4637829

This document is an excerpt from the EUR-Lex website

EUROPA
EUR-Lex home
Summaries of EU legislation
Cibersegurança das redes e dos sistemas de informação

Help

Search tips

Need more search options? Use the Advanced search

Summaries of EU Legislation

Help

Cibersegurança das redes e dos sistemas de informação

SÍNTESE DE:

Diretiva (UE) 2022/2555 relativa a medidas destinadas a garantir um elevado nível comum de cibersegurança na União Europeia

QUAL É O OBJETIVO DESTA DIRETIVA?

A Diretiva (UE) 2022/2555, conhecida como SRI 2, estabelece um quadro regulamentar comum no domínio da cibersegurança com o objetivo de aumentar o nível de cibersegurança na União Europeia (UE), exigindo que os Estados-Membros da UE reforcem as capacidades de cibersegurança e introduzam medidas de gestão dos riscos de cibersegurança e de notificação de informações em setores críticos, juntamente com regras relativas à cooperação, à partilha de informações, à supervisão e à execução.

PONTOS-CHAVE

A cibersegurança: diz respeito às atividades necessárias para proteger de ciberameaças as redes e os sistemas de informação, os seus utilizadores e outras pessoas afetadas.

Setores críticos

A diretiva aplica-se principalmente a entidades de média e grande dimensão que atuam nos setores de importância crítica seguidamente apresentados, conforme definido no seu anexo I:

energia:
- eletricidade, incluindo sistemas de produção, distribuição e transporte e pontos de recarga,
- sistemas de aquecimento e arrefecimento urbano,
- petróleo, incluindo oleodutos e instalações de produção, armazenamento e transporte,
- gás, incluindo sistemas de comercialização, distribuição e transporte, bem como de armazenamento e
- hidrogénio;
transporte aéreo, ferroviário, aquático e rodoviário;
setor bancário e infraestruturas do mercado financeiro, tais como instituições de crédito, operadores de plataformas de negociação e contrapartes centrais;
saúde, incluindo prestadores de cuidados de saúde, fabricantes de produtos farmacêuticos de base e dispositivos médicos considerados críticos, bem como laboratórios de referência da UE;
água potável;
Águas residuais;
infraestruturas digitais, incluindo os prestadores de serviços do centro de dados, serviços de computação em nuvem, redes públicas de comunicações eletrónicas e serviços de comunicações eletrónicas publicamente disponíveis;
gestão de serviços TIC (entre empresas);
espaço;
administração pública a nível central e regional, excluindo o poder judicial, os parlamentos e os bancos centrais. A diretiva não se aplica a entidades de administração pública que desenvolvam atividades nos domínios da segurança nacional, da segurança pública, da defesa ou da aplicação da lei.

Também se aplica a outros setores críticos, conforme definido no anexo II:

serviços postais e de estafeta;
gestão de resíduos;
produção, fabrico e distribuição de produtos químicos;
produção, transformação e distribuição de produtos alimentares;
indústria transformadora, especificamente dispositivos médicos, produtos informáticos, eletrónicos e óticos, certos tipos de equipamentos elétricos e máquinas, veículos automóveis e outros equipamentos de transporte;
prestadores de serviços digitais de mercados em linha, de motores de pesquisa e de redes sociais; e
organismos de investigação.

Estratégia nacional de cibersegurança

Cada Estado-Membro deve adotar uma estratégia nacional com vista a alcançar e a manter um elevado nível de cibersegurança nos setores críticos, incluindo:

um quadro de governação que clarifique as funções e responsabilidades das partes interessadas pertinentes a nível nacional;
políticas que abordem a segurança das cadeias de abastecimento;
políticas que assegurem a gestão das vulnerabilidades;
políticas que promovam e desenvolvam a educação e a formação em cibersegurança; e
medidas destinadas a reforçar o nível de sensibilização dos cidadãos para a cibersegurança.

Os Estados-Membros devem estabelecer uma lista de entidades essenciais e importantes, juntamente com entidades que prestem serviços de registo de nomes de domínio, até 17 de abril de 2025. Devem rever e, se for caso disso, atualizar essa lista regularmente e, posteriormente, de dois em dois anos. A Comissão Europeia adotou orientações relativas às informações a recolher aquando da elaboração destas listas, juntamente com um modelo para o fazer.

A Comissão também emitiu orientações que clarificam as regras relativas à relação entre a Diretiva (UE) 2022/2555 e os atos jurídicos da UE, atuais e futuros, específicos dos setores, que abordam as medidas de gestão dos riscos de cibersegurança ou os requisitos de comunicação de incidentes. O apêndice às orientações apresenta uma lista não exaustiva dos atos jurídicos setoriais que a Comissão considera abrangidos pelo âmbito de aplicação do artigo 4.^o da Diretiva (UE) 2022/2555.

Equipas de resposta a incidentes de segurança informática

As equipas de resposta a incidentes de segurança informática (CSIRT) prestam assistência técnica a entidades, nomeadamente através das seguintes ações:

monitorizar e analisar ciberameaças, vulnerabilidades e incidentes a nível nacional;
ativar os mecanismos de alerta rápido, enviar mensagens de alerta, fazer comunicações e divulgar informações às autoridades competentes e a outras partes interessadas, sobre ciberameaças, vulnerabilidades e incidentes, se possível em tempo quase real;
intervir em caso de incidentes e prestar assistência, se aplicável;
recolher e analisar dados forenses, proceder à análise dinâmica dos riscos e dos incidentes e desenvolver o conhecimento situacional em matéria de cibersegurança; e
realizar, a pedido, uma análise proativa dos sistemas de rede e informação, a fim de detetar vulnerabilidades com um potencial impacto significativo.

Rede de CSIRT

A diretiva estabelece uma rede de CSIRT nacionais para promover uma cooperação operacional rápida e eficaz.

Divulgação coordenada de vulnerabilidades

Os Estados-Membros devem:

designar uma das suas CSIRT como coordenadora da divulgação de vulnerabilidades identificadas em produtos ou serviços de TIC; e
assegurar que as pessoas nos Estados-Membros possam comunicar as vulnerabilidades de forma anónima se assim o solicitarem.

A Agência da União Europeia para a Cibersegurança (ENISA) irá criar e manter uma base de dados de vulnerabilidades.

Grupo de cooperação

A diretiva cria um grupo de cooperação para apoiar e facilitar a cooperação estratégica e o intercâmbio de informações. É composta por representantes dos Estados-Membros, da Comissão Europeia e da ENISA. Se for caso disso, o grupo de cooperação pode convidar o Parlamento Europeu e representantes de partes interessadas relevantes para participar nos seus trabalhos.

Rede Europeia de Organizações de Coordenação de Cibercrises

A Rede Europeia de Organizações de Coordenação de Cibercrises (EU-CyCLONe) é constituída pelos representantes das autoridades de gestão de cibercrises dos Estados-Membros, bem como, nos casos em que um incidente de cibersegurança em grande escala, potencial ou em curso, tenha ou seja suscetível de ter um impacto significativo nos serviços e atividades abrangidos pelo âmbito de aplicação da diretiva, pela Comissão. Noutros casos, a Comissão participa nas atividades da rede na qualidade de observadora.

A rede apoia a gestão coordenada de crises e incidentes de cibersegurança em grande escala a nível operacional e para assegurar o intercâmbio regular de informações entre os Estados-Membros e as instituições, órgãos e agências da UE.

A rede tem como funções, nomeadamente:

coordenar a gestão de crises e de incidentes de cibersegurança em grande escala e apoiar a tomada de decisões a nível político;
aumentar o nível de preparação;
desenvolver um conhecimento situacional comum; e
avaliar as consequências e o impacto de crises e incidentes de cibersegurança em grande escala e propor eventuais medidas de atenuação.

Medidas de gestão dos riscos em cibersegurança

As entidades devem tomar medidas técnicas, operacionais e organizativas adequadas e proporcionadas para gerir os riscos em matéria de cibersegurança. O catálogo de medidas inclui, entre outras, a análise de riscos e as políticas de segurança dos sistemas de informação, o tratamento de incidentes, a continuidade das atividades, a recuperação em caso de catástrofe e a gestão de crises, a segurança da cadeia de abastecimento, o tratamento e a divulgação de vulnerabilidades, as práticas básicas de higiene, as políticas e os procedimentos relativos à utilização da criptografia (e da encriptação, quando adequado), a segurança dos recursos humanos e a utilização de soluções de autenticação multifatores ou de autenticação contínua. Estas medidas devem basear-se numa abordagem que contemple todos os riscos.

Os órgãos de gestão devem aprovar essas medidas e supervisionar a sua aplicação, podendo ser responsabilizados por eventuais infrações.

Obrigações de notificação

As entidades devem notificar a sua CSIRT ou a autoridade competente de qualquer incidente que:

tenha sido causado ou seja suscetível de causar graves perturbações operacionais dos serviços ou perdas financeiras à entidade;
tenha afetado ou seja suscetível de afetar outras pessoas, causando danos materiais ou imateriais consideráveis.

Além disso, a ENISA elaborará, em cooperação com a Comissão e com o grupo de cooperação, um relatório bienal sobre o estado da cibersegurança na UE e deve apresentar esse relatório ao -Parlamento.

Supervisão e execução

A diretiva prevê medidas corretivas e sanções para garantir a execução.

Avaliações pelos pares

As avaliações pelos pares são estabelecidas com vista a retirar ensinamentos das experiências partilhadas, reforçar a confiança mútua, alcançar um elevado nível comum de cibersegurança e reforçar as capacidades e políticas de cibersegurança dos Estados-Membros necessárias à aplicação da diretiva. Estas avaliações incluem visitas virtuais ou físicas aos locais e intercâmbios de informação fora do local. A participação nestas avaliações pelos pares é voluntária.

Ato de execução

O Regulamento de Execução (UE) 2024/2690 estabelece regras para a aplicação da Diretiva (UE) 2022/2555 no que diz respeito aos requisitos técnicos e metodológicos das medidas de gestão de riscos de cibersegurança, e especifica mais pormenorizadamente os casos em que se considera que um incidente é significativo no que respeita:

aos prestadores de serviços do sistema de nomes de domínio,
aos registos de nomes de domínio de topo,
os prestadores de serviços de computação em nuvem,
aos prestadores de serviços de centro de dados,
aos fornecedores de redes de distribuição de conteúdos,
aos prestadores de serviços geridos,
aos prestadores de serviços de segurança geridos,
aos prestadores de serviços de mercados em linha, de motores de pesquisa em linha e de plataformas de serviços de redes sociais e
aos prestadores de serviços de confiança.

Revogação

A Diretiva (UE) 2022/2555 revogou a Diretiva (UE) 2016/1148 (ver síntese) com efeitos a partir de 18 de outubro de 2024, e o Regulamento de Execução (UE) 2024/2690 revogou o Regulamento de Execução (UE) 2018/151, que estabelecia regras para a aplicação da Diretiva (UE) 2016/1148.

A PARTIR DE QUANDO SÃO APLICÁVEIS AS REGRAS?

A diretiva teve de ser transposta para o direito nacional até 17 de outubro de 2024. O regulamento entrou em vigor em 18 de outubro de 2024.

CONTEXTO

Para mais informações, consultar:

Cibersegurança (Comissão Europeia)
Como está a UE a reforçar a sua cibersegurança (Conselho Europeu, Conselho da União Europeia)
Como responde a UE às crises e de que modo reforça a resiliência (Conselho Europeu, Conselho da União Europeia)
Um futuro digital para a Europa (Conselho Europeu, Conselho da União Europeia).

PRINCIPAL DOCUMENTO

Diretiva (UE) 2022/2555 do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022, relativa a medidas destinadas a garantir um elevado nível comum de cibersegurança na União que altera o Regulamento (UE) n.^o 910/2014 e a Diretiva (UE) 2018/1972 e revoga a Diretiva (UE) 2016/1148 (Diretiva SRI 2) (JO L 333 de 27.12.2022, p. 80-152).

As sucessivas alterações da Diretiva (UE) 2022/2555 foram integradas na versão de base. A versão consolidada tem apenas valor documental.

DOCUMENTOS RELACIONADOS

Regulamento de Execução (UE) 2024/2690 da Comissão, de 17 de outubro de 2024, que estabelece regras de execução da Diretiva (UE) 2022/2555 relativamente aos requisitos técnicos e metodológicos das medidas de gestão dos riscos de cibersegurança e especifica mais pormenorizadamente os casos em que se considera que um incidente é significativo no que respeita aos prestadores de serviços de DNS, aos registos de nomes de TLD, aos prestadores de serviços de computação em nuvem, aos prestadores de serviços de centro de dados, aos fornecedores de redes de distribuição de conteúdos, aos prestadores de serviços geridos, aos prestadores de serviços de segurança geridos, aos prestadores de serviços de mercados em linha, de motores de pesquisa em linha e de plataformas de serviços de redes sociais e aos prestadores de serviços de confiança (JO L, 2024/2690, 18.10.2024).

Comunicação da Comissão Orientações da Comissão sobre a aplicação do artigo 3.^o, n.^o 4, da Diretiva (UE) 2022/2555 (Diretiva SRI 2) 2023/C 324/02 (JO L 324 de 14.9.2023, p. 2-7).

Comunicação da Comissão — Orientações da Comissão sobre a aplicação dos n.^o 1 e 2 do artigo 4.^o da Diretiva (UE) 2022/2555 (Diretiva NEI 2) 2023/C 328/02 (JO C 328 de 18.9.2023, p. 2-10).

Regulamento (UE) 2022/2554 do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022, relativo à resiliência operacional digital do setor financeiro e que altera os Regulamentos (CE) n.^o 1060/2009, (UE) n.^o 648/2012, (UE) n.^o 600/2014, (UE) n.^o 909/2014 e (UE) 2016/1011 (JO L 333 de 27.12.2022, p. 1-79).

Diretiva (UE) 2022/2557 do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022, relativa à resiliência das entidades críticas e que revoga a Diretiva 2008/114/CE do Conselho (JO L 333 de 27.12.2022, p. 164-198).

Regulamento (UE) 2021/696 do Parlamento Europeu e do Conselho, de 28 de abril de 2021, que cria o Programa Espacial da União e a Agência da União Europeia para o Programa Espacial e que revoga os Regulamentos (UE) n.^o 912/2010, (UE) n.^o 1285/2013 e (UE) n.^o 377/2014 e a Decisão n.^o 541/2014/UE (JO L 170 de 12.5.2021, p. 69-148).

Regulamento (UE) 2021/694 do Parlamento Europeu e do Conselho, de 29 de abril de 2021, que cria o Programa Europa Digital e revoga a Decisão (UE) 2015/2240 (JO L 166 de 11.5.2021, p. 1-34).

Ver versão consolidada.

Regulamento (UE) 2019/881 do Parlamento Europeu e do Conselho, de 17 de abril de 2019, relativo à ENISA (Agência da União Europeia para a Cibersegurança) e à certificação da cibersegurança das tecnologias da informação e comunicação e que revoga o Regulamento (UE) n.^o 526/2013 (Regulamento Cibersegurança) (JO L 151 de 7.6.2019, p. 15-69).

Ver versão consolidada.

Recomendação (UE) 2019/534 da Comissão, de 26 de março de 2019 — Cibersegurança das redes 5G (JO L 88 de 29.3.2019, p. 42-47).

Regulamento (UE) 2018/1139 do Parlamento Europeu e do Conselho, de 4 de julho de 2018, relativo a regras comuns no domínio da aviação civil que cria a Agência da União Europeia para a Segurança da Aviação, altera os Regulamentos (CE) n.^o 2111/2005, (CE) n.^o 1008/2008, (UE) n.^o 996/2010 e (UE) n.^o 376/2014 e as Diretivas 2014/30/UE e 2014/53/UE do Parlamento Europeu e do Conselho, e revoga os Regulamentos (CE) n.^o 552/2004 e (CE) n.^o 216/2008 do Parlamento Europeu e do Conselho e o Regulamento (CEE) n.^o 3922/91 do Conselho (JO L 212 de 22.8.2018, p. 1-122).

Ver versão consolidada.

Diretiva (UE) 2018/1972 do Parlamento Europeu e do Conselho, de 11 de dezembro de 2018, que estabelece o Código Europeu das Comunicações Eletrónicas (reformulação) (JO L 321 de 17.12.2018, p. 36-214).

Ver versão consolidada.

Decisão de Execução (UE) 2018/1993 do Conselho, de 11 de dezembro de 2018, relativa ao Mecanismo Integrado da UE de Resposta Política a Situações de Crise (JO L 320 de 17.12.2018, p. 28-34).

Recomendação (UE) 2017/1584 da Comissão, de 13 de setembro de 2017, sobre a resposta coordenada a incidentes e crises de cibersegurança em grande escala (JO L 239 de 19.9.2017, p. 36-58).

Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) (JO L 119 de 4.5.2016, p. 1-88).

Ver versão consolidada.

Regulamento (UE) n.^o 910/2014 do Parlamento Europeu e do Conselho, de 23 de julho de 2014, relativo à identificação eletrónica e aos serviços de confiança para as transações eletrónicas no mercado interno e que revoga a Diretiva 1999/93/CE (JO L 257 de 28.8.2014, p. 73-114).

Ver versão consolidada.

Diretiva 2013/40/UE do Parlamento Europeu e do Conselho, de 12 de agosto de 2013, relativa a ataques contra os sistemas de informação e que substitui a Decisão-Quadro 2005/222/JAI do Conselho (JO L 218 de 14.8.2013, p. 8-14).

Decisão n.^o 1313/2013/UE do Parlamento Europeu e do Conselho, de 17 de dezembro de 2013, relativa a um Mecanismo de Proteção Civil da União Europeia (JO L 347 de 20.12.2013, p. 924-947).

Ver versão consolidada.

Diretiva 2011/93/UE do Parlamento Europeu e do Conselho, de 13 de dezembro de 2011, relativa à luta contra o abuso sexual e a exploração sexual de crianças e a pornografia infantil, e que substitui a Decisão-Quadro 2004/68/JAI do Conselho (JO L 335 de 17.12.2011, p. 1-14).

Ver versão consolidada.

Regulamento (CE) n.^o 300/2008 do Parlamento Europeu e do Conselho, de 11 de março de 2008, relativo ao estabelecimento de regras comuns no domínio da segurança da aviação civil e que revoga o Regulamento (CE) n.^o 2320/2002 (JO L 97 de 9.4.2008, p. 72-84).

Ver versão consolidada.

Diretiva 2002/58/CE do Parlamento Europeu e do Conselho, de 12 de julho de 2002, relativa ao tratamento de dados pessoais e à proteção da privacidade no setor das comunicações eletrónicas (Diretiva relativa à privacidade e às comunicações eletrónicas) (JO L 201 de 31.7.2002, p. 37-47).

Ver versão consolidada.

última atualização 7.3.2025

Top

Choose the experimental features you want to try

SÍNTESE DE:

QUAL É O OBJETIVO DESTA DIRETIVA?

PONTOS-CHAVE

Setores críticos

Estratégia nacional de cibersegurança

Equipas de resposta a incidentes de segurança informática

Rede de CSIRT

Divulgação coordenada de vulnerabilidades

Grupo de cooperação

Rede Europeia de Organizações de Coordenação de Cibercrises

Medidas de gestão dos riscos em cibersegurança

Obrigações de notificação

Supervisão e execução

Avaliações pelos pares

Ato de execução

Revogação

A PARTIR DE QUANDO SÃO APLICÁVEIS AS REGRAS?

CONTEXTO

PRINCIPAL DOCUMENTO

DOCUMENTOS RELACIONADOS