keyboard_tab Cyber Resilience Act 2023/2841 PT

1.   Sem demora injustificada e, em qualquer caso, até 8 de setembro de 2025, cada entidade da União toma, sob a supervisão da direção ao mais alto nível respetiva, medidas técnicas, operacionais e organizativas adequadas e proporcionadas para gerir os riscos de cibersegurança identificados no âmbito do regime e prevenir ou minimizar o impacto dos incidentes. Tendo em conta os progressos técnicos mais recentes e, se aplicável, as normas europeias e internacionais pertinentes, essas medidas garantem um nível de segurança dos sistemas de rede e informação em todo o ambiente de TIC proporcional aos riscos de cibersegurança criados. Aquando da avaliação da proporcionalidade dessas medidas, são devidamente tidos em conta o grau de exposição da entidade da União aos riscos de cibersegurança, a sua dimensão, a probabilidade de ocorrência de incidentes e a sua gravidade, incluindo o seu impacto nos planos societal, económico e interinstitucional.

2.   As entidades da União abordam, pelo menos, os seguintes domínios na aplicação das medidas de gestão dos riscos de cibersegurança:

a)	Política de cibersegurança, nomeadamente as medidas necessárias para alcançar os objetivos e prioridades referidos no artigo 6.o e no n.o 3 do presente artigo;

b)	Políticas relativas à análise dos riscos de cibersegurança e de segurança dos sistemas de informação;

c)	Objetivos políticos relativos à utilização de serviços de computação em nuvem;

d)	Auditorias de cibersegurança, se for caso disso, que podem incluir uma avaliação do risco de cibersegurança, da vulnerabilidade e das ciberameaças, bem como testes de penetração realizados regularmente por um prestador privado de confiança;

e)	Aplicação das recomendações resultantes das auditorias de cibersegurança a que se refere a alínea d), através da cibersegurança e de atualizações das políticas;

f)	Organização da cibersegurança, incluindo a definição das funções e responsabilidades;

g)	Gestão de ativos, incluindo o inventário dos ativos de TIC e o mapeamento da rede de TIC;

h)	Segurança dos recursos humanos e controlo do acesso;

i)	Segurança das operações;

j)	Segurança das comunicações;

k)	Aquisição, desenvolvimento e manutenção dos sistemas, incluindo políticas relativas ao tratamento e à divulgação de vulnerabilidades;

l)	Se exequível, políticas relativas à transparência do código-fonte;

m)	Segurança da cadeia de abastecimento, incluindo aspetos relacionados com a segurança no que se refere às relações entre cada entidade da União e os seus fornecedores diretos ou prestadores de serviços;

n)	Tratamento de incidentes e cooperação com a CERT-UE, designadamente no âmbito da conservação de registos e da monitorização da segurança;

o)	Gestão da continuidade das atividades, como a gestão de cópias de segurança e a recuperação de desastres, e gestão de crises; e

p)	Promoção e desenvolvimento de programas de educação, competências, sensibilização, exercício e formação no domínio da cibersegurança.

Para efeitos do primeiro parágrafo, alínea m), as entidades da União têm em conta as vulnerabilidades específicas de cada fornecedor direto e de cada prestador de serviços, bem como a qualidade global dos produtos e as práticas de cibersegurança dos seus fornecedores e prestadores de serviços, incluindo os seus procedimentos de desenvolvimento seguro.

3.   As entidades da União tomam, pelo menos, as seguintes medidas específicas de gestão dos riscos de cibersegurança:

a)	Disposições técnicas para permitir e manter o teletrabalho;

b)	Medidas concretas para avançar rumo a princípios de «confiança zero»;

c)	Utilização, por norma, da autenticação multifatorial nos sistemas de rede e informação;

d)	Utilização da criptografia e da cifragem, em particular da cifragem de ponta a ponta, bem como de assinaturas digitais seguras;

e)	Implantação, se for caso disso, de comunicações seguras de voz, vídeo e texto e de sistemas seguros de comunicações de emergência na entidade da União;

f)	Medidas proativas para a deteção e remoção de software malicioso e de software espião;

g)	Garantia da segurança da cadeia de abastecimento de software por meio de critérios para a criação e avaliação seguras de software;

h)	Estabelecimento e adoção de programas de formação sobre cibersegurança adequados às atribuições prescritas e às capacidades previstas para a direção ao mais alto nível e para os membros do pessoal da entidade da União incumbidos de garantir a aplicação do presente regulamento;

i)	Formação periódica do pessoal em matéria de cibersegurança;

j)	Se for caso disso, participação em análises dos riscos de interconectividade entre as entidades da União;

k)

Reforço das regras de contratação pública para facilitar um elevado nível comum de cibersegurança através: i) remoção dos obstáculos contratuais que limitam a partilha de informações com a CERT-UE por parte dos prestadores de serviços TIC sobre os incidentes, as vulnerabilidades e as ciberameaças, ii) obrigações contratuais de comunicar os incidentes, as vulnerabilidades e as ciberameaças, bem como de dispor de um sistema adequado de monitorização e resposta a incidentes.

1.   É criado o Conselho Interinstitucional para a Cibersegurança (IICB, na sigla inglesa).

2.   Cabe ao IICB:

a)	Acompanhar e apoiar a aplicação do presente regulamento por parte das entidades da União;

b)	Supervisionar a concretização das prioridades e objetivos gerais pela CERT-UE e conferir-lhe uma direção estratégica.

3.   O IICB é composto por:

a)

Um representante designado por cada uma das seguintes entidades: i) o Parlamento Europeu, ii) o Conselho Europeu, iii) o Conselho da União Europeia, iv) a Comissão, v) o Tribunal de Justiça da União Europeia, vi) o Banco Central Europeu, vii) o Tribunal de Contas, viii) o Serviço Europeu para a Ação Externa, ix) o Comité Económico e Social Europeu, x) o Comité das Regiões Europeu, xi) o Banco Europeu de Investimento, xii) o Centro Europeu de Competências Industriais, Tecnológicas e de Investigação em Cibersegurança, xiii) a ENISA, xiv) a Autoridade Europeia para a Proteção de Dados (AEPD), xv) a Agência da União Europeia para o Programa Espacial;

b)	Três representantes designados pela Rede de Agências da UE, com base numa proposta do seu Comité Consultivo para as TIC, para representar os interesses dos órgãos e organismos da União que administram os seus próprios ambientes das TIC, para além dos referidos na alínea a).

As entidades da União representadas no IICB procuram alcançar o equilíbrio de género entre os representantes designados.

4.   Os membros do IICB podem ser assistidos por um suplente. O presidente pode convidar outros representantes das entidades da União referidas no n.o 3 ou de outras entidades da União para participarem nas reuniões do IICB, sem direito de voto.

5.   O diretor da CERT-UE e os presidentes do grupo de cooperação, da rede de CSIRT e da UE-CyCLONe, criados, respetivamente, nos termos dos artigos 14.o, 15.o e 16.o da Diretiva (UE) 2022/2555, ou os respetivos suplentes, podem participar nas reuniões do IICB na qualidade de observadores. Em casos excecionais, o IICB pode, nos termos do seu regulamento interno, decidir em contrário.

6.   Cabe ao IICB aprovar o seu regulamento interno.

7.   O IICB designa um presidente de entre os seus membros, nos termos do seu regulamento interno, por um período de três anos. O seu suplente torna-se membro efetivo do IICB durante o mesmo período.

8.   O IICB reúne-se pelo menos três vezes por ano por iniciativa do seu presidente, a pedido da CERT-UE ou a pedido de um dos seus membros.

9.   Cada membro do IICB dispõe de um voto. As decisões do IICB são tomadas por maioria simples, salvo disposição em contrário no presente regulamento. O presidente do IICB não participa na votação, exceto em caso de empate, caso em que poderá exercer um voto de qualidade.

10.   O IICB pode deliberar por procedimento escrito simplificado em conformidade com o seu regulamento interno, ao abrigo do qual as decisões pertinentes são consideradas aprovadas no prazo estabelecido pelo presidente, exceto se um membro se opuser.

11.   O secretariado do IICB é assegurado pela Comissão e responde perante o presidente do IICB.

12.   Os representantes designados pela Rede de Agências da UE transmitem as decisões do IICB aos membros da Rede de Agências da UE. Qualquer membro da Rede de Agências da UE tem o direito de suscitar junto dos referidos representantes ou do presidente do IICB qualquer questão que considerem que deverá ser dada a conhecer ao IICB.

13.   O IICB cria um comité executivo para o assistir nos seus trabalhos e delegar algumas das suas atribuições e competências. Cabe ao IICB criar o regulamento interno do comité executivo, incluindo as respetivas atribuições e competências e a duração do mandato dos seus membros.

14.   Até 8 de janeiro de 2025 e, posteriormente, numa base anual, o IICB apresenta ao Conselho um relatório que descreve pormenorizadamente os progressos realizados na aplicação do presente regulamento e que especifica, em especial, a amplitude da cooperação da CERT-UE com as suas contrapartes em cada Estado-Membro. O referido relatório constitui um contributo para o relatório bienal sobre o estado da cibersegurança na União, elaborado nos termos do artigo 18.o da Diretiva (UE) 2022/2555.