Cyber Resilience Act 2023/2841 PT

O presente regulamento estabelece medidas destinadas a alcançar um elevado nível comum de cibersegurança nas entidades da União no respeitante ao seguinte:

a)	Criação por cada entidade da União de um regime interno de gestão, governação e controlo dos riscos de cibersegurança nos termos do artigo 6.o;

b)	Gestão e notificação dos riscos de cibersegurança, bem como partilha de informações sobre esses riscos;

c)	Organização, funcionamento e operação do Conselho Interinstitucional para a Cibersegurança criado nos termos do artigo 10.o, bem como a organização, funcionamento e operação do Serviço de Cibersegurança para as instituições, órgãos e organismos da União (CERT-UE);

d)	Acompanhamento da aplicação do presente regulamento.

Artigo 3.o

Definições

Para efeitos do presente regulamento, entende-se por:

1)	«Entidades da União», as instituições, órgãos e organismos criados nos termos do Tratado da União Europeia, do Tratado sobre o Funcionamento da União Europeia (TFUE) ou do Tratado que institui a Comunidade Europeia da Energia Atómica;

2)	«Sistema de rede e informação», um sistema de rede e informação na aceção do artigo 6.o, ponto 1, da Diretiva (UE) 2022/2555;

3)	«Segurança dos sistemas de rede e informação», a segurança dos sistemas de rede e informação na aceção do artigo 6.o, ponto 2, da Diretiva (UE) 2022/2555;

4)	«Cibersegurança», a cibersegurança na aceção do artigo 2.o, ponto 1, do Regulamento (UE) 2019/881;

«Direção ao mais alto nível», um dirigente, um organismo de direção ou um organismo de coordenação e supervisão, que é responsável pelo funcionamento de uma entidade da União ao mais alto nível administrativo, incumbido de adotar ou autorizar decisões em conformidade com as disposições em matéria de governação ao mais alto nível da entidade da União em causa, sem prejuízo das responsabilidades formais que incumbam a outros níveis de direção pela conformidade e gestão dos riscos de cibersegurança nos respetivos domínios de responsabilidade;

6)	«Quase incidente», um quase incidente na aceção do artigo 6.o, ponto 5, da Diretiva (UE) 2022/2555;

7)	«Incidente», um incidente na aceção do artigo 6.o, ponto 6, da Diretiva (UE) 2022/2555;

8)	«Incidente grave», um incidente que causa um nível de perturbação que excede a capacidade de resposta de uma entidade da União e da CERT-UE ou que tem um impacto significativo em pelo menos duas entidades da União;

9)	«Incidente de cibersegurança em grande escala», um incidente de cibersegurança em grande escala na aceção do artigo 6.o, ponto 7, da Diretiva (UE) 2022/2555;

10)	«Tratamento de incidentes», o tratamento de incidentes na aceção do artigo 6.o, ponto 8, da Diretiva (UE) 2022/2555;

11)	«Ciberameaça», uma ciberameaça na aceção do artigo 2.o, ponto 8, do Regulamento (UE) 2019/881;

12)	«Ciberameaça significativa», uma ciberameaça significativa na aceção do artigo 6.o, ponto 11, da Diretiva (UE) 2022/2555;

13)	«Vulnerabilidade», uma vulnerabilidade na aceção do artigo 6.o, ponto 15, da Diretiva (UE) 2022/2555;

14)	«Risco de cibersegurança», um risco na aceção do artigo 6.o, ponto 9, da Diretiva (UE) 2022/2555;

15)	«Serviço de computação em nuvem», um serviço de computação em nuvem na aceção do artigo 6.o, ponto 30, da Diretiva (UE) 2022/2555.

Artigo 6.o

Regime de gestão, governação e controlo dos riscos de cibersegurança

1. Até 8 de abril de 2025, cada entidade da União estabelece, após efetuar uma análise inicial da cibersegurança, designadamente uma auditoria, um regime interno de gestão, governação e controlo dos riscos de cibersegurança («regime»). O estabelecimento do regime é supervisionado pela direção ao mais alto nível da entidade da União e é da sua responsabilidade.

2. O regime abrange a totalidade do ambiente das TIC não classificado da entidade da União em causa, incluindo todos os ambientes das TIC nas instalações, a rede de tecnologia operacional locais, os ativos e serviços subcontratados em ambientes de computação em nuvem ou alojados por terceiros, os dispositivos móveis, as redes institucionais, as redes institucionais não ligadas à Internet e todos os dispositivos ligados aos referidos ambientes («ambiente das TIC»). O regime baseia-se numa abordagem que tem em conta todos os perigos.

3. O regime garante um elevado nível de cibersegurança. Estabelece políticas internas de cibersegurança, incluindo objetivos e prioridades, para a segurança dos sistemas de rede e informação, bem como as funções e responsabilidades do pessoal da entidade da União encarregado de assegurar a aplicação efetiva do presente regulamento. O regime inclui também mecanismos para medir a eficácia da aplicação.

4. O regime é reexaminado periodicamente, na perspetiva da evolução dos riscos de cibersegurança, e, pelo menos, de quatro em quatro anos. Se for caso disso e na sequência de um pedido do Conselho Interinstitucional para a Cibersegurança, criado nos termos do artigo 10.o, o regime de uma entidade da União pode ser atualizado com base nas orientações da CERT-UE sobre incidentes identificados ou eventuais lacunas observadas na aplicação do presente regulamento.

5. Incumbe à direção ao mais alto nível de cada entidade da União a responsabilidade pela aplicação do presente regulamento, assim como a supervisão do cumprimento, por parte da respetiva organização, das obrigações relacionadas com o regime.

6. Se for caso disso e sem prejuízo da sua responsabilidade pela aplicação do presente regulamento, a direção ao mais alto nível de cada entidade da União pode delegar obrigações específicas ao abrigo do presente regulamento em altos funcionários, na aceção do artigo 29.o, n.o 2, do Estatuto dos Funcionários, ou noutros funcionários de nível equivalente, dentro da entidade da União em causa. Independentemente dessa delegação, a direção ao mais alto nível pode ser considerada responsável por infrações ao presente regulamento cometidas pela entidade da União em causa.

7. Cada entidade da União deve dispor de mecanismos eficazes para assegurar que uma percentagem adequada do orçamento para as TIC seja aplicada em cibersegurança. O regime é devidamente tido em conta na definição da referida percentagem.

8. Cada entidade da União designa um responsável local pela cibersegurança, ou função equivalente, que atue como ponto de contacto único relativamente a todos os aspetos de cibersegurança. O responsável local pela cibersegurança facilita a aplicação do presente regulamento e reporta diretamente à direção ao mais alto nível, numa base periódica, o ponto da situação no que se refere à aplicação. Sem prejuízo do facto de o responsável local pela cibersegurança ser o ponto de contacto único em cada entidade da União, uma entidade da União pode delegar na CERT-UE determinadas atribuições do responsável local pela cibersegurança no que diz respeito à aplicação do presente regulamento, com base num acordo de nível de serviço celebrado entre essa entidade da União e a CERT-UE, ou essas atribuições podem ser partilhadas por várias entidades da União. Caso essas atribuições sejam delegadas na CERT-UE, o Comité Interinstitucional para a Cibersegurança, criado nos termos do artigo 10.o, decide se a prestação desse serviço deve fazer parte dos serviços de base da CERT-UE, tendo em conta os recursos humanos e financeiros da entidade da União em causa. Cada entidade da União informa a CERT-UE, sem demora injustificada, do responsável local pela cibersegurança designado e de eventuais alterações subsequentes a este respeito.

A CERT-UE cria a lista de responsáveis locais pela cibersegurança designados e garante a respetiva atualização.

9. Os altos funcionários na aceção do artigo 29.o, n.o 2, do Estatuto dos Funcionários ou outros funcionários de nível equivalente de cada entidade da União, bem como todos os membros do pessoal pertinentes incumbidos da aplicação das medidas de gestão dos riscos de cibersegurança e do cumprimento das obrigações previstas no presente regulamento, frequentam periodicamente ações específicas de formação, a fim de adquirir conhecimentos e competências suficientes para compreender e avaliar os riscos de segurança e as práticas de gestão, bem como o seu impacto no funcionamento da entidade da União.

Artigo 8.o

Medidas de gestão dos riscos de cibersegurança

1. Sem demora injustificada e, em qualquer caso, até 8 de setembro de 2025, cada entidade da União toma, sob a supervisão da direção ao mais alto nível respetiva, medidas técnicas, operacionais e organizativas adequadas e proporcionadas para gerir os riscos de cibersegurança identificados no âmbito do regime e prevenir ou minimizar o impacto dos incidentes. Tendo em conta os progressos técnicos mais recentes e, se aplicável, as normas europeias e internacionais pertinentes, essas medidas garantem um nível de segurança dos sistemas de rede e informação em todo o ambiente de TIC proporcional aos riscos de cibersegurança criados. Aquando da avaliação da proporcionalidade dessas medidas, são devidamente tidos em conta o grau de exposição da entidade da União aos riscos de cibersegurança, a sua dimensão, a probabilidade de ocorrência de incidentes e a sua gravidade, incluindo o seu impacto nos planos societal, económico e interinstitucional.

2. As entidades da União abordam, pelo menos, os seguintes domínios na aplicação das medidas de gestão dos riscos de cibersegurança:

a)	Política de cibersegurança, nomeadamente as medidas necessárias para alcançar os objetivos e prioridades referidos no artigo 6.o e no n.o 3 do presente artigo;

b)	Políticas relativas à análise dos riscos de cibersegurança e de segurança dos sistemas de informação;

c)	Objetivos políticos relativos à utilização de serviços de computação em nuvem;

d)	Auditorias de cibersegurança, se for caso disso, que podem incluir uma avaliação do risco de cibersegurança, da vulnerabilidade e das ciberameaças, bem como testes de penetração realizados regularmente por um prestador privado de confiança;

e)	Aplicação das recomendações resultantes das auditorias de cibersegurança a que se refere a alínea d), através da cibersegurança e de atualizações das políticas;

f)	Organização da cibersegurança, incluindo a definição das funções e responsabilidades;

g)	Gestão de ativos, incluindo o inventário dos ativos de TIC e o mapeamento da rede de TIC;

h)	Segurança dos recursos humanos e controlo do acesso;

i)	Segurança das operações;

j)	Segurança das comunicações;

k)	Aquisição, desenvolvimento e manutenção dos sistemas, incluindo políticas relativas ao tratamento e à divulgação de vulnerabilidades;

l)	Se exequível, políticas relativas à transparência do código-fonte;

m)	Segurança da cadeia de abastecimento, incluindo aspetos relacionados com a segurança no que se refere às relações entre cada entidade da União e os seus fornecedores diretos ou prestadores de serviços;

n)	Tratamento de incidentes e cooperação com a CERT-UE, designadamente no âmbito da conservação de registos e da monitorização da segurança;

o)	Gestão da continuidade das atividades, como a gestão de cópias de segurança e a recuperação de desastres, e gestão de crises; e

p)	Promoção e desenvolvimento de programas de educação, competências, sensibilização, exercício e formação no domínio da cibersegurança.

Para efeitos do primeiro parágrafo, alínea m), as entidades da União têm em conta as vulnerabilidades específicas de cada fornecedor direto e de cada prestador de serviços, bem como a qualidade global dos produtos e as práticas de cibersegurança dos seus fornecedores e prestadores de serviços, incluindo os seus procedimentos de desenvolvimento seguro.

3. As entidades da União tomam, pelo menos, as seguintes medidas específicas de gestão dos riscos de cibersegurança:

a)	Disposições técnicas para permitir e manter o teletrabalho;

b)	Medidas concretas para avançar rumo a princípios de «confiança zero»;

c)	Utilização, por norma, da autenticação multifatorial nos sistemas de rede e informação;

d)	Utilização da criptografia e da cifragem, em particular da cifragem de ponta a ponta, bem como de assinaturas digitais seguras;

e)	Implantação, se for caso disso, de comunicações seguras de voz, vídeo e texto e de sistemas seguros de comunicações de emergência na entidade da União;

f)	Medidas proativas para a deteção e remoção de software malicioso e de software espião;

g)	Garantia da segurança da cadeia de abastecimento de software por meio de critérios para a criação e avaliação seguras de software;

h)	Estabelecimento e adoção de programas de formação sobre cibersegurança adequados às atribuições prescritas e às capacidades previstas para a direção ao mais alto nível e para os membros do pessoal da entidade da União incumbidos de garantir a aplicação do presente regulamento;

i)	Formação periódica do pessoal em matéria de cibersegurança;

j)	Se for caso disso, participação em análises dos riscos de interconectividade entre as entidades da União;

Reforço das regras de contratação pública para facilitar um elevado nível comum de cibersegurança através:

i)	remoção dos obstáculos contratuais que limitam a partilha de informações com a CERT-UE por parte dos prestadores de serviços TIC sobre os incidentes, as vulnerabilidades e as ciberameaças,

ii)	obrigações contratuais de comunicar os incidentes, as vulnerabilidades e as ciberameaças, bem como de dispor de um sistema adequado de monitorização e resposta a incidentes.

Artigo 9.o

Planos de cibersegurança

1. Na sequência da conclusão da avaliação da maturidade em matéria de cibersegurança efetuada nos termos do artigo 7.o, e tendo em conta os ativos e riscos de cibersegurança identificados no regime, assim como as medidas de gestão dos riscos de cibersegurança adotadas nos termos do artigo 8.o, a direção ao mais alto nível de cada entidade da União aprova um plano de cibersegurança, sem demora injustificada, e em todo o caso até 8 de janeiro de 2026. O plano de cibersegurança visa reforçar a cibersegurança global da entidade da União e, por conseguinte, contribuir para o reforço de um elevado nível comum de cibersegurança nas entidades da União. O plano de cibersegurança inclui pelo menos as medidas de gestão dos riscos de cibersegurança adotadas nos termos do artigo 8.o. O plano de cibersegurança é revisto de dois em dois anos, ou mais frequentemente se necessário, na sequência de avaliações da maturidade em matéria de cibersegurança realizadas nos termos do artigo 7.o ou de um reexame importante do regime.

2. O plano de cibersegurança inclui o plano de gestão de cibercrises da entidade da União para incidentes graves.

3. As entidades da União apresentam os seus planos de cibersegurança ao Conselho Interinstitucional para a Cibersegurança criado nos termos do artigo 10.o.

CAPÍTULO III

CONSELHO INTERINSTITUCIONAL PARA A CIBERSEGURANÇA

Artigo 11.o

Atribuições do IICB

No exercício das suas responsabilidades, o IICB deve, em particular:

a)	Dar orientações ao diretor da CERT-UE;

b)	Acompanhar e supervisionar eficazmente a aplicação do presente regulamento e apoiar as entidades da União no reforço da sua cibersegurança, incluindo, se for caso disso, solicitando relatórios ad hoc às entidades da União e à CERT-UE;

c)	Adotar, na sequência de um debate estratégico, uma estratégia plurianual sobre o aumento do nível de cibersegurança nas entidades da União, avaliá-la periodicamente e, pelo menos, de cinco em cinco anos, e, se necessário, alterá-la;

Estabelecer a metodologia e os aspetos organizacionais para a realização de avaliações voluntárias pelos pares por entidades da União, com vista a retirar ensinamentos de experiências partilhadas, reforçar a confiança mútua, alcançar um elevado nível comum de cibersegurança, bem como reforçar as capacidades de cibersegurança das entidades da União, assegurando que essas avaliações pelos pares sejam realizadas por peritos em cibersegurança designados por uma entidade da União diferente da entidade da União objeto de análise e que a metodologia se baseie no artigo 19.o da Diretiva (UE) 2022/2555 e seja, se for caso disso, adaptada às entidades da União;

e)	Aprovar, com base numa proposta do diretor da CERT-UE, o programa de trabalho anual da CERT-UE e acompanhar a sua execução;

f)	Aprovar, com base numa proposta do diretor da CERT-UE, o catálogo de serviços da CERT-UE e eventuais atualizações do mesmo;

g)	Aprovar, com base numa proposta do diretor da CERT-UE, o plano financeiro anual de receitas e despesas, nomeadamente despesas de pessoal, para as atividades da CERT-UE;

h)	Aprovar, com base numa proposta do diretor da CERT-UE, os termos dos acordos de nível de serviço;

i)	Examinar e aprovar o relatório anual elaborado pelo chefe da CERT-UE referente às atividades e à gestão dos fundos da CERT-UE;

j)	Aprovar e acompanhar os indicadores-chave de desempenho da CERT-UE, definidos com base numa proposta do seu diretor;

k)	Aprovar acordos de cooperação, acordos de nível de serviço ou contratos entre a CERT-UE e outras entidades nos termos do artigo 18.o;

l)	Adotar orientações e recomendações com base numa proposta da CERT-UE nos termos do artigo 14.o, e dar instruções à CERT-UE no sentido de que emita, retire ou modifique uma proposta de orientação ou de recomendação, ou um apelo à ação;

m)	Criar grupos consultivos técnicos com atribuições concretas para assistir nos trabalhos do IICB, aprovar os respetivos estatutos e designar os respetivos presidentes;

n)	Receber e avaliar documentos e relatórios apresentados pelas entidades da União nos termos do presente regulamento, como por exemplo avaliações da maturidade em matéria de cibersegurança;

o)	Facilitar o estabelecimento de um grupo informal que reúna os responsáveis locais pela cibersegurança das entidades da União, apoiadas pela ENISA, visando o intercâmbio de práticas de excelência e de informações em relação à aplicação do presente regulamento;

p)	Tendo em conta as informações sobre os riscos de cibersegurança identificados e os ensinamentos apresentados pela CERT-UE, acompanhar a adequação dos acordos de interconectividade entre os ambientes das TIC das entidades da União e prestar aconselhamento sobre possíveis melhorias;

Estabelecer um plano de gestão de cibercrises com vista a apoiar, a nível operacional, a gestão coordenada de incidentes graves que afetem entidades da União e a contribuir para o intercâmbio regular de informações pertinentes, em especial no que diz respeito aos impactos, à gravidade e às possíveis formas de atenuar os efeitos dos incidentes graves;

r)	Coordenar a adoção dos planos de gestão de cibercrises das entidades individuais da União referidos no artigo 9.o, n.o 2;

Adotar recomendações relacionadas com a segurança da cadeia de abastecimento a que se refere o artigo 8.o, n.o 2, primeiro parágrafo, alínea m), tendo em conta os resultados das avaliações coordenadas a nível da UE dos riscos de segurança das cadeias de abastecimento críticas referidas no artigo 22.o da Diretiva (UE) 2022/2555, para ajudar as entidades da União a adotar medidas de gestão dos riscos de cibersegurança eficazes e proporcionadas.

Artigo 12.o

Conformidade

1. Cabe ao IICB, nos termos do artigo 10.o, n.o 2, e do artigo 11.o, acompanhar de forma eficaz a aplicação, por parte das entidades da União, do presente regulamento e das orientações, recomendações e apelos à ação adotados. O IICB pode solicitar às entidades da União as informações ou a documentação necessárias para o efeito. Para efeitos de adoção das medidas de conformidade nos termos do presente artigo, caso a entidade da União em causa esteja diretamente representada no IICB, não tem direito de voto.

2. Se concluir que uma entidade da União não aplicou efetivamente o presente regulamento ou alguma das orientações, recomendações ou apelos à ação emitidos nos termos do presente regulamento, o IICB pode, sem prejuízo dos procedimentos internos da entidade da União em causa, e após ter dado a oportunidade à entidade ou pessoa em causa de apresentar o seu ponto de vista:

a)	Transmitir um parecer fundamentado à entidade da União em causa, com as lacunas observadas na aplicação do presente regulamento;

b)	Dar, após consulta à CERT-UE, orientações à entidade da União em causa, por forma a colocar o respetivo regime, as medidas de gestão dos riscos de cibersegurança, os planos de cibersegurança e as obrigações de informação em conformidade com o presente regulamento num determinado prazo;

c)	Emitir um alerta para abordar as lacunas identificadas num prazo especificado, incluindo recomendações para alterar medidas adotadas pela entidade da União em causa nos termos do presente regulamento;

d)	Emitir uma notificação fundamentada para a entidade da União em causa, caso as deficiências identificadas num alerta emitido nos termos da alínea c) não tenham sido satisfatoriamente corrigidas no prazo especificado;

Emitir:

i)	uma recomendação de realização de uma auditoria, ou

ii)	um pedido de realização de uma auditoria por um terceiro prestador de serviços de auditoria;

f)	Informar, se for caso disso, o Tribunal de Contas, no âmbito do seu mandato, do alegado incumprimento;

g)	Emitir uma recomendação para que todos os Estados-Membros e todas as entidades da União apliquem uma suspensão temporária dos fluxos de dados para a entidade da União em causa.

Para efeitos do primeiro parágrafo, alínea c), o público-alvo de um alerta deve ser restringido adequadamente, se necessário tendo em conta o risco de cibersegurança.

Os alertas e recomendações emitidos ao abrigo do primeiro parágrafo são dirigidos à direção ao mais alto nível da entidade da União em causa.

3. Se o IICB tiver adotado medidas nos termos do n.o 2, primeiro parágrafo, alíneas a) a g), a entidade da União em causa apresenta ao pormenor as medidas e ações aplicadas para colmatar as alegadas lacunas identificadas pelo IICB. A entidade da União apresenta os referidos pormenores dentro de um prazo razoável a negociar com o IICB.

4. Se o IICB considerar que existe infração persistente ao presente regulamento por parte de uma entidade da União, diretamente resultante de ações ou omissões de um funcionário ou outro agente da União, incluindo da direção ao mais alto nível, o IICB exige à entidade da União em causa que tome as medidas necessárias, nomeadamente solicitando que pondere a tomada de medidas de caráter disciplinar, em conformidade com as regras e os procedimentos previstos no Estatuto dos Funcionários e em quaisquer outras regras ou quaisquer outros procedimentos aplicáveis. Para o efeito, o IICB transmite as informações necessárias à entidade da União em causa.

5. Caso as entidades da União informem da sua incapacidade para cumprir os prazos previstos no artigo 6.o, n.o 1, e no artigo 8.o, n.o 1, o IICB pode, em casos devidamente motivados, tendo em conta a dimensão da entidade da União, autorizar a prorrogação dos referidos prazos.

CAPÍTULO IV

CERT-UE

Artigo 13.o

Missão e atribuições da CERT-UE

1. A missão da CERT-UE é contribuir para a segurança do ambiente das TIC não classificado das entidades da União, aconselhando-as em matéria de cibersegurança, ajudando-as a prevenir, detetar, gerir, atenuar e dar resposta a incidentes, assim como a recuperar após os mesmos, e agindo como plataforma de intercâmbio de informações de cibersegurança e centro de coordenação da resposta a incidentes.

2. A CERT-UE recolhe, gere, analisa e partilha com as entidades da União as informações sobre as ciberameaças, as vulnerabilidades e os incidentes relativos à infraestrutura de TIC não classificada. Coordena as respostas a incidentes ocorridos a nível interinstitucional e da entidade da União, nomeadamente prestando ou coordenando a prestação de assistência operacional especializada.

3. A CERT-UE desempenha as seguintes atribuições em relação às entidades da União:

a)	Apoio na aplicação do presente regulamento e contributo para a coordenação dessa aplicação, por meio das medidas enumeradas no artigo 14.o, n.o 1, ou através de relatórios ad hoc solicitados pelo IICB;

b)	Disponibilização de serviços normalizados da CSIRT a todas as entidades da União através de um pacote de serviços de cibersegurança descritos no seu catálogo de serviços (serviços de base);

c)	Manutenção de uma rede de pares e parceiros para apoiar os serviços, conforme previsto nos artigos 17.o e 18.o;

d)	Informação ao IICB relativamente a qualquer questão relacionada com a aplicação do presente regulamento e das orientações, recomendações e apelos à ação;

e)	Com base nas informações referidas no n.o 2, contribuir para o conhecimento da situação cibernética na União, em estreita cooperação com a ENISA;

f)	Coordenar a gestão de incidentes graves;

g)	Exercer, em nome das entidades da União, uma função equivalente à do coordenador designado para fins de divulgação coordenada das vulnerabilidades, nos termos do artigo 12.o, n.o 1, da Diretiva (UE) 2022/2555;

h)	Disponibilizar, a pedido de uma entidade da União, uma análise proativa e não intrusiva dos sistemas de rede e informação acessíveis ao público dessa entidade da União.

As informações a que se refere o primeiro parágrafo, alínea e), são partilhadas com o IICB, a rede de CSIRT e o Centro de Situação e de Informações da União Europeia (INTCEN da UE), se aplicável e for caso disso, e sob reserva de condições de confidencialidade adequadas.

4. A CERT-UE pode, em conformidade com o artigo 17.o ou o artigo 18.o, conforme adequado, cooperar com as comunidades de cibersegurança pertinentes na União e nos seus Estados-Membros, nomeadamente nos seguintes domínios:

a)	Preparação, coordenação em caso de incidentes, intercâmbio de informações e resposta a situações de crise a nível técnico em casos relacionados com entidades da União;

b)	Cooperação operacional no que respeita à rede CSIRT, nomeadamente em matéria de assistência mútua;

c)	Informações sobre ciberameaças, incluindo o conhecimento situacional;

d)	Qualquer tema que exija os conhecimentos técnicos especializados de cibersegurança da CERT-UE.

5. A CERT-UE enceta, no âmbito das suas competências, uma cooperação estruturada com a ENISA no que respeita ao reforço das capacidades, à cooperação operacional e a análises estratégicas a longo prazo das ciberameaças, em conformidade com o Regulamento (UE) 2019/881. A CERT-UE pode cooperar e trocar informações com o Centro Europeu da Cibercriminalidade da Europol.

6. A CERT-UE pode prestar os seguintes serviços não descritos no seu catálogo de serviços («serviços sujeitos a cobrança»):

Serviços de apoio à cibersegurança do ambiente de TIC das entidades da União, distintos dos referidos no n.o 3, com base em acordos de nível de serviço e sob reserva dos recursos disponíveis, nomeadamente monitorização de largo espectro da rede, inclusive a monitorização de primeira linha, a qualquer hora, das ciberameaças de maior gravidade;

b)	Serviços de apoio a operações ou projetos de cibersegurança das entidades da União, distintos dos serviços destinados a proteger o respetivo ambiente das TIC, com base em acordos escritos e mediante aprovação prévia do IICB;

c)	Uma análise proativa dos sistemas de rede e informação da entidade da União em causa, mediante pedido, a fim de detetar vulnerabilidades com um impacto significativo potencial;

Serviços de apoio à cibersegurança do ambiente das TIC de organizações distintas das entidades da União mas que colaborem estreitamente com as mesmas, por exemplo, por terem atribuições ou responsabilidades conferidas ao abrigo do direito da União, com base em acordos escritos e mediante aprovação prévia do IICB.

No respeitante ao primeiro parágrafo, alínea d), a CERT-UE pode, a título excecional, celebrar acordos de nível de serviço com entidades que não sejam as entidades da União, com a aprovação prévia do IICB.

7. A CERT-UE organiza e pode participar em exercícios de cibersegurança ou recomendar a participação em exercícios existentes, se aplicável em estreita cooperação com a ENISA, de forma a testar o nível de cibersegurança das entidades da União.

8. A CERT-UE pode prestar assistência às entidades da União relativamente a incidentes em sistemas de rede e informação que tratam ICUE, se as entidades da União envolvidas o solicitarem explicitamente, em conformidade com os respetivos procedimentos. A prestação de assistência pela CERT-UE nos termos do presente número é efetuada sem prejuízo das regras aplicáveis relacionadas com a proteção de informações classificadas.

9. A CERT-UE informa as entidades da União dos seus procedimentos e processos de tratamento de incidentes.

10. A CERT-UE contribui, com um elevado nível de confidencialidade e fiabilidade, através dos mecanismos de cooperação e canais de comunicação adequados, com informações pertinentes e anonimizadas sobre incidentes graves e a forma como foram tratados. As referidas informações são integradas no relatório a que se refere o artigo 10.o, n.o 14.

11. A CERT-UE apoia, em cooperação com a AEPD, as entidades da União em causa aquando da gestão de incidentes que tenham originado violações de dados pessoais, sem prejuízo das competências e atribuições da AEPD enquanto autoridade de supervisão nos termos do Regulamento (UE) 2018/1725.

12. Se os departamentos temáticos das entidades da União o solicitarem expressamente, a CERT-UE pode prestar aconselhamento técnico ou informações técnicas sobre questões estratégicas pertinentes.

Artigo 15.o

Diretor da CERT-UE

1. A Comissão, tendo obtido a aprovação por maioria de dois terços dos membros do IICB, nomeia o diretor da CERT-UE. O IICB é consultado em todas as fases do processo de nomeação do diretor da CERT-UE, em especial no que respeita à elaboração dos anúncios de abertura de vaga, à análise das candidaturas e à nomeação de júris de seleção para o cargo. O processo de seleção, incluindo a lista restrita final de candidatos para a nomeação do diretor da CERT-UE, assegura uma representação equitativa de cada género, tendo em conta as candidaturas apresentadas.

2. O diretor da CERT-UE é responsável pelo bom funcionamento da CERT-UE, atuando no âmbito das suas competências e sob a direção do IICB. O diretor da CERT-UE presta periodicamente informações ao presidente do IICB e apresenta relatórios ad hoc ao IICB, a pedido do referido presidente.

3. O diretor da CERT-UE presta assistência ao gestor orçamental delegado competente na elaboração do relatório anual de atividades que contém informações financeiras e de gestão, incluindo os resultados dos controlos, e é elaborado nos termos do artigo 74.o, n.o 9, do Regulamento (UE, Euratom) 2018/1046 do Parlamento Europeu e do Conselho (9), e informa-o regularmente sobre a aplicação das medidas para as quais tenham sido subdelegadas competências no diretor da CERT-UE.

4. O diretor da CERT-UE elabora anualmente um planeamento financeiro das receitas e despesas administrativas relacionadas com as suas atividades, uma proposta de programa de trabalho anual, uma proposta de catálogo de serviços da CERT-UE e as respetivas revisões, uma proposta dos termos dos acordos de nível de serviço e uma proposta de indicadores-chave de desempenho para a CERT-UE, com vista à sua aprovação pelo IICB nos termos do artigo 11.o. No âmbito da revisão da lista de serviços incluídos no catálogo de serviços da CERT-UE, o diretor da CERT-UE tem em conta os recursos afetados à CERT-UE.

5. O diretor da CERT-UE apresenta, pelo menos anualmente, relatórios ao IICB e ao presidente do IICB sobre as atividades e o desempenho da CERT-UE durante o período de referência, inclusive sobre a execução do orçamento, os acordos de nível de serviço e os acordos escritos celebrados, a colaboração com as contrapartes e os parceiros, bem como as missões realizadas pelos membros do seu pessoal, incluindo os relatórios referidos no artigo 11.o. Os referidos relatórios incluem um programa de trabalho para o período seguinte, o planeamento financeiro das receitas e despesas, incluindo o pessoal, as atualizações previstas do catálogo de serviços da CERT-UE e uma avaliação do impacto esperado dessas atualizações em termos de recursos financeiros e humanos.

Artigo 16.o

Questões financeiras e de pessoal

1. A CERT-UE é integrada na estrutura administrativa de uma direção-geral da Comissão, a fim de beneficiar das estruturas de apoio administrativo, financeiro e contabilístico da Comissão, mantendo simultaneamente o seu estatuto de prestador de serviços interinstitucional autónomo para todas as entidades da União. A Comissão informa o IICB sobre a localização da sede administrativa da CERT-UE, bem como de qualquer alteração desta. A Comissão reexamina periodicamente as disposições administrativas relacionadas com a CERT-UE e, em qualquer caso, antes da criação de qualquer quadro financeiro plurianual nos termos do artigo 312.o do TFUE, a fim de permitir a adoção de medidas adequadas. O reexame deve incluir a possibilidade de criar a CERT-UE como um serviço da União.

2. Relativamente à aplicação dos procedimentos administrativos e financeiros, o diretor da CERT-UE está subordinado à autoridade da Comissão, sob supervisão do IICB.

3. As atribuições e atividades da CERT-UE, incluindo os serviços que preste nos termos do artigo 13.o, n.os 3, 4, 5 e 7, e do artigo 14.o, n.o 1, às entidades da União financiados a partir da rubrica do quadro financeiro plurianual dedicada à administração pública europeia, são financiadas por uma rubrica orçamental distinta do orçamento da Comissão. Os postos afetados à CERT-UE são especificados numa nota de rodapé no quadro de pessoal da Comissão.

4. As entidades da União distintas das referidas no n.o 3 do presente artigo devem prestar uma contribuição financeira anual à CERT-UE para cobrir os serviços prestados pela CERT-UE nos termos desse mesmo número. As contribuições baseiam-se nas orientações dadas pelo IICB e acordadas entre cada entidade da União e a CERT-UE em acordos de nível de serviço. As contribuições devem representar uma parte justa e proporcionada dos custos totais dos serviços prestados. Serão registadas na rubrica orçamental distinta referida no n.o 3 do presente artigo como receitas afetadas internas, tal como previsto no artigo 21.o, n.o 3, alínea c), do Regulamento (UE, Euratom) 2018/1046.

5. Os custos dos serviços indicados no artigo 13.o, n.o 6, devem ser recuperados junto das entidades da União que beneficiem dos serviços da CERT-UE. As receitas são afetadas às rubricas orçamentais de apoio aos custos.

Artigo 20.o

Acordos de partilha de informações sobre cibersegurança

1. As entidades da União podem, a título voluntário, informar a CERT-UE e prestar-lhe informações sobre incidentes, ciberameaças, quase incidentes e vulnerabilidades que as afetem. A CERT-UE garante a disponibilidade de meios de comunicação eficientes, com um nível elevado de rastreabilidade, confidencialidade e fiabilidade, com o objetivo de facilitar a partilha de informações com as entidades da União. No tratamento de notificações, a CERT-UE pode dar prioridade ao tratamento das notificações obrigatórias em detrimento das notificações voluntárias. Sem prejuízo do artigo 12.o, a notificação voluntária não pode resultar na imposição à entidade da União notificadora de quaisquer obrigações adicionais às quais esta não estaria sujeita se não tivesse procedido à notificação.

2. Com vista a cumprir a sua missão e as atribuições conferidas nos termos do artigo 13.o, a CERT-UE pode solicitar que as entidades da União lhe transmitam informações dos respetivos inventários de sistemas das TIC, incluindo informações relacionadas com ciberameaças, quase incidentes, vulnerabilidades, indicadores de exposição a riscos, alertas de cibersegurança e recomendações relativas à configuração das ferramentas de cibersegurança destinadas a detetar incidentes de cibersegurança. A entidade da União requerida deve transmitir sem demora injustificada as informações solicitadas, bem como eventuais atualizações subsequentes dessas informações.

3. A CERT-UE pode partilhar com as entidades da União informações específicas sobre incidentes que permitam identificar a entidade da União afetada por um determinado incidente, desde que a entidade da União afetada em tal consinta. Caso uma entidade da União recuse dar o seu consentimento, deve indicar à CERT-UE os motivos que fundamentam essa decisão.

4. As entidades da União, mediante pedido, partilham informações com o Parlamento Europeu e o Conselho sobre a conclusão dos planos de cibersegurança.

5. O IICB ou a CERT-UE, consoante o caso, partilham, mediante pedido, orientações, recomendações e apelos à ação com o Parlamento Europeu e o Conselho.

6. As obrigações de partilha impostas no presente artigo não abrangem:

As ICUE;

b)	As informações cuja distribuição posterior tenha sido excluída por meio de uma marcação visível, a menos que a sua partilha com a CERT-UE tenha sido explicitamente autorizada.

Artigo 22.o

Coordenação da resposta a incidentes e cooperação

1. Ao atuar enquanto plataforma de intercâmbio de informações de cibersegurança e centro de coordenação da resposta a incidentes, a CERT-UE facilita o intercâmbio de informações sobre incidentes, ciberameaças, vulnerabilidades e quase incidentes entre:

a)	Entidades da União;

b)	As contrapartes referidas nos artigos 17.o e 18.o.

2. A CERT-UE facilita, se for caso disso em estreita cooperação com a ENISA, a coordenação entre as entidades da União na resposta a incidentes, incluindo os seguintes elementos:

a)	Contribuição para uma comunicação externa coerente;

b)	Apoio mútuo, como a partilha de informações relevantes para as entidades da União ou a prestação de assistência, se for caso disso diretamente no local;

c)	Utilização ideal dos recursos operacionais;

d)	Coordenação com outros mecanismos de resposta a situações de crise a nível da União.

3. A CERT-UE apoia, em estreita cooperação com a ENISA, as entidades da União no que respeita ao conhecimento situacional de incidentes, ciberameaças, vulnerabilidades e quase incidentes, bem como no que respeita à partilha dos mais recentes avanços no domínio da cibersegurança.

4. Até 8 de janeiro de 2025, o IICB adota, com base numa proposta da CERT-UE, orientações ou recomendações sobre a coordenação da resposta a incidentes e a colaboração em caso de incidente significativo. Quando se suspeitar que um incidente teve natureza criminosa, a CERT-UE deve emitir, sem demora injustificada, orientações sobre a forma como o incidente deve ser notificado às autoridades competentes para a aplicação da lei.

5. Na sequência de um pedido específico de um Estado-Membro e com a aprovação das entidades da União em causa, a CERT-UE pode recorrer a peritos da lista referida no artigo 23.o, n.o 4, para contribuírem para a resposta a um incidente grave com impacto nesse Estado-Membro, ou a um incidente de cibersegurança em grande escala, em conformidade com o artigo 15.o, n.o 3, alínea g), da Diretiva (UE) 2022/2555. As regras específicas sobre o acesso e o recurso a peritos técnicos provenientes de entidades da União são aprovadas pelo IICB, mediante proposta da CERT-UE.

Artigo 23.o

Gestão de incidentes graves

1. A fim de apoiar, a nível operacional, a gestão coordenada de incidentes graves que afetem entidades da União e de contribuir para o intercâmbio regular de informações pertinentes entre as entidades da União e com os Estados-Membros, o IICB elabora, nos termos do artigo 11.o, alínea q), um plano de gestão de cibercrises com base nas atividades descritas no artigo 22.o, n.o 2, em estreita cooperação com a CERT-UE e a ENISA. O plano de gestão de cibercrises inclui, pelo menos, os seguintes elementos:

a)	Disposições relativas à coordenação e ao fluxo de informações entre as entidades da União para gestão de incidentes graves a nível operacional;

b)	Instruções permanentes normalizadas comuns;

c)	Uma taxonomia comum da gravidade de incidentes graves e pontos de desencadeamento de crises;

d)	Exercícios regulares;

e)	Canais de comunicação segura a utilizar.

2. Sujeito ao plano de gestão de cibercrises estabelecido nos termos do n.o 1 do presente artigo e sem prejuízo do artigo 16.o, n.o 2, primeiro parágrafo, da Diretiva (UE) 2022/2555, o representante da Comissão no IICB é o ponto de contacto para a partilha de informações pertinentes relativas a incidentes graves com a UE-CyCLONe.

3. A CERT-UE coordena a gestão dos incidentes graves entre as entidades da União. Deve manter um inventário dos conhecimentos técnicos especializados disponíveis necessários para a resposta aos incidentes quando incidentes graves ocorram e prestar assistência ao IICB na coordenação dos planos de gestão de cibercrises das entidades da União para incidentes graves referidos no artigo 9.o, n.o 2.

4. As entidades da União contribuem para o inventário de conhecimentos técnicos especializados mediante a transmissão de listas, atualizadas todos os anos, de peritos disponíveis nas respetivas organizações, pormenorizando as suas competências técnicas específicas.

CAPÍTULO VI

DISPOSIÇÕES FINAIS

Artigo 25.o

Reexame

1. Até 8 de janeiro de 2025 e, posteriormente, numa base anual, o IICB, com a assistência da CERT-UE, deve comunicar à Comissão informações sobre a aplicação do presente regulamento. O IICB pode formular recomendações dirigidas à Comissão para que esta reexamine o presente regulamento.

2. Até 8 de janeiro de 2027 e, posteriormente, de dois em dois anos, a Comissão avalia a aplicação do presente regulamento e apresenta ao Parlamento Europeu e ao Conselho um relatório sobre essa matéria e sobre a experiência adquirida a nível estratégico e operacional.

O relatório a que se refere o primeiro parágrafo do presente número deve incluir o reexame a que se refere o artigo 16.o, n.o 1, relativa à possibilidade de a CERT-UE ser constituída um organismo da União.

3. Até 8 de janeiro de 2029, a Comissão avalia o funcionamento do presente regulamento e apresenta um relatório ao Parlamento Europeu, ao Conselho, ao Comité Económico e Social Europeu e ao Comité das Regiões. A Comissão avalia igualmente a conveniência de incluir no âmbito de aplicação do presente regulamento os sistemas de rede e informação que tratam ICUE, tendo em conta outros atos legislativos da União aplicáveis a esses sistemas. Se necessário, o relatório é acompanhado de uma proposta legislativa.

Artigo 26.o

Entrada em vigor

O presente regulamento entra em vigor no vigésimo dia seguinte ao da sua publicação no Jornal Oficial da União Europeia.

O presente regulamento é obrigatório em todos os seus elementos e diretamente aplicável em todos os Estados-Membros.

Feito em Estrasburgo, em 13 de dezembro de 2023.

Pelo Parlamento Europeu

A Presidente

R. METSOLA

Pelo Conselho

O Presidente

P. NAVARRO RÍOS

(1) Posição do Parlamento Europeu de 21 de novembro de 2023 (ainda não publicada no Jornal Oficial) e decisão do Conselho de 8 de dezembro de 2023.

(2) Diretiva (UE) 2022/2555 do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022, relativa a medidas destinadas a garantir um elevado nível comum de cibersegurança na União que altera o Regulamento (UE) n.o 910/2014 e a Diretiva (UE) 2018/1972 e revoga a Diretiva (UE) 2016/1148 (Diretiva SRI 2) (JO L 333 de 27.12.2022, p. 80).

(3) Regulamento (UE) 2019/881 do Parlamento Europeu e do Conselho, de 17 de abril de 2019, relativo à ENISA (Agência da União Europeia para a Cibersegurança) e à certificação da cibersegurança das tecnologias da informação e comunicação e que revoga o Regulamento (UE) n.o 526/2013 (Regulamento Cibersegurança) (JO L 151 de 7.6.2019, p. 15).

(4) Acordo entre o Parlamento Europeu, o Conselho Europeu, o Conselho da União Europeia, a Comissão Europeia, o Tribunal de Justiça da União Europeia, o Banco Central Europeu, o Tribunal de Contas Europeu, o Serviço Europeu para a Ação Externa, o Comité Económico e Social Europeu, o Comité das Regiões Europeu e o Banco Europeu de Investimento sobre a organização e o funcionamento de uma equipa de resposta a emergências informáticas das instituições, órgãos e organismos da União (CERT-UE) (JO C 12 de 13.1.2018, p. 1).

(5) Regulamento (CEE, Euratom, CECA) n.o 259/68 do Conselho, de 29 de fevereiro de 1968, que fixa o Estatuto dos Funcionários das Comunidades Europeias assim como o Regime aplicável aos outros agentes destas Comunidades, e institui medidas especiais temporariamente aplicáveis aos funcionários da Comissão (JO L 56 de 4.3.1968, p. 1).

(6) Recomendação (UE) 2017/1584 da Comissão, de 13 de setembro de 2017, sobre a resposta coordenada a incidentes e crises de cibersegurança em grande escala (JO L 239 de 19.9.2017, p. 36).

(7) Regulamento (UE) 2018/1725 do Parlamento Europeu e do Conselho, de 23 de outubro de 2018, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições e pelos órgãos e organismos da União e à livre circulação desses dados, e que revoga o Regulamento (CE) n.o 45/2001 e a Decisão n.o 1247/2002/CE (JO L 295 de 21.11.2018, p. 39).

(8) JO C 258 de 5.7.2022, p. 10.

(9) Regulamento (UE, Euratom) 2018/1046 do Parlamento Europeu e do Conselho, de 18 de julho de 2018, relativo às disposições financeiras aplicáveis ao orçamento geral da União, que altera os Regulamentos (UE) n.o 1296/2013, (UE) n.o 1301/2013, (UE) n.o 1303/2013, (UE) n.o 1304/2013, (UE) n.o 1309/2013, (UE) n.o 1316/2013, (UE) n.o 223/2014 e (UE) n.o 283/2014, e a Decisão n.o 541/2014/UE, e revoga o Regulamento (UE, Euratom) n.o 966/2012 (JO L 193 de 30.7.2018, p. 1).

(10) Regulamento (CE) n.o 1049/2001 do Parlamento Europeu e do Conselho, de 30 de maio de 2001, relativo ao acesso do público aos documentos do Parlamento Europeu, do Conselho e da Comissão (JO L 145 de 31.5.2001, p. 43).

ELI: http://data.europa.eu/eli/reg/2023/2841/oj

ISSN 1977-0774 (electronic edition)

whereas

keyboard_tab Cyber Resilience Act 2023/2841 PT

Cyber Resilience Act 2023/2841 PT