keyboard_tab Cyber Resilience Act 2023/2841 PT
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Artigo 8.o Medidas de gestão dos riscos de cibersegurança
- 2 Artigo 12.o Conformidade
- 1 Artigo 13.o
- 1 Artigo 19.o Tratamento de informações
- 1 Artigo 22.o Coordenação da resposta a incidentes e cooperação
CAPÍTULO I
DISPOSIÇÕES GERAIS
CAPÍTULO II
MEDIDAS DESTINADAS A GARANTIR UM ELEVADO NIVEL COMUM DE CIBERSEGURANÇA
CAPÍTULO III
CONSELHO INTERINSTITUCIONAL PARA A CIBERSEGURANÇA
CAPÍTULO IV
CERT-UE
CAPÍTULO V
OBRIGAÇÕES DE COOPERAÇÃO E DE COMUNICAÇÃO DE INFORMAÇÕES
CAPÍTULO VI
DISPOSIÇÕES FINAIS
- união 62
- entidades 34
- cibersegurança 32
- cert-ue 31
- para 31
- entidade 25
- incidentes 24
- informações 20
- iicb 19
- artigo o 18
- serviços 17
- medidas 17
- causa 15
- regulamento 14
- nível 13
- a 13
- presente 13
- caso 13
- segurança 12
- no 12
- como 11
- cooperação 11
- pode 11
- gestão 10
- incluindo 10
- resposta 10
- sobre 10
- rede 10
- termos 10
- informação 9
- ciberameaças 9
- vulnerabilidades 9
- aplicação 9
- riscos 9
- não 8
- sistemas 8
- disso 8
- coordenação 8
- conformidade 8
- recomendações 7
- alínea 7
- seus 6
- nomeadamente 6
- seguintes 6
- base 6
- conta 6
- orientações 6
- primeiro 6
- regras 6
- mais 6
Artigo 8.o
Medidas de gestão dos riscos de cibersegurança
1. Sem demora injustificada e, em qualquer caso, até 8 de setembro de 2025, cada entidade da União toma, sob a supervisão da direção ao mais alto nível respetiva, medidas técnicas, operacionais e organizativas adequadas e proporcionadas para gerir os riscos de cibersegurança identificados no âmbito do regime e prevenir ou minimizar o impacto dos incidentes. Tendo em conta os progressos técnicos mais recentes e, se aplicável, as normas europeias e internacionais pertinentes, essas medidas garantem um nível de segurança dos sistemas de rede e informação em todo o ambiente de TIC proporcional aos riscos de cibersegurança criados. Aquando da avaliação da proporcionalidade dessas medidas, são devidamente tidos em conta o grau de exposição da entidade da União aos riscos de cibersegurança, a sua dimensão, a probabilidade de ocorrência de incidentes e a sua gravidade, incluindo o seu impacto nos planos societal, económico e interinstitucional.
2. As entidades da União abordam, pelo menos, os seguintes domínios na aplicação das medidas de gestão dos riscos de cibersegurança:
| a) | Política de cibersegurança, nomeadamente as medidas necessárias para alcançar os objetivos e prioridades referidos no artigo 6.o e no n.o 3 do presente artigo; |
| b) | Políticas relativas à análise dos riscos de cibersegurança e de segurança dos sistemas de informação; |
| c) | Objetivos políticos relativos à utilização de serviços de computação em nuvem; |
| d) | Auditorias de cibersegurança, se for caso disso, que podem incluir uma avaliação do risco de cibersegurança, da vulnerabilidade e das ciberameaças, bem como testes de penetração realizados regularmente por um prestador privado de confiança; |
| e) | Aplicação das recomendações resultantes das auditorias de cibersegurança a que se refere a alínea d), através da cibersegurança e de atualizações das políticas; |
| f) | Organização da cibersegurança, incluindo a definição das funções e responsabilidades; |
| g) | Gestão de ativos, incluindo o inventário dos ativos de TIC e o mapeamento da rede de TIC; |
| h) | Segurança dos recursos humanos e controlo do acesso; |
| i) | Segurança das operações; |
| j) | Segurança das comunicações; |
| k) | Aquisição, desenvolvimento e manutenção dos sistemas, incluindo políticas relativas ao tratamento e à divulgação de vulnerabilidades; |
| l) | Se exequível, políticas relativas à transparência do código-fonte; |
| m) | Segurança da cadeia de abastecimento, incluindo aspetos relacionados com a segurança no que se refere às relações entre cada entidade da União e os seus fornecedores diretos ou prestadores de serviços; |
| n) | Tratamento de incidentes e cooperação com a CERT-UE, designadamente no âmbito da conservação de registos e da monitorização da segurança; |
| o) | Gestão da continuidade das atividades, como a gestão de cópias de segurança e a recuperação de desastres, e gestão de crises; e |
| p) | Promoção e desenvolvimento de programas de educação, competências, sensibilização, exercício e formação no domínio da cibersegurança. |
Para efeitos do primeiro parágrafo, alínea m), as entidades da União têm em conta as vulnerabilidades específicas de cada fornecedor direto e de cada prestador de serviços, bem como a qualidade global dos produtos e as práticas de cibersegurança dos seus fornecedores e prestadores de serviços, incluindo os seus procedimentos de desenvolvimento seguro.
3. As entidades da União tomam, pelo menos, as seguintes medidas específicas de gestão dos riscos de cibersegurança:
| a) | Disposições técnicas para permitir e manter o teletrabalho; |
| b) | Medidas concretas para avançar rumo a princípios de «confiança zero»; |
| c) | Utilização, por norma, da autenticação multifatorial nos sistemas de rede e informação; |
| d) | Utilização da criptografia e da cifragem, em particular da cifragem de ponta a ponta, bem como de assinaturas digitais seguras; |
| e) | Implantação, se for caso disso, de comunicações seguras de voz, vídeo e texto e de sistemas seguros de comunicações de emergência na entidade da União; |
| f) | Medidas proativas para a deteção e remoção de software malicioso e de software espião; |
| g) | Garantia da segurança da cadeia de abastecimento de software por meio de critérios para a criação e avaliação seguras de software; |
| h) | Estabelecimento e adoção de programas de formação sobre cibersegurança adequados às atribuições prescritas e às capacidades previstas para a direção ao mais alto nível e para os membros do pessoal da entidade da União incumbidos de garantir a aplicação do presente regulamento; |
| i) | Formação periódica do pessoal em matéria de cibersegurança; |
| j) | Se for caso disso, participação em análises dos riscos de interconectividade entre as entidades da União; |
| k) | Reforço das regras de contratação pública para facilitar um elevado nível comum de cibersegurança através:
|
Artigo 12.o
Conformidade
1. Cabe ao IICB, nos termos do artigo 10.o, n.o 2, e do artigo 11.o, acompanhar de forma eficaz a aplicação, por parte das entidades da União, do presente regulamento e das orientações, recomendações e apelos à ação adotados. O IICB pode solicitar às entidades da União as informações ou a documentação necessárias para o efeito. Para efeitos de adoção das medidas de conformidade nos termos do presente artigo, caso a entidade da União em causa esteja diretamente representada no IICB, não tem direito de voto.
2. Se concluir que uma entidade da União não aplicou efetivamente o presente regulamento ou alguma das orientações, recomendações ou apelos à ação emitidos nos termos do presente regulamento, o IICB pode, sem prejuízo dos procedimentos internos da entidade da União em causa, e após ter dado a oportunidade à entidade ou pessoa em causa de apresentar o seu ponto de vista:
| a) | Transmitir um parecer fundamentado à entidade da União em causa, com as lacunas observadas na aplicação do presente regulamento; |
| b) | Dar, após consulta à CERT-UE, orientações à entidade da União em causa, por forma a colocar o respetivo regime, as medidas de gestão dos riscos de cibersegurança, os planos de cibersegurança e as obrigações de informação em conformidade com o presente regulamento num determinado prazo; |
| c) | Emitir um alerta para abordar as lacunas identificadas num prazo especificado, incluindo recomendações para alterar medidas adotadas pela entidade da União em causa nos termos do presente regulamento; |
| d) | Emitir uma notificação fundamentada para a entidade da União em causa, caso as deficiências identificadas num alerta emitido nos termos da alínea c) não tenham sido satisfatoriamente corrigidas no prazo especificado; |
| e) | Emitir:
|
| f) | Informar, se for caso disso, o Tribunal de Contas, no âmbito do seu mandato, do alegado incumprimento; |
| g) | Emitir uma recomendação para que todos os Estados-Membros e todas as entidades da União apliquem uma suspensão temporária dos fluxos de dados para a entidade da União em causa. |
Para efeitos do primeiro parágrafo, alínea c), o público-alvo de um alerta deve ser restringido adequadamente, se necessário tendo em conta o risco de cibersegurança.
Os alertas e recomendações emitidos ao abrigo do primeiro parágrafo são dirigidos à direção ao mais alto nível da entidade da União em causa.
3. Se o IICB tiver adotado medidas nos termos do n.o 2, primeiro parágrafo, alíneas a) a g), a entidade da União em causa apresenta ao pormenor as medidas e ações aplicadas para colmatar as alegadas lacunas identificadas pelo IICB. A entidade da União apresenta os referidos pormenores dentro de um prazo razoável a negociar com o IICB.
4. Se o IICB considerar que existe infração persistente ao presente regulamento por parte de uma entidade da União, diretamente resultante de ações ou omissões de um funcionário ou outro agente da União, incluindo da direção ao mais alto nível, o IICB exige à entidade da União em causa que tome as medidas necessárias, nomeadamente solicitando que pondere a tomada de medidas de caráter disciplinar, em conformidade com as regras e os procedimentos previstos no Estatuto dos Funcionários e em quaisquer outras regras ou quaisquer outros procedimentos aplicáveis. Para o efeito, o IICB transmite as informações necessárias à entidade da União em causa.
5. Caso as entidades da União informem da sua incapacidade para cumprir os prazos previstos no artigo 6.o, n.o 1, e no artigo 8.o, n.o 1, o IICB pode, em casos devidamente motivados, tendo em conta a dimensão da entidade da União, autorizar a prorrogação dos referidos prazos.
CAPÍTULO IV
CERT-UE
Artigo 13.o
1. A missão da CERT-UE é contribuir para a segurança do ambiente das TIC não classificado das entidades da União, aconselhando-as em matéria de cibersegurança, ajudando-as a prevenir, detetar, gerir, atenuar e dar resposta a incidentes, assim como a recuperar após os mesmos, e agindo como plataforma de intercâmbio de informações de cibersegurança e centro de coordenação da resposta a incidentes.
2. A CERT-UE recolhe, gere, analisa e partilha com as entidades da União as informações sobre as ciberameaças, as vulnerabilidades e os incidentes relativos à infraestrutura de TIC não classificada. Coordena as respostas a incidentes ocorridos a nível interinstitucional e da entidade da União, nomeadamente prestando ou coordenando a prestação de assistência operacional especializada.
3. A CERT-UE desempenha as seguintes atribuições em relação às entidades da União:
| a) | Apoio na aplicação do presente regulamento e contributo para a coordenação dessa aplicação, por meio das medidas enumeradas no artigo 14.o, n.o 1, ou através de relatórios ad hoc solicitados pelo IICB; |
| b) | Disponibilização de serviços normalizados da CSIRT a todas as entidades da União através de um pacote de serviços de cibersegurança descritos no seu catálogo de serviços (serviços de base); |
| c) | Manutenção de uma rede de pares e parceiros para apoiar os serviços, conforme previsto nos artigos 17.o e 18.o; |
| d) | Informação ao IICB relativamente a qualquer questão relacionada com a aplicação do presente regulamento e das orientações, recomendações e apelos à ação; |
| e) | Com base nas informações referidas no n.o 2, contribuir para o conhecimento da situação cibernética na União, em estreita cooperação com a ENISA; |
| f) | Coordenar a gestão de incidentes graves; |
| g) | Exercer, em nome das entidades da União, uma função equivalente à do coordenador designado para fins de divulgação coordenada das vulnerabilidades, nos termos do artigo 12.o, n.o 1, da Diretiva (UE) 2022/2555; |
| h) | Disponibilizar, a pedido de uma entidade da União, uma análise proativa e não intrusiva dos sistemas de rede e informação acessíveis ao público dessa entidade da União. |
As informações a que se refere o primeiro parágrafo, alínea e), são partilhadas com o IICB, a rede de CSIRT e o Centro de Situação e de Informações da União Europeia (INTCEN da UE), se aplicável e for caso disso, e sob reserva de condições de confidencialidade adequadas.
4. A CERT-UE pode, em conformidade com o artigo 17.o ou o artigo 18.o, conforme adequado, cooperar com as comunidades de cibersegurança pertinentes na União e nos seus Estados-Membros, nomeadamente nos seguintes domínios:
| a) | Preparação, coordenação em caso de incidentes, intercâmbio de informações e resposta a situações de crise a nível técnico em casos relacionados com entidades da União; |
| b) | Cooperação operacional no que respeita à rede CSIRT, nomeadamente em matéria de assistência mútua; |
| c) | Informações sobre ciberameaças, incluindo o conhecimento situacional; |
| d) | Qualquer tema que exija os conhecimentos técnicos especializados de cibersegurança da CERT-UE. |
5. A CERT-UE enceta, no âmbito das suas competências, uma cooperação estruturada com a ENISA no que respeita ao reforço das capacidades, à cooperação operacional e a análises estratégicas a longo prazo das ciberameaças, em conformidade com o Regulamento (UE) 2019/881. A CERT-UE pode cooperar e trocar informações com o Centro Europeu da Cibercriminalidade da Europol.
6. A CERT-UE pode prestar os seguintes serviços não descritos no seu catálogo de serviços («serviços sujeitos a cobrança»):
| a) | Serviços de apoio à cibersegurança do ambiente de TIC das entidades da União, distintos dos referidos no n.o 3, com base em acordos de nível de serviço e sob reserva dos recursos disponíveis, nomeadamente monitorização de largo espectro da rede, inclusive a monitorização de primeira linha, a qualquer hora, das ciberameaças de maior gravidade; |
| b) | Serviços de apoio a operações ou projetos de cibersegurança das entidades da União, distintos dos serviços destinados a proteger o respetivo ambiente das TIC, com base em acordos escritos e mediante aprovação prévia do IICB; |
| c) | Uma análise proativa dos sistemas de rede e informação da entidade da União em causa, mediante pedido, a fim de detetar vulnerabilidades com um impacto significativo potencial; |
| d) | Serviços de apoio à cibersegurança do ambiente das TIC de organizações distintas das entidades da União mas que colaborem estreitamente com as mesmas, por exemplo, por terem atribuições ou responsabilidades conferidas ao abrigo do direito da União, com base em acordos escritos e mediante aprovação prévia do IICB. |
No respeitante ao primeiro parágrafo, alínea d), a CERT-UE pode, a título excecional, celebrar acordos de nível de serviço com entidades que não sejam as entidades da União, com a aprovação prévia do IICB.
7. A CERT-UE organiza e pode participar em exercícios de cibersegurança ou recomendar a participação em exercícios existentes, se aplicável em estreita cooperação com a ENISA, de forma a testar o nível de cibersegurança das entidades da União.
8. A CERT-UE pode prestar assistência às entidades da União relativamente a incidentes em sistemas de rede e informação que tratam ICUE, se as entidades da União envolvidas o solicitarem explicitamente, em conformidade com os respetivos procedimentos. A prestação de assistência pela CERT-UE nos termos do presente número é efetuada sem prejuízo das regras aplicáveis relacionadas com a proteção de informações classificadas.
9. A CERT-UE informa as entidades da União dos seus procedimentos e processos de tratamento de incidentes.
10. A CERT-UE contribui, com um elevado nível de confidencialidade e fiabilidade, através dos mecanismos de cooperação e canais de comunicação adequados, com informações pertinentes e anonimizadas sobre incidentes graves e a forma como foram tratados. As referidas informações são integradas no relatório a que se refere o artigo 10.o, n.o 14.
11. A CERT-UE apoia, em cooperação com a AEPD, as entidades da União em causa aquando da gestão de incidentes que tenham originado violações de dados pessoais, sem prejuízo das competências e atribuições da AEPD enquanto autoridade de supervisão nos termos do Regulamento (UE) 2018/1725.
12. Se os departamentos temáticos das entidades da União o solicitarem expressamente, a CERT-UE pode prestar aconselhamento técnico ou informações técnicas sobre questões estratégicas pertinentes.
Artigo 19.o
Tratamento de informações
1. As entidades da União e a CERT-UE devem respeitar as obrigações de sigilo profissional nos termos do artigo 339.o do TFUE ou dos regimes equivalentes aplicáveis.
2. O Regulamento (CE) n.o 1049/2001 do Parlamento Europeu e do Conselho (10) é aplicável no que respeita aos pedidos de acesso do público a documentos na posse da CERT-UE, tendo em conta a obrigação, prevista no referido regulamento, de consultar as outras entidades da União ou, se for caso disso, os Estados-Membros, sempre que um pedido diga respeito a documentos seus.
3. O tratamento das informações pelas entidades da União e pela CERT-UE deve cumprir as regras aplicáveis relativas à segurança da informação.
Artigo 22.o
Coordenação da resposta a incidentes e cooperação
1. Ao atuar enquanto plataforma de intercâmbio de informações de cibersegurança e centro de coordenação da resposta a incidentes, a CERT-UE facilita o intercâmbio de informações sobre incidentes, ciberameaças, vulnerabilidades e quase incidentes entre:
| a) | Entidades da União; |
| b) | As contrapartes referidas nos artigos 17.o e 18.o. |
2. A CERT-UE facilita, se for caso disso em estreita cooperação com a ENISA, a coordenação entre as entidades da União na resposta a incidentes, incluindo os seguintes elementos:
| a) | Contribuição para uma comunicação externa coerente; |
| b) | Apoio mútuo, como a partilha de informações relevantes para as entidades da União ou a prestação de assistência, se for caso disso diretamente no local; |
| c) | Utilização ideal dos recursos operacionais; |
| d) | Coordenação com outros mecanismos de resposta a situações de crise a nível da União. |
3. A CERT-UE apoia, em estreita cooperação com a ENISA, as entidades da União no que respeita ao conhecimento situacional de incidentes, ciberameaças, vulnerabilidades e quase incidentes, bem como no que respeita à partilha dos mais recentes avanços no domínio da cibersegurança.
4. Até 8 de janeiro de 2025, o IICB adota, com base numa proposta da CERT-UE, orientações ou recomendações sobre a coordenação da resposta a incidentes e a colaboração em caso de incidente significativo. Quando se suspeitar que um incidente teve natureza criminosa, a CERT-UE deve emitir, sem demora injustificada, orientações sobre a forma como o incidente deve ser notificado às autoridades competentes para a aplicação da lei.
5. Na sequência de um pedido específico de um Estado-Membro e com a aprovação das entidades da União em causa, a CERT-UE pode recorrer a peritos da lista referida no artigo 23.o, n.o 4, para contribuírem para a resposta a um incidente grave com impacto nesse Estado-Membro, ou a um incidente de cibersegurança em grande escala, em conformidade com o artigo 15.o, n.o 3, alínea g), da Diretiva (UE) 2022/2555. As regras específicas sobre o acesso e o recurso a peritos técnicos provenientes de entidades da União são aprovadas pelo IICB, mediante proposta da CERT-UE.
whereas