keyboard_tab Cyber Resilience Act 2023/2841 PT
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Artigo 6.o Regime de gestão, governação e controlo dos riscos de cibersegurança
- 3 Artigo 10.o Conselho Interinstitucional para a Cibersegurança
- 1 Artigo 11.o Atribuições do IICB
- 1 Artigo 17.o
CAPÍTULO I
DISPOSIÇÕES GERAIS
CAPÍTULO II
MEDIDAS DESTINADAS A GARANTIR UM ELEVADO NIVEL COMUM DE CIBERSEGURANÇA
CAPÍTULO III
CONSELHO INTERINSTITUCIONAL PARA A CIBERSEGURANÇA
CAPÍTULO IV
CERT-UE
CAPÍTULO V
OBRIGAÇÕES DE COOPERAÇÃO E DE COMUNICAÇÃO DE INFORMAÇÕES
CAPÍTULO VI
DISPOSIÇÕES FINAIS
- união 53
- cert-ue 37
- cibersegurança 31
- entidade 29
- para 27
- iicb 26
- regulamento 20
- artigo o 19
- entidades 19
- pela 17
- presente 15
- nível 15
- termos 14
- aplicação 13
- base 12
- regime 11
- incidentes 11
- diretor 10
- numa 10
- gestão 10
- o 10
- informações 9
- aprovar 9
- proposta 8
- diretiva 8
- como 8
- rede 8
- europeu 8
- afetada 8
- riscos 8
- cada 8
- sobre 8
- caso 7
- atribuições 7
- presidente 7
- pode 7
- ue / 7
- pelo 6
- conselho 6
- funcionários 6
- no 6
- membros 6
- designados 6
- interno 6
- responsável 6
- comité 6
- direção 6
- seus 5
- específicas 5
- local 5
Artigo 6.o
Regime de gestão, governação e controlo dos riscos de cibersegurança
1. Até 8 de abril de 2025, cada entidade da União estabelece, após efetuar uma análise inicial da cibersegurança, designadamente uma auditoria, um regime interno de gestão, governação e controlo dos riscos de cibersegurança («regime»). O estabelecimento do regime é supervisionado pela direção ao mais alto nível da entidade da União e é da sua responsabilidade.
2. O regime abrange a totalidade do ambiente das TIC não classificado da entidade da União em causa, incluindo todos os ambientes das TIC nas instalações, a rede de tecnologia operacional locais, os ativos e serviços subcontratados em ambientes de computação em nuvem ou alojados por terceiros, os dispositivos móveis, as redes institucionais, as redes institucionais não ligadas à Internet e todos os dispositivos ligados aos referidos ambientes («ambiente das TIC»). O regime baseia-se numa abordagem que tem em conta todos os perigos.
3. O regime garante um elevado nível de cibersegurança. Estabelece políticas internas de cibersegurança, incluindo objetivos e prioridades, para a segurança dos sistemas de rede e informação, bem como as funções e responsabilidades do pessoal da entidade da União encarregado de assegurar a aplicação efetiva do presente regulamento. O regime inclui também mecanismos para medir a eficácia da aplicação.
4. O regime é reexaminado periodicamente, na perspetiva da evolução dos riscos de cibersegurança, e, pelo menos, de quatro em quatro anos. Se for caso disso e na sequência de um pedido do Conselho Interinstitucional para a Cibersegurança, criado nos termos do artigo 10.o, o regime de uma entidade da União pode ser atualizado com base nas orientações da CERT-UE sobre incidentes identificados ou eventuais lacunas observadas na aplicação do presente regulamento.
5. Incumbe à direção ao mais alto nível de cada entidade da União a responsabilidade pela aplicação do presente regulamento, assim como a supervisão do cumprimento, por parte da respetiva organização, das obrigações relacionadas com o regime.
6. Se for caso disso e sem prejuízo da sua responsabilidade pela aplicação do presente regulamento, a direção ao mais alto nível de cada entidade da União pode delegar obrigações específicas ao abrigo do presente regulamento em altos funcionários, na aceção do artigo 29.o, n.o 2, do Estatuto dos Funcionários, ou noutros funcionários de nível equivalente, dentro da entidade da União em causa. Independentemente dessa delegação, a direção ao mais alto nível pode ser considerada responsável por infrações ao presente regulamento cometidas pela entidade da União em causa.
7. Cada entidade da União deve dispor de mecanismos eficazes para assegurar que uma percentagem adequada do orçamento para as TIC seja aplicada em cibersegurança. O regime é devidamente tido em conta na definição da referida percentagem.
8. Cada entidade da União designa um responsável local pela cibersegurança, ou função equivalente, que atue como ponto de contacto único relativamente a todos os aspetos de cibersegurança. O responsável local pela cibersegurança facilita a aplicação do presente regulamento e reporta diretamente à direção ao mais alto nível, numa base periódica, o ponto da situação no que se refere à aplicação. Sem prejuízo do facto de o responsável local pela cibersegurança ser o ponto de contacto único em cada entidade da União, uma entidade da União pode delegar na CERT-UE determinadas atribuições do responsável local pela cibersegurança no que diz respeito à aplicação do presente regulamento, com base num acordo de nível de serviço celebrado entre essa entidade da União e a CERT-UE, ou essas atribuições podem ser partilhadas por várias entidades da União. Caso essas atribuições sejam delegadas na CERT-UE, o Comité Interinstitucional para a Cibersegurança, criado nos termos do artigo 10.o, decide se a prestação desse serviço deve fazer parte dos serviços de base da CERT-UE, tendo em conta os recursos humanos e financeiros da entidade da União em causa. Cada entidade da União informa a CERT-UE, sem demora injustificada, do responsável local pela cibersegurança designado e de eventuais alterações subsequentes a este respeito.
A CERT-UE cria a lista de responsáveis locais pela cibersegurança designados e garante a respetiva atualização.
9. Os altos funcionários na aceção do artigo 29.o, n.o 2, do Estatuto dos Funcionários ou outros funcionários de nível equivalente de cada entidade da União, bem como todos os membros do pessoal pertinentes incumbidos da aplicação das medidas de gestão dos riscos de cibersegurança e do cumprimento das obrigações previstas no presente regulamento, frequentam periodicamente ações específicas de formação, a fim de adquirir conhecimentos e competências suficientes para compreender e avaliar os riscos de segurança e as práticas de gestão, bem como o seu impacto no funcionamento da entidade da União.
Artigo 10.o
Conselho Interinstitucional para a Cibersegurança
1. É criado o Conselho Interinstitucional para a Cibersegurança (IICB, na sigla inglesa).
2. Cabe ao IICB:
| a) | Acompanhar e apoiar a aplicação do presente regulamento por parte das entidades da União; |
| b) | Supervisionar a concretização das prioridades e objetivos gerais pela CERT-UE e conferir-lhe uma direção estratégica. |
3. O IICB é composto por:
| a) | Um representante designado por cada uma das seguintes entidades:
|
| b) | Três representantes designados pela Rede de Agências da UE, com base numa proposta do seu Comité Consultivo para as TIC, para representar os interesses dos órgãos e organismos da União que administram os seus próprios ambientes das TIC, para além dos referidos na alínea a). |
As entidades da União representadas no IICB procuram alcançar o equilíbrio de género entre os representantes designados.
4. Os membros do IICB podem ser assistidos por um suplente. O presidente pode convidar outros representantes das entidades da União referidas no n.o 3 ou de outras entidades da União para participarem nas reuniões do IICB, sem direito de voto.
5. O diretor da CERT-UE e os presidentes do grupo de cooperação, da rede de CSIRT e da UE-CyCLONe, criados, respetivamente, nos termos dos artigos 14.o, 15.o e 16.o da Diretiva (UE) 2022/2555, ou os respetivos suplentes, podem participar nas reuniões do IICB na qualidade de observadores. Em casos excecionais, o IICB pode, nos termos do seu regulamento interno, decidir em contrário.
6. Cabe ao IICB aprovar o seu regulamento interno.
7. O IICB designa um presidente de entre os seus membros, nos termos do seu regulamento interno, por um período de três anos. O seu suplente torna-se membro efetivo do IICB durante o mesmo período.
8. O IICB reúne-se pelo menos três vezes por ano por iniciativa do seu presidente, a pedido da CERT-UE ou a pedido de um dos seus membros.
9. Cada membro do IICB dispõe de um voto. As decisões do IICB são tomadas por maioria simples, salvo disposição em contrário no presente regulamento. O presidente do IICB não participa na votação, exceto em caso de empate, caso em que poderá exercer um voto de qualidade.
10. O IICB pode deliberar por procedimento escrito simplificado em conformidade com o seu regulamento interno, ao abrigo do qual as decisões pertinentes são consideradas aprovadas no prazo estabelecido pelo presidente, exceto se um membro se opuser.
11. O secretariado do IICB é assegurado pela Comissão e responde perante o presidente do IICB.
12. Os representantes designados pela Rede de Agências da UE transmitem as decisões do IICB aos membros da Rede de Agências da UE. Qualquer membro da Rede de Agências da UE tem o direito de suscitar junto dos referidos representantes ou do presidente do IICB qualquer questão que considerem que deverá ser dada a conhecer ao IICB.
13. O IICB cria um comité executivo para o assistir nos seus trabalhos e delegar algumas das suas atribuições e competências. Cabe ao IICB criar o regulamento interno do comité executivo, incluindo as respetivas atribuições e competências e a duração do mandato dos seus membros.
14. Até 8 de janeiro de 2025 e, posteriormente, numa base anual, o IICB apresenta ao Conselho um relatório que descreve pormenorizadamente os progressos realizados na aplicação do presente regulamento e que especifica, em especial, a amplitude da cooperação da CERT-UE com as suas contrapartes em cada Estado-Membro. O referido relatório constitui um contributo para o relatório bienal sobre o estado da cibersegurança na União, elaborado nos termos do artigo 18.o da Diretiva (UE) 2022/2555.
Artigo 11.o
Atribuições do IICB
No exercício das suas responsabilidades, o IICB deve, em particular:
| a) | Dar orientações ao diretor da CERT-UE; |
| b) | Acompanhar e supervisionar eficazmente a aplicação do presente regulamento e apoiar as entidades da União no reforço da sua cibersegurança, incluindo, se for caso disso, solicitando relatórios ad hoc às entidades da União e à CERT-UE; |
| c) | Adotar, na sequência de um debate estratégico, uma estratégia plurianual sobre o aumento do nível de cibersegurança nas entidades da União, avaliá-la periodicamente e, pelo menos, de cinco em cinco anos, e, se necessário, alterá-la; |
| d) | Estabelecer a metodologia e os aspetos organizacionais para a realização de avaliações voluntárias pelos pares por entidades da União, com vista a retirar ensinamentos de experiências partilhadas, reforçar a confiança mútua, alcançar um elevado nível comum de cibersegurança, bem como reforçar as capacidades de cibersegurança das entidades da União, assegurando que essas avaliações pelos pares sejam realizadas por peritos em cibersegurança designados por uma entidade da União diferente da entidade da União objeto de análise e que a metodologia se baseie no artigo 19.o da Diretiva (UE) 2022/2555 e seja, se for caso disso, adaptada às entidades da União; |
| e) | Aprovar, com base numa proposta do diretor da CERT-UE, o programa de trabalho anual da CERT-UE e acompanhar a sua execução; |
| f) | Aprovar, com base numa proposta do diretor da CERT-UE, o catálogo de serviços da CERT-UE e eventuais atualizações do mesmo; |
| g) | Aprovar, com base numa proposta do diretor da CERT-UE, o plano financeiro anual de receitas e despesas, nomeadamente despesas de pessoal, para as atividades da CERT-UE; |
| h) | Aprovar, com base numa proposta do diretor da CERT-UE, os termos dos acordos de nível de serviço; |
| i) | Examinar e aprovar o relatório anual elaborado pelo chefe da CERT-UE referente às atividades e à gestão dos fundos da CERT-UE; |
| j) | Aprovar e acompanhar os indicadores-chave de desempenho da CERT-UE, definidos com base numa proposta do seu diretor; |
| k) | Aprovar acordos de cooperação, acordos de nível de serviço ou contratos entre a CERT-UE e outras entidades nos termos do artigo 18.o; |
| l) | Adotar orientações e recomendações com base numa proposta da CERT-UE nos termos do artigo 14.o, e dar instruções à CERT-UE no sentido de que emita, retire ou modifique uma proposta de orientação ou de recomendação, ou um apelo à ação; |
| m) | Criar grupos consultivos técnicos com atribuições concretas para assistir nos trabalhos do IICB, aprovar os respetivos estatutos e designar os respetivos presidentes; |
| n) | Receber e avaliar documentos e relatórios apresentados pelas entidades da União nos termos do presente regulamento, como por exemplo avaliações da maturidade em matéria de cibersegurança; |
| o) | Facilitar o estabelecimento de um grupo informal que reúna os responsáveis locais pela cibersegurança das entidades da União, apoiadas pela ENISA, visando o intercâmbio de práticas de excelência e de informações em relação à aplicação do presente regulamento; |
| p) | Tendo em conta as informações sobre os riscos de cibersegurança identificados e os ensinamentos apresentados pela CERT-UE, acompanhar a adequação dos acordos de interconectividade entre os ambientes das TIC das entidades da União e prestar aconselhamento sobre possíveis melhorias; |
| q) | Estabelecer um plano de gestão de cibercrises com vista a apoiar, a nível operacional, a gestão coordenada de incidentes graves que afetem entidades da União e a contribuir para o intercâmbio regular de informações pertinentes, em especial no que diz respeito aos impactos, à gravidade e às possíveis formas de atenuar os efeitos dos incidentes graves; |
| r) | Coordenar a adoção dos planos de gestão de cibercrises das entidades individuais da União referidos no artigo 9.o, n.o 2; |
| s) | Adotar recomendações relacionadas com a segurança da cadeia de abastecimento a que se refere o artigo 8.o, n.o 2, primeiro parágrafo, alínea m), tendo em conta os resultados das avaliações coordenadas a nível da UE dos riscos de segurança das cadeias de abastecimento críticas referidas no artigo 22.o da Diretiva (UE) 2022/2555, para ajudar as entidades da União a adotar medidas de gestão dos riscos de cibersegurança eficazes e proporcionadas. |
Artigo 17.o
1. A CERT-UE deve, sem demora injustificada, colaborar e trocar informações com as contrapartes dos Estados-Membros, incluindo as CSIRT designadas ou estabelecidas nos termos do artigo 10.o da Diretiva (UE) 2022/2555, ou, se aplicável, as autoridades competentes e pontos de contacto únicos designados ou estabelecidos nos termos do artigo 8.o dessa diretiva, relativamente a incidentes, ciberameaças, vulnerabilidades, quase incidentes, a possíveis contramedidas, bem como a boas práticas e a todas as questões pertinentes para melhorar a proteção do ambiente das TIC das entidades da União, nomeadamente por meio da rede de CSIRT referida no artigo 15.o da Diretiva (UE) 2022/2555. A CERT-UE apoia a Comissão no âmbito da UE-CyCLONe estabelecida nos termos do artigo 16.o da Diretiva (UE) 2022/2555 no que diz respeito à gestão coordenada a incidentes e crises de cibersegurança em grande escala.
2. Caso tome conhecimento de um incidente significativo ocorrido no território de um Estado-Membro, a CERT-UE informa, sem demora, quaisquer contrapartes relevantes nesse Estado-Membro, em conformidade com o n.o 1.
3. Desde que os dados pessoais estejam protegidos em conformidade com a legislação aplicável da União em matéria de proteção de dados, a CERT-UE deve, sem demora injustificada, trocar informações específicas pertinentes sobre incidentes com as contrapartes dos Estados-Membros para facilitar a deteção de ciberameaças ou incidentes semelhantes, ou contribuam para a análise de um incidente, sem a autorização da entidade da União afetada. A CERT-UE só partilha informações específicas sobre incidentes que revelem a identidade do seu alvo num dos seguintes casos:
| a) | A entidade da União afetada der o seu consentimento; |
| b) | A entidade da União afetada não der o consentimento previsto na alínea a) mas a divulgação da identidade da entidade da União afetada aumentar a probabilidade de evitar ou atenuar incidentes noutros locais. |
| c) | A entidade da União afetada já tenha tornado público o facto de ter sido afetada. |
As decisões relativas ao intercâmbio de informações específicas sobre um incidente que revelem a identidade do alvo do incidente nos termos do primeiro parágrafo, alínea b), são aprovadas pelo diretor da CERT-UE. Antes de emitir essa decisão, a CERT-UE contacta por escrito a entidade da União afetada, explicando claramente de que forma a divulgação da sua identidade contribuiria para evitar ou atenuar incidentes noutros locais. O diretor da CERT-UE apresenta a explicação e solicita explicitamente à entidade da União que declare se dá o seu consentimento dentro de um determinado prazo. O diretor da CERT-UE informa igualmente a entidade da União de que, à luz da explicação fornecida, se reserva o direito de divulgar as informações, mesmo na falta de consentimento. A entidade da União afetada é informada antes da divulgação das informações.
whereas