keyboard_tab Cyber Resilience Act 2023/2841 PT
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 3 Artigo 16.o Questões financeiras e de pessoal
- 1 Artigo 19.o Tratamento de informações
- 1 Artigo 21.o Obrigações de comunicação de informações
CAPÍTULO I
DISPOSIÇÕES GERAIS
CAPÍTULO II
MEDIDAS DESTINADAS A GARANTIR UM ELEVADO NIVEL COMUM DE CIBERSEGURANÇA
CAPÍTULO III
CONSELHO INTERINSTITUCIONAL PARA A CIBERSEGURANÇA
CAPÍTULO IV
CERT-UE
CAPÍTULO V
OBRIGAÇÕES DE COOPERAÇÃO E DE COMUNICAÇÃO DE INFORMAÇÕES
CAPÍTULO VI
DISPOSIÇÕES FINAIS
- união 22
- cert-ue 22
- incidente 18
- entidades 16
- artigo o 14
- significativo 11
- informações 10
- termos 9
- caso 8
- no 8
- relatório 8
- qualquer 7
- impacto 7
- entidade 7
- comissão 7
- as 7
- incidentes 7
- iicb 6
- serviços 6
- para 6
- como 5
- injustificada 5
- aplicável 5
- artigo 5
- demora 5
- medidas 5
- presente 5
- devem 5
- prazo 4
- conhecimento 4
- sobre 4
- informação 4
- resposta 3
- regulamento 3
- comunicação 3
- disso 3
- pedido 3
- são 3
- referido 3
- obrigações 3
- significativa 3
- rubrica 3
- ciberameaça 3
- rede 3
- ambiente 3
- afetados 3
- atenuação 3
- incluindo 3
- quadro 3
- após 3
Artigo 16.o
Questões financeiras e de pessoal
1. A CERT-UE é integrada na estrutura administrativa de uma direção-geral da Comissão, a fim de beneficiar das estruturas de apoio administrativo, financeiro e contabilístico da Comissão, mantendo simultaneamente o seu estatuto de prestador de serviços interinstitucional autónomo para todas as entidades da União. A Comissão informa o IICB sobre a localização da sede administrativa da CERT-UE, bem como de qualquer alteração desta. A Comissão reexamina periodicamente as disposições administrativas relacionadas com a CERT-UE e, em qualquer caso, antes da criação de qualquer quadro financeiro plurianual nos termos do artigo 312.o do TFUE, a fim de permitir a adoção de medidas adequadas. O reexame deve incluir a possibilidade de criar a CERT-UE como um serviço da União.
2. Relativamente à aplicação dos procedimentos administrativos e financeiros, o diretor da CERT-UE está subordinado à autoridade da Comissão, sob supervisão do IICB.
3. As atribuições e atividades da CERT-UE, incluindo os serviços que preste nos termos do artigo 13.o, n.os 3, 4, 5 e 7, e do artigo 14.o, n.o 1, às entidades da União financiados a partir da rubrica do quadro financeiro plurianual dedicada à administração pública europeia, são financiadas por uma rubrica orçamental distinta do orçamento da Comissão. Os postos afetados à CERT-UE são especificados numa nota de rodapé no quadro de pessoal da Comissão.
4. As entidades da União distintas das referidas no n.o 3 do presente artigo devem prestar uma contribuição financeira anual à CERT-UE para cobrir os serviços prestados pela CERT-UE nos termos desse mesmo número. As contribuições baseiam-se nas orientações dadas pelo IICB e acordadas entre cada entidade da União e a CERT-UE em acordos de nível de serviço. As contribuições devem representar uma parte justa e proporcionada dos custos totais dos serviços prestados. Serão registadas na rubrica orçamental distinta referida no n.o 3 do presente artigo como receitas afetadas internas, tal como previsto no artigo 21.o, n.o 3, alínea c), do Regulamento (UE, Euratom) 2018/1046.
5. Os custos dos serviços indicados no artigo 13.o, n.o 6, devem ser recuperados junto das entidades da União que beneficiem dos serviços da CERT-UE. As receitas são afetadas às rubricas orçamentais de apoio aos custos.
Artigo 19.o
Tratamento de informações
1. As entidades da União e a CERT-UE devem respeitar as obrigações de sigilo profissional nos termos do artigo 339.o do TFUE ou dos regimes equivalentes aplicáveis.
2. O Regulamento (CE) n.o 1049/2001 do Parlamento Europeu e do Conselho (10) é aplicável no que respeita aos pedidos de acesso do público a documentos na posse da CERT-UE, tendo em conta a obrigação, prevista no referido regulamento, de consultar as outras entidades da União ou, se for caso disso, os Estados-Membros, sempre que um pedido diga respeito a documentos seus.
3. O tratamento das informações pelas entidades da União e pela CERT-UE deve cumprir as regras aplicáveis relativas à segurança da informação.
Artigo 21.o
Obrigações de comunicação de informações
1. Considera-se que um incidente é significativo se:
| a) | Tiver causado ou for suscetível de causar graves perturbações operacionais no que se refere ao funcionamento da entidade da União ou perdas financeiras para a entidade da União em causa; |
| b) | Tiver afetado ou for suscetível de afetar outras pessoas singulares ou coletivas, causando danos materiais ou imateriais consideráveis. |
2. As entidades da União apresentam à CERT-UE:
| a) | Sem demora injustificada e, em qualquer caso, no prazo de 24 horas depois de terem tomado conhecimento do incidente significativo, um alerta rápido, que, se aplicável, indica se há suspeitas de que o incidente significativo foi causado por um ato ilícito ou malicioso ou se pode ter um impacto transfronteiriço ou transversal a várias entidades; |
| b) | Sem demora injustificada e, em qualquer caso, no prazo de 72 horas depois de terem tomado conhecimento do incidente significativo, uma notificação de incidente, que, se aplicável, deve atualizar as informações a que se refere a alínea a) e disponibilizar uma avaliação inicial do incidente significativo, incluindo da sua gravidade e do seu impacto, bem como, se disponíveis, dos indicadores de exposição a riscos; |
| c) | A pedido da CERT-UE, um relatório intercalar com atualizações de estado pertinentes; |
| d) | O mais tardar um mês após a apresentação da notificação de incidente mencionada na alínea b), um relatório final que contenha os seguintes elementos:
|
| e) | Em caso de incidente em curso no momento da apresentação do relatório final referido na alínea d), um relatório intercalar nessa altura e um relatório final no prazo de um mês após terem tratado o incidente. |
3. Sem demora injustificada e, em qualquer caso, no prazo de 24 horas depois de ter tomado conhecimento de um incidente significativo, uma entidade da União informa as contrapartes pertinentes dos Estados-Membros a que se refere o artigo 17.o, n.o 1, no Estado-Membro em que está localizada de que ocorreu um incidente significativo.
4. As entidades da União comunicam, nomeadamente, quaisquer informações que permitam à CERT-UE determinar qualquer impacto transversal às entidades, impacto no Estado-Membro de acolhimento ou impacto transfronteiriço após a ocorrência de um incidente significativo. Sem prejuízo do artigo 12.o, a mera notificação não sujeita a entidade da União notificadora a responsabilidades acrescidas.
5. Se aplicável, as entidades da União comunicam, sem demora injustificada, aos utilizadores dos sistemas de rede e informação afetados, ou de outros componentes do ambiente das TIC, que serão potencialmente afetados por um incidente significativo ou por uma ciberameaça significativa, e, se for caso disso, que necessitam de tomar medidas de atenuação, e as medidas proativas ou corretivas que podem ser tomadas em resposta ao incidente ou à ameaça. Se for caso disso, as entidades da União devem informar esses utilizadores da própria ciberameaça significativa.
6. Se um incidente significativo ou uma ciberameaça significativa afetar um sistema de rede e informação ou um componente do ambiente das TIC de uma entidade da União que se saiba estar ligado ao ambiente das TIC de outra entidade da União, a CERT-UE emite um alerta de cibersegurança pertinente.
7. As entidades da União, a pedido da CERT-UE, facultam-lhe sem demora injustificada as informações digitais decorrentes da utilização dos dispositivos eletrónicos envolvidos nos incidentes em causa. A CERT-UE pode dar mais pormenores sobre os tipos de informação de que necessita para fins de conhecimento situacional e resposta a incidentes.
8. A CERT-UE apresenta, a cada três meses, ao IICB, à ENISA, ao INTCEN da UE e à rede de CSIRT, um relatório de síntese que inclua dados anonimizados e agregados sobre incidentes significativos, incidentes, ciberameaças, quase incidentes e vulnerabilidades nos termos do artigo 20.o e incidentes significativos notificados nos termos do n.o 2 do presente artigo. O referido relatório de síntese constitui um contributo para o relatório bienal sobre o estado da cibersegurança na União, elaborado nos termos do artigo 18.o da Diretiva (UE) 2022/2555.
9. Até 8 de julho de 2024, o IICB emite orientações ou recomendações no sentido de especificar melhor as modalidades, o formato e o conteúdo da comunicação de informações nos termos do presente artigo. Ao elaborar essas orientações ou recomendações, o IICB deve ter em conta quaisquer atos de execução adotados nos termos do artigo 23.o, n.o 11, da Diretiva (UE) 2022/2555 que especifiquem o tipo de informações, o formato e o procedimento das notificações. A CERT-UE divulga os pormenores técnicos necessários para permitir uma deteção proativa, a resposta a incidentes ou a tomada de medidas de atenuação por parte das entidades da União.
10. As obrigações de comunicação de informações impostas no presente artigo não abrangem:
| a) | As ICUE; |
| b) | As informações cuja distribuição posterior tenha sido excluída por meio de uma marcação visível, a menos que a sua partilha com a CERT-UE tenha sido explicitamente autorizada. |
whereas