keyboard_tab Cyber Resilience Act 2023/2841 PT

1.   Até 8 de abril de 2025, cada entidade da União estabelece, após efetuar uma análise inicial da cibersegurança, designadamente uma auditoria, um regime interno de gestão, governação e controlo dos riscos de cibersegurança («regime»). O estabelecimento do regime é supervisionado pela direção ao mais alto nível da entidade da União e é da sua responsabilidade.

2.   O regime abrange a totalidade do ambiente das TIC não classificado da entidade da União em causa, incluindo todos os ambientes das TIC nas instalações, a rede de tecnologia operacional locais, os ativos e serviços subcontratados em ambientes de computação em nuvem ou alojados por terceiros, os dispositivos móveis, as redes institucionais, as redes institucionais não ligadas à Internet e todos os dispositivos ligados aos referidos ambientes («ambiente das TIC»). O regime baseia-se numa abordagem que tem em conta todos os perigos.

3.   O regime garante um elevado nível de cibersegurança. Estabelece políticas internas de cibersegurança, incluindo objetivos e prioridades, para a segurança dos sistemas de rede e informação, bem como as funções e responsabilidades do pessoal da entidade da União encarregado de assegurar a aplicação efetiva do presente regulamento. O regime inclui também mecanismos para medir a eficácia da aplicação.

4.   O regime é reexaminado periodicamente, na perspetiva da evolução dos riscos de cibersegurança, e, pelo menos, de quatro em quatro anos. Se for caso disso e na sequência de um pedido do Conselho Interinstitucional para a Cibersegurança, criado nos termos do artigo 10.o, o regime de uma entidade da União pode ser atualizado com base nas orientações da CERT-UE sobre incidentes identificados ou eventuais lacunas observadas na aplicação do presente regulamento.

5.   Incumbe à direção ao mais alto nível de cada entidade da União a responsabilidade pela aplicação do presente regulamento, assim como a supervisão do cumprimento, por parte da respetiva organização, das obrigações relacionadas com o regime.

6.   Se for caso disso e sem prejuízo da sua responsabilidade pela aplicação do presente regulamento, a direção ao mais alto nível de cada entidade da União pode delegar obrigações específicas ao abrigo do presente regulamento em altos funcionários, na aceção do artigo 29.o, n.o 2, do Estatuto dos Funcionários, ou noutros funcionários de nível equivalente, dentro da entidade da União em causa. Independentemente dessa delegação, a direção ao mais alto nível pode ser considerada responsável por infrações ao presente regulamento cometidas pela entidade da União em causa.

7.   Cada entidade da União deve dispor de mecanismos eficazes para assegurar que uma percentagem adequada do orçamento para as TIC seja aplicada em cibersegurança. O regime é devidamente tido em conta na definição da referida percentagem.

8.   Cada entidade da União designa um responsável local pela cibersegurança, ou função equivalente, que atue como ponto de contacto único relativamente a todos os aspetos de cibersegurança. O responsável local pela cibersegurança facilita a aplicação do presente regulamento e reporta diretamente à direção ao mais alto nível, numa base periódica, o ponto da situação no que se refere à aplicação. Sem prejuízo do facto de o responsável local pela cibersegurança ser o ponto de contacto único em cada entidade da União, uma entidade da União pode delegar na CERT-UE determinadas atribuições do responsável local pela cibersegurança no que diz respeito à aplicação do presente regulamento, com base num acordo de nível de serviço celebrado entre essa entidade da União e a CERT-UE, ou essas atribuições podem ser partilhadas por várias entidades da União. Caso essas atribuições sejam delegadas na CERT-UE, o Comité Interinstitucional para a Cibersegurança, criado nos termos do artigo 10.o, decide se a prestação desse serviço deve fazer parte dos serviços de base da CERT-UE, tendo em conta os recursos humanos e financeiros da entidade da União em causa. Cada entidade da União informa a CERT-UE, sem demora injustificada, do responsável local pela cibersegurança designado e de eventuais alterações subsequentes a este respeito.

A CERT-UE cria a lista de responsáveis locais pela cibersegurança designados e garante a respetiva atualização.

9.   Os altos funcionários na aceção do artigo 29.o, n.o 2, do Estatuto dos Funcionários ou outros funcionários de nível equivalente de cada entidade da União, bem como todos os membros do pessoal pertinentes incumbidos da aplicação das medidas de gestão dos riscos de cibersegurança e do cumprimento das obrigações previstas no presente regulamento, frequentam periodicamente ações específicas de formação, a fim de adquirir conhecimentos e competências suficientes para compreender e avaliar os riscos de segurança e as práticas de gestão, bem como o seu impacto no funcionamento da entidade da União.

1.   A Comissão, tendo obtido a aprovação por maioria de dois terços dos membros do IICB, nomeia o diretor da CERT-UE. O IICB é consultado em todas as fases do processo de nomeação do diretor da CERT-UE, em especial no que respeita à elaboração dos anúncios de abertura de vaga, à análise das candidaturas e à nomeação de júris de seleção para o cargo. O processo de seleção, incluindo a lista restrita final de candidatos para a nomeação do diretor da CERT-UE, assegura uma representação equitativa de cada género, tendo em conta as candidaturas apresentadas.

2.   O diretor da CERT-UE é responsável pelo bom funcionamento da CERT-UE, atuando no âmbito das suas competências e sob a direção do IICB. O diretor da CERT-UE presta periodicamente informações ao presidente do IICB e apresenta relatórios ad hoc ao IICB, a pedido do referido presidente.

3.   O diretor da CERT-UE presta assistência ao gestor orçamental delegado competente na elaboração do relatório anual de atividades que contém informações financeiras e de gestão, incluindo os resultados dos controlos, e é elaborado nos termos do artigo 74.o, n.o 9, do Regulamento (UE, Euratom) 2018/1046 do Parlamento Europeu e do Conselho (9), e informa-o regularmente sobre a aplicação das medidas para as quais tenham sido subdelegadas competências no diretor da CERT-UE.

4.   O diretor da CERT-UE elabora anualmente um planeamento financeiro das receitas e despesas administrativas relacionadas com as suas atividades, uma proposta de programa de trabalho anual, uma proposta de catálogo de serviços da CERT-UE e as respetivas revisões, uma proposta dos termos dos acordos de nível de serviço e uma proposta de indicadores-chave de desempenho para a CERT-UE, com vista à sua aprovação pelo IICB nos termos do artigo 11.o. No âmbito da revisão da lista de serviços incluídos no catálogo de serviços da CERT-UE, o diretor da CERT-UE tem em conta os recursos afetados à CERT-UE.

5.   O diretor da CERT-UE apresenta, pelo menos anualmente, relatórios ao IICB e ao presidente do IICB sobre as atividades e o desempenho da CERT-UE durante o período de referência, inclusive sobre a execução do orçamento, os acordos de nível de serviço e os acordos escritos celebrados, a colaboração com as contrapartes e os parceiros, bem como as missões realizadas pelos membros do seu pessoal, incluindo os relatórios referidos no artigo 11.o. Os referidos relatórios incluem um programa de trabalho para o período seguinte, o planeamento financeiro das receitas e despesas, incluindo o pessoal, as atualizações previstas do catálogo de serviços da CERT-UE e uma avaliação do impacto esperado dessas atualizações em termos de recursos financeiros e humanos.

1.   Considera-se que um incidente é significativo se:

2.   As entidades da União apresentam à CERT-UE:

3.   Sem demora injustificada e, em qualquer caso, no prazo de 24 horas depois de ter tomado conhecimento de um incidente significativo, uma entidade da União informa as contrapartes pertinentes dos Estados-Membros a que se refere o artigo 17.o, n.o 1, no Estado-Membro em que está localizada de que ocorreu um incidente significativo.

4.   As entidades da União comunicam, nomeadamente, quaisquer informações que permitam à CERT-UE determinar qualquer impacto transversal às entidades, impacto no Estado-Membro de acolhimento ou impacto transfronteiriço após a ocorrência de um incidente significativo. Sem prejuízo do artigo 12.o, a mera notificação não sujeita a entidade da União notificadora a responsabilidades acrescidas.

5.   Se aplicável, as entidades da União comunicam, sem demora injustificada, aos utilizadores dos sistemas de rede e informação afetados, ou de outros componentes do ambiente das TIC, que serão potencialmente afetados por um incidente significativo ou por uma ciberameaça significativa, e, se for caso disso, que necessitam de tomar medidas de atenuação, e as medidas proativas ou corretivas que podem ser tomadas em resposta ao incidente ou à ameaça. Se for caso disso, as entidades da União devem informar esses utilizadores da própria ciberameaça significativa.

6.   Se um incidente significativo ou uma ciberameaça significativa afetar um sistema de rede e informação ou um componente do ambiente das TIC de uma entidade da União que se saiba estar ligado ao ambiente das TIC de outra entidade da União, a CERT-UE emite um alerta de cibersegurança pertinente.

7.   As entidades da União, a pedido da CERT-UE, facultam-lhe sem demora injustificada as informações digitais decorrentes da utilização dos dispositivos eletrónicos envolvidos nos incidentes em causa. A CERT-UE pode dar mais pormenores sobre os tipos de informação de que necessita para fins de conhecimento situacional e resposta a incidentes.

8.   A CERT-UE apresenta, a cada três meses, ao IICB, à ENISA, ao INTCEN da UE e à rede de CSIRT, um relatório de síntese que inclua dados anonimizados e agregados sobre incidentes significativos, incidentes, ciberameaças, quase incidentes e vulnerabilidades nos termos do artigo 20.o e incidentes significativos notificados nos termos do n.o 2 do presente artigo. O referido relatório de síntese constitui um contributo para o relatório bienal sobre o estado da cibersegurança na União, elaborado nos termos do artigo 18.o da Diretiva (UE) 2022/2555.

9.   Até 8 de julho de 2024, o IICB emite orientações ou recomendações no sentido de especificar melhor as modalidades, o formato e o conteúdo da comunicação de informações nos termos do presente artigo. Ao elaborar essas orientações ou recomendações, o IICB deve ter em conta quaisquer atos de execução adotados nos termos do artigo 23.o, n.o 11, da Diretiva (UE) 2022/2555 que especifiquem o tipo de informações, o formato e o procedimento das notificações. A CERT-UE divulga os pormenores técnicos necessários para permitir uma deteção proativa, a resposta a incidentes ou a tomada de medidas de atenuação por parte das entidades da União.

10.   As obrigações de comunicação de informações impostas no presente artigo não abrangem:

1.   Até 8 de janeiro de 2025 e, posteriormente, numa base anual, o IICB, com a assistência da CERT-UE, deve comunicar à Comissão informações sobre a aplicação do presente regulamento. O IICB pode formular recomendações dirigidas à Comissão para que esta reexamine o presente regulamento.

2.   Até 8 de janeiro de 2027 e, posteriormente, de dois em dois anos, a Comissão avalia a aplicação do presente regulamento e apresenta ao Parlamento Europeu e ao Conselho um relatório sobre essa matéria e sobre a experiência adquirida a nível estratégico e operacional.

O relatório a que se refere o primeiro parágrafo do presente número deve incluir o reexame a que se refere o artigo 16.o, n.o 1, relativa à possibilidade de a CERT-UE ser constituída um organismo da União.

3.   Até 8 de janeiro de 2029, a Comissão avalia o funcionamento do presente regulamento e apresenta um relatório ao Parlamento Europeu, ao Conselho, ao Comité Económico e Social Europeu e ao Comité das Regiões. A Comissão avalia igualmente a conveniência de incluir no âmbito de aplicação do presente regulamento os sistemas de rede e informação que tratam ICUE, tendo em conta outros atos legislativos da União aplicáveis a esses sistemas. Se necessário, o relatório é acompanhado de uma proposta legislativa.