keyboard_tab Cyber Resilience Act 2023/2841 PT
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Artigo 13.o
- 2 Artigo 23.o Gestão de incidentes graves
CAPÍTULO I
DISPOSIÇÕES GERAIS
CAPÍTULO II
MEDIDAS DESTINADAS A GARANTIR UM ELEVADO NIVEL COMUM DE CIBERSEGURANÇA
CAPÍTULO III
CONSELHO INTERINSTITUCIONAL PARA A CIBERSEGURANÇA
CAPÍTULO IV
CERT-UE
CAPÍTULO V
OBRIGAÇÕES DE COOPERAÇÃO E DE COMUNICAÇÃO DE INFORMAÇÕES
CAPÍTULO VI
DISPOSIÇÕES FINAIS
- união 29
- entidades 23
- cert-ue 19
- incidentes 19
- informações 15
- a 13
- artigo o 11
- serviços 11
- para 11
- gestão 10
- cibersegurança 10
- graves 10
- iicb 9
- no 9
- nível 8
- cooperação 8
- rede 7
- pode 7
- base 6
- termos 5
- operacional 5
- coordenação 5
- assistência 5
- pertinentes 5
- não 5
- informação 4
- ue / 4
- seguintes 4
- nomeadamente 4
- entidade 4
- apoio 4
- presente 4
- regulamento 4
- ciberameaças 4
- resposta 4
- ambiente 4
- sobre 4
- atribuições 4
- prestar 4
- cibercrises 4
- enisa 4
- mediante 4
- acordos 4
- estreita 3
- entre 3
- csirt 3
- qualquer 3
- através 3
- contribuir 3
- plano 3
Artigo 13.o
1. A missão da CERT-UE é contribuir para a segurança do ambiente das TIC não classificado das entidades da União, aconselhando-as em matéria de cibersegurança, ajudando-as a prevenir, detetar, gerir, atenuar e dar resposta a incidentes, assim como a recuperar após os mesmos, e agindo como plataforma de intercâmbio de informações de cibersegurança e centro de coordenação da resposta a incidentes.
2. A CERT-UE recolhe, gere, analisa e partilha com as entidades da União as informações sobre as ciberameaças, as vulnerabilidades e os incidentes relativos à infraestrutura de TIC não classificada. Coordena as respostas a incidentes ocorridos a nível interinstitucional e da entidade da União, nomeadamente prestando ou coordenando a prestação de assistência operacional especializada.
3. A CERT-UE desempenha as seguintes atribuições em relação às entidades da União:
| a) | Apoio na aplicação do presente regulamento e contributo para a coordenação dessa aplicação, por meio das medidas enumeradas no artigo 14.o, n.o 1, ou através de relatórios ad hoc solicitados pelo IICB; |
| b) | Disponibilização de serviços normalizados da CSIRT a todas as entidades da União através de um pacote de serviços de cibersegurança descritos no seu catálogo de serviços (serviços de base); |
| c) | Manutenção de uma rede de pares e parceiros para apoiar os serviços, conforme previsto nos artigos 17.o e 18.o; |
| d) | Informação ao IICB relativamente a qualquer questão relacionada com a aplicação do presente regulamento e das orientações, recomendações e apelos à ação; |
| e) | Com base nas informações referidas no n.o 2, contribuir para o conhecimento da situação cibernética na União, em estreita cooperação com a ENISA; |
| f) | Coordenar a gestão de incidentes graves; |
| g) | Exercer, em nome das entidades da União, uma função equivalente à do coordenador designado para fins de divulgação coordenada das vulnerabilidades, nos termos do artigo 12.o, n.o 1, da Diretiva (UE) 2022/2555; |
| h) | Disponibilizar, a pedido de uma entidade da União, uma análise proativa e não intrusiva dos sistemas de rede e informação acessíveis ao público dessa entidade da União. |
As informações a que se refere o primeiro parágrafo, alínea e), são partilhadas com o IICB, a rede de CSIRT e o Centro de Situação e de Informações da União Europeia (INTCEN da UE), se aplicável e for caso disso, e sob reserva de condições de confidencialidade adequadas.
4. A CERT-UE pode, em conformidade com o artigo 17.o ou o artigo 18.o, conforme adequado, cooperar com as comunidades de cibersegurança pertinentes na União e nos seus Estados-Membros, nomeadamente nos seguintes domínios:
| a) | Preparação, coordenação em caso de incidentes, intercâmbio de informações e resposta a situações de crise a nível técnico em casos relacionados com entidades da União; |
| b) | Cooperação operacional no que respeita à rede CSIRT, nomeadamente em matéria de assistência mútua; |
| c) | Informações sobre ciberameaças, incluindo o conhecimento situacional; |
| d) | Qualquer tema que exija os conhecimentos técnicos especializados de cibersegurança da CERT-UE. |
5. A CERT-UE enceta, no âmbito das suas competências, uma cooperação estruturada com a ENISA no que respeita ao reforço das capacidades, à cooperação operacional e a análises estratégicas a longo prazo das ciberameaças, em conformidade com o Regulamento (UE) 2019/881. A CERT-UE pode cooperar e trocar informações com o Centro Europeu da Cibercriminalidade da Europol.
6. A CERT-UE pode prestar os seguintes serviços não descritos no seu catálogo de serviços («serviços sujeitos a cobrança»):
| a) | Serviços de apoio à cibersegurança do ambiente de TIC das entidades da União, distintos dos referidos no n.o 3, com base em acordos de nível de serviço e sob reserva dos recursos disponíveis, nomeadamente monitorização de largo espectro da rede, inclusive a monitorização de primeira linha, a qualquer hora, das ciberameaças de maior gravidade; |
| b) | Serviços de apoio a operações ou projetos de cibersegurança das entidades da União, distintos dos serviços destinados a proteger o respetivo ambiente das TIC, com base em acordos escritos e mediante aprovação prévia do IICB; |
| c) | Uma análise proativa dos sistemas de rede e informação da entidade da União em causa, mediante pedido, a fim de detetar vulnerabilidades com um impacto significativo potencial; |
| d) | Serviços de apoio à cibersegurança do ambiente das TIC de organizações distintas das entidades da União mas que colaborem estreitamente com as mesmas, por exemplo, por terem atribuições ou responsabilidades conferidas ao abrigo do direito da União, com base em acordos escritos e mediante aprovação prévia do IICB. |
No respeitante ao primeiro parágrafo, alínea d), a CERT-UE pode, a título excecional, celebrar acordos de nível de serviço com entidades que não sejam as entidades da União, com a aprovação prévia do IICB.
7. A CERT-UE organiza e pode participar em exercícios de cibersegurança ou recomendar a participação em exercícios existentes, se aplicável em estreita cooperação com a ENISA, de forma a testar o nível de cibersegurança das entidades da União.
8. A CERT-UE pode prestar assistência às entidades da União relativamente a incidentes em sistemas de rede e informação que tratam ICUE, se as entidades da União envolvidas o solicitarem explicitamente, em conformidade com os respetivos procedimentos. A prestação de assistência pela CERT-UE nos termos do presente número é efetuada sem prejuízo das regras aplicáveis relacionadas com a proteção de informações classificadas.
9. A CERT-UE informa as entidades da União dos seus procedimentos e processos de tratamento de incidentes.
10. A CERT-UE contribui, com um elevado nível de confidencialidade e fiabilidade, através dos mecanismos de cooperação e canais de comunicação adequados, com informações pertinentes e anonimizadas sobre incidentes graves e a forma como foram tratados. As referidas informações são integradas no relatório a que se refere o artigo 10.o, n.o 14.
11. A CERT-UE apoia, em cooperação com a AEPD, as entidades da União em causa aquando da gestão de incidentes que tenham originado violações de dados pessoais, sem prejuízo das competências e atribuições da AEPD enquanto autoridade de supervisão nos termos do Regulamento (UE) 2018/1725.
12. Se os departamentos temáticos das entidades da União o solicitarem expressamente, a CERT-UE pode prestar aconselhamento técnico ou informações técnicas sobre questões estratégicas pertinentes.
Artigo 23.o
Gestão de incidentes graves
1. A fim de apoiar, a nível operacional, a gestão coordenada de incidentes graves que afetem entidades da União e de contribuir para o intercâmbio regular de informações pertinentes entre as entidades da União e com os Estados-Membros, o IICB elabora, nos termos do artigo 11.o, alínea q), um plano de gestão de cibercrises com base nas atividades descritas no artigo 22.o, n.o 2, em estreita cooperação com a CERT-UE e a ENISA. O plano de gestão de cibercrises inclui, pelo menos, os seguintes elementos:
| a) | Disposições relativas à coordenação e ao fluxo de informações entre as entidades da União para gestão de incidentes graves a nível operacional; |
| b) | Instruções permanentes normalizadas comuns; |
| c) | Uma taxonomia comum da gravidade de incidentes graves e pontos de desencadeamento de crises; |
| d) | Exercícios regulares; |
| e) | Canais de comunicação segura a utilizar. |
2. Sujeito ao plano de gestão de cibercrises estabelecido nos termos do n.o 1 do presente artigo e sem prejuízo do artigo 16.o, n.o 2, primeiro parágrafo, da Diretiva (UE) 2022/2555, o representante da Comissão no IICB é o ponto de contacto para a partilha de informações pertinentes relativas a incidentes graves com a UE-CyCLONe.
3. A CERT-UE coordena a gestão dos incidentes graves entre as entidades da União. Deve manter um inventário dos conhecimentos técnicos especializados disponíveis necessários para a resposta aos incidentes quando incidentes graves ocorram e prestar assistência ao IICB na coordenação dos planos de gestão de cibercrises das entidades da União para incidentes graves referidos no artigo 9.o, n.o 2.
4. As entidades da União contribuem para o inventário de conhecimentos técnicos especializados mediante a transmissão de listas, atualizadas todos os anos, de peritos disponíveis nas respetivas organizações, pormenorizando as suas competências técnicas específicas.
CAPÍTULO VI
DISPOSIÇÕES FINAIS
whereas