keyboard_tab Cyber Resilience Act 2023/2841 PT
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 3 Artigo 4.o Tratamento de dados pessoais
- 1 Artigo 9.o Planos de cibersegurança
- 1 Artigo 11.o Atribuições do IICB
- 1 Artigo 12.o Conformidade
- 1 Artigo 18.o
- 1 Artigo 21.o Obrigações de comunicação de informações
- 1 Artigo 23.o Gestão de incidentes graves
- 1 Artigo 25.o Reexame
- Artigo 26.o Entrada em vigor
CAPÍTULO I
DISPOSIÇÕES GERAIS
CAPÍTULO II
MEDIDAS DESTINADAS A GARANTIR UM ELEVADO NIVEL COMUM DE CIBERSEGURANÇA
CAPÍTULO III
CONSELHO INTERINSTITUCIONAL PARA A CIBERSEGURANÇA
CAPÍTULO IV
CERT-UE
CAPÍTULO V
OBRIGAÇÕES DE COOPERAÇÃO E DE COMUNICAÇÃO DE INFORMAÇÕES
CAPÍTULO VI
DISPOSIÇÕES FINAIS
- união 67
- artigo o 46
- para 45
- cert-ue 44
- entidades 41
- cibersegurança 35
- termos 33
- entidade 30
- iicb 27
- presente 24
- informações 24
- incidentes 23
- regulamento 21
- incidente 20
- gestão 19
- no 19
- medidas 18
- causa 16
- caso 16
- graves 13
- nível 13
- relatório 13
- dados 11
- significativo 11
- sobre 11
- base 10
- pode 10
- plano 10
- riscos 9
- matéria 9
- numa 9
- recomendações 9
- não 8
- contrapartes 8
- aprovar 8
- aplicação 8
- como 8
- prazo 8
- proposta 8
- mais 7
- conta 7
- orientações 7
- cibercrises 7
- impacto 7
- necessário 7
- refere 7
- ue / 7
- tendo 6
- pertinentes 6
- as 6
Artigo 4.o
Tratamento de dados pessoais
1. O tratamento de dados pessoais ao abrigo do presente regulamento pela CERT-UE, o Conselho Interinstitucional para a Cibersegurança criado nos termos do artigo 10.o e as entidades da União é efetuado nos termos do Regulamento (UE) 2018/1725.
2. Caso desempenhem funções ou cumpram obrigações nos termos do presente regulamento, a CERT-UE, o Conselho Interinstitucional para a Cibersegurança criado nos termos do artigo 10.o e as entidades da União tratam e procedem ao intercâmbio de dados pessoais apenas na medida do necessário e com o objetivo único de desempenhar essas funções ou de cumprir essas obrigações.
3. O tratamento de categorias especiais de dados pessoais a que se refere o artigo 10.o, n.o 1, do Regulamento (UE) 2018/1725, é considerado necessário por motivos de interesse público importante, nos termos do artigo 10.o, n.o 2, alínea g), do mesmo regulamento. Esses dados só podem ser tratados na medida do necessário para a aplicação das medidas de gestão dos riscos de cibersegurança a que se referem os artigos 6.o e 8.o, para a prestação de serviços pela CERT-UE nos termos do artigo 13.o, a partilha de informações específicas sobre incidentes nos termos do artigo 17.o, n.o 3, e do artigo 18.o, n.o 3, para a partilha de informações nos termos do artigo 20.o, para as obrigações de comunicação de informações ao abrigo do artigo 21.o, para a coordenação e cooperação da resposta a incidentes nos termos do artigo 22.o e para a gestão de incidentes graves nos termos do artigo 23.o do presente regulamento. As entidades da União e a CERT-UE, quando atuam na qualidade de responsáveis pelo tratamento de dados, aplicam medidas técnicas para impedir o tratamento de categorias especiais de dados pessoais para outros fins e preveem medidas adequadas e específicas para salvaguardar os direitos fundamentais e os interesses dos titulares dos dados.
CAPÍTULO II
MEDIDAS DESTINADAS A GARANTIR UM ELEVADO NIVEL COMUM DE CIBERSEGURANÇA
Artigo 9.o
Planos de cibersegurança
1. Na sequência da conclusão da avaliação da maturidade em matéria de cibersegurança efetuada nos termos do artigo 7.o, e tendo em conta os ativos e riscos de cibersegurança identificados no regime, assim como as medidas de gestão dos riscos de cibersegurança adotadas nos termos do artigo 8.o, a direção ao mais alto nível de cada entidade da União aprova um plano de cibersegurança, sem demora injustificada, e em todo o caso até 8 de janeiro de 2026. O plano de cibersegurança visa reforçar a cibersegurança global da entidade da União e, por conseguinte, contribuir para o reforço de um elevado nível comum de cibersegurança nas entidades da União. O plano de cibersegurança inclui pelo menos as medidas de gestão dos riscos de cibersegurança adotadas nos termos do artigo 8.o. O plano de cibersegurança é revisto de dois em dois anos, ou mais frequentemente se necessário, na sequência de avaliações da maturidade em matéria de cibersegurança realizadas nos termos do artigo 7.o ou de um reexame importante do regime.
2. O plano de cibersegurança inclui o plano de gestão de cibercrises da entidade da União para incidentes graves.
3. As entidades da União apresentam os seus planos de cibersegurança ao Conselho Interinstitucional para a Cibersegurança criado nos termos do artigo 10.o.
CAPÍTULO III
CONSELHO INTERINSTITUCIONAL PARA A CIBERSEGURANÇA
Artigo 11.o
Atribuições do IICB
No exercício das suas responsabilidades, o IICB deve, em particular:
| a) | Dar orientações ao diretor da CERT-UE; |
| b) | Acompanhar e supervisionar eficazmente a aplicação do presente regulamento e apoiar as entidades da União no reforço da sua cibersegurança, incluindo, se for caso disso, solicitando relatórios ad hoc às entidades da União e à CERT-UE; |
| c) | Adotar, na sequência de um debate estratégico, uma estratégia plurianual sobre o aumento do nível de cibersegurança nas entidades da União, avaliá-la periodicamente e, pelo menos, de cinco em cinco anos, e, se necessário, alterá-la; |
| d) | Estabelecer a metodologia e os aspetos organizacionais para a realização de avaliações voluntárias pelos pares por entidades da União, com vista a retirar ensinamentos de experiências partilhadas, reforçar a confiança mútua, alcançar um elevado nível comum de cibersegurança, bem como reforçar as capacidades de cibersegurança das entidades da União, assegurando que essas avaliações pelos pares sejam realizadas por peritos em cibersegurança designados por uma entidade da União diferente da entidade da União objeto de análise e que a metodologia se baseie no artigo 19.o da Diretiva (UE) 2022/2555 e seja, se for caso disso, adaptada às entidades da União; |
| e) | Aprovar, com base numa proposta do diretor da CERT-UE, o programa de trabalho anual da CERT-UE e acompanhar a sua execução; |
| f) | Aprovar, com base numa proposta do diretor da CERT-UE, o catálogo de serviços da CERT-UE e eventuais atualizações do mesmo; |
| g) | Aprovar, com base numa proposta do diretor da CERT-UE, o plano financeiro anual de receitas e despesas, nomeadamente despesas de pessoal, para as atividades da CERT-UE; |
| h) | Aprovar, com base numa proposta do diretor da CERT-UE, os termos dos acordos de nível de serviço; |
| i) | Examinar e aprovar o relatório anual elaborado pelo chefe da CERT-UE referente às atividades e à gestão dos fundos da CERT-UE; |
| j) | Aprovar e acompanhar os indicadores-chave de desempenho da CERT-UE, definidos com base numa proposta do seu diretor; |
| k) | Aprovar acordos de cooperação, acordos de nível de serviço ou contratos entre a CERT-UE e outras entidades nos termos do artigo 18.o; |
| l) | Adotar orientações e recomendações com base numa proposta da CERT-UE nos termos do artigo 14.o, e dar instruções à CERT-UE no sentido de que emita, retire ou modifique uma proposta de orientação ou de recomendação, ou um apelo à ação; |
| m) | Criar grupos consultivos técnicos com atribuições concretas para assistir nos trabalhos do IICB, aprovar os respetivos estatutos e designar os respetivos presidentes; |
| n) | Receber e avaliar documentos e relatórios apresentados pelas entidades da União nos termos do presente regulamento, como por exemplo avaliações da maturidade em matéria de cibersegurança; |
| o) | Facilitar o estabelecimento de um grupo informal que reúna os responsáveis locais pela cibersegurança das entidades da União, apoiadas pela ENISA, visando o intercâmbio de práticas de excelência e de informações em relação à aplicação do presente regulamento; |
| p) | Tendo em conta as informações sobre os riscos de cibersegurança identificados e os ensinamentos apresentados pela CERT-UE, acompanhar a adequação dos acordos de interconectividade entre os ambientes das TIC das entidades da União e prestar aconselhamento sobre possíveis melhorias; |
| q) | Estabelecer um plano de gestão de cibercrises com vista a apoiar, a nível operacional, a gestão coordenada de incidentes graves que afetem entidades da União e a contribuir para o intercâmbio regular de informações pertinentes, em especial no que diz respeito aos impactos, à gravidade e às possíveis formas de atenuar os efeitos dos incidentes graves; |
| r) | Coordenar a adoção dos planos de gestão de cibercrises das entidades individuais da União referidos no artigo 9.o, n.o 2; |
| s) | Adotar recomendações relacionadas com a segurança da cadeia de abastecimento a que se refere o artigo 8.o, n.o 2, primeiro parágrafo, alínea m), tendo em conta os resultados das avaliações coordenadas a nível da UE dos riscos de segurança das cadeias de abastecimento críticas referidas no artigo 22.o da Diretiva (UE) 2022/2555, para ajudar as entidades da União a adotar medidas de gestão dos riscos de cibersegurança eficazes e proporcionadas. |
Artigo 12.o
Conformidade
1. Cabe ao IICB, nos termos do artigo 10.o, n.o 2, e do artigo 11.o, acompanhar de forma eficaz a aplicação, por parte das entidades da União, do presente regulamento e das orientações, recomendações e apelos à ação adotados. O IICB pode solicitar às entidades da União as informações ou a documentação necessárias para o efeito. Para efeitos de adoção das medidas de conformidade nos termos do presente artigo, caso a entidade da União em causa esteja diretamente representada no IICB, não tem direito de voto.
2. Se concluir que uma entidade da União não aplicou efetivamente o presente regulamento ou alguma das orientações, recomendações ou apelos à ação emitidos nos termos do presente regulamento, o IICB pode, sem prejuízo dos procedimentos internos da entidade da União em causa, e após ter dado a oportunidade à entidade ou pessoa em causa de apresentar o seu ponto de vista:
| a) | Transmitir um parecer fundamentado à entidade da União em causa, com as lacunas observadas na aplicação do presente regulamento; |
| b) | Dar, após consulta à CERT-UE, orientações à entidade da União em causa, por forma a colocar o respetivo regime, as medidas de gestão dos riscos de cibersegurança, os planos de cibersegurança e as obrigações de informação em conformidade com o presente regulamento num determinado prazo; |
| c) | Emitir um alerta para abordar as lacunas identificadas num prazo especificado, incluindo recomendações para alterar medidas adotadas pela entidade da União em causa nos termos do presente regulamento; |
| d) | Emitir uma notificação fundamentada para a entidade da União em causa, caso as deficiências identificadas num alerta emitido nos termos da alínea c) não tenham sido satisfatoriamente corrigidas no prazo especificado; |
| e) | Emitir:
|
| f) | Informar, se for caso disso, o Tribunal de Contas, no âmbito do seu mandato, do alegado incumprimento; |
| g) | Emitir uma recomendação para que todos os Estados-Membros e todas as entidades da União apliquem uma suspensão temporária dos fluxos de dados para a entidade da União em causa. |
Para efeitos do primeiro parágrafo, alínea c), o público-alvo de um alerta deve ser restringido adequadamente, se necessário tendo em conta o risco de cibersegurança.
Os alertas e recomendações emitidos ao abrigo do primeiro parágrafo são dirigidos à direção ao mais alto nível da entidade da União em causa.
3. Se o IICB tiver adotado medidas nos termos do n.o 2, primeiro parágrafo, alíneas a) a g), a entidade da União em causa apresenta ao pormenor as medidas e ações aplicadas para colmatar as alegadas lacunas identificadas pelo IICB. A entidade da União apresenta os referidos pormenores dentro de um prazo razoável a negociar com o IICB.
4. Se o IICB considerar que existe infração persistente ao presente regulamento por parte de uma entidade da União, diretamente resultante de ações ou omissões de um funcionário ou outro agente da União, incluindo da direção ao mais alto nível, o IICB exige à entidade da União em causa que tome as medidas necessárias, nomeadamente solicitando que pondere a tomada de medidas de caráter disciplinar, em conformidade com as regras e os procedimentos previstos no Estatuto dos Funcionários e em quaisquer outras regras ou quaisquer outros procedimentos aplicáveis. Para o efeito, o IICB transmite as informações necessárias à entidade da União em causa.
5. Caso as entidades da União informem da sua incapacidade para cumprir os prazos previstos no artigo 6.o, n.o 1, e no artigo 8.o, n.o 1, o IICB pode, em casos devidamente motivados, tendo em conta a dimensão da entidade da União, autorizar a prorrogação dos referidos prazos.
CAPÍTULO IV
CERT-UE
Artigo 18.o
1. A CERT-UE pode colaborar com contrapartes da União distintas das mencionadas no artigo 17.o que estejam sujeitas aos requisitos da União em matéria de cibersegurança, nomeadamente contrapartes setoriais, em matéria de ferramentas e métodos, como técnicas, táticas, procedimentos e boas práticas, bem como em matéria de ciberameaças e vulnerabilidades informáticas. No que respeita à colaboração com tais contrapartes, a CERT-UE deve obter a aprovação prévia do IICB numa base casuística. Caso estabeleça a cooperação com tais contrapartes, a CERT-UE informa todas as contrapartes pertinentes dos Estados-Membros referidas no artigo 17.o, n.o 1, no Estado-Membro onde a contraparte se encontre. Se aplicável e for caso disso, essa cooperação e as respetivas condições, nomeadamente em matéria de cibersegurança, proteção de dados e tratamento de informações, são estabelecidas em acordos de confidencialidade específicos, tais como contratos ou convénios administrativos. Os acordos de confidencialidade não carecem da aprovação prévia do IICB mas são levados ao conhecimento do seu presidente. Em caso de necessidade urgente e iminente de trocar informações em matéria de cibersegurança no interesse das entidades da União ou de outra parte, a CERT-UE pode fazê-lo com uma entidade cuja competência, capacidade e conhecimentos específicos sejam justificadamente necessários para prestar assistência em caso de uma tal necessidade urgente e iminente, mesmo que a CERT-UE não disponha de um acordo de confidencialidade com essa entidade. Nesses casos, a CERT-UE informa imediatamente o presidente do IICB e mantém o IICB informado através de relatórios periódicos ou reuniões.
2. A CERT-UE pode colaborar com parceiros, como entidades comerciais, nomeadamente entidades setoriais, organizações internacionais, entidades nacionais de países terceiros ou determinados peritos, de forma a recolher informações sobre as ciberameaças, quase incidentes, vulnerabilidades e contramedidas possíveis, em termos gerais e específicos. Para uma colaboração mais alargada com tais parceiros, a CERT-UE deve obter a aprovação prévia do IICB numa base casuística.
3. Mediante consentimento da entidade da União afetada por um incidente e desde que exista um acordo ou contrato de não divulgação com a contraparte ou parceiro em causa, a CERT-UE pode transmitir informações relacionadas com o incidente específico às contrapartes ou parceiros a que se referem os n.os 1 e 2 unicamente com o objetivo de contribuir para a sua análise.
CAPÍTULO V
OBRIGAÇÕES DE COOPERAÇÃO E DE COMUNICAÇÃO DE INFORMAÇÕES
Artigo 21.o
Obrigações de comunicação de informações
1. Considera-se que um incidente é significativo se:
| a) | Tiver causado ou for suscetível de causar graves perturbações operacionais no que se refere ao funcionamento da entidade da União ou perdas financeiras para a entidade da União em causa; |
| b) | Tiver afetado ou for suscetível de afetar outras pessoas singulares ou coletivas, causando danos materiais ou imateriais consideráveis. |
2. As entidades da União apresentam à CERT-UE:
| a) | Sem demora injustificada e, em qualquer caso, no prazo de 24 horas depois de terem tomado conhecimento do incidente significativo, um alerta rápido, que, se aplicável, indica se há suspeitas de que o incidente significativo foi causado por um ato ilícito ou malicioso ou se pode ter um impacto transfronteiriço ou transversal a várias entidades; |
| b) | Sem demora injustificada e, em qualquer caso, no prazo de 72 horas depois de terem tomado conhecimento do incidente significativo, uma notificação de incidente, que, se aplicável, deve atualizar as informações a que se refere a alínea a) e disponibilizar uma avaliação inicial do incidente significativo, incluindo da sua gravidade e do seu impacto, bem como, se disponíveis, dos indicadores de exposição a riscos; |
| c) | A pedido da CERT-UE, um relatório intercalar com atualizações de estado pertinentes; |
| d) | O mais tardar um mês após a apresentação da notificação de incidente mencionada na alínea b), um relatório final que contenha os seguintes elementos:
|
| e) | Em caso de incidente em curso no momento da apresentação do relatório final referido na alínea d), um relatório intercalar nessa altura e um relatório final no prazo de um mês após terem tratado o incidente. |
3. Sem demora injustificada e, em qualquer caso, no prazo de 24 horas depois de ter tomado conhecimento de um incidente significativo, uma entidade da União informa as contrapartes pertinentes dos Estados-Membros a que se refere o artigo 17.o, n.o 1, no Estado-Membro em que está localizada de que ocorreu um incidente significativo.
4. As entidades da União comunicam, nomeadamente, quaisquer informações que permitam à CERT-UE determinar qualquer impacto transversal às entidades, impacto no Estado-Membro de acolhimento ou impacto transfronteiriço após a ocorrência de um incidente significativo. Sem prejuízo do artigo 12.o, a mera notificação não sujeita a entidade da União notificadora a responsabilidades acrescidas.
5. Se aplicável, as entidades da União comunicam, sem demora injustificada, aos utilizadores dos sistemas de rede e informação afetados, ou de outros componentes do ambiente das TIC, que serão potencialmente afetados por um incidente significativo ou por uma ciberameaça significativa, e, se for caso disso, que necessitam de tomar medidas de atenuação, e as medidas proativas ou corretivas que podem ser tomadas em resposta ao incidente ou à ameaça. Se for caso disso, as entidades da União devem informar esses utilizadores da própria ciberameaça significativa.
6. Se um incidente significativo ou uma ciberameaça significativa afetar um sistema de rede e informação ou um componente do ambiente das TIC de uma entidade da União que se saiba estar ligado ao ambiente das TIC de outra entidade da União, a CERT-UE emite um alerta de cibersegurança pertinente.
7. As entidades da União, a pedido da CERT-UE, facultam-lhe sem demora injustificada as informações digitais decorrentes da utilização dos dispositivos eletrónicos envolvidos nos incidentes em causa. A CERT-UE pode dar mais pormenores sobre os tipos de informação de que necessita para fins de conhecimento situacional e resposta a incidentes.
8. A CERT-UE apresenta, a cada três meses, ao IICB, à ENISA, ao INTCEN da UE e à rede de CSIRT, um relatório de síntese que inclua dados anonimizados e agregados sobre incidentes significativos, incidentes, ciberameaças, quase incidentes e vulnerabilidades nos termos do artigo 20.o e incidentes significativos notificados nos termos do n.o 2 do presente artigo. O referido relatório de síntese constitui um contributo para o relatório bienal sobre o estado da cibersegurança na União, elaborado nos termos do artigo 18.o da Diretiva (UE) 2022/2555.
9. Até 8 de julho de 2024, o IICB emite orientações ou recomendações no sentido de especificar melhor as modalidades, o formato e o conteúdo da comunicação de informações nos termos do presente artigo. Ao elaborar essas orientações ou recomendações, o IICB deve ter em conta quaisquer atos de execução adotados nos termos do artigo 23.o, n.o 11, da Diretiva (UE) 2022/2555 que especifiquem o tipo de informações, o formato e o procedimento das notificações. A CERT-UE divulga os pormenores técnicos necessários para permitir uma deteção proativa, a resposta a incidentes ou a tomada de medidas de atenuação por parte das entidades da União.
10. As obrigações de comunicação de informações impostas no presente artigo não abrangem:
| a) | As ICUE; |
| b) | As informações cuja distribuição posterior tenha sido excluída por meio de uma marcação visível, a menos que a sua partilha com a CERT-UE tenha sido explicitamente autorizada. |
Artigo 23.o
Gestão de incidentes graves
1. A fim de apoiar, a nível operacional, a gestão coordenada de incidentes graves que afetem entidades da União e de contribuir para o intercâmbio regular de informações pertinentes entre as entidades da União e com os Estados-Membros, o IICB elabora, nos termos do artigo 11.o, alínea q), um plano de gestão de cibercrises com base nas atividades descritas no artigo 22.o, n.o 2, em estreita cooperação com a CERT-UE e a ENISA. O plano de gestão de cibercrises inclui, pelo menos, os seguintes elementos:
| a) | Disposições relativas à coordenação e ao fluxo de informações entre as entidades da União para gestão de incidentes graves a nível operacional; |
| b) | Instruções permanentes normalizadas comuns; |
| c) | Uma taxonomia comum da gravidade de incidentes graves e pontos de desencadeamento de crises; |
| d) | Exercícios regulares; |
| e) | Canais de comunicação segura a utilizar. |
2. Sujeito ao plano de gestão de cibercrises estabelecido nos termos do n.o 1 do presente artigo e sem prejuízo do artigo 16.o, n.o 2, primeiro parágrafo, da Diretiva (UE) 2022/2555, o representante da Comissão no IICB é o ponto de contacto para a partilha de informações pertinentes relativas a incidentes graves com a UE-CyCLONe.
3. A CERT-UE coordena a gestão dos incidentes graves entre as entidades da União. Deve manter um inventário dos conhecimentos técnicos especializados disponíveis necessários para a resposta aos incidentes quando incidentes graves ocorram e prestar assistência ao IICB na coordenação dos planos de gestão de cibercrises das entidades da União para incidentes graves referidos no artigo 9.o, n.o 2.
4. As entidades da União contribuem para o inventário de conhecimentos técnicos especializados mediante a transmissão de listas, atualizadas todos os anos, de peritos disponíveis nas respetivas organizações, pormenorizando as suas competências técnicas específicas.
CAPÍTULO VI
DISPOSIÇÕES FINAIS
Artigo 25.o
Reexame
1. Até 8 de janeiro de 2025 e, posteriormente, numa base anual, o IICB, com a assistência da CERT-UE, deve comunicar à Comissão informações sobre a aplicação do presente regulamento. O IICB pode formular recomendações dirigidas à Comissão para que esta reexamine o presente regulamento.
2. Até 8 de janeiro de 2027 e, posteriormente, de dois em dois anos, a Comissão avalia a aplicação do presente regulamento e apresenta ao Parlamento Europeu e ao Conselho um relatório sobre essa matéria e sobre a experiência adquirida a nível estratégico e operacional.
O relatório a que se refere o primeiro parágrafo do presente número deve incluir o reexame a que se refere o artigo 16.o, n.o 1, relativa à possibilidade de a CERT-UE ser constituída um organismo da União.
3. Até 8 de janeiro de 2029, a Comissão avalia o funcionamento do presente regulamento e apresenta um relatório ao Parlamento Europeu, ao Conselho, ao Comité Económico e Social Europeu e ao Comité das Regiões. A Comissão avalia igualmente a conveniência de incluir no âmbito de aplicação do presente regulamento os sistemas de rede e informação que tratam ICUE, tendo em conta outros atos legislativos da União aplicáveis a esses sistemas. Se necessário, o relatório é acompanhado de uma proposta legislativa.
whereas