search

keyboard_tab Cyber Resilience Act 2023/2841 PT

 BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf

2023/2841 PT cercato: 'produtos' . Output generated live by software developed by IusOnDemand srl


expand index produtos:


whereas produtos:


definitions:


cloud tag: and the number of total unique words without stopwords is: 324

 

Artigo 8.o

Medidas de gestão dos riscos de cibersegurança

1.   Sem demora injustificada e, em qualquer caso, até 8 de setembro de 2025, cada entidade da União toma, sob a supervisão da direção ao mais alto nível respetiva, medidas técnicas, operacionais e organizativas adequadas e proporcionadas para gerir os riscos de cibersegurança identificados no âmbito do regime e prevenir ou minimizar o impacto dos incidentes. Tendo em conta os progressos técnicos mais recentes e, se aplicável, as normas europeias e internacionais pertinentes, essas medidas garantem um nível de segurança dos sistemas de rede e informação em todo o ambiente de TIC proporcional aos riscos de cibersegurança criados. Aquando da avaliação da proporcionalidade dessas medidas, são devidamente tidos em conta o grau de exposição da entidade da União aos riscos de cibersegurança, a sua dimensão, a probabilidade de ocorrência de incidentes e a sua gravidade, incluindo o seu impacto nos planos societal, económico e interinstitucional.

2.   As entidades da União abordam, pelo menos, os seguintes domínios na aplicação das medidas de gestão dos riscos de cibersegurança:

a)

Política de cibersegurança, nomeadamente as medidas necessárias para alcançar os objetivos e prioridades referidos no artigo 6.o e no n.o 3 do presente artigo;

b)

Políticas relativas à análise dos riscos de cibersegurança e de segurança dos sistemas de informação;

c)

Objetivos políticos relativos à utilização de serviços de computação em nuvem;

d)

Auditorias de cibersegurança, se for caso disso, que podem incluir uma avaliação do risco de cibersegurança, da vulnerabilidade e das ciberameaças, bem como testes de penetração realizados regularmente por um prestador privado de confiança;

e)

Aplicação das recomendações resultantes das auditorias de cibersegurança a que se refere a alínea d), através da cibersegurança e de atualizações das políticas;

f)

Organização da cibersegurança, incluindo a definição das funções e responsabilidades;

g)

Gestão de ativos, incluindo o inventário dos ativos de TIC e o mapeamento da rede de TIC;

h)

Segurança dos recursos humanos e controlo do acesso;

i)

Segurança das operações;

j)

Segurança das comunicações;

k)

Aquisição, desenvolvimento e manutenção dos sistemas, incluindo políticas relativas ao tratamento e à divulgação de vulnerabilidades;

l)

Se exequível, políticas relativas à transparência do código-fonte;

m)

Segurança da cadeia de abastecimento, incluindo aspetos relacionados com a segurança no que se refere às relações entre cada entidade da União e os seus fornecedores diretos ou prestadores de serviços;

n)

Tratamento de incidentes e cooperação com a CERT-UE, designadamente no âmbito da conservação de registos e da monitorização da segurança;

o)

Gestão da continuidade das atividades, como a gestão de cópias de segurança e a recuperação de desastres, e gestão de crises; e

p)

Promoção e desenvolvimento de programas de educação, competências, sensibilização, exercício e formação no domínio da cibersegurança.

Para efeitos do primeiro parágrafo, alínea m), as entidades da União têm em conta as vulnerabilidades específicas de cada fornecedor direto e de cada prestador de serviços, bem como a qualidade global dos produtos e as práticas de cibersegurança dos seus fornecedores e prestadores de serviços, incluindo os seus procedimentos de desenvolvimento seguro.

3.   As entidades da União tomam, pelo menos, as seguintes medidas específicas de gestão dos riscos de cibersegurança:

a)

Disposições técnicas para permitir e manter o teletrabalho;

b)

Medidas concretas para avançar rumo a princípios de «confiança zero»;

c)

Utilização, por norma, da autenticação multifatorial nos sistemas de rede e informação;

d)

Utilização da criptografia e da cifragem, em particular da cifragem de ponta a ponta, bem como de assinaturas digitais seguras;

e)

Implantação, se for caso disso, de comunicações seguras de voz, vídeo e texto e de sistemas seguros de comunicações de emergência na entidade da União;

f)

Medidas proativas para a deteção e remoção de software malicioso e de software espião;

g)

Garantia da segurança da cadeia de abastecimento de software por meio de critérios para a criação e avaliação seguras de software;

h)

Estabelecimento e adoção de programas de formação sobre cibersegurança adequados às atribuições prescritas e às capacidades previstas para a direção ao mais alto nível e para os membros do pessoal da entidade da União incumbidos de garantir a aplicação do presente regulamento;

i)

Formação periódica do pessoal em matéria de cibersegurança;

j)

Se for caso disso, participação em análises dos riscos de interconectividade entre as entidades da União;

k)

Reforço das regras de contratação pública para facilitar um elevado nível comum de cibersegurança através:

i)

remoção dos obstáculos contratuais que limitam a partilha de informações com a CERT-UE por parte dos prestadores de serviços TIC sobre os incidentes, as vulnerabilidades e as ciberameaças,

ii)

obrigações contratuais de comunicar os incidentes, as vulnerabilidades e as ciberameaças, bem como de dispor de um sistema adequado de monitorização e resposta a incidentes.

Artigo 14.o

Orientações, recomendações e apelos à ação

1.   A CERT-UE apoia a aplicação do presente regulamento através de:

a)

Apelos à ação, descrevendo medidas urgentes de segurança que as entidades da União são instadas a tomar num determinado prazo;

b)

Propostas ao IICB com vista à adoção de orientações dirigidas a todas ou a um conjunto de entidades da União;

c)

Propostas ao IICB com vista à adoção de recomendações dirigidas a entidades individuais da União.

No que diz respeito ao primeiro parágrafo, alínea a), a entidade da União em causa informa a CERT-UE, sem demora injustificada após receber o convite à ação, da forma como as medidas de segurança urgentes foram aplicadas.

2.   As orientações e recomendações podem incluir:

a)

Metodologias comuns e um modelo de avaliação da maturidade em matéria de cibersegurança das entidades da União, incluindo as escalas ou os indicadores-chave de desempenho correspondentes, que sirva de referência para apoiar uma melhoria contínua da cibersegurança em todas as entidades da União e facilitar a atribuição de prioridades dos domínios e medidas de cibersegurança, tendo em conta a postura das entidades em matéria de cibersegurança;

b)

Disposições práticas ou melhorias relativas à gestão dos riscos de cibersegurança e das medidas de gestão dos riscos de cibersegurança;

c)

Disposições práticas relativas às avaliações da maturidade em matéria de cibersegurança e aos planos de cibersegurança;

d)

Se for caso disso, a utilização em comum de uma tecnologia, arquitetura, fonte aberta e das boas práticas conexas no intuito de concretizar a interoperabilidade e normas comuns, incluindo uma abordagem coordenada no que diz respeito à segurança da cadeia de abastecimento;

e)

Se for caso disso, informações destinadas a facilitar a utilização de instrumentos de contratação pública colaborativa para a aquisição de serviços e produtos de cibersegurança relevantes a fornecedores terceiros;

f)

Acordos de partilha de informações nos termos do artigo 20.o.

whereas
keyboard_arrow_down