Cibersegurança das redes e dos sistemas de informação

SÍNTESE DE:

Diretiva (UE) 2016/1148 — Cibersegurança das redes e dos sistemas de informação

QUAL É O OBJETIVO DESTA DIRETIVA?

Propõe um vasto conjunto de medidas para reforçar o nível de segurança das redes e sistemas de informação (cibersegurança*) com vista a proteger serviços vitais para a sociedade e economia da União Europeia (UE). A diretiva visa assegurar que os países da UE estejam devidamente preparados e prontos para fazer face e reagir a ciberataques através:

• da designação de autoridades competentes;
• da criação de equipas de resposta a incidentes de segurança informática (CSIRT); e
• da adoção de estratégias nacionais de cibersegurança.

Cria ainda um grupo de cooperação para facilitar a cooperação estratégica e técnica ao nível da UE.

Introduz, por último, a obrigação para os operadores de serviços essenciais e os prestadores de serviços digitais de tomar as medidas de segurança apropriadas e notificar as autoridades nacionais competentes de qualquer incidente grave.

PONTOS-CHAVE

Reforço das capacidades nacionais de cibersegurança

Os países da UE devem:

• designar uma ou mais autoridades nacionais competentes e CSIRT, assim como identificar um ponto de contacto único (se houver mais de uma autoridade nacional);
• identificar os operadores de serviços essenciais de setores críticos, como o da energia, transportes, financeiro, bancário, da saúde, da água e das infraestruturas digitais, em que um ciberataque seria suscetível de perturbar um serviço essencial.

Os países da UE devem ainda adotar uma estratégia nacional de cibersegurança para as redes e sistemas de informação*, que contemple os seguintes aspetos:

• as medidas de preparação e resposta face a ciberataques;
• as funções, responsabilidades e cooperação dos organismos governamentais e de outros intervenientes relevantes;
• os programas de ensino, de sensibilização e de formação;
• os planos de investigação e desenvolvimento;
• um plano para identificar riscos.

As autoridades nacionais monitorizam a aplicação da diretiva:

• avaliando as políticas de cibersegurança e segurança dos operadores de serviços essenciais;
• supervisionando os prestadores de serviços digitais;
• participando nos trabalhos do grupo de cooperação [composto pelas autoridades dos países da UE, responsáveis pela segurança das redes e da informação (SRI), pela Comissão Europeia e pela Agência Europeia para a Segurança das Redes e da Informação (ENISA)];
• informando o público sempre que for necessário evitar um incidente ou fazer face a um incidente em curso, respeitando a confidencialidade;
• emitindo instruções vinculativas para corrigir deficiências detetadas na cibersegurança.

As CSIRT devem:

• monitorizar incidentes de cibersegurança e reagir perante os mesmos;
• proceder à análise dos riscos e dos incidentes e ter uma visão geral da situação;
• participar na rede de CSIRT;
• cooperar com o setor privado;
• promover a utilização de práticas normalizadas para a gestão de riscos e a classificação de informações.

Requisitos de segurança e notificação

A diretiva visa promover uma cultura de gestão de riscos. As empresas que operam em setores fundamentais devem avaliar os riscos que correm e adotar medidas para garantir a cibersegurança. Essas empresas devem notificar as autoridades competentes ou as CSIRT de qualquer incidente relevante, como a intrusão ou a usurpação de dados, que comprometa gravemente a cibersegurança e tenha um efeito perturbador importante na continuidade de serviços essenciais e no fornecimento de bens.

Para determinar os incidentes que devem ser notificados pelos operadores de serviços essenciais*, os países da UE devem ter em conta a duração do incidente e a sua distribuição geográfica, assim como outros fatores, tais como o número de utilizadores que dependem dos serviços em causa.

Os prestadores de serviços digitais importantes (motores de pesquisa, serviços de computação em nuvem e mercados em linha) também deverão cumprir os requisitos de segurança e notificação.

Reforço da cooperação ao nível da UE

A diretiva cria um grupo de cooperação, responsável, entre outras tarefas, por:

• fornecer orientações à rede de CSIRT;
• proceder ao intercâmbio de boas práticas na identificação de operadores de serviços essenciais;
• apoiar os países da UE no desenvolvimento das suas capacidades de cibersegurança;
• proceder ao intercâmbio de informações e de boas práticas em matéria de sensibilização e formação, investigação e desenvolvimento;
• partilhar e recolher informações sobre as boas práticas respeitantes a riscos e incidentes;
• discutir as formas de comunicação das notificações de incidentes.

A diretiva cria também uma rede de CSIRT composta por representantes das CSIRT dos países da UE e pela Equipa de Resposta a Emergências Informáticas para as Instituições e Agências da UE (CERT-UE). A CSIRT tem, entre outras, as seguintes atribuições:

• proceder ao intercâmbio de informações sobre os serviços das CSIRT;
• proceder ao intercâmbio de informações sobre incidentes de cibersegurança;
• prestar apoio os países da UE na reação a incidentes transfronteiriços;
• discutir e identificar uma resposta coordenada a um incidente notificado por um país da UE;
• discutir, analisar e identificar outras formas de cooperação operacional, incluindo no que diz respeito:
  • às categorias de riscos e incidentes,
  • aos alertas rápidos,
  • à assistência mútua,
  • à coordenação na resposta dos diferentes países da UE a riscos e incidentes de dimensão transfronteiriça;
• informar o grupo de cooperação sobre as suas atividades e solicitar orientações;
• discutir os ensinamentos retirados dos exercícios de cibersegurança;
• discutir as capacidades de preparação de determinada CSIRT a pedido desta;
• emitir orientações em matéria de cooperação operacional.

Sanções

Os países da UE devem aplicar sanções efetivas, proporcionadas e dissuasivas, a fim de garantir a aplicação das disposições da diretiva.

A PARTIR DE QUANDO É APLICÁVEL A DIRETIVA?

A diretiva entrou em vigor em 8 de agosto de 2016. Os países da UE devem transpor a diretiva para o direito nacional até 9 de maio de 2018 e identificar os operadores de serviços essenciais até 9 de novembro de 2018.

CONTEXTO

• Cibersegurança (Comissão Europeia)
• Cibersegurança: a Comissão intensifica a sua resposta a ciberataques — comunicado de imprensa (Comissão Europeia)
• Diretiva sobre segurança das redes e da informação — comunicado de imprensa (Comissão Europeia)
• Resiliência, dissuasão e defesa: reforçar a cibersegurança na Europa — ficha informativa (Comissão Europeia).

PRINCIPAIS TERMOS

PRINCIPAL DOCUMENTO

Diretiva (UE) 2016/1148 do Parlamento Europeu e do Conselho, de 6 de julho de 2016, relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação em toda a União (JO L 194 de 19.7.2016, p. 1-30)

DOCUMENTOS RELACIONADOS

Regulamento de Execução (UE) 2018/151 da Comissão, de 30 de janeiro de 2018, que estabelece normas de execução da Diretiva (UE) 2016/1148 do Parlamento Europeu e do Conselho no respeitante à especificação pormenorizada dos elementos a ter em conta pelos prestadores de serviços digitais na gestão dos riscos que se colocam à segurança das redes e dos sistemas de informação, bem como à especificação pormenorizada dos parâmetros para determinar se o impacto de um incidente é substancial (JO L 26 de 31.1.2018, p. 48-51)

Decisão de Execução (UE) 2017/179 da Comissão, de 1 de fevereiro de 2017, que estabelece as disposições processuais necessárias para o funcionamento do grupo de cooperação ao abrigo do artigo 11.°, n.° 5, da Diretiva (UE) 2016/1148 do Parlamento Europeu e do Conselho relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação em toda a União (JO L 28 de 2.2.2017, p. 73-77)

Comunicação da Comissão ao Parlamento Europeu e ao Conselho: «Tirar o maior partido da SIR — Para uma execução efetiva da Diretiva (UE) 2016/1148 relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação em toda a União» [COM(2017) 476 final 2 de 4 de outubro de 2017]

Recomendação (UE) 2017/1584 da Comissão, de 13 de setembro de 2017, sobre a resposta coordenada a incidentes e crises de cibersegurança em grande escala (JO L 239 de 19.9.2017, p. 36-58)

Comunicação conjunta ao Parlamento Europeu e ao Conselho — Resiliência, dissuasão e defesa: reforçar a cibersegurança na UE [JOIN(2017) 450 final de 13 de setembro de 2017]

Documento de Trabalho da Comissão — Avaliação da estratégia de cibersegurança da UE de 2013 [SWD(2017) 295 final de 13 de setembro de 2017]

Regulamento (UE) n.^o 910/2014 do Parlamento Europeu e do Conselho, de 23 de julho de 2014, relativo à identificação eletrónica e aos serviços de confiança para as transações eletrónicas no mercado interno e que revoga a Diretiva 1999/93/CE (JO L 257 de 28.8.2014, p. 73-114)

Decisão 2013/488/UE do Conselho, de 23 de setembro de 2013, relativa às regras de segurança aplicáveis à proteção das informações classificadas da UE (JO L 274 de 15.10.2013, p. 1-50)

As sucessivas alterações da Decisão 2013/488/UE foram integradas no documento de base. A versão consolidada tem apenas valor documental.

Diretiva 2013/40/UE do Parlamento Europeu e do Conselho, de 12 de agosto de 2013, relativa a ataques contra os sistemas de informação e que substitui a Decisão-Quadro 2005/222/JAI do Conselho (JO L 218 de 14.8.2013, p. 8-14)

Regulamento (UE) n.^o 526/2013 do Parlamento Europeu e do Conselho, de 21 de maio de 2013, relativo à Agência da União Europeia para a Segurança das Redes e da Informação (ENISA) e que revoga o Regulamento (CE) n.^o 460/2004 (JO L 165 de 18.6.2013, p. 41-58)

Comunicação conjunta da Comissão ao Parlamento Europeu, ao Conselho, ao Comité Económico e Social Europeu e ao Comité das Regiões «Estratégia da União Europeia para a cibersegurança: um ciberespaço aberto, seguro e protegido» [JOIN(2013) 1 final de 7 de fevereiro de 2013]

última atualização 01.03.2018