keyboard_tab Cyber Resilience Act 2023/2841 PT
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 12 Artigo 3.o Definições
- 3 Artigo 6.o Regime de gestão, governação e controlo dos riscos de cibersegurança
- 1 Artigo 12.o Conformidade
- 1 Artigo 17.o
- 2 Artigo 23.o Gestão de incidentes graves
CAPÍTULO I
DISPOSIÇÕES GERAIS
CAPÍTULO II
MEDIDAS DESTINADAS A GARANTIR UM ELEVADO NIVEL COMUM DE CIBERSEGURANÇA
CAPÍTULO III
CONSELHO INTERINSTITUCIONAL PARA A CIBERSEGURANÇA
CAPÍTULO IV
CERT-UE
CAPÍTULO V
OBRIGAÇÕES DE COOPERAÇÃO E DE COMUNICAÇÃO DE INFORMAÇÕES
CAPÍTULO VI
DISPOSIÇÕES FINAIS
- união 62
- entidade 46
- artigo o 33
- para 29
- cibersegurança 25
- cert-ue 22
- regulamento 19
- incidentes 19
- presente 19
- causa 18
- nível 16
- gestão 15
- ponto 15
- termos 15
- iicb 14
- aceção 14
- ue / 14
- diretiva 13
- entidades 13
- regime 12
- pela 12
- no 11
- aplicação 11
- informações 11
- mais 10
- alto 10
- direção 9
- medidas 8
- afetada 8
- conformidade 8
- incidente 8
- graves 8
- pode 7
- responsável 7
- riscos 7
- todos 7
- rede 7
- funcionários 7
- não 6
- caso 6
- cada 6
- pelo 6
- como 6
- específicas 6
- alínea 5
- parágrafo 5
- estados-membros 5
- primeiro 5
- prazo 5
- conta 5
Artigo 3.o
Definições
Para efeitos do presente regulamento, entende-se por:
| 1) | «Entidades da União», as instituições, órgãos e organismos criados nos termos do Tratado da União Europeia, do Tratado sobre o Funcionamento da União Europeia (TFUE) ou do Tratado que institui a Comunidade Europeia da Energia Atómica; |
| 2) | «Sistema de rede e informação», um sistema de rede e informação na aceção do artigo 6.o, ponto 1, da Diretiva (UE) 2022/2555; |
| 3) | «Segurança dos sistemas de rede e informação», a segurança dos sistemas de rede e informação na aceção do artigo 6.o, ponto 2, da Diretiva (UE) 2022/2555; |
| 4) | «Cibersegurança», a cibersegurança na aceção do artigo 2.o, ponto 1, do Regulamento (UE) 2019/881; |
| 5) | «Direção ao mais alto nível», um dirigente, um organismo de direção ou um organismo de coordenação e supervisão, que é responsável pelo funcionamento de uma entidade da União ao mais alto nível administrativo, incumbido de adotar ou autorizar decisões em conformidade com as disposições em matéria de governação ao mais alto nível da entidade da União em causa, sem prejuízo das responsabilidades formais que incumbam a outros níveis de direção pela conformidade e gestão dos riscos de cibersegurança nos respetivos domínios de responsabilidade; |
| 6) | «Quase incidente», um quase incidente na aceção do artigo 6.o, ponto 5, da Diretiva (UE) 2022/2555; |
| 7) | «Incidente», um incidente na aceção do artigo 6.o, ponto 6, da Diretiva (UE) 2022/2555; |
| 8) | «Incidente grave», um incidente que causa um nível de perturbação que excede a capacidade de resposta de uma entidade da União e da CERT-UE ou que tem um impacto significativo em pelo menos duas entidades da União; |
| 9) | «Incidente de cibersegurança em grande escala», um incidente de cibersegurança em grande escala na aceção do artigo 6.o, ponto 7, da Diretiva (UE) 2022/2555; |
| 10) | «Tratamento de incidentes», o tratamento de incidentes na aceção do artigo 6.o, ponto 8, da Diretiva (UE) 2022/2555; |
| 11) | «Ciberameaça», uma ciberameaça na aceção do artigo 2.o, ponto 8, do Regulamento (UE) 2019/881; |
| 12) | «Ciberameaça significativa», uma ciberameaça significativa na aceção do artigo 6.o, ponto 11, da Diretiva (UE) 2022/2555; |
| 13) | «Vulnerabilidade», uma vulnerabilidade na aceção do artigo 6.o, ponto 15, da Diretiva (UE) 2022/2555; |
| 14) | «Risco de cibersegurança», um risco na aceção do artigo 6.o, ponto 9, da Diretiva (UE) 2022/2555; |
| 15) | «Serviço de computação em nuvem», um serviço de computação em nuvem na aceção do artigo 6.o, ponto 30, da Diretiva (UE) 2022/2555. |
Artigo 6.o
Regime de gestão, governação e controlo dos riscos de cibersegurança
1. Até 8 de abril de 2025, cada entidade da União estabelece, após efetuar uma análise inicial da cibersegurança, designadamente uma auditoria, um regime interno de gestão, governação e controlo dos riscos de cibersegurança («regime»). O estabelecimento do regime é supervisionado pela direção ao mais alto nível da entidade da União e é da sua responsabilidade.
2. O regime abrange a totalidade do ambiente das TIC não classificado da entidade da União em causa, incluindo todos os ambientes das TIC nas instalações, a rede de tecnologia operacional locais, os ativos e serviços subcontratados em ambientes de computação em nuvem ou alojados por terceiros, os dispositivos móveis, as redes institucionais, as redes institucionais não ligadas à Internet e todos os dispositivos ligados aos referidos ambientes («ambiente das TIC»). O regime baseia-se numa abordagem que tem em conta todos os perigos.
3. O regime garante um elevado nível de cibersegurança. Estabelece políticas internas de cibersegurança, incluindo objetivos e prioridades, para a segurança dos sistemas de rede e informação, bem como as funções e responsabilidades do pessoal da entidade da União encarregado de assegurar a aplicação efetiva do presente regulamento. O regime inclui também mecanismos para medir a eficácia da aplicação.
4. O regime é reexaminado periodicamente, na perspetiva da evolução dos riscos de cibersegurança, e, pelo menos, de quatro em quatro anos. Se for caso disso e na sequência de um pedido do Conselho Interinstitucional para a Cibersegurança, criado nos termos do artigo 10.o, o regime de uma entidade da União pode ser atualizado com base nas orientações da CERT-UE sobre incidentes identificados ou eventuais lacunas observadas na aplicação do presente regulamento.
5. Incumbe à direção ao mais alto nível de cada entidade da União a responsabilidade pela aplicação do presente regulamento, assim como a supervisão do cumprimento, por parte da respetiva organização, das obrigações relacionadas com o regime.
6. Se for caso disso e sem prejuízo da sua responsabilidade pela aplicação do presente regulamento, a direção ao mais alto nível de cada entidade da União pode delegar obrigações específicas ao abrigo do presente regulamento em altos funcionários, na aceção do artigo 29.o, n.o 2, do Estatuto dos Funcionários, ou noutros funcionários de nível equivalente, dentro da entidade da União em causa. Independentemente dessa delegação, a direção ao mais alto nível pode ser considerada responsável por infrações ao presente regulamento cometidas pela entidade da União em causa.
7. Cada entidade da União deve dispor de mecanismos eficazes para assegurar que uma percentagem adequada do orçamento para as TIC seja aplicada em cibersegurança. O regime é devidamente tido em conta na definição da referida percentagem.
8. Cada entidade da União designa um responsável local pela cibersegurança, ou função equivalente, que atue como ponto de contacto único relativamente a todos os aspetos de cibersegurança. O responsável local pela cibersegurança facilita a aplicação do presente regulamento e reporta diretamente à direção ao mais alto nível, numa base periódica, o ponto da situação no que se refere à aplicação. Sem prejuízo do facto de o responsável local pela cibersegurança ser o ponto de contacto único em cada entidade da União, uma entidade da União pode delegar na CERT-UE determinadas atribuições do responsável local pela cibersegurança no que diz respeito à aplicação do presente regulamento, com base num acordo de nível de serviço celebrado entre essa entidade da União e a CERT-UE, ou essas atribuições podem ser partilhadas por várias entidades da União. Caso essas atribuições sejam delegadas na CERT-UE, o Comité Interinstitucional para a Cibersegurança, criado nos termos do artigo 10.o, decide se a prestação desse serviço deve fazer parte dos serviços de base da CERT-UE, tendo em conta os recursos humanos e financeiros da entidade da União em causa. Cada entidade da União informa a CERT-UE, sem demora injustificada, do responsável local pela cibersegurança designado e de eventuais alterações subsequentes a este respeito.
A CERT-UE cria a lista de responsáveis locais pela cibersegurança designados e garante a respetiva atualização.
9. Os altos funcionários na aceção do artigo 29.o, n.o 2, do Estatuto dos Funcionários ou outros funcionários de nível equivalente de cada entidade da União, bem como todos os membros do pessoal pertinentes incumbidos da aplicação das medidas de gestão dos riscos de cibersegurança e do cumprimento das obrigações previstas no presente regulamento, frequentam periodicamente ações específicas de formação, a fim de adquirir conhecimentos e competências suficientes para compreender e avaliar os riscos de segurança e as práticas de gestão, bem como o seu impacto no funcionamento da entidade da União.
Artigo 12.o
Conformidade
1. Cabe ao IICB, nos termos do artigo 10.o, n.o 2, e do artigo 11.o, acompanhar de forma eficaz a aplicação, por parte das entidades da União, do presente regulamento e das orientações, recomendações e apelos à ação adotados. O IICB pode solicitar às entidades da União as informações ou a documentação necessárias para o efeito. Para efeitos de adoção das medidas de conformidade nos termos do presente artigo, caso a entidade da União em causa esteja diretamente representada no IICB, não tem direito de voto.
2. Se concluir que uma entidade da União não aplicou efetivamente o presente regulamento ou alguma das orientações, recomendações ou apelos à ação emitidos nos termos do presente regulamento, o IICB pode, sem prejuízo dos procedimentos internos da entidade da União em causa, e após ter dado a oportunidade à entidade ou pessoa em causa de apresentar o seu ponto de vista:
| a) | Transmitir um parecer fundamentado à entidade da União em causa, com as lacunas observadas na aplicação do presente regulamento; |
| b) | Dar, após consulta à CERT-UE, orientações à entidade da União em causa, por forma a colocar o respetivo regime, as medidas de gestão dos riscos de cibersegurança, os planos de cibersegurança e as obrigações de informação em conformidade com o presente regulamento num determinado prazo; |
| c) | Emitir um alerta para abordar as lacunas identificadas num prazo especificado, incluindo recomendações para alterar medidas adotadas pela entidade da União em causa nos termos do presente regulamento; |
| d) | Emitir uma notificação fundamentada para a entidade da União em causa, caso as deficiências identificadas num alerta emitido nos termos da alínea c) não tenham sido satisfatoriamente corrigidas no prazo especificado; |
| e) | Emitir:
|
| f) | Informar, se for caso disso, o Tribunal de Contas, no âmbito do seu mandato, do alegado incumprimento; |
| g) | Emitir uma recomendação para que todos os Estados-Membros e todas as entidades da União apliquem uma suspensão temporária dos fluxos de dados para a entidade da União em causa. |
Para efeitos do primeiro parágrafo, alínea c), o público-alvo de um alerta deve ser restringido adequadamente, se necessário tendo em conta o risco de cibersegurança.
Os alertas e recomendações emitidos ao abrigo do primeiro parágrafo são dirigidos à direção ao mais alto nível da entidade da União em causa.
3. Se o IICB tiver adotado medidas nos termos do n.o 2, primeiro parágrafo, alíneas a) a g), a entidade da União em causa apresenta ao pormenor as medidas e ações aplicadas para colmatar as alegadas lacunas identificadas pelo IICB. A entidade da União apresenta os referidos pormenores dentro de um prazo razoável a negociar com o IICB.
4. Se o IICB considerar que existe infração persistente ao presente regulamento por parte de uma entidade da União, diretamente resultante de ações ou omissões de um funcionário ou outro agente da União, incluindo da direção ao mais alto nível, o IICB exige à entidade da União em causa que tome as medidas necessárias, nomeadamente solicitando que pondere a tomada de medidas de caráter disciplinar, em conformidade com as regras e os procedimentos previstos no Estatuto dos Funcionários e em quaisquer outras regras ou quaisquer outros procedimentos aplicáveis. Para o efeito, o IICB transmite as informações necessárias à entidade da União em causa.
5. Caso as entidades da União informem da sua incapacidade para cumprir os prazos previstos no artigo 6.o, n.o 1, e no artigo 8.o, n.o 1, o IICB pode, em casos devidamente motivados, tendo em conta a dimensão da entidade da União, autorizar a prorrogação dos referidos prazos.
CAPÍTULO IV
CERT-UE
Artigo 17.o
1. A CERT-UE deve, sem demora injustificada, colaborar e trocar informações com as contrapartes dos Estados-Membros, incluindo as CSIRT designadas ou estabelecidas nos termos do artigo 10.o da Diretiva (UE) 2022/2555, ou, se aplicável, as autoridades competentes e pontos de contacto únicos designados ou estabelecidos nos termos do artigo 8.o dessa diretiva, relativamente a incidentes, ciberameaças, vulnerabilidades, quase incidentes, a possíveis contramedidas, bem como a boas práticas e a todas as questões pertinentes para melhorar a proteção do ambiente das TIC das entidades da União, nomeadamente por meio da rede de CSIRT referida no artigo 15.o da Diretiva (UE) 2022/2555. A CERT-UE apoia a Comissão no âmbito da UE-CyCLONe estabelecida nos termos do artigo 16.o da Diretiva (UE) 2022/2555 no que diz respeito à gestão coordenada a incidentes e crises de cibersegurança em grande escala.
2. Caso tome conhecimento de um incidente significativo ocorrido no território de um Estado-Membro, a CERT-UE informa, sem demora, quaisquer contrapartes relevantes nesse Estado-Membro, em conformidade com o n.o 1.
3. Desde que os dados pessoais estejam protegidos em conformidade com a legislação aplicável da União em matéria de proteção de dados, a CERT-UE deve, sem demora injustificada, trocar informações específicas pertinentes sobre incidentes com as contrapartes dos Estados-Membros para facilitar a deteção de ciberameaças ou incidentes semelhantes, ou contribuam para a análise de um incidente, sem a autorização da entidade da União afetada. A CERT-UE só partilha informações específicas sobre incidentes que revelem a identidade do seu alvo num dos seguintes casos:
| a) | A entidade da União afetada der o seu consentimento; |
| b) | A entidade da União afetada não der o consentimento previsto na alínea a) mas a divulgação da identidade da entidade da União afetada aumentar a probabilidade de evitar ou atenuar incidentes noutros locais. |
| c) | A entidade da União afetada já tenha tornado público o facto de ter sido afetada. |
As decisões relativas ao intercâmbio de informações específicas sobre um incidente que revelem a identidade do alvo do incidente nos termos do primeiro parágrafo, alínea b), são aprovadas pelo diretor da CERT-UE. Antes de emitir essa decisão, a CERT-UE contacta por escrito a entidade da União afetada, explicando claramente de que forma a divulgação da sua identidade contribuiria para evitar ou atenuar incidentes noutros locais. O diretor da CERT-UE apresenta a explicação e solicita explicitamente à entidade da União que declare se dá o seu consentimento dentro de um determinado prazo. O diretor da CERT-UE informa igualmente a entidade da União de que, à luz da explicação fornecida, se reserva o direito de divulgar as informações, mesmo na falta de consentimento. A entidade da União afetada é informada antes da divulgação das informações.
Artigo 23.o
Gestão de incidentes graves
1. A fim de apoiar, a nível operacional, a gestão coordenada de incidentes graves que afetem entidades da União e de contribuir para o intercâmbio regular de informações pertinentes entre as entidades da União e com os Estados-Membros, o IICB elabora, nos termos do artigo 11.o, alínea q), um plano de gestão de cibercrises com base nas atividades descritas no artigo 22.o, n.o 2, em estreita cooperação com a CERT-UE e a ENISA. O plano de gestão de cibercrises inclui, pelo menos, os seguintes elementos:
| a) | Disposições relativas à coordenação e ao fluxo de informações entre as entidades da União para gestão de incidentes graves a nível operacional; |
| b) | Instruções permanentes normalizadas comuns; |
| c) | Uma taxonomia comum da gravidade de incidentes graves e pontos de desencadeamento de crises; |
| d) | Exercícios regulares; |
| e) | Canais de comunicação segura a utilizar. |
2. Sujeito ao plano de gestão de cibercrises estabelecido nos termos do n.o 1 do presente artigo e sem prejuízo do artigo 16.o, n.o 2, primeiro parágrafo, da Diretiva (UE) 2022/2555, o representante da Comissão no IICB é o ponto de contacto para a partilha de informações pertinentes relativas a incidentes graves com a UE-CyCLONe.
3. A CERT-UE coordena a gestão dos incidentes graves entre as entidades da União. Deve manter um inventário dos conhecimentos técnicos especializados disponíveis necessários para a resposta aos incidentes quando incidentes graves ocorram e prestar assistência ao IICB na coordenação dos planos de gestão de cibercrises das entidades da União para incidentes graves referidos no artigo 9.o, n.o 2.
4. As entidades da União contribuem para o inventário de conhecimentos técnicos especializados mediante a transmissão de listas, atualizadas todos os anos, de peritos disponíveis nas respetivas organizações, pormenorizando as suas competências técnicas específicas.
CAPÍTULO VI
DISPOSIÇÕES FINAIS
whereas