keyboard_tab Cyber Resilience Act 2023/2841 PT
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 3 Artigo 8.o Medidas de gestão dos riscos de cibersegurança
- 2 Artigo 14.o Orientações, recomendações e apelos à ação
- 1 Artigo 17.o
- 1 Artigo 19.o Tratamento de informações
- 1 Artigo 20.o Acordos de partilha de informações sobre cibersegurança
- 2 Artigo 23.o Gestão de incidentes graves
CAPÍTULO I
DISPOSIÇÕES GERAIS
CAPÍTULO II
MEDIDAS DESTINADAS A GARANTIR UM ELEVADO NIVEL COMUM DE CIBERSEGURANÇA
CAPÍTULO III
CONSELHO INTERINSTITUCIONAL PARA A CIBERSEGURANÇA
CAPÍTULO IV
CERT-UE
CAPÍTULO V
OBRIGAÇÕES DE COOPERAÇÃO E DE COMUNICAÇÃO DE INFORMAÇÕES
CAPÍTULO VI
DISPOSIÇÕES FINAIS
- união 45
- cibersegurança 31
- incidentes 28
- cert-ue 27
- entidades 25
- informações 24
- para 22
- entidade 20
- artigo o 19
- gestão 18
- segurança 14
- medidas 13
- riscos 11
- incluindo 10
- relativas 10
- afetada 10
- caso 9
- sobre 9
- termos 9
- graves 8
- como 8
- as 8
- partilha 8
- nível 7
- ciberameaças 7
- vulnerabilidades 7
- específicas 7
- iicb 6
- recomendações 6
- disso 6
- alínea 6
- serviços 6
- sistemas 6
- tratamento 6
- no 6
- demora 6
- matéria 5
- utilização 5
- diretiva 5
- injustificada 5
- práticas 5
- incidente 5
- estados-membros 5
- facilitar 5
- entre 5
- consentimento 5
- a 5
- não 5
- conta 5
- presente 5
Artigo 8.o
Medidas de gestão dos riscos de cibersegurança
1. Sem demora injustificada e, em qualquer caso, até 8 de setembro de 2025, cada entidade da União toma, sob a supervisão da direção ao mais alto nível respetiva, medidas técnicas, operacionais e organizativas adequadas e proporcionadas para gerir os riscos de cibersegurança identificados no âmbito do regime e prevenir ou minimizar o impacto dos incidentes. Tendo em conta os progressos técnicos mais recentes e, se aplicável, as normas europeias e internacionais pertinentes, essas medidas garantem um nível de segurança dos sistemas de rede e informação em todo o ambiente de TIC proporcional aos riscos de cibersegurança criados. Aquando da avaliação da proporcionalidade dessas medidas, são devidamente tidos em conta o grau de exposição da entidade da União aos riscos de cibersegurança, a sua dimensão, a probabilidade de ocorrência de incidentes e a sua gravidade, incluindo o seu impacto nos planos societal, económico e interinstitucional.
2. As entidades da União abordam, pelo menos, os seguintes domínios na aplicação das medidas de gestão dos riscos de cibersegurança:
| a) | Política de cibersegurança, nomeadamente as medidas necessárias para alcançar os objetivos e prioridades referidos no artigo 6.o e no n.o 3 do presente artigo; |
| b) | Políticas relativas à análise dos riscos de cibersegurança e de segurança dos sistemas de informação; |
| c) | Objetivos políticos relativos à utilização de serviços de computação em nuvem; |
| d) | Auditorias de cibersegurança, se for caso disso, que podem incluir uma avaliação do risco de cibersegurança, da vulnerabilidade e das ciberameaças, bem como testes de penetração realizados regularmente por um prestador privado de confiança; |
| e) | Aplicação das recomendações resultantes das auditorias de cibersegurança a que se refere a alínea d), através da cibersegurança e de atualizações das políticas; |
| f) | Organização da cibersegurança, incluindo a definição das funções e responsabilidades; |
| g) | Gestão de ativos, incluindo o inventário dos ativos de TIC e o mapeamento da rede de TIC; |
| h) | Segurança dos recursos humanos e controlo do acesso; |
| i) | Segurança das operações; |
| j) | Segurança das comunicações; |
| k) | Aquisição, desenvolvimento e manutenção dos sistemas, incluindo políticas relativas ao tratamento e à divulgação de vulnerabilidades; |
| l) | Se exequível, políticas relativas à transparência do código-fonte; |
| m) | Segurança da cadeia de abastecimento, incluindo aspetos relacionados com a segurança no que se refere às relações entre cada entidade da União e os seus fornecedores diretos ou prestadores de serviços; |
| n) | Tratamento de incidentes e cooperação com a CERT-UE, designadamente no âmbito da conservação de registos e da monitorização da segurança; |
| o) | Gestão da continuidade das atividades, como a gestão de cópias de segurança e a recuperação de desastres, e gestão de crises; e |
| p) | Promoção e desenvolvimento de programas de educação, competências, sensibilização, exercício e formação no domínio da cibersegurança. |
Para efeitos do primeiro parágrafo, alínea m), as entidades da União têm em conta as vulnerabilidades específicas de cada fornecedor direto e de cada prestador de serviços, bem como a qualidade global dos produtos e as práticas de cibersegurança dos seus fornecedores e prestadores de serviços, incluindo os seus procedimentos de desenvolvimento seguro.
3. As entidades da União tomam, pelo menos, as seguintes medidas específicas de gestão dos riscos de cibersegurança:
| a) | Disposições técnicas para permitir e manter o teletrabalho; |
| b) | Medidas concretas para avançar rumo a princípios de «confiança zero»; |
| c) | Utilização, por norma, da autenticação multifatorial nos sistemas de rede e informação; |
| d) | Utilização da criptografia e da cifragem, em particular da cifragem de ponta a ponta, bem como de assinaturas digitais seguras; |
| e) | Implantação, se for caso disso, de comunicações seguras de voz, vídeo e texto e de sistemas seguros de comunicações de emergência na entidade da União; |
| f) | Medidas proativas para a deteção e remoção de software malicioso e de software espião; |
| g) | Garantia da segurança da cadeia de abastecimento de software por meio de critérios para a criação e avaliação seguras de software; |
| h) | Estabelecimento e adoção de programas de formação sobre cibersegurança adequados às atribuições prescritas e às capacidades previstas para a direção ao mais alto nível e para os membros do pessoal da entidade da União incumbidos de garantir a aplicação do presente regulamento; |
| i) | Formação periódica do pessoal em matéria de cibersegurança; |
| j) | Se for caso disso, participação em análises dos riscos de interconectividade entre as entidades da União; |
| k) | Reforço das regras de contratação pública para facilitar um elevado nível comum de cibersegurança através:
|
Artigo 14.o
Orientações, recomendações e apelos à ação
1. A CERT-UE apoia a aplicação do presente regulamento através de:
| a) | Apelos à ação, descrevendo medidas urgentes de segurança que as entidades da União são instadas a tomar num determinado prazo; |
| b) | Propostas ao IICB com vista à adoção de orientações dirigidas a todas ou a um conjunto de entidades da União; |
| c) | Propostas ao IICB com vista à adoção de recomendações dirigidas a entidades individuais da União. |
No que diz respeito ao primeiro parágrafo, alínea a), a entidade da União em causa informa a CERT-UE, sem demora injustificada após receber o convite à ação, da forma como as medidas de segurança urgentes foram aplicadas.
2. As orientações e recomendações podem incluir:
| a) | Metodologias comuns e um modelo de avaliação da maturidade em matéria de cibersegurança das entidades da União, incluindo as escalas ou os indicadores-chave de desempenho correspondentes, que sirva de referência para apoiar uma melhoria contínua da cibersegurança em todas as entidades da União e facilitar a atribuição de prioridades dos domínios e medidas de cibersegurança, tendo em conta a postura das entidades em matéria de cibersegurança; |
| b) | Disposições práticas ou melhorias relativas à gestão dos riscos de cibersegurança e das medidas de gestão dos riscos de cibersegurança; |
| c) | Disposições práticas relativas às avaliações da maturidade em matéria de cibersegurança e aos planos de cibersegurança; |
| d) | Se for caso disso, a utilização em comum de uma tecnologia, arquitetura, fonte aberta e das boas práticas conexas no intuito de concretizar a interoperabilidade e normas comuns, incluindo uma abordagem coordenada no que diz respeito à segurança da cadeia de abastecimento; |
| e) | Se for caso disso, informações destinadas a facilitar a utilização de instrumentos de contratação pública colaborativa para a aquisição de serviços e produtos de cibersegurança relevantes a fornecedores terceiros; |
| f) | Acordos de partilha de informações nos termos do artigo 20.o. |
Artigo 17.o
1. A CERT-UE deve, sem demora injustificada, colaborar e trocar informações com as contrapartes dos Estados-Membros, incluindo as CSIRT designadas ou estabelecidas nos termos do artigo 10.o da Diretiva (UE) 2022/2555, ou, se aplicável, as autoridades competentes e pontos de contacto únicos designados ou estabelecidos nos termos do artigo 8.o dessa diretiva, relativamente a incidentes, ciberameaças, vulnerabilidades, quase incidentes, a possíveis contramedidas, bem como a boas práticas e a todas as questões pertinentes para melhorar a proteção do ambiente das TIC das entidades da União, nomeadamente por meio da rede de CSIRT referida no artigo 15.o da Diretiva (UE) 2022/2555. A CERT-UE apoia a Comissão no âmbito da UE-CyCLONe estabelecida nos termos do artigo 16.o da Diretiva (UE) 2022/2555 no que diz respeito à gestão coordenada a incidentes e crises de cibersegurança em grande escala.
2. Caso tome conhecimento de um incidente significativo ocorrido no território de um Estado-Membro, a CERT-UE informa, sem demora, quaisquer contrapartes relevantes nesse Estado-Membro, em conformidade com o n.o 1.
3. Desde que os dados pessoais estejam protegidos em conformidade com a legislação aplicável da União em matéria de proteção de dados, a CERT-UE deve, sem demora injustificada, trocar informações específicas pertinentes sobre incidentes com as contrapartes dos Estados-Membros para facilitar a deteção de ciberameaças ou incidentes semelhantes, ou contribuam para a análise de um incidente, sem a autorização da entidade da União afetada. A CERT-UE só partilha informações específicas sobre incidentes que revelem a identidade do seu alvo num dos seguintes casos:
| a) | A entidade da União afetada der o seu consentimento; |
| b) | A entidade da União afetada não der o consentimento previsto na alínea a) mas a divulgação da identidade da entidade da União afetada aumentar a probabilidade de evitar ou atenuar incidentes noutros locais. |
| c) | A entidade da União afetada já tenha tornado público o facto de ter sido afetada. |
As decisões relativas ao intercâmbio de informações específicas sobre um incidente que revelem a identidade do alvo do incidente nos termos do primeiro parágrafo, alínea b), são aprovadas pelo diretor da CERT-UE. Antes de emitir essa decisão, a CERT-UE contacta por escrito a entidade da União afetada, explicando claramente de que forma a divulgação da sua identidade contribuiria para evitar ou atenuar incidentes noutros locais. O diretor da CERT-UE apresenta a explicação e solicita explicitamente à entidade da União que declare se dá o seu consentimento dentro de um determinado prazo. O diretor da CERT-UE informa igualmente a entidade da União de que, à luz da explicação fornecida, se reserva o direito de divulgar as informações, mesmo na falta de consentimento. A entidade da União afetada é informada antes da divulgação das informações.
Artigo 19.o
Tratamento de informações
1. As entidades da União e a CERT-UE devem respeitar as obrigações de sigilo profissional nos termos do artigo 339.o do TFUE ou dos regimes equivalentes aplicáveis.
2. O Regulamento (CE) n.o 1049/2001 do Parlamento Europeu e do Conselho (10) é aplicável no que respeita aos pedidos de acesso do público a documentos na posse da CERT-UE, tendo em conta a obrigação, prevista no referido regulamento, de consultar as outras entidades da União ou, se for caso disso, os Estados-Membros, sempre que um pedido diga respeito a documentos seus.
3. O tratamento das informações pelas entidades da União e pela CERT-UE deve cumprir as regras aplicáveis relativas à segurança da informação.
Artigo 20.o
Acordos de partilha de informações sobre cibersegurança
1. As entidades da União podem, a título voluntário, informar a CERT-UE e prestar-lhe informações sobre incidentes, ciberameaças, quase incidentes e vulnerabilidades que as afetem. A CERT-UE garante a disponibilidade de meios de comunicação eficientes, com um nível elevado de rastreabilidade, confidencialidade e fiabilidade, com o objetivo de facilitar a partilha de informações com as entidades da União. No tratamento de notificações, a CERT-UE pode dar prioridade ao tratamento das notificações obrigatórias em detrimento das notificações voluntárias. Sem prejuízo do artigo 12.o, a notificação voluntária não pode resultar na imposição à entidade da União notificadora de quaisquer obrigações adicionais às quais esta não estaria sujeita se não tivesse procedido à notificação.
2. Com vista a cumprir a sua missão e as atribuições conferidas nos termos do artigo 13.o, a CERT-UE pode solicitar que as entidades da União lhe transmitam informações dos respetivos inventários de sistemas das TIC, incluindo informações relacionadas com ciberameaças, quase incidentes, vulnerabilidades, indicadores de exposição a riscos, alertas de cibersegurança e recomendações relativas à configuração das ferramentas de cibersegurança destinadas a detetar incidentes de cibersegurança. A entidade da União requerida deve transmitir sem demora injustificada as informações solicitadas, bem como eventuais atualizações subsequentes dessas informações.
3. A CERT-UE pode partilhar com as entidades da União informações específicas sobre incidentes que permitam identificar a entidade da União afetada por um determinado incidente, desde que a entidade da União afetada em tal consinta. Caso uma entidade da União recuse dar o seu consentimento, deve indicar à CERT-UE os motivos que fundamentam essa decisão.
4. As entidades da União, mediante pedido, partilham informações com o Parlamento Europeu e o Conselho sobre a conclusão dos planos de cibersegurança.
5. O IICB ou a CERT-UE, consoante o caso, partilham, mediante pedido, orientações, recomendações e apelos à ação com o Parlamento Europeu e o Conselho.
6. As obrigações de partilha impostas no presente artigo não abrangem:
| a) | As ICUE; |
| b) | As informações cuja distribuição posterior tenha sido excluída por meio de uma marcação visível, a menos que a sua partilha com a CERT-UE tenha sido explicitamente autorizada. |
Artigo 23.o
Gestão de incidentes graves
1. A fim de apoiar, a nível operacional, a gestão coordenada de incidentes graves que afetem entidades da União e de contribuir para o intercâmbio regular de informações pertinentes entre as entidades da União e com os Estados-Membros, o IICB elabora, nos termos do artigo 11.o, alínea q), um plano de gestão de cibercrises com base nas atividades descritas no artigo 22.o, n.o 2, em estreita cooperação com a CERT-UE e a ENISA. O plano de gestão de cibercrises inclui, pelo menos, os seguintes elementos:
| a) | Disposições relativas à coordenação e ao fluxo de informações entre as entidades da União para gestão de incidentes graves a nível operacional; |
| b) | Instruções permanentes normalizadas comuns; |
| c) | Uma taxonomia comum da gravidade de incidentes graves e pontos de desencadeamento de crises; |
| d) | Exercícios regulares; |
| e) | Canais de comunicação segura a utilizar. |
2. Sujeito ao plano de gestão de cibercrises estabelecido nos termos do n.o 1 do presente artigo e sem prejuízo do artigo 16.o, n.o 2, primeiro parágrafo, da Diretiva (UE) 2022/2555, o representante da Comissão no IICB é o ponto de contacto para a partilha de informações pertinentes relativas a incidentes graves com a UE-CyCLONe.
3. A CERT-UE coordena a gestão dos incidentes graves entre as entidades da União. Deve manter um inventário dos conhecimentos técnicos especializados disponíveis necessários para a resposta aos incidentes quando incidentes graves ocorram e prestar assistência ao IICB na coordenação dos planos de gestão de cibercrises das entidades da União para incidentes graves referidos no artigo 9.o, n.o 2.
4. As entidades da União contribuem para o inventário de conhecimentos técnicos especializados mediante a transmissão de listas, atualizadas todos os anos, de peritos disponíveis nas respetivas organizações, pormenorizando as suas competências técnicas específicas.
CAPÍTULO VI
DISPOSIÇÕES FINAIS
whereas