ao elaborar essas orientações ou recomendações, o IICB deve ter em conta quaisquer atos de execução adotados nos termos do artigo 23.o, n.o 11, da Diretiva (UE) 2022/2555 que especifiquem o tipo de informações, o formato e o procedimento das notificações. A CERT-UE divulga os pormenores técnicos necessários para permitir uma deteção proativa, a resposta a incidentes ou a tomada de medidas de atenuação por parte das entidades da União.
10. As obrigações de comunicação de informações impostas no presente artigo não abrangem:
| a) | As ICUE; |
| b) | As informações cuja distribuição posterior tenha sido excluída por meio de uma marcação visível, a menos que a sua partilha com a CERT-UE tenha sido explicitamente autorizada. |
Artigo 25.o
Reexame
1. Até 8 de janeiro de 2025 e, posteriormente, numa base anual, o IICB, com a assistência da CERT-UE, deve comunicar à Comissão informações sobre a aplicação do presente regulamento. O IICB pode formular recomendações dirigidas à Comissão para que esta reexamine o presente regulamento.
2. Até 8 de janeiro de 2027 e, posteriormente, de dois em dois anos, a Comissão avalia a aplicação do presente regulamento e apresenta ao Parlamento Europeu e ao Conselho um relatório sobre essa matéria e sobre a experiência adquirida a nível estratégico e operacional.
O relatório a que se refere o primeiro parágrafo do presente número deve incluir o reexame a que se refere o artigo 16.o, n.o 1, relativa à possibilidade de a CERT-UE ser constituída um organismo da União.
3. Até 8 de janeiro de 2029, a Comissão avalia o funcionamento do presente regulamento e apresenta um relatório ao Parlamento Europeu, ao Conselho, ao Comité Económico e Social Europeu e ao Comité das Regiões. A Comissão avalia igualmente a conveniência de incluir no âmbito de aplicação do presente regulamento os sistemas de rede e informação que tratam ICUE, tendo em conta outros atos legislativos da União aplicáveis a esses sistemas. Se necessário, o relatório é acompanhado de uma proposta legislativa.
whereas