keyboard_tab Cyber Resilience Act 2023/2841 PT

1.   Até 8 de setembro de 2024, o Conselho Interinstitucional para a Cibersegurança, criado nos termos do artigo 10.o, emite, após consulta à Agência da União Europeia para a Cibersegurança (ENISA) e após receber orientações da CERT-UE, orientações destinadas às entidades da União para efeitos de uma análise inicial da cibersegurança e para criar um regime interno de gestão, governação e controlo dos riscos de cibersegurança nos termos do artigo 6.o, para realizar avaliações da maturidade em matéria de cibersegurança nos termos do artigo 7.o, tomar medidas de gestão dos riscos de cibersegurança nos termos do artigo 8.o e adotar o plano de cibersegurança nos termos do artigo 9.o.

2.   Ao aplicar os artigos 6.o a 9.o, as entidades da União têm em conta as orientações a que se refere o n.o 1 do presente artigo, bem como as orientações e recomendações pertinentes adotadas nos termos dos artigos 11.o e 14.o.

1.   Até 8 de abril de 2025, cada entidade da União estabelece, após efetuar uma análise inicial da cibersegurança, designadamente uma auditoria, um regime interno de gestão, governação e controlo dos riscos de cibersegurança («regime»). O estabelecimento do regime é supervisionado pela direção ao mais alto nível da entidade da União e é da sua responsabilidade.

2.   O regime abrange a totalidade do ambiente das TIC não classificado da entidade da União em causa, incluindo todos os ambientes das TIC nas instalações, a rede de tecnologia operacional locais, os ativos e serviços subcontratados em ambientes de computação em nuvem ou alojados por terceiros, os dispositivos móveis, as redes institucionais, as redes institucionais não ligadas à Internet e todos os dispositivos ligados aos referidos ambientes («ambiente das TIC»). O regime baseia-se numa abordagem que tem em conta todos os perigos.

3.   O regime garante um elevado nível de cibersegurança. Estabelece políticas internas de cibersegurança, incluindo objetivos e prioridades, para a segurança dos sistemas de rede e informação, bem como as funções e responsabilidades do pessoal da entidade da União encarregado de assegurar a aplicação efetiva do presente regulamento. O regime inclui também mecanismos para medir a eficácia da aplicação.

4.   O regime é reexaminado periodicamente, na perspetiva da evolução dos riscos de cibersegurança, e, pelo menos, de quatro em quatro anos. Se for caso disso e na sequência de um pedido do Conselho Interinstitucional para a Cibersegurança, criado nos termos do artigo 10.o, o regime de uma entidade da União pode ser atualizado com base nas orientações da CERT-UE sobre incidentes identificados ou eventuais lacunas observadas na aplicação do presente regulamento.

5.   Incumbe à direção ao mais alto nível de cada entidade da União a responsabilidade pela aplicação do presente regulamento, assim como a supervisão do cumprimento, por parte da respetiva organização, das obrigações relacionadas com o regime.

6.   Se for caso disso e sem prejuízo da sua responsabilidade pela aplicação do presente regulamento, a direção ao mais alto nível de cada entidade da União pode delegar obrigações específicas ao abrigo do presente regulamento em altos funcionários, na aceção do artigo 29.o, n.o 2, do Estatuto dos Funcionários, ou noutros funcionários de nível equivalente, dentro da entidade da União em causa. Independentemente dessa delegação, a direção ao mais alto nível pode ser considerada responsável por infrações ao presente regulamento cometidas pela entidade da União em causa.

7.   Cada entidade da União deve dispor de mecanismos eficazes para assegurar que uma percentagem adequada do orçamento para as TIC seja aplicada em cibersegurança. O regime é devidamente tido em conta na definição da referida percentagem.

8.   Cada entidade da União designa um responsável local pela cibersegurança, ou função equivalente, que atue como ponto de contacto único relativamente a todos os aspetos de cibersegurança. O responsável local pela cibersegurança facilita a aplicação do presente regulamento e reporta diretamente à direção ao mais alto nível, numa base periódica, o ponto da situação no que se refere à aplicação. Sem prejuízo do facto de o responsável local pela cibersegurança ser o ponto de contacto único em cada entidade da União, uma entidade da União pode delegar na CERT-UE determinadas atribuições do responsável local pela cibersegurança no que diz respeito à aplicação do presente regulamento, com base num acordo de nível de serviço celebrado entre essa entidade da União e a CERT-UE, ou essas atribuições podem ser partilhadas por várias entidades da União. Caso essas atribuições sejam delegadas na CERT-UE, o Comité Interinstitucional para a Cibersegurança, criado nos termos do artigo 10.o, decide se a prestação desse serviço deve fazer parte dos serviços de base da CERT-UE, tendo em conta os recursos humanos e financeiros da entidade da União em causa. Cada entidade da União informa a CERT-UE, sem demora injustificada, do responsável local pela cibersegurança designado e de eventuais alterações subsequentes a este respeito.

A CERT-UE cria a lista de responsáveis locais pela cibersegurança designados e garante a respetiva atualização.

9.   Os altos funcionários na aceção do artigo 29.o, n.o 2, do Estatuto dos Funcionários ou outros funcionários de nível equivalente de cada entidade da União, bem como todos os membros do pessoal pertinentes incumbidos da aplicação das medidas de gestão dos riscos de cibersegurança e do cumprimento das obrigações previstas no presente regulamento, frequentam periodicamente ações específicas de formação, a fim de adquirir conhecimentos e competências suficientes para compreender e avaliar os riscos de segurança e as práticas de gestão, bem como o seu impacto no funcionamento da entidade da União.

1.   É criado o Conselho Interinstitucional para a Cibersegurança (IICB, na sigla inglesa).

2.   Cabe ao IICB:

3.   O IICB é composto por:

As entidades da União representadas no IICB procuram alcançar o equilíbrio de género entre os representantes designados.

4.   Os membros do IICB podem ser assistidos por um suplente. O presidente pode convidar outros representantes das entidades da União referidas no n.o 3 ou de outras entidades da União para participarem nas reuniões do IICB, sem direito de voto.

5.   O diretor da CERT-UE e os presidentes do grupo de cooperação, da rede de CSIRT e da UE-CyCLONe, criados, respetivamente, nos termos dos artigos 14.o, 15.o e 16.o da Diretiva (UE) 2022/2555, ou os respetivos suplentes, podem participar nas reuniões do IICB na qualidade de observadores. Em casos excecionais, o IICB pode, nos termos do seu regulamento interno, decidir em contrário.

6.   Cabe ao IICB aprovar o seu regulamento interno.

7.   O IICB designa um presidente de entre os seus membros, nos termos do seu regulamento interno, por um período de três anos. O seu suplente torna-se membro efetivo do IICB durante o mesmo período.

8.   O IICB reúne-se pelo menos três vezes por ano por iniciativa do seu presidente, a pedido da CERT-UE ou a pedido de um dos seus membros.

9.   Cada membro do IICB dispõe de um voto. As decisões do IICB são tomadas por maioria simples, salvo disposição em contrário no presente regulamento. O presidente do IICB não participa na votação, exceto em caso de empate, caso em que poderá exercer um voto de qualidade.

10.   O IICB pode deliberar por procedimento escrito simplificado em conformidade com o seu regulamento interno, ao abrigo do qual as decisões pertinentes são consideradas aprovadas no prazo estabelecido pelo presidente, exceto se um membro se opuser.

11.   O secretariado do IICB é assegurado pela Comissão e responde perante o presidente do IICB.

12.   Os representantes designados pela Rede de Agências da UE transmitem as decisões do IICB aos membros da Rede de Agências da UE. Qualquer membro da Rede de Agências da UE tem o direito de suscitar junto dos referidos representantes ou do presidente do IICB qualquer questão que considerem que deverá ser dada a conhecer ao IICB.

13.   O IICB cria um comité executivo para o assistir nos seus trabalhos e delegar algumas das suas atribuições e competências. Cabe ao IICB criar o regulamento interno do comité executivo, incluindo as respetivas atribuições e competências e a duração do mandato dos seus membros.

14.   Até 8 de janeiro de 2025 e, posteriormente, numa base anual, o IICB apresenta ao Conselho um relatório que descreve pormenorizadamente os progressos realizados na aplicação do presente regulamento e que especifica, em especial, a amplitude da cooperação da CERT-UE com as suas contrapartes em cada Estado-Membro. O referido relatório constitui um contributo para o relatório bienal sobre o estado da cibersegurança na União, elaborado nos termos do artigo 18.o da Diretiva (UE) 2022/2555.

1.   Cabe ao IICB, nos termos do artigo 10.o, n.o 2, e do artigo 11.o, acompanhar de forma eficaz a aplicação, por parte das entidades da União, do presente regulamento e das orientações, recomendações e apelos à ação adotados. O IICB pode solicitar às entidades da União as informações ou a documentação necessárias para o efeito. Para efeitos de adoção das medidas de conformidade nos termos do presente artigo, caso a entidade da União em causa esteja diretamente representada no IICB, não tem direito de voto.

2.   Se concluir que uma entidade da União não aplicou efetivamente o presente regulamento ou alguma das orientações, recomendações ou apelos à ação emitidos nos termos do presente regulamento, o IICB pode, sem prejuízo dos procedimentos internos da entidade da União em causa, e após ter dado a oportunidade à entidade ou pessoa em causa de apresentar o seu ponto de vista:

Para efeitos do primeiro parágrafo, alínea c), o público-alvo de um alerta deve ser restringido adequadamente, se necessário tendo em conta o risco de cibersegurança.

Os alertas e recomendações emitidos ao abrigo do primeiro parágrafo são dirigidos à direção ao mais alto nível da entidade da União em causa.

3.   Se o IICB tiver adotado medidas nos termos do n.o 2, primeiro parágrafo, alíneas a) a g), a entidade da União em causa apresenta ao pormenor as medidas e ações aplicadas para colmatar as alegadas lacunas identificadas pelo IICB. A entidade da União apresenta os referidos pormenores dentro de um prazo razoável a negociar com o IICB.

4.   Se o IICB considerar que existe infração persistente ao presente regulamento por parte de uma entidade da União, diretamente resultante de ações ou omissões de um funcionário ou outro agente da União, incluindo da direção ao mais alto nível, o IICB exige à entidade da União em causa que tome as medidas necessárias, nomeadamente solicitando que pondere a tomada de medidas de caráter disciplinar, em conformidade com as regras e os procedimentos previstos no Estatuto dos Funcionários e em quaisquer outras regras ou quaisquer outros procedimentos aplicáveis. Para o efeito, o IICB transmite as informações necessárias à entidade da União em causa.

5.   Caso as entidades da União informem da sua incapacidade para cumprir os prazos previstos no artigo 6.o, n.o 1, e no artigo 8.o, n.o 1, o IICB pode, em casos devidamente motivados, tendo em conta a dimensão da entidade da União, autorizar a prorrogação dos referidos prazos.