keyboard_tab Cyber Resilience Act 2023/2841 PT
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Artigo 6.o Regime de gestão, governação e controlo dos riscos de cibersegurança
- 1 Artigo 14.o Orientações, recomendações e apelos à ação
- 1 Artigo 18.o
CAPÍTULO I
DISPOSIÇÕES GERAIS
CAPÍTULO II
MEDIDAS DESTINADAS A GARANTIR UM ELEVADO NIVEL COMUM DE CIBERSEGURANÇA
CAPÍTULO III
CONSELHO INTERINSTITUCIONAL PARA A CIBERSEGURANÇA
CAPÍTULO IV
CERT-UE
CAPÍTULO V
OBRIGAÇÕES DE COOPERAÇÃO E DE COMUNICAÇÃO DE INFORMAÇÕES
CAPÍTULO VI
DISPOSIÇÕES FINAIS
- cibersegurança 29
- união 29
- entidade 22
- cert-ue 19
- para 12
- regime 11
- entidades 11
- artigo o 10
- como 10
- aplicação 10
- presente 10
- regulamento 10
- pela 10
- nível 9
- caso 9
- pode 8
- matéria 8
- contrapartes 7
- riscos 7
- iicb 7
- base 6
- responsável 6
- informações 6
- causa 6
- funcionários 6
- mais 6
- cada 6
- gestão 6
- todos 5
- local 5
- segurança 5
- alto 5
- disso 5
- medidas 5
- práticas 5
- direção 5
- não 5
- numa 4
- respeito 4
- tais 4
- orientações 4
- conta 4
- informa 4
- incluindo 4
- termos 4
- parceiros 3
- acordos 3
- colaboração 3
- todas 3
- responsabilidade 3
Artigo 6.o
Regime de gestão, governação e controlo dos riscos de cibersegurança
1. Até 8 de abril de 2025, cada entidade da União estabelece, após efetuar uma análise inicial da cibersegurança, designadamente uma auditoria, um regime interno de gestão, governação e controlo dos riscos de cibersegurança («regime»). O estabelecimento do regime é supervisionado pela direção ao mais alto nível da entidade da União e é da sua responsabilidade.
2. O regime abrange a totalidade do ambiente das TIC não classificado da entidade da União em causa, incluindo todos os ambientes das TIC nas instalações, a rede de tecnologia operacional locais, os ativos e serviços subcontratados em ambientes de computação em nuvem ou alojados por terceiros, os dispositivos móveis, as redes institucionais, as redes institucionais não ligadas à Internet e todos os dispositivos ligados aos referidos ambientes («ambiente das TIC»). O regime baseia-se numa abordagem que tem em conta todos os perigos.
3. O regime garante um elevado nível de cibersegurança. Estabelece políticas internas de cibersegurança, incluindo objetivos e prioridades, para a segurança dos sistemas de rede e informação, bem como as funções e responsabilidades do pessoal da entidade da União encarregado de assegurar a aplicação efetiva do presente regulamento. O regime inclui também mecanismos para medir a eficácia da aplicação.
4. O regime é reexaminado periodicamente, na perspetiva da evolução dos riscos de cibersegurança, e, pelo menos, de quatro em quatro anos. Se for caso disso e na sequência de um pedido do Conselho Interinstitucional para a Cibersegurança, criado nos termos do artigo 10.o, o regime de uma entidade da União pode ser atualizado com base nas orientações da CERT-UE sobre incidentes identificados ou eventuais lacunas observadas na aplicação do presente regulamento.
5. Incumbe à direção ao mais alto nível de cada entidade da União a responsabilidade pela aplicação do presente regulamento, assim como a supervisão do cumprimento, por parte da respetiva organização, das obrigações relacionadas com o regime.
6. Se for caso disso e sem prejuízo da sua responsabilidade pela aplicação do presente regulamento, a direção ao mais alto nível de cada entidade da União pode delegar obrigações específicas ao abrigo do presente regulamento em altos funcionários, na aceção do artigo 29.o, n.o 2, do Estatuto dos Funcionários, ou noutros funcionários de nível equivalente, dentro da entidade da União em causa. Independentemente dessa delegação, a direção ao mais alto nível pode ser considerada responsável por infrações ao presente regulamento cometidas pela entidade da União em causa.
7. Cada entidade da União deve dispor de mecanismos eficazes para assegurar que uma percentagem adequada do orçamento para as TIC seja aplicada em cibersegurança. O regime é devidamente tido em conta na definição da referida percentagem.
8. Cada entidade da União designa um responsável local pela cibersegurança, ou função equivalente, que atue como ponto de contacto único relativamente a todos os aspetos de cibersegurança. O responsável local pela cibersegurança facilita a aplicação do presente regulamento e reporta diretamente à direção ao mais alto nível, numa base periódica, o ponto da situação no que se refere à aplicação. Sem prejuízo do facto de o responsável local pela cibersegurança ser o ponto de contacto único em cada entidade da União, uma entidade da União pode delegar na CERT-UE determinadas atribuições do responsável local pela cibersegurança no que diz respeito à aplicação do presente regulamento, com base num acordo de nível de serviço celebrado entre essa entidade da União e a CERT-UE, ou essas atribuições podem ser partilhadas por várias entidades da União. Caso essas atribuições sejam delegadas na CERT-UE, o Comité Interinstitucional para a Cibersegurança, criado nos termos do artigo 10.o, decide se a prestação desse serviço deve fazer parte dos serviços de base da CERT-UE, tendo em conta os recursos humanos e financeiros da entidade da União em causa. Cada entidade da União informa a CERT-UE, sem demora injustificada, do responsável local pela cibersegurança designado e de eventuais alterações subsequentes a este respeito.
A CERT-UE cria a lista de responsáveis locais pela cibersegurança designados e garante a respetiva atualização.
9. Os altos funcionários na aceção do artigo 29.o, n.o 2, do Estatuto dos Funcionários ou outros funcionários de nível equivalente de cada entidade da União, bem como todos os membros do pessoal pertinentes incumbidos da aplicação das medidas de gestão dos riscos de cibersegurança e do cumprimento das obrigações previstas no presente regulamento, frequentam periodicamente ações específicas de formação, a fim de adquirir conhecimentos e competências suficientes para compreender e avaliar os riscos de segurança e as práticas de gestão, bem como o seu impacto no funcionamento da entidade da União.
Artigo 14.o
Orientações, recomendações e apelos à ação
1. A CERT-UE apoia a aplicação do presente regulamento através de:
| a) | Apelos à ação, descrevendo medidas urgentes de segurança que as entidades da União são instadas a tomar num determinado prazo; |
| b) | Propostas ao IICB com vista à adoção de orientações dirigidas a todas ou a um conjunto de entidades da União; |
| c) | Propostas ao IICB com vista à adoção de recomendações dirigidas a entidades individuais da União. |
No que diz respeito ao primeiro parágrafo, alínea a), a entidade da União em causa informa a CERT-UE, sem demora injustificada após receber o convite à ação, da forma como as medidas de segurança urgentes foram aplicadas.
2. As orientações e recomendações podem incluir:
| a) | Metodologias comuns e um modelo de avaliação da maturidade em matéria de cibersegurança das entidades da União, incluindo as escalas ou os indicadores-chave de desempenho correspondentes, que sirva de referência para apoiar uma melhoria contínua da cibersegurança em todas as entidades da União e facilitar a atribuição de prioridades dos domínios e medidas de cibersegurança, tendo em conta a postura das entidades em matéria de cibersegurança; |
| b) | Disposições práticas ou melhorias relativas à gestão dos riscos de cibersegurança e das medidas de gestão dos riscos de cibersegurança; |
| c) | Disposições práticas relativas às avaliações da maturidade em matéria de cibersegurança e aos planos de cibersegurança; |
| d) | Se for caso disso, a utilização em comum de uma tecnologia, arquitetura, fonte aberta e das boas práticas conexas no intuito de concretizar a interoperabilidade e normas comuns, incluindo uma abordagem coordenada no que diz respeito à segurança da cadeia de abastecimento; |
| e) | Se for caso disso, informações destinadas a facilitar a utilização de instrumentos de contratação pública colaborativa para a aquisição de serviços e produtos de cibersegurança relevantes a fornecedores terceiros; |
| f) | Acordos de partilha de informações nos termos do artigo 20.o. |
Artigo 18.o
1. A CERT-UE pode colaborar com contrapartes da União distintas das mencionadas no artigo 17.o que estejam sujeitas aos requisitos da União em matéria de cibersegurança, nomeadamente contrapartes setoriais, em matéria de ferramentas e métodos, como técnicas, táticas, procedimentos e boas práticas, bem como em matéria de ciberameaças e vulnerabilidades informáticas. No que respeita à colaboração com tais contrapartes, a CERT-UE deve obter a aprovação prévia do IICB numa base casuística. Caso estabeleça a cooperação com tais contrapartes, a CERT-UE informa todas as contrapartes pertinentes dos Estados-Membros referidas no artigo 17.o, n.o 1, no Estado-Membro onde a contraparte se encontre. Se aplicável e for caso disso, essa cooperação e as respetivas condições, nomeadamente em matéria de cibersegurança, proteção de dados e tratamento de informações, são estabelecidas em acordos de confidencialidade específicos, tais como contratos ou convénios administrativos. Os acordos de confidencialidade não carecem da aprovação prévia do IICB mas são levados ao conhecimento do seu presidente. Em caso de necessidade urgente e iminente de trocar informações em matéria de cibersegurança no interesse das entidades da União ou de outra parte, a CERT-UE pode fazê-lo com uma entidade cuja competência, capacidade e conhecimentos específicos sejam justificadamente necessários para prestar assistência em caso de uma tal necessidade urgente e iminente, mesmo que a CERT-UE não disponha de um acordo de confidencialidade com essa entidade. Nesses casos, a CERT-UE informa imediatamente o presidente do IICB e mantém o IICB informado através de relatórios periódicos ou reuniões.
2. A CERT-UE pode colaborar com parceiros, como entidades comerciais, nomeadamente entidades setoriais, organizações internacionais, entidades nacionais de países terceiros ou determinados peritos, de forma a recolher informações sobre as ciberameaças, quase incidentes, vulnerabilidades e contramedidas possíveis, em termos gerais e específicos. Para uma colaboração mais alargada com tais parceiros, a CERT-UE deve obter a aprovação prévia do IICB numa base casuística.
3. Mediante consentimento da entidade da União afetada por um incidente e desde que exista um acordo ou contrato de não divulgação com a contraparte ou parceiro em causa, a CERT-UE pode transmitir informações relacionadas com o incidente específico às contrapartes ou parceiros a que se referem os n.os 1 e 2 unicamente com o objetivo de contribuir para a sua análise.
CAPÍTULO V
OBRIGAÇÕES DE COOPERAÇÃO E DE COMUNICAÇÃO DE INFORMAÇÕES
whereas