O Regulamento Cibersegurança

PONTOS-CHAVE

O mandato da ENISA é o seguinte:

• alcançar um elevado nível comum de cibersegurança na UE;
• apoiar as autoridades nacionais e as instituições, órgãos, organismos e agências da UE a reforçarem a cibersegurança;
• servir de ponto de referência em matéria de aconselhamento e de conhecimentos especializados científicos e técnicos sobre cibersegurança para as instituições, órgãos e organismos da União, assim como para outras partes interessadas;
• contribuir para reduzir a fragmentação do mercado interno;
• atuar com independência, evitando a duplicação das atividades nacionais e tendo em conta os conhecimentos especializados nacionais;
• desenvolver os seus próprios recursos e competências ao nível técnico e humano.

As atribuições da ENISA são as seguintes:

• ajudar a elaborar e executar a política e a lei da UE;
• promover o reforço das capacidades, por exemplo, através da melhoria da prevenção, deteção e análise de ciberameaças e de resposta a ciberameaças¹ e prestando assistência ao desenvolvimento de equipas de resposta a incidentes de segurança informática (CSIRT), ou através da organização de exercícios de cibersegurança a nível da UE;
• apoiar a cooperação operacional da UE entre todas as partes interessadas, incluindo o Serviço da Cibersegurança para as instituições, organismos, gabinetes e agências da União (CERT-UE), nomeadamente através do intercâmbio de conhecimentos e melhores práticas, do fornecimento de orientações relevantes e da manutenção da rede de CSIRT da UE e nacionais;
• apoiar e promover a elaboração e a execução da política da UE em matéria de certificação da cibersegurança dos produtos, serviços e processos de TIC e dos serviços de segurança geridos, como parte da sua função na elaboração de sistemas ao abrigo do novo enquadramento europeu para a certificação da cibersegurança;
• recolher e analisar conhecimentos e informações sobre cibersegurança, como, nomeadamente, sobre tecnologias emergentes, ciberameaças e incidentes, para prestar informações e aconselhamento às autoridades nacionais, às partes interessadas e, através de um portal especialmente concebido para o efeito, ao público (cidadãos, organizações e empresas);
• sensibilizar o público para os riscos em matéria de cibersegurança, fornecer orientações sobre boas práticas para os utilizadores individuais e promover a sensibilização e a educação em geral em matéria de cibersegurança;
• prestar aconselhamento sobre as necessidades e prioridades de investigação e contribuir para a agenda estratégica de investigação e inovação ao nível da UE no domínio da cibersegurança;
• contribuir para os esforços de cooperação da UE em matéria de cibersegurança com os seus parceiros e organizações internacionais.

A ENISA tem a estrutura administrativa e de gestão seguidamente apresentada.

• O Conselho de Administração, com um representante de cada Estado-Membro da UE e dois membros nomeados pela Comissão Europeia, estabelece a direção geral das atividades da agência e assegura que esta realize as suas funções em condições que lhe permitam funcionar em conformidade com o regulamento de constituição.
• A comissão executiva de cinco membros, que prepara as decisões a adotar pelo conselho de administração.
• Um diretor executivo independente, responsável perante o Conselho de Administração e que apresenta relatórios ao Parlamento Europeu e ao Conselho da União Europeia, quando tal lhe for solicitado, é responsável pela gestão da agência.
• O grupo consultivo da ENISA de peritos reconhecidos das partes interessadas, nomeadamente a indústria de TIC, os fornecedores de redes ou serviços de comunicações eletrónicas, as pequenas e médias empresas, os consumidores, os académicos, os operadores de serviços essenciais, bem como os representantes das autoridades competentes notificadas nos termos do Código Europeu das Comunicações Eletrónicas, os organismos de normalização, as autoridades supervisoras responsáveis pelo controlo da aplicação da lei e pela proteção dos dados, centra-se em questões relevantes para as partes interessadas e leva-as ao conhecimento da ENISA.
• A rede de agentes de ligação nacionais, composta por representantes de todos os Estados-Membros da UE, que facilita o intercâmbio de informações entre a ENISA e os Estados-Membros da UE e apoia a ENISA na divulgação geral das suas atividades, conclusões e recomendações.

O regulamento cria os grupos seguidamente indicados.

• Um grupo das partes interessadas para a certificação da cibersegurança de peritos reconhecidos que, entre outras funções, aconselha a Comissão sobre questões estratégicas relacionadas com o enquadramento da UE para a certificação da cibersegurança e, a pedido, sobre questões gerais e estratégicas respeitantes às atribuições relevantes da agência.
• Um Grupo Europeu para a Certificação da Cibersegurança (GECC) composto por representantes nacionais para aconselhar e assistir a Comissão no seu trabalho de assegurar a execução e aplicação coerentes do Regulamento e a ENISA no que refere à elaboração de propostas de sistemas de certificação da cibersegurança.

A ENISA:

• é criada por um período indeterminado a partir de 27 de junho de 2019;
• funciona de acordo com um documento único de programação que contém a sua programação anual e plurianual;
• segue as regras de segurança da Comissão para proteger informações sensíveis não classificadas e informações classificadas da UE;
• não divulga a terceiros informações confidenciais que trate ou receba;
• participa plenamente nas medidas da UE de luta contra a fraude, a corrupção e outras atividades ilícitas;
• trata dados pessoais de acordo com as respetivas regras da UE.

O regulamento cria um quadro europeu para a certificação da cibersegurança para:

• melhorar o funcionamento do mercado interno elevando o nível de cibersegurança na UE e permitindo a adoção de uma abordagem harmonizada ao nível da UE relativamente aos sistemas europeus de certificação da cibersegurança, tendo em vista criar um mercado único digital de produtos, serviços e processos de TIC, bem como de serviços de segurança geridos;
• estabelecer um mecanismo destinado a criar sistemas de certificação que confirmem que os produtos, serviços e processos de TIC e os serviços de segurança geridos que tenham sido avaliados de acordo com esses sistemas cumprem os requisitos de segurança especificados, para efeitos da proteção da disponibilidade, autenticidade, integridade ou confidencialidade dos dados armazenados, transmitidos ou tratados, ou as funções ou serviços oferecidos por, ou acessíveis através desses produtos, serviços e processos ao longo do respetivo ciclo de vida.

Ao abrigo do enquadramento:

• a Comissão:
  • publica um programa de trabalho evolutivo da UE para a certificação europeia da cibersegurança que aponta as prioridades estratégicas e os produtos, serviços e processos de TIC, bem como os serviços de segurança geridos, ou as respetivas categorias que podem beneficiar de um sistema;
  • pode solicitar à ENISA a elaboração de um projeto de sistema de certificação ou a revisão de um já existente.
• A ENISA:
  • elabora projetos de sistemas adequados, na sequência de um pedido da Comissão ou do Grupo Europeu para a Certificação da Cibersegurança;
  • avalia cada sistema de certificação adotado de cinco em cinco anos, tendo em conta as informações que tenha recebido;
  • mantém um sítio Web especialmente concebido para disponibilizar informações sobre os sistemas, os certificados e as declarações de conformidade.

Os sistemas europeus voluntários de certificação da cibersegurança:

• visam alcançar diversos objetivos de segurança, tais como proteger os dados armazenados, transmitidos ou sujeitos a tratamento;
• indicam os níveis de segurança dos produtos, serviços ou processos de TIC e dos serviços de segurança geridos como «básico», «substancial» ou «elevado»;
• permitem que os fabricantes e os prestadores de produtos, serviços e processos de TIC e de serviços de segurança geridos com um nível de risco baixo (ou seja, «básico») os autoavaliem («autoavaliação da conformidade»);
• devem incluir certas características, tais como descrições claras do objetivo, do objeto e do âmbito e os critérios e métodos de avaliação utilizados;
• substituem os sistemas similares nacionais, embora esses certificados se mantenham válidos até à sua data de caducidade.

Os fabricantes e prestadores de produtos, serviços ou processos de TIC e de serviços de segurança geridos certificados devem disponibilizar publicamente:

• orientações e recomendações para ajudar os utilizadores finais na instalação, aplicação e manutenção dos seus produtos ou serviços;
• informações sobre a duração da prestação de apoio em matéria de segurança;
• os seus dados de contacto;
• referências a repositórios em linha com informações sobre problemas de cibersegurança que afetem os seus produtos ou serviços.

Os Estaods-Membros da UE nomeiam uma ou mais autoridades nacionais de certificação da cibersegurança com recursos suficientes e poderes para controlar, supervisionar e fazer aplicar as regras dos sistemas de certificação da cibersegurança europeus.

A Comissão:

• avalia regularmente a eficiência e a utilização dos sistemas de certificação adotados e considera se algum sistema deverá ser tornado obrigatório;
• teve de concluir a sua primeira avaliação pormenorizada até 31 de dezembro de 2023, com as restantes de dois em dois anos após essa data;
• teve de avaliar o impacto, a eficácia e a eficiência da ENISA até 28 de junho de 2024 e, posteriormente, de cinco em cinco anos.

As pessoas singulares e coletivas têm o direito de apresentar uma reclamação junto da entidade emissora dos certificados europeus de cibersegurança e de obter um recurso judicial efetivo.

Alteração — Serviços de segurança geridos

Em dezembro de 2024, foi adotado o Regulamento (UE) 2025/37 que altera o regulamento no que diz respeito aos serviços de segurança geridos. Esta alteração específica introduz a definição de serviços de segurança geridos e alarga o âmbito de aplicação do Enquadramento europeu para a certificação da cibersegurança, passando a incluir os serviços de segurança geridos. Consequentemente, alarga também o mandato e as atribuições da ENISA no que diz respeito aos serviços de segurança geridos.

O Regulamento (UE) 2025/37 foi publicado no Jornal Oficial em 15 de janeiro de 2025 e está em vigor desde 4 de fevereiro de 2025.

Notificações de organismos de avaliação da conformidade

Em dezembro de 2024, a Comissão adotou o Regulamento de Execução (UE) 2024/3143 relativo às notificações nos termos do artigo 61.^o, n.^o 5, do Regulamento Cibersegurança. O ato de execução estabelece as circunstâncias, formatos e procedimentos de notificação dos organismos de avaliação da conformidade em todos os sistemas europeus de certificação da cibersegurança através do sistema de informação «Nova Abordagem em matéria de organismos notificados e designados» (NANDO). Também esclarece as circunstâncias em que devem ser introduzidas alterações na notificação e com base nas quais a competência dos organismos de avaliação da conformidade notificados pode ser contestada.

O Regulamento de Execução (UE) 2024/3143 foi publicado no Jornal Oficial em 19 de dezembro de 2024 e está em vigor desde 8 de janeiro de 2025.

Sistema europeu de certificação da cibersegurança baseado nos Critérios Comuns (EUCC)

Em janeiro de 2024, a Comissão adotou o Regulamento de Execução (UE) 2024/482 (ver síntese). Este ato estabelece as regras de aplicação do Regulamento (UE) 2019/881 no que diz respeito à adoção do sistema europeu voluntário de certificação da cibersegurança baseados nos Critérios Comuns (EUCC). Este é o primeiro sistema a nível da UE e diz respeito aos certificados ao nível «substancial» ou «elevado» de garantia para produtos TIC, como hardware e software, incluindo componentes como chips e cartões inteligentes. O regulamento prevê regras pormenorizadas para os seguintes aspetos, incluindo:

• normas e requisitos para a avaliação e emissão, renovação e retirada de certificados do EUCC para produtos e perfis de proteção;
• os organismos de avaliação da conformidade acreditados para emitir certificados ou realizar atividades de avaliação;
• controlo da conformidade, não conformidade e não conformidade;
• procedimentos de gestão da vulnerabilidade e de divulgação;
• a conservação de registos, a divulgação e a proteção da informação;
• acordos de reconhecimento mútuo com países não pertencentes à UE;
• avaliação pelos pares dos organismos de certificação;
• manutenção do sistema; e
• sistemas nacionais de certificação da cibersegurança abrangidos pelo EUCC.

O Regulamento de Execução EUCC é aplicável desde 27 de fevereiro de 2025.

O Regulamento (UE) 2019/881 e o seu regulamento de execução não afetam as responsabilidades dos Estados-Membros em matéria de segurança pública, defesa, segurança nacional e direito penal.

O regulamento revoga o Regulamento (UE) n.^o 526/2013 a partir de 27 de junho de 2019.