keyboard_tab Cyber Resilience Act 2023/2841 PT
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Artigo 4.o Tratamento de dados pessoais
- 1 Artigo 12.o Conformidade
- 1 Artigo 19.o Tratamento de informações
- 1 Artigo 20.o Acordos de partilha de informações sobre cibersegurança
CAPÍTULO I
DISPOSIÇÕES GERAIS
CAPÍTULO II
MEDIDAS DESTINADAS A GARANTIR UM ELEVADO NIVEL COMUM DE CIBERSEGURANÇA
CAPÍTULO III
CONSELHO INTERINSTITUCIONAL PARA A CIBERSEGURANÇA
CAPÍTULO IV
CERT-UE
CAPÍTULO V
OBRIGAÇÕES DE COOPERAÇÃO E DE COMUNICAÇÃO DE INFORMAÇÕES
CAPÍTULO VI
DISPOSIÇÕES FINAIS
- união 36
- para 22
- artigo o 22
- entidade 21
- termos 18
- cert-ue 17
- informações 17
- entidades 15
- regulamento 15
- iicb 12
- presente 12
- causa 12
- medidas 11
- cibersegurança 11
- dados 9
- tratamento 9
- no 8
- incidentes 8
- obrigações 7
- pode 7
- não 7
- partilha 6
- caso 6
- recomendações 6
- sobre 5
- pessoais 5
- o 5
- orientações 4
- conselho 4
- cumprir 4
- pela 4
- pedido 4
- conformidade 4
- necessário 4
- as 4
- prazo 4
- alerta 3
- aplicáveis 3
- regras 3
- incluindo 3
- identificadas 3
- notificações 3
- se 3
- emitir 3
- lacunas 3
- procedimentos 3
- sido 3
- quaisquer 3
- abrigo 3
- necessárias 3
Artigo 4.o
Tratamento de dados pessoais
1. O tratamento de dados pessoais ao abrigo do presente regulamento pela CERT-UE, o Conselho Interinstitucional para a Cibersegurança criado nos termos do artigo 10.o e as entidades da União é efetuado nos termos do Regulamento (UE) 2018/1725.
2. Caso desempenhem funções ou cumpram obrigações nos termos do presente regulamento, a CERT-UE, o Conselho Interinstitucional para a Cibersegurança criado nos termos do artigo 10.o e as entidades da União tratam e procedem ao intercâmbio de dados pessoais apenas na medida do necessário e com o objetivo único de desempenhar essas funções ou de cumprir essas obrigações.
3. O tratamento de categorias especiais de dados pessoais a que se refere o artigo 10.o, n.o 1, do Regulamento (UE) 2018/1725, é considerado necessário por motivos de interesse público importante, nos termos do artigo 10.o, n.o 2, alínea g), do mesmo regulamento. Esses dados só podem ser tratados na medida do necessário para a aplicação das medidas de gestão dos riscos de cibersegurança a que se referem os artigos 6.o e 8.o, para a prestação de serviços pela CERT-UE nos termos do artigo 13.o, a partilha de informações específicas sobre incidentes nos termos do artigo 17.o, n.o 3, e do artigo 18.o, n.o 3, para a partilha de informações nos termos do artigo 20.o, para as obrigações de comunicação de informações ao abrigo do artigo 21.o, para a coordenação e cooperação da resposta a incidentes nos termos do artigo 22.o e para a gestão de incidentes graves nos termos do artigo 23.o do presente regulamento. As entidades da União e a CERT-UE, quando atuam na qualidade de responsáveis pelo tratamento de dados, aplicam medidas técnicas para impedir o tratamento de categorias especiais de dados pessoais para outros fins e preveem medidas adequadas e específicas para salvaguardar os direitos fundamentais e os interesses dos titulares dos dados.
CAPÍTULO II
MEDIDAS DESTINADAS A GARANTIR UM ELEVADO NIVEL COMUM DE CIBERSEGURANÇA
Artigo 12.o
Conformidade
1. Cabe ao IICB, nos termos do artigo 10.o, n.o 2, e do artigo 11.o, acompanhar de forma eficaz a aplicação, por parte das entidades da União, do presente regulamento e das orientações, recomendações e apelos à ação adotados. O IICB pode solicitar às entidades da União as informações ou a documentação necessárias para o efeito. Para efeitos de adoção das medidas de conformidade nos termos do presente artigo, caso a entidade da União em causa esteja diretamente representada no IICB, não tem direito de voto.
2. Se concluir que uma entidade da União não aplicou efetivamente o presente regulamento ou alguma das orientações, recomendações ou apelos à ação emitidos nos termos do presente regulamento, o IICB pode, sem prejuízo dos procedimentos internos da entidade da União em causa, e após ter dado a oportunidade à entidade ou pessoa em causa de apresentar o seu ponto de vista:
| a) | Transmitir um parecer fundamentado à entidade da União em causa, com as lacunas observadas na aplicação do presente regulamento; |
| b) | Dar, após consulta à CERT-UE, orientações à entidade da União em causa, por forma a colocar o respetivo regime, as medidas de gestão dos riscos de cibersegurança, os planos de cibersegurança e as obrigações de informação em conformidade com o presente regulamento num determinado prazo; |
| c) | Emitir um alerta para abordar as lacunas identificadas num prazo especificado, incluindo recomendações para alterar medidas adotadas pela entidade da União em causa nos termos do presente regulamento; |
| d) | Emitir uma notificação fundamentada para a entidade da União em causa, caso as deficiências identificadas num alerta emitido nos termos da alínea c) não tenham sido satisfatoriamente corrigidas no prazo especificado; |
| e) | Emitir:
|
| f) | Informar, se for caso disso, o Tribunal de Contas, no âmbito do seu mandato, do alegado incumprimento; |
| g) | Emitir uma recomendação para que todos os Estados-Membros e todas as entidades da União apliquem uma suspensão temporária dos fluxos de dados para a entidade da União em causa. |
Para efeitos do primeiro parágrafo, alínea c), o público-alvo de um alerta deve ser restringido adequadamente, se necessário tendo em conta o risco de cibersegurança.
Os alertas e recomendações emitidos ao abrigo do primeiro parágrafo são dirigidos à direção ao mais alto nível da entidade da União em causa.
3. Se o IICB tiver adotado medidas nos termos do n.o 2, primeiro parágrafo, alíneas a) a g), a entidade da União em causa apresenta ao pormenor as medidas e ações aplicadas para colmatar as alegadas lacunas identificadas pelo IICB. A entidade da União apresenta os referidos pormenores dentro de um prazo razoável a negociar com o IICB.
4. Se o IICB considerar que existe infração persistente ao presente regulamento por parte de uma entidade da União, diretamente resultante de ações ou omissões de um funcionário ou outro agente da União, incluindo da direção ao mais alto nível, o IICB exige à entidade da União em causa que tome as medidas necessárias, nomeadamente solicitando que pondere a tomada de medidas de caráter disciplinar, em conformidade com as regras e os procedimentos previstos no Estatuto dos Funcionários e em quaisquer outras regras ou quaisquer outros procedimentos aplicáveis. Para o efeito, o IICB transmite as informações necessárias à entidade da União em causa.
5. Caso as entidades da União informem da sua incapacidade para cumprir os prazos previstos no artigo 6.o, n.o 1, e no artigo 8.o, n.o 1, o IICB pode, em casos devidamente motivados, tendo em conta a dimensão da entidade da União, autorizar a prorrogação dos referidos prazos.
CAPÍTULO IV
CERT-UE
Artigo 19.o
Tratamento de informações
1. As entidades da União e a CERT-UE devem respeitar as obrigações de sigilo profissional nos termos do artigo 339.o do TFUE ou dos regimes equivalentes aplicáveis.
2. O Regulamento (CE) n.o 1049/2001 do Parlamento Europeu e do Conselho (10) é aplicável no que respeita aos pedidos de acesso do público a documentos na posse da CERT-UE, tendo em conta a obrigação, prevista no referido regulamento, de consultar as outras entidades da União ou, se for caso disso, os Estados-Membros, sempre que um pedido diga respeito a documentos seus.
3. O tratamento das informações pelas entidades da União e pela CERT-UE deve cumprir as regras aplicáveis relativas à segurança da informação.
Artigo 20.o
Acordos de partilha de informações sobre cibersegurança
1. As entidades da União podem, a título voluntário, informar a CERT-UE e prestar-lhe informações sobre incidentes, ciberameaças, quase incidentes e vulnerabilidades que as afetem. A CERT-UE garante a disponibilidade de meios de comunicação eficientes, com um nível elevado de rastreabilidade, confidencialidade e fiabilidade, com o objetivo de facilitar a partilha de informações com as entidades da União. No tratamento de notificações, a CERT-UE pode dar prioridade ao tratamento das notificações obrigatórias em detrimento das notificações voluntárias. Sem prejuízo do artigo 12.o, a notificação voluntária não pode resultar na imposição à entidade da União notificadora de quaisquer obrigações adicionais às quais esta não estaria sujeita se não tivesse procedido à notificação.
2. Com vista a cumprir a sua missão e as atribuições conferidas nos termos do artigo 13.o, a CERT-UE pode solicitar que as entidades da União lhe transmitam informações dos respetivos inventários de sistemas das TIC, incluindo informações relacionadas com ciberameaças, quase incidentes, vulnerabilidades, indicadores de exposição a riscos, alertas de cibersegurança e recomendações relativas à configuração das ferramentas de cibersegurança destinadas a detetar incidentes de cibersegurança. A entidade da União requerida deve transmitir sem demora injustificada as informações solicitadas, bem como eventuais atualizações subsequentes dessas informações.
3. A CERT-UE pode partilhar com as entidades da União informações específicas sobre incidentes que permitam identificar a entidade da União afetada por um determinado incidente, desde que a entidade da União afetada em tal consinta. Caso uma entidade da União recuse dar o seu consentimento, deve indicar à CERT-UE os motivos que fundamentam essa decisão.
4. As entidades da União, mediante pedido, partilham informações com o Parlamento Europeu e o Conselho sobre a conclusão dos planos de cibersegurança.
5. O IICB ou a CERT-UE, consoante o caso, partilham, mediante pedido, orientações, recomendações e apelos à ação com o Parlamento Europeu e o Conselho.
6. As obrigações de partilha impostas no presente artigo não abrangem:
| a) | As ICUE; |
| b) | As informações cuja distribuição posterior tenha sido excluída por meio de uma marcação visível, a menos que a sua partilha com a CERT-UE tenha sido explicitamente autorizada. |
whereas