keyboard_tab Cyber Resilience Act 2023/2841 PT
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Artigo 7.o Avaliação da maturidade em matéria de cibersegurança
- 1 Artigo 14.o Orientações, recomendações e apelos à ação
- 1 Artigo 17.o
- 1 Artigo 18.o
CAPÍTULO I
DISPOSIÇÕES GERAIS
CAPÍTULO II
MEDIDAS DESTINADAS A GARANTIR UM ELEVADO NIVEL COMUM DE CIBERSEGURANÇA
CAPÍTULO III
CONSELHO INTERINSTITUCIONAL PARA A CIBERSEGURANÇA
CAPÍTULO IV
CERT-UE
CAPÍTULO V
OBRIGAÇÕES DE COOPERAÇÃO E DE COMUNICAÇÃO DE INFORMAÇÕES
CAPÍTULO VI
DISPOSIÇÕES FINAIS
- união 24
- cert-ue 22
- cibersegurança 20
- entidade 15
- matéria 14
- entidades 13
- artigo o 12
- informações 12
- contrapartes 11
- para 11
- afetada 9
- incidentes 9
- iicb 7
- caso 7
- maturidade 7
- termos 7
- práticas 6
- consentimento 6
- como 6
- incidente 6
- são 5
- informa 5
- a 4
- sobre 4
- medidas 4
- identidade 4
- avaliação 4
- ciberameaças 4
- todas 4
- boas 4
- pode 4
- tais 4
- diretiva 4
- demora 4
- não 4
- colaboração 4
- estados-membros 4
- divulgação 4
- disso 4
- nomeadamente 4
- aplicável 3
- dados 3
- orientações 3
- recomendações 3
- confidencialidade 3
- forma 3
- ação 3
- facilitar 3
- segurança 3
- específicos 3
Artigo 7.o
Avaliação da maturidade em matéria de cibersegurança
1. Até 8 de julho de 2025 e, posteriormente, pelo menos de dois em dois anos, cada entidade da União realiza uma avaliação da maturidade em matéria de cibersegurança que inclua todos os elementos do seu ambiente das TIC.
2. As avaliações da maturidade em matéria de cibersegurança são, se for caso disso, realizadas com a assistência de um terceiro especializado.
3. As entidades da União com estruturas semelhantes podem cooperar na realização de avaliações da maturidade em matéria de cibersegurança para as respetivas entidades.
4. Com base num pedido do pedido do Conselho Interinstitucional para a Cibersegurança, criado nos termos do artigo 10.o, e com o consentimento explícito da entidade da União em causa, os resultados de uma avaliação da maturidade em matéria de cibersegurança podem ser debatidos no âmbito do Conselho ou no âmbito da rede de responsáveis locais pela cibersegurança, tendo em vista tirar ilações da aplicação e partilhar boas práticas de excelência.
Artigo 14.o
Orientações, recomendações e apelos à ação
1. A CERT-UE apoia a aplicação do presente regulamento através de:
| a) | Apelos à ação, descrevendo medidas urgentes de segurança que as entidades da União são instadas a tomar num determinado prazo; |
| b) | Propostas ao IICB com vista à adoção de orientações dirigidas a todas ou a um conjunto de entidades da União; |
| c) | Propostas ao IICB com vista à adoção de recomendações dirigidas a entidades individuais da União. |
No que diz respeito ao primeiro parágrafo, alínea a), a entidade da União em causa informa a CERT-UE, sem demora injustificada após receber o convite à ação, da forma como as medidas de segurança urgentes foram aplicadas.
2. As orientações e recomendações podem incluir:
| a) | Metodologias comuns e um modelo de avaliação da maturidade em matéria de cibersegurança das entidades da União, incluindo as escalas ou os indicadores-chave de desempenho correspondentes, que sirva de referência para apoiar uma melhoria contínua da cibersegurança em todas as entidades da União e facilitar a atribuição de prioridades dos domínios e medidas de cibersegurança, tendo em conta a postura das entidades em matéria de cibersegurança; |
| b) | Disposições práticas ou melhorias relativas à gestão dos riscos de cibersegurança e das medidas de gestão dos riscos de cibersegurança; |
| c) | Disposições práticas relativas às avaliações da maturidade em matéria de cibersegurança e aos planos de cibersegurança; |
| d) | Se for caso disso, a utilização em comum de uma tecnologia, arquitetura, fonte aberta e das boas práticas conexas no intuito de concretizar a interoperabilidade e normas comuns, incluindo uma abordagem coordenada no que diz respeito à segurança da cadeia de abastecimento; |
| e) | Se for caso disso, informações destinadas a facilitar a utilização de instrumentos de contratação pública colaborativa para a aquisição de serviços e produtos de cibersegurança relevantes a fornecedores terceiros; |
| f) | Acordos de partilha de informações nos termos do artigo 20.o. |
Artigo 17.o
1. A CERT-UE deve, sem demora injustificada, colaborar e trocar informações com as contrapartes dos Estados-Membros, incluindo as CSIRT designadas ou estabelecidas nos termos do artigo 10.o da Diretiva (UE) 2022/2555, ou, se aplicável, as autoridades competentes e pontos de contacto únicos designados ou estabelecidos nos termos do artigo 8.o dessa diretiva, relativamente a incidentes, ciberameaças, vulnerabilidades, quase incidentes, a possíveis contramedidas, bem como a boas práticas e a todas as questões pertinentes para melhorar a proteção do ambiente das TIC das entidades da União, nomeadamente por meio da rede de CSIRT referida no artigo 15.o da Diretiva (UE) 2022/2555. A CERT-UE apoia a Comissão no âmbito da UE-CyCLONe estabelecida nos termos do artigo 16.o da Diretiva (UE) 2022/2555 no que diz respeito à gestão coordenada a incidentes e crises de cibersegurança em grande escala.
2. Caso tome conhecimento de um incidente significativo ocorrido no território de um Estado-Membro, a CERT-UE informa, sem demora, quaisquer contrapartes relevantes nesse Estado-Membro, em conformidade com o n.o 1.
3. Desde que os dados pessoais estejam protegidos em conformidade com a legislação aplicável da União em matéria de proteção de dados, a CERT-UE deve, sem demora injustificada, trocar informações específicas pertinentes sobre incidentes com as contrapartes dos Estados-Membros para facilitar a deteção de ciberameaças ou incidentes semelhantes, ou contribuam para a análise de um incidente, sem a autorização da entidade da União afetada. A CERT-UE só partilha informações específicas sobre incidentes que revelem a identidade do seu alvo num dos seguintes casos:
| a) | A entidade da União afetada der o seu consentimento; |
| b) | A entidade da União afetada não der o consentimento previsto na alínea a) mas a divulgação da identidade da entidade da União afetada aumentar a probabilidade de evitar ou atenuar incidentes noutros locais. |
| c) | A entidade da União afetada já tenha tornado público o facto de ter sido afetada. |
As decisões relativas ao intercâmbio de informações específicas sobre um incidente que revelem a identidade do alvo do incidente nos termos do primeiro parágrafo, alínea b), são aprovadas pelo diretor da CERT-UE. Antes de emitir essa decisão, a CERT-UE contacta por escrito a entidade da União afetada, explicando claramente de que forma a divulgação da sua identidade contribuiria para evitar ou atenuar incidentes noutros locais. O diretor da CERT-UE apresenta a explicação e solicita explicitamente à entidade da União que declare se dá o seu consentimento dentro de um determinado prazo. O diretor da CERT-UE informa igualmente a entidade da União de que, à luz da explicação fornecida, se reserva o direito de divulgar as informações, mesmo na falta de consentimento. A entidade da União afetada é informada antes da divulgação das informações.
Artigo 18.o
1. A CERT-UE pode colaborar com contrapartes da União distintas das mencionadas no artigo 17.o que estejam sujeitas aos requisitos da União em matéria de cibersegurança, nomeadamente contrapartes setoriais, em matéria de ferramentas e métodos, como técnicas, táticas, procedimentos e boas práticas, bem como em matéria de ciberameaças e vulnerabilidades informáticas. No que respeita à colaboração com tais contrapartes, a CERT-UE deve obter a aprovação prévia do IICB numa base casuística. Caso estabeleça a cooperação com tais contrapartes, a CERT-UE informa todas as contrapartes pertinentes dos Estados-Membros referidas no artigo 17.o, n.o 1, no Estado-Membro onde a contraparte se encontre. Se aplicável e for caso disso, essa cooperação e as respetivas condições, nomeadamente em matéria de cibersegurança, proteção de dados e tratamento de informações, são estabelecidas em acordos de confidencialidade específicos, tais como contratos ou convénios administrativos. Os acordos de confidencialidade não carecem da aprovação prévia do IICB mas são levados ao conhecimento do seu presidente. Em caso de necessidade urgente e iminente de trocar informações em matéria de cibersegurança no interesse das entidades da União ou de outra parte, a CERT-UE pode fazê-lo com uma entidade cuja competência, capacidade e conhecimentos específicos sejam justificadamente necessários para prestar assistência em caso de uma tal necessidade urgente e iminente, mesmo que a CERT-UE não disponha de um acordo de confidencialidade com essa entidade. Nesses casos, a CERT-UE informa imediatamente o presidente do IICB e mantém o IICB informado através de relatórios periódicos ou reuniões.
2. A CERT-UE pode colaborar com parceiros, como entidades comerciais, nomeadamente entidades setoriais, organizações internacionais, entidades nacionais de países terceiros ou determinados peritos, de forma a recolher informações sobre as ciberameaças, quase incidentes, vulnerabilidades e contramedidas possíveis, em termos gerais e específicos. Para uma colaboração mais alargada com tais parceiros, a CERT-UE deve obter a aprovação prévia do IICB numa base casuística.
3. Mediante consentimento da entidade da União afetada por um incidente e desde que exista um acordo ou contrato de não divulgação com a contraparte ou parceiro em causa, a CERT-UE pode transmitir informações relacionadas com o incidente específico às contrapartes ou parceiros a que se referem os n.os 1 e 2 unicamente com o objetivo de contribuir para a sua análise.
CAPÍTULO V
OBRIGAÇÕES DE COOPERAÇÃO E DE COMUNICAÇÃO DE INFORMAÇÕES
whereas