keyboard_tab Cyber Resilience Act 2023/2841 PT
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 4 Artigo 3.o Definições
- 5 Artigo 6.o Regime de gestão, governação e controlo dos riscos de cibersegurança
- 3 Artigo 8.o Medidas de gestão dos riscos de cibersegurança
- 2 Artigo 9.o Planos de cibersegurança
- 2 Artigo 12.o Conformidade
- 1 Artigo 18.o
- 2 Artigo 21.o Obrigações de comunicação de informações
- 1 Artigo 22.o Coordenação da resposta a incidentes e cooperação
CAPÍTULO I
DISPOSIÇÕES GERAIS
CAPÍTULO II
MEDIDAS DESTINADAS A GARANTIR UM ELEVADO NIVEL COMUM DE CIBERSEGURANÇA
CAPÍTULO III
CONSELHO INTERINSTITUCIONAL PARA A CIBERSEGURANÇA
CAPÍTULO IV
CERT-UE
CAPÍTULO V
OBRIGAÇÕES DE COOPERAÇÃO E DE COMUNICAÇÃO DE INFORMAÇÕES
CAPÍTULO VI
DISPOSIÇÕES FINAIS
- união 83
- cibersegurança 63
- entidade 54
- para 45
- artigo o 43
- cert-ue 37
- entidades 31
- incidente 29
- incidentes 25
- caso 24
- causa 23
- medidas 23
- presente 23
- nível 21
- iicb 21
- termos 20
- regulamento 20
- riscos 19
- como 19
- mais 19
- informações 18
- gestão 16
- aplicação 15
- regime 15
- aceção 14
- pode 14
- ponto 14
- alto 13
- no 13
- segurança 13
- incluindo 13
- ue / 13
- significativo 13
- impacto 12
- cada 12
- pela 12
- sobre 12
- direção 12
- rede 12
- resposta 11
- disso 11
- diretiva 11
- não 10
- conta 10
- informação 10
- vulnerabilidades 9
- contrapartes 9
- sistemas 9
- injustificada 9
- matéria 9
Artigo 3.o
Definições
Para efeitos do presente regulamento, entende-se por:
| 1) | «Entidades da União», as instituições, órgãos e organismos criados nos termos do Tratado da União Europeia, do Tratado sobre o Funcionamento da União Europeia (TFUE) ou do Tratado que institui a Comunidade Europeia da Energia Atómica; |
| 2) | «Sistema de rede e informação», um sistema de rede e informação na aceção do artigo 6.o, ponto 1, da Diretiva (UE) 2022/2555; |
| 3) | «Segurança dos sistemas de rede e informação», a segurança dos sistemas de rede e informação na aceção do artigo 6.o, ponto 2, da Diretiva (UE) 2022/2555; |
| 4) | «Cibersegurança», a cibersegurança na aceção do artigo 2.o, ponto 1, do Regulamento (UE) 2019/881; |
| 5) | «Direção ao mais alto nível», um dirigente, um organismo de direção ou um organismo de coordenação e supervisão, que é responsável pelo funcionamento de uma entidade da União ao mais alto nível administrativo, incumbido de adotar ou autorizar decisões em conformidade com as disposições em matéria de governação ao mais alto nível da entidade da União em causa, sem prejuízo das responsabilidades formais que incumbam a outros níveis de direção pela conformidade e gestão dos riscos de cibersegurança nos respetivos domínios de responsabilidade; |
| 6) | «Quase incidente», um quase incidente na aceção do artigo 6.o, ponto 5, da Diretiva (UE) 2022/2555; |
| 7) | «Incidente», um incidente na aceção do artigo 6.o, ponto 6, da Diretiva (UE) 2022/2555; |
| 8) | «Incidente grave», um incidente que causa um nível de perturbação que excede a capacidade de resposta de uma entidade da União e da CERT-UE ou que tem um impacto significativo em pelo menos duas entidades da União; |
| 9) | «Incidente de cibersegurança em grande escala», um incidente de cibersegurança em grande escala na aceção do artigo 6.o, ponto 7, da Diretiva (UE) 2022/2555; |
| 10) | «Tratamento de incidentes», o tratamento de incidentes na aceção do artigo 6.o, ponto 8, da Diretiva (UE) 2022/2555; |
| 11) | «Ciberameaça», uma ciberameaça na aceção do artigo 2.o, ponto 8, do Regulamento (UE) 2019/881; |
| 12) | «Ciberameaça significativa», uma ciberameaça significativa na aceção do artigo 6.o, ponto 11, da Diretiva (UE) 2022/2555; |
| 13) | «Vulnerabilidade», uma vulnerabilidade na aceção do artigo 6.o, ponto 15, da Diretiva (UE) 2022/2555; |
| 14) | «Risco de cibersegurança», um risco na aceção do artigo 6.o, ponto 9, da Diretiva (UE) 2022/2555; |
| 15) | «Serviço de computação em nuvem», um serviço de computação em nuvem na aceção do artigo 6.o, ponto 30, da Diretiva (UE) 2022/2555. |
Artigo 6.o
Regime de gestão, governação e controlo dos riscos de cibersegurança
1. Até 8 de abril de 2025, cada entidade da União estabelece, após efetuar uma análise inicial da cibersegurança, designadamente uma auditoria, um regime interno de gestão, governação e controlo dos riscos de cibersegurança («regime»). O estabelecimento do regime é supervisionado pela direção ao mais alto nível da entidade da União e é da sua responsabilidade.
2. O regime abrange a totalidade do ambiente das TIC não classificado da entidade da União em causa, incluindo todos os ambientes das TIC nas instalações, a rede de tecnologia operacional locais, os ativos e serviços subcontratados em ambientes de computação em nuvem ou alojados por terceiros, os dispositivos móveis, as redes institucionais, as redes institucionais não ligadas à Internet e todos os dispositivos ligados aos referidos ambientes («ambiente das TIC»). O regime baseia-se numa abordagem que tem em conta todos os perigos.
3. O regime garante um elevado nível de cibersegurança. Estabelece políticas internas de cibersegurança, incluindo objetivos e prioridades, para a segurança dos sistemas de rede e informação, bem como as funções e responsabilidades do pessoal da entidade da União encarregado de assegurar a aplicação efetiva do presente regulamento. O regime inclui também mecanismos para medir a eficácia da aplicação.
4. O regime é reexaminado periodicamente, na perspetiva da evolução dos riscos de cibersegurança, e, pelo menos, de quatro em quatro anos. Se for caso disso e na sequência de um pedido do Conselho Interinstitucional para a Cibersegurança, criado nos termos do artigo 10.o, o regime de uma entidade da União pode ser atualizado com base nas orientações da CERT-UE sobre incidentes identificados ou eventuais lacunas observadas na aplicação do presente regulamento.
5. Incumbe à direção ao mais alto nível de cada entidade da União a responsabilidade pela aplicação do presente regulamento, assim como a supervisão do cumprimento, por parte da respetiva organização, das obrigações relacionadas com o regime.
6. Se for caso disso e sem prejuízo da sua responsabilidade pela aplicação do presente regulamento, a direção ao mais alto nível de cada entidade da União pode delegar obrigações específicas ao abrigo do presente regulamento em altos funcionários, na aceção do artigo 29.o, n.o 2, do Estatuto dos Funcionários, ou noutros funcionários de nível equivalente, dentro da entidade da União em causa. Independentemente dessa delegação, a direção ao mais alto nível pode ser considerada responsável por infrações ao presente regulamento cometidas pela entidade da União em causa.
7. Cada entidade da União deve dispor de mecanismos eficazes para assegurar que uma percentagem adequada do orçamento para as TIC seja aplicada em cibersegurança. O regime é devidamente tido em conta na definição da referida percentagem.
8. Cada entidade da União designa um responsável local pela cibersegurança, ou função equivalente, que atue como ponto de contacto único relativamente a todos os aspetos de cibersegurança. O responsável local pela cibersegurança facilita a aplicação do presente regulamento e reporta diretamente à direção ao mais alto nível, numa base periódica, o ponto da situação no que se refere à aplicação. Sem prejuízo do facto de o responsável local pela cibersegurança ser o ponto de contacto único em cada entidade da União, uma entidade da União pode delegar na CERT-UE determinadas atribuições do responsável local pela cibersegurança no que diz respeito à aplicação do presente regulamento, com base num acordo de nível de serviço celebrado entre essa entidade da União e a CERT-UE, ou essas atribuições podem ser partilhadas por várias entidades da União. Caso essas atribuições sejam delegadas na CERT-UE, o Comité Interinstitucional para a Cibersegurança, criado nos termos do artigo 10.o, decide se a prestação desse serviço deve fazer parte dos serviços de base da CERT-UE, tendo em conta os recursos humanos e financeiros da entidade da União em causa. Cada entidade da União informa a CERT-UE, sem demora injustificada, do responsável local pela cibersegurança designado e de eventuais alterações subsequentes a este respeito.
A CERT-UE cria a lista de responsáveis locais pela cibersegurança designados e garante a respetiva atualização.
9. Os altos funcionários na aceção do artigo 29.o, n.o 2, do Estatuto dos Funcionários ou outros funcionários de nível equivalente de cada entidade da União, bem como todos os membros do pessoal pertinentes incumbidos da aplicação das medidas de gestão dos riscos de cibersegurança e do cumprimento das obrigações previstas no presente regulamento, frequentam periodicamente ações específicas de formação, a fim de adquirir conhecimentos e competências suficientes para compreender e avaliar os riscos de segurança e as práticas de gestão, bem como o seu impacto no funcionamento da entidade da União.
Artigo 8.o
Medidas de gestão dos riscos de cibersegurança
1. Sem demora injustificada e, em qualquer caso, até 8 de setembro de 2025, cada entidade da União toma, sob a supervisão da direção ao mais alto nível respetiva, medidas técnicas, operacionais e organizativas adequadas e proporcionadas para gerir os riscos de cibersegurança identificados no âmbito do regime e prevenir ou minimizar o impacto dos incidentes. Tendo em conta os progressos técnicos mais recentes e, se aplicável, as normas europeias e internacionais pertinentes, essas medidas garantem um nível de segurança dos sistemas de rede e informação em todo o ambiente de TIC proporcional aos riscos de cibersegurança criados. Aquando da avaliação da proporcionalidade dessas medidas, são devidamente tidos em conta o grau de exposição da entidade da União aos riscos de cibersegurança, a sua dimensão, a probabilidade de ocorrência de incidentes e a sua gravidade, incluindo o seu impacto nos planos societal, económico e interinstitucional.
2. As entidades da União abordam, pelo menos, os seguintes domínios na aplicação das medidas de gestão dos riscos de cibersegurança:
| a) | Política de cibersegurança, nomeadamente as medidas necessárias para alcançar os objetivos e prioridades referidos no artigo 6.o e no n.o 3 do presente artigo; |
| b) | Políticas relativas à análise dos riscos de cibersegurança e de segurança dos sistemas de informação; |
| c) | Objetivos políticos relativos à utilização de serviços de computação em nuvem; |
| d) | Auditorias de cibersegurança, se for caso disso, que podem incluir uma avaliação do risco de cibersegurança, da vulnerabilidade e das ciberameaças, bem como testes de penetração realizados regularmente por um prestador privado de confiança; |
| e) | Aplicação das recomendações resultantes das auditorias de cibersegurança a que se refere a alínea d), através da cibersegurança e de atualizações das políticas; |
| f) | Organização da cibersegurança, incluindo a definição das funções e responsabilidades; |
| g) | Gestão de ativos, incluindo o inventário dos ativos de TIC e o mapeamento da rede de TIC; |
| h) | Segurança dos recursos humanos e controlo do acesso; |
| i) | Segurança das operações; |
| j) | Segurança das comunicações; |
| k) | Aquisição, desenvolvimento e manutenção dos sistemas, incluindo políticas relativas ao tratamento e à divulgação de vulnerabilidades; |
| l) | Se exequível, políticas relativas à transparência do código-fonte; |
| m) | Segurança da cadeia de abastecimento, incluindo aspetos relacionados com a segurança no que se refere às relações entre cada entidade da União e os seus fornecedores diretos ou prestadores de serviços; |
| n) | Tratamento de incidentes e cooperação com a CERT-UE, designadamente no âmbito da conservação de registos e da monitorização da segurança; |
| o) | Gestão da continuidade das atividades, como a gestão de cópias de segurança e a recuperação de desastres, e gestão de crises; e |
| p) | Promoção e desenvolvimento de programas de educação, competências, sensibilização, exercício e formação no domínio da cibersegurança. |
Para efeitos do primeiro parágrafo, alínea m), as entidades da União têm em conta as vulnerabilidades específicas de cada fornecedor direto e de cada prestador de serviços, bem como a qualidade global dos produtos e as práticas de cibersegurança dos seus fornecedores e prestadores de serviços, incluindo os seus procedimentos de desenvolvimento seguro.
3. As entidades da União tomam, pelo menos, as seguintes medidas específicas de gestão dos riscos de cibersegurança:
| a) | Disposições técnicas para permitir e manter o teletrabalho; |
| b) | Medidas concretas para avançar rumo a princípios de «confiança zero»; |
| c) | Utilização, por norma, da autenticação multifatorial nos sistemas de rede e informação; |
| d) | Utilização da criptografia e da cifragem, em particular da cifragem de ponta a ponta, bem como de assinaturas digitais seguras; |
| e) | Implantação, se for caso disso, de comunicações seguras de voz, vídeo e texto e de sistemas seguros de comunicações de emergência na entidade da União; |
| f) | Medidas proativas para a deteção e remoção de software malicioso e de software espião; |
| g) | Garantia da segurança da cadeia de abastecimento de software por meio de critérios para a criação e avaliação seguras de software; |
| h) | Estabelecimento e adoção de programas de formação sobre cibersegurança adequados às atribuições prescritas e às capacidades previstas para a direção ao mais alto nível e para os membros do pessoal da entidade da União incumbidos de garantir a aplicação do presente regulamento; |
| i) | Formação periódica do pessoal em matéria de cibersegurança; |
| j) | Se for caso disso, participação em análises dos riscos de interconectividade entre as entidades da União; |
| k) | Reforço das regras de contratação pública para facilitar um elevado nível comum de cibersegurança através:
|
Artigo 9.o
Planos de cibersegurança
1. Na sequência da conclusão da avaliação da maturidade em matéria de cibersegurança efetuada nos termos do artigo 7.o, e tendo em conta os ativos e riscos de cibersegurança identificados no regime, assim como as medidas de gestão dos riscos de cibersegurança adotadas nos termos do artigo 8.o, a direção ao mais alto nível de cada entidade da União aprova um plano de cibersegurança, sem demora injustificada, e em todo o caso até 8 de janeiro de 2026. O plano de cibersegurança visa reforçar a cibersegurança global da entidade da União e, por conseguinte, contribuir para o reforço de um elevado nível comum de cibersegurança nas entidades da União. O plano de cibersegurança inclui pelo menos as medidas de gestão dos riscos de cibersegurança adotadas nos termos do artigo 8.o. O plano de cibersegurança é revisto de dois em dois anos, ou mais frequentemente se necessário, na sequência de avaliações da maturidade em matéria de cibersegurança realizadas nos termos do artigo 7.o ou de um reexame importante do regime.
2. O plano de cibersegurança inclui o plano de gestão de cibercrises da entidade da União para incidentes graves.
3. As entidades da União apresentam os seus planos de cibersegurança ao Conselho Interinstitucional para a Cibersegurança criado nos termos do artigo 10.o.
CAPÍTULO III
CONSELHO INTERINSTITUCIONAL PARA A CIBERSEGURANÇA
Artigo 12.o
Conformidade
1. Cabe ao IICB, nos termos do artigo 10.o, n.o 2, e do artigo 11.o, acompanhar de forma eficaz a aplicação, por parte das entidades da União, do presente regulamento e das orientações, recomendações e apelos à ação adotados. O IICB pode solicitar às entidades da União as informações ou a documentação necessárias para o efeito. Para efeitos de adoção das medidas de conformidade nos termos do presente artigo, caso a entidade da União em causa esteja diretamente representada no IICB, não tem direito de voto.
2. Se concluir que uma entidade da União não aplicou efetivamente o presente regulamento ou alguma das orientações, recomendações ou apelos à ação emitidos nos termos do presente regulamento, o IICB pode, sem prejuízo dos procedimentos internos da entidade da União em causa, e após ter dado a oportunidade à entidade ou pessoa em causa de apresentar o seu ponto de vista:
| a) | Transmitir um parecer fundamentado à entidade da União em causa, com as lacunas observadas na aplicação do presente regulamento; |
| b) | Dar, após consulta à CERT-UE, orientações à entidade da União em causa, por forma a colocar o respetivo regime, as medidas de gestão dos riscos de cibersegurança, os planos de cibersegurança e as obrigações de informação em conformidade com o presente regulamento num determinado prazo; |
| c) | Emitir um alerta para abordar as lacunas identificadas num prazo especificado, incluindo recomendações para alterar medidas adotadas pela entidade da União em causa nos termos do presente regulamento; |
| d) | Emitir uma notificação fundamentada para a entidade da União em causa, caso as deficiências identificadas num alerta emitido nos termos da alínea c) não tenham sido satisfatoriamente corrigidas no prazo especificado; |
| e) | Emitir:
|
| f) | Informar, se for caso disso, o Tribunal de Contas, no âmbito do seu mandato, do alegado incumprimento; |
| g) | Emitir uma recomendação para que todos os Estados-Membros e todas as entidades da União apliquem uma suspensão temporária dos fluxos de dados para a entidade da União em causa. |
Para efeitos do primeiro parágrafo, alínea c), o público-alvo de um alerta deve ser restringido adequadamente, se necessário tendo em conta o risco de cibersegurança.
Os alertas e recomendações emitidos ao abrigo do primeiro parágrafo são dirigidos à direção ao mais alto nível da entidade da União em causa.
3. Se o IICB tiver adotado medidas nos termos do n.o 2, primeiro parágrafo, alíneas a) a g), a entidade da União em causa apresenta ao pormenor as medidas e ações aplicadas para colmatar as alegadas lacunas identificadas pelo IICB. A entidade da União apresenta os referidos pormenores dentro de um prazo razoável a negociar com o IICB.
4. Se o IICB considerar que existe infração persistente ao presente regulamento por parte de uma entidade da União, diretamente resultante de ações ou omissões de um funcionário ou outro agente da União, incluindo da direção ao mais alto nível, o IICB exige à entidade da União em causa que tome as medidas necessárias, nomeadamente solicitando que pondere a tomada de medidas de caráter disciplinar, em conformidade com as regras e os procedimentos previstos no Estatuto dos Funcionários e em quaisquer outras regras ou quaisquer outros procedimentos aplicáveis. Para o efeito, o IICB transmite as informações necessárias à entidade da União em causa.
5. Caso as entidades da União informem da sua incapacidade para cumprir os prazos previstos no artigo 6.o, n.o 1, e no artigo 8.o, n.o 1, o IICB pode, em casos devidamente motivados, tendo em conta a dimensão da entidade da União, autorizar a prorrogação dos referidos prazos.
CAPÍTULO IV
CERT-UE
Artigo 18.o
1. A CERT-UE pode colaborar com contrapartes da União distintas das mencionadas no artigo 17.o que estejam sujeitas aos requisitos da União em matéria de cibersegurança, nomeadamente contrapartes setoriais, em matéria de ferramentas e métodos, como técnicas, táticas, procedimentos e boas práticas, bem como em matéria de ciberameaças e vulnerabilidades informáticas. No que respeita à colaboração com tais contrapartes, a CERT-UE deve obter a aprovação prévia do IICB numa base casuística. Caso estabeleça a cooperação com tais contrapartes, a CERT-UE informa todas as contrapartes pertinentes dos Estados-Membros referidas no artigo 17.o, n.o 1, no Estado-Membro onde a contraparte se encontre. Se aplicável e for caso disso, essa cooperação e as respetivas condições, nomeadamente em matéria de cibersegurança, proteção de dados e tratamento de informações, são estabelecidas em acordos de confidencialidade específicos, tais como contratos ou convénios administrativos. Os acordos de confidencialidade não carecem da aprovação prévia do IICB mas são levados ao conhecimento do seu presidente. Em caso de necessidade urgente e iminente de trocar informações em matéria de cibersegurança no interesse das entidades da União ou de outra parte, a CERT-UE pode fazê-lo com uma entidade cuja competência, capacidade e conhecimentos específicos sejam justificadamente necessários para prestar assistência em caso de uma tal necessidade urgente e iminente, mesmo que a CERT-UE não disponha de um acordo de confidencialidade com essa entidade. Nesses casos, a CERT-UE informa imediatamente o presidente do IICB e mantém o IICB informado através de relatórios periódicos ou reuniões.
2. A CERT-UE pode colaborar com parceiros, como entidades comerciais, nomeadamente entidades setoriais, organizações internacionais, entidades nacionais de países terceiros ou determinados peritos, de forma a recolher informações sobre as ciberameaças, quase incidentes, vulnerabilidades e contramedidas possíveis, em termos gerais e específicos. Para uma colaboração mais alargada com tais parceiros, a CERT-UE deve obter a aprovação prévia do IICB numa base casuística.
3. Mediante consentimento da entidade da União afetada por um incidente e desde que exista um acordo ou contrato de não divulgação com a contraparte ou parceiro em causa, a CERT-UE pode transmitir informações relacionadas com o incidente específico às contrapartes ou parceiros a que se referem os n.os 1 e 2 unicamente com o objetivo de contribuir para a sua análise.
CAPÍTULO V
OBRIGAÇÕES DE COOPERAÇÃO E DE COMUNICAÇÃO DE INFORMAÇÕES
Artigo 21.o
Obrigações de comunicação de informações
1. Considera-se que um incidente é significativo se:
| a) | Tiver causado ou for suscetível de causar graves perturbações operacionais no que se refere ao funcionamento da entidade da União ou perdas financeiras para a entidade da União em causa; |
| b) | Tiver afetado ou for suscetível de afetar outras pessoas singulares ou coletivas, causando danos materiais ou imateriais consideráveis. |
2. As entidades da União apresentam à CERT-UE:
| a) | Sem demora injustificada e, em qualquer caso, no prazo de 24 horas depois de terem tomado conhecimento do incidente significativo, um alerta rápido, que, se aplicável, indica se há suspeitas de que o incidente significativo foi causado por um ato ilícito ou malicioso ou se pode ter um impacto transfronteiriço ou transversal a várias entidades; |
| b) | Sem demora injustificada e, em qualquer caso, no prazo de 72 horas depois de terem tomado conhecimento do incidente significativo, uma notificação de incidente, que, se aplicável, deve atualizar as informações a que se refere a alínea a) e disponibilizar uma avaliação inicial do incidente significativo, incluindo da sua gravidade e do seu impacto, bem como, se disponíveis, dos indicadores de exposição a riscos; |
| c) | A pedido da CERT-UE, um relatório intercalar com atualizações de estado pertinentes; |
| d) | O mais tardar um mês após a apresentação da notificação de incidente mencionada na alínea b), um relatório final que contenha os seguintes elementos:
|
| e) | Em caso de incidente em curso no momento da apresentação do relatório final referido na alínea d), um relatório intercalar nessa altura e um relatório final no prazo de um mês após terem tratado o incidente. |
3. Sem demora injustificada e, em qualquer caso, no prazo de 24 horas depois de ter tomado conhecimento de um incidente significativo, uma entidade da União informa as contrapartes pertinentes dos Estados-Membros a que se refere o artigo 17.o, n.o 1, no Estado-Membro em que está localizada de que ocorreu um incidente significativo.
4. As entidades da União comunicam, nomeadamente, quaisquer informações que permitam à CERT-UE determinar qualquer impacto transversal às entidades, impacto no Estado-Membro de acolhimento ou impacto transfronteiriço após a ocorrência de um incidente significativo. Sem prejuízo do artigo 12.o, a mera notificação não sujeita a entidade da União notificadora a responsabilidades acrescidas.
5. Se aplicável, as entidades da União comunicam, sem demora injustificada, aos utilizadores dos sistemas de rede e informação afetados, ou de outros componentes do ambiente das TIC, que serão potencialmente afetados por um incidente significativo ou por uma ciberameaça significativa, e, se for caso disso, que necessitam de tomar medidas de atenuação, e as medidas proativas ou corretivas que podem ser tomadas em resposta ao incidente ou à ameaça. Se for caso disso, as entidades da União devem informar esses utilizadores da própria ciberameaça significativa.
6. Se um incidente significativo ou uma ciberameaça significativa afetar um sistema de rede e informação ou um componente do ambiente das TIC de uma entidade da União que se saiba estar ligado ao ambiente das TIC de outra entidade da União, a CERT-UE emite um alerta de cibersegurança pertinente.
7. As entidades da União, a pedido da CERT-UE, facultam-lhe sem demora injustificada as informações digitais decorrentes da utilização dos dispositivos eletrónicos envolvidos nos incidentes em causa. A CERT-UE pode dar mais pormenores sobre os tipos de informação de que necessita para fins de conhecimento situacional e resposta a incidentes.
8. A CERT-UE apresenta, a cada três meses, ao IICB, à ENISA, ao INTCEN da UE e à rede de CSIRT, um relatório de síntese que inclua dados anonimizados e agregados sobre incidentes significativos, incidentes, ciberameaças, quase incidentes e vulnerabilidades nos termos do artigo 20.o e incidentes significativos notificados nos termos do n.o 2 do presente artigo. O referido relatório de síntese constitui um contributo para o relatório bienal sobre o estado da cibersegurança na União, elaborado nos termos do artigo 18.o da Diretiva (UE) 2022/2555.
9. Até 8 de julho de 2024, o IICB emite orientações ou recomendações no sentido de especificar melhor as modalidades, o formato e o conteúdo da comunicação de informações nos termos do presente artigo. Ao elaborar essas orientações ou recomendações, o IICB deve ter em conta quaisquer atos de execução adotados nos termos do artigo 23.o, n.o 11, da Diretiva (UE) 2022/2555 que especifiquem o tipo de informações, o formato e o procedimento das notificações. A CERT-UE divulga os pormenores técnicos necessários para permitir uma deteção proativa, a resposta a incidentes ou a tomada de medidas de atenuação por parte das entidades da União.
10. As obrigações de comunicação de informações impostas no presente artigo não abrangem:
| a) | As ICUE; |
| b) | As informações cuja distribuição posterior tenha sido excluída por meio de uma marcação visível, a menos que a sua partilha com a CERT-UE tenha sido explicitamente autorizada. |
Artigo 22.o
Coordenação da resposta a incidentes e cooperação
1. Ao atuar enquanto plataforma de intercâmbio de informações de cibersegurança e centro de coordenação da resposta a incidentes, a CERT-UE facilita o intercâmbio de informações sobre incidentes, ciberameaças, vulnerabilidades e quase incidentes entre:
| a) | Entidades da União; |
| b) | As contrapartes referidas nos artigos 17.o e 18.o. |
2. A CERT-UE facilita, se for caso disso em estreita cooperação com a ENISA, a coordenação entre as entidades da União na resposta a incidentes, incluindo os seguintes elementos:
| a) | Contribuição para uma comunicação externa coerente; |
| b) | Apoio mútuo, como a partilha de informações relevantes para as entidades da União ou a prestação de assistência, se for caso disso diretamente no local; |
| c) | Utilização ideal dos recursos operacionais; |
| d) | Coordenação com outros mecanismos de resposta a situações de crise a nível da União. |
3. A CERT-UE apoia, em estreita cooperação com a ENISA, as entidades da União no que respeita ao conhecimento situacional de incidentes, ciberameaças, vulnerabilidades e quase incidentes, bem como no que respeita à partilha dos mais recentes avanços no domínio da cibersegurança.
4. Até 8 de janeiro de 2025, o IICB adota, com base numa proposta da CERT-UE, orientações ou recomendações sobre a coordenação da resposta a incidentes e a colaboração em caso de incidente significativo. Quando se suspeitar que um incidente teve natureza criminosa, a CERT-UE deve emitir, sem demora injustificada, orientações sobre a forma como o incidente deve ser notificado às autoridades competentes para a aplicação da lei.
5. Na sequência de um pedido específico de um Estado-Membro e com a aprovação das entidades da União em causa, a CERT-UE pode recorrer a peritos da lista referida no artigo 23.o, n.o 4, para contribuírem para a resposta a um incidente grave com impacto nesse Estado-Membro, ou a um incidente de cibersegurança em grande escala, em conformidade com o artigo 15.o, n.o 3, alínea g), da Diretiva (UE) 2022/2555. As regras específicas sobre o acesso e o recurso a peritos técnicos provenientes de entidades da União são aprovadas pelo IICB, mediante proposta da CERT-UE.
whereas