Access to European Union law
<a href="https://eur-lex.europa.eu/content/help/eurlex-content/experimental-features.html" target="_blank">More about the experimental features corner</a>
Choose the experimental features you want to try
EUR-Lex
Access to European Union law

This document is an excerpt from the EUR-Lex website

You are here
Use quotation marks to search for an "exact phrase". Append an asterisk (*) to a search term to find variations of it (transp*, 32019R*). Use a question mark (?) instead of a single character in your search term to find variations of it (ca?e finds case, cane, care).
Search tips
Need more search options? Use the Advanced search

Document 52023PC0208

    Proposta de REGULAMENTO DO PARLAMENTO EUROPEU E DO CONSELHO que altera o Regulamento (UE) 2019/881 no respeitante aos serviços de segurança geridos

    COM/2023/208 final

    Date of document:
    18/04/2023
    Date of dispatch:
    18/04/2023; transmitido ao Conselho
    Date of dispatch:
    18/04/2023; transmitido ao Parlamento
    Date of end of validity:
    No end date
    Author:
    Comissão Europeia, Direção-Geral das Redes de Comunicação, Conteúdos e Tecnologias
    Responsible body:
    CNECT
    Form:
    Proposta de regulamento
    Additional information:
    relevante para EEE
    Treaty:
    Tratado sobre o Funcionamento da União Europeia
    Legal basis:
    Link
    Link
    Link
    Select all documents mentioning this document
    Earlier related instruments:
    Subsequent related instruments:
    Instruments cited:

    Estrasburgo, 18.4.2023

    COM(2023) 208 final

    2023/0108(COD)

    Proposta de

    REGULAMENTO DO PARLAMENTO EUROPEU E DO CONSELHO

    que altera o Regulamento (UE) 2019/881 no respeitante aos serviços de segurança geridos

    (Texto relevante para efeitos do EEE)


    EXPOSIÇÃO DE MOTIVOS

    1.CONTEXTO DA PROPOSTA

    Razões e objetivos da proposta

    A presente exposição de motivos acompanha a proposta de regulamento do Parlamento Europeu e do Conselho que altera o Regulamento (UE) 2019/881  1 no respeitante aos serviços de segurança geridos.

    A alteração específica proposta visa permitir a adoção, por meio de atos de execução da Comissão, de sistemas europeus de certificação da cibersegurança dos «serviços de segurança geridos», para além dos produtos, serviços e processos de tecnologias da informação e comunicação (TIC), que já são abrangidos pelo Regulamento Cibersegurança. Os serviços de segurança geridos desempenham um papel cada vez mais importante na prevenção e atenuação dos incidentes de cibersegurança.

    Nas suas Conclusões de 23 de maio de 2022  2 sobre o desenvolvimento da postura da União Europeia no ciberespaço, o Conselho exortou a União e os seus Estados-Membros a redobrarem de esforços para aumentar o nível global de cibersegurança, por exemplo facilitando a emergência de prestadores fiáveis de serviços de cibersegurança, e frisou que o incentivo ao desenvolvimento desses prestadores deverá constituir uma prioridade da política industrial da União no domínio da cibersegurança. Convidou igualmente a Comissão a propor opções para incentivar a emergência de um setor de serviços fiáveis de cibersegurança. A certificação dos serviços de segurança geridos constitui um meio eficaz para reforçar a confiança na qualidade desses serviços, facilitando assim a emergência de um setor europeu de serviços fiáveis de cibersegurança.

    A Comunicação Conjunta «Política de ciberdefesa da UE», adotada pela Comissão e pelo alto representante em 10 de novembro de 2022  3 , anunciou que a Comissão estudaria a possibilidade de criar sistemas de certificação da cibersegurança a nível da UE para o setor da cibersegurança e as empresas privadas. Os prestadores de serviços de segurança geridos também desempenharão um papel importante na reserva de cibersegurança a nível da UE, cuja criação progressiva é apoiada pelo Regulamento Cibersolidariedade, proposto paralelamente ao presente regulamento. A reserva de cibersegurança a nível da UE deverá ser utilizada para apoiar ações de resposta e recuperação imediata em caso de incidentes de cibersegurança significativos e em grande escala. Os serviços de cibersegurança pertinentes prestados pelos «prestadores de confiança» a que se refere o Regulamento Cibersolidariedade correspondem, na presente proposta, aos «serviços de segurança geridos».

    Alguns Estados-Membros já começaram a adotar sistemas de certificação dos serviços de segurança geridos, pelo que há um risco cada vez maior de as incoerências entre os diferentes sistemas existentes na União conduzirem à fragmentação do mercado interno desses serviços. A presente proposta permite a criação de sistemas europeus de certificação da cibersegurança de serviços de segurança geridos, a fim de evitar essa fragmentação.

    Coerência com as disposições existentes da mesma política setorial

    A presente proposta é coerente com o Regulamento Cibersegurança, que altera, baseando-se nas suas disposições e adaptando-as de modo a incluir também os serviços de segurança geridos. As alterações propostas limitam-se ao estritamente necessário e não modificam as características nem o funcionamento do Regulamento Cibersegurança.

    A presente proposta é também coerente com a Diretiva (UE) 2022/2555 do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022, relativa a medidas destinadas a garantir um elevado nível comum de cibersegurança na União que altera o Regulamento (UE) n.º 910/2014 e a Diretiva (UE) 2018/1972 e revoga a Diretiva (UE) 2016/1148 (Diretiva SRI 2)  4 . Os prestadores de serviços de segurança geridos são considerados entidades essenciais ou importantes pertencentes a um setor de importância crítica ao abrigo da Diretiva (UE) 2022/2555. Nos termos do considerando 86 da referida diretiva, os prestadores de serviços de segurança geridos em domínios como a resposta a incidentes, os testes de penetração, as auditorias de segurança e a consultoria desempenham um papel especialmente importante em termos de apoio aos esforços desenvolvidos pelas entidades para evitar e detetar os incidentes, bem como para lhes dar resposta ou recuperar dos mesmos. Porém, os próprios prestadores de serviços de segurança geridos têm sido igualmente alvo de ciberataques e, em virtude da sua estreita integração nas operações dos seus clientes, implicam especial risco. As entidades essenciais e importantes, na aceção da Diretiva (UE) 2022/2555, devem, por conseguinte, exercer uma diligência acrescida ao selecionarem um prestador de serviços de segurança geridos.

    A presente proposta visa melhorar a qualidade dos serviços de segurança geridos e aumentar a sua comparabilidade. Permite, assim, que, ao selecionarem um prestador de serviços de segurança geridos, as entidades essenciais e importantes exerçam a diligência acrescida exigida pela Diretiva (UE) 2022/2555. Além disso, a definição de «serviços de segurança geridos» da presente proposta deriva e é muito semelhante à definição de «prestadores de serviços de segurança geridos» da Diretiva (UE) 2022/2555. Por estas razões, a presente proposta e a Diretiva SRI 2 possuem um alto nível de complementaridade.

    Por último, a presente proposta complementa a proposta de Regulamento Cibersolidariedade. A proposta de Regulamento Cibersolidariedade estabelece um processo para selecionar os prestadores de serviços que integrarão a reserva de cibersegurança a nível da UE, que deve ter em conta, nomeadamente, se esses fornecedores obtiveram ou não uma certificação da cibersegurança europeia ou nacional. Os futuros sistemas de certificação dos serviços de segurança geridos desempenharão, assim, um papel significativo na aplicação do Regulamento Cibersolidariedade.

    Coerência com outras políticas da União

    A presente proposta não afeta a coerência do Regulamento Cibersegurança com o Regulamento (UE) 2016/679 (Regulamento Geral sobre a Proteção de Dados, «RGPD»)  5 e as suas disposições sobre o estabelecimento de procedimentos de certificação e selos e marcas de proteção de dados para efeitos de comprovação da conformidade das operações de tratamento de responsáveis pelo tratamento e subcontratantes com o referido regulamento. O Regulamento Cibersegurança aplica-se sem prejuízo da certificação das operações de tratamento de dados, nomeadamente quando essas operações estejam integradas em produtos e serviços, ao abrigo do RGPD.

    Além disso, a presente proposta não afeta a compatibilidade do Regulamento Cibersegurança com o Regulamento (CE) n.º 765/2008 relativo aos requisitos de acreditação e fiscalização do mercado  6 , em especial no que diz respeito ao quadro aplicável aos organismos nacionais de acreditação e aos organismos de avaliação da conformidade, e às autoridades nacionais supervisoras da certificação.

    2.BASE JURÍDICA, SUBSIDIARIEDADE E PROPORCIONALIDADE

    Base jurídica

    A presente proposta altera o Regulamento Cibersegurança, que se baseia no artigo 114.º do Tratado sobre o Funcionamento da União Europeia (TFUE). Tal como no caso do Regulamento Cibersegurança, visa evitar a fragmentação do mercado interno, nomeadamente permitindo a adoção de sistemas europeus de certificação da cibersegurança de serviços de segurança geridos. Alguns Estados-Membros começaram a adotar sistemas de certificação dos serviços de segurança geridos, pelo que existe um risco concreto de fragmentação do mercado interno destes serviços, risco esse que a presente proposta visa corrigir. Por conseguinte, o artigo 114.º do TFUE constitui a base jurídica adequada para esta iniciativa.

    Subsidiariedade (no caso de competência não exclusiva)

    O objetivo de permitir a adoção de sistemas europeus de certificação da cibersegurança de serviços de segurança geridos e de evitar a fragmentação do mercado interno não pode ser alcançado a nível nacional, mas unicamente a nível da União. Além disso, os serviços de segurança geridos, que são o objeto da alteração proposta, são oferecidos por prestadores que, tal como os seus maiores clientes potenciais, estão ativos em toda a União. A ação a nível da União é, por conseguinte, necessária e mais eficaz do que uma ação a nível nacional.

    Proporcionalidade

    A proposta, que consiste numa alteração específica do Regulamento Cibersegurança, limita-se ao estritamente necessário para alcançar o seu objetivo, designadamente permitir a adoção de sistemas europeus de certificação da cibersegurança dos serviços de segurança geridos, para além dos produtos, serviços e processos de TIC. Em particular, as alterações propostas adaptam o âmbito de aplicação do enquadramento europeu para a certificação da cibersegurança de modo a incluir os «serviços de segurança geridos», introduzem uma definição desses serviços em consonância com a Diretiva SRI 2 e alteram os objetivos de segurança da certificação europeia da cibersegurança, a fim de a adaptar aos «serviços de segurança geridos». As restantes alterações são de natureza técnica e destinam-se a garantir que os artigos pertinentes também se aplicam aos «serviços de segurança geridos». A iniciativa proposta é, por conseguinte, proporcional ao objetivo visado.

    Escolha do instrumento

    Dado que a proposta altera o Regulamento (UE) 2019/881, o instrumento jurídico adequado é um regulamento.

    3.RESULTADOS DAS AVALIAÇÕES EX POST, DAS CONSULTAS DAS PARTES INTERESSADAS E DAS AVALIAÇÕES DE IMPACTO

    Avaliações ex post/balanços de qualidade da legislação existente

    Não aplicável.

    Consultas das partes interessadas

    Realizaram-se consultas específicas com os Estados-Membros e a ENISA. Durante essas consultas, os Estados-Membros descreveram as suas atuais atividades, assim como os seus pontos de vista no que diz respeito à certificação dos serviços de segurança geridos. A ENISA expôs os seus pontos de vista e as conclusões retiradas dos debates com os Estados-Membros e as partes interessadas. As observações e informações recebidas dos Estados-Membros e da ENISA foram tidas em conta na elaboração da presente proposta.

    Recolha e utilização de conhecimentos especializados

    Não aplicável.

    Avaliação de impacto

    Solicitou-se uma dispensa da necessidade de uma avaliação de impacto, uma vez que a proposta corresponde a uma alteração muito limitada e específica do Regulamento Cibersegurança. A alteração habilitará a Comissão a adotar, por meio de atos de execução, sistemas europeus de certificação dos «serviços de segurança geridos», para além dos produtos, serviços e processos de TIC, que já são abrangidos pelo referido regulamento. No entanto, a alteração só produzirá efeitos numa fase posterior, quando esses sistemas de certificação forem adotados. Além disso, a alteração não modifica o caráter voluntário dos sistemas de certificação.

    Adequação da regulamentação e simplificação

    Não aplicável.

    Direitos fundamentais

    A proposta não tem quaisquer consequências previsíveis para a proteção dos direitos fundamentais.  

    4.INCIDÊNCIA ORÇAMENTAL

    Nenhuma.

    5.OUTROS ELEMENTOS

    Planos de execução e acompanhamento, avaliação e prestação de informações

    As disposições alteradas pela proposta serão avaliadas no âmbito da avaliação periódica do Regulamento Cibersegurança, que a Comissão deverá realizar em conformidade com o respetivo artigo 67.º. Essa avaliação abrange, nomeadamente, o impacto, a eficácia e a eficiência das disposições do enquadramento para a certificação da cibersegurança, no que respeita aos objetivos de assegurar um nível adequado de cibersegurança dos produtos, serviços e processos de TIC na União e de melhorar o funcionamento do mercado interno. A proposta inclui uma alteração que garante que a avaliação também abrange os serviços de segurança geridos. A Comissão envia igualmente um relatório de avaliação e as suas conclusões ao Parlamento Europeu, ao Conselho e ao Conselho de Administração da ENISA e publica as conclusões do relatório.

    Explicação pormenorizada das disposições específicas da proposta

    A proposta inclui dois artigos. O artigo 1.º contempla as alterações do Regulamento (UE) 2019/881, ao passo que o artigo 2.º diz respeito à entrada em vigor. O artigo 1.º inclui alterações específicas para modificar o âmbito de aplicação do enquadramento europeu para a certificação da cibersegurança no Regulamento Cibersegurança, a fim de incluir os «serviços de segurança geridos» (artigos 1.º e 46.º do Regulamento Cibersegurança). Introduz uma definição desses serviços, que está estreitamente alinhada com a definição de «prestador de serviços de segurança geridos» prevista na Diretiva SRI 2 (artigo 2.º do Regulamento Cibersegurança). Acrescenta igualmente um novo artigo, o artigo 51.º-A, sobre os objetivos de segurança da certificação europeia da cibersegurança, adaptada aos «serviços de segurança geridos». Por último, a proposta inclui uma série de alterações de natureza técnica para garantir que os artigos pertinentes também se aplicam aos «serviços de segurança geridos».

    2023/0108 (COD)

    Proposta de

    REGULAMENTO DO PARLAMENTO EUROPEU E DO CONSELHO

    que altera o Regulamento (UE) 2019/881 no respeitante aos serviços de segurança geridos

    (Texto relevante para efeitos do EEE)

    O PARLAMENTO EUROPEU E O CONSELHO DA UNIÃO EUROPEIA,

    Tendo em conta o Tratado sobre o Funcionamento da União Europeia, nomeadamente o artigo 114.º,

    Tendo em conta a proposta da Comissão Europeia,

    Após transmissão do projeto de ato legislativo aos parlamentos nacionais,

    Tendo em conta o parecer do Comité Económico e Social Europeu,

    Tendo em conta o parecer do Comité das Regiões,

    Deliberando de acordo com o processo legislativo ordinário,

    Considerando o seguinte:

    (1)O Regulamento (UE) 2019/881 do Parlamento Europeu e do Conselho  7 estabelece um enquadramento para a criação de sistemas europeus de certificação da cibersegurança com o objetivo de assegurar um nível adequado de cibersegurança para os produtos, os serviços e os processos de TIC na União e de evitar a fragmentação do mercado interno no que toca aos sistemas de certificação da cibersegurança na União.

    (2)Os serviços de segurança geridos, que consistem na realização ou na prestação de assistência para atividades relacionadas com a gestão dos riscos de cibersegurança dos clientes, têm vindo a adquirir uma importância cada vez maior na prevenção e atenuação de incidentes de cibersegurança. Por conseguinte, os prestadores desses serviços são considerados entidades essenciais ou importantes pertencentes a um setor de importância crítica nos termos da Diretiva (UE) 2022/2555 do Parlamento Europeu e do Conselho  8 . Nos termos do considerando 86 da referida diretiva, os prestadores de serviços de segurança geridos em domínios como a resposta a incidentes, os testes de penetração, as auditorias de segurança e a consultoria desempenham um papel especialmente importante em termos de apoio aos esforços desenvolvidos pelas entidades para evitar e detetar os incidentes, bem como para lhes dar resposta ou recuperar dos mesmos. Porém, os próprios prestadores de serviços de segurança geridos têm sido igualmente alvo de ciberataques e, em virtude da sua estreita integração nas operações dos seus clientes, implicam especial risco. As entidades essenciais e importantes, na aceção da Diretiva (UE) 2022/2555, devem, por conseguinte, exercer uma diligência acrescida ao selecionarem um prestador de serviços de segurança geridos.

    (3)Os prestadores de serviços de segurança geridos também desempenham um papel importante na Reserva de Cibersegurança da UE, cuja criação progressiva se baseia no Regulamento (UE) …/…. [que estabelece medidas destinadas a reforçar a solidariedade e as capacidades da União para detetar, preparar e dar resposta a ameaças e incidentes de cibersegurança]. A Reserva de Cibersegurança da UE deverá ser utilizada para apoiar ações de resposta e recuperação imediata em caso de incidentes de cibersegurança significativos e em grande escala. O Regulamento (UE) …/… [que estabelece medidas destinadas a reforçar a solidariedade e as capacidades da União para detetar, preparar e dar resposta a ameaças e incidentes de cibersegurança] estabelece um processo para selecionar os prestadores de serviços que integrarão a Reserva de Cibersegurança da UE, que deverá ter em conta, nomeadamente, se os prestadores em causa obtiveram ou não uma certificação da cibersegurança europeia ou nacional. Os serviços prestados pelos «prestadores de confiança» a que se refere o Regulamento (UE) …/… [que estabelece medidas destinadas a reforçar a solidariedade e as capacidades da União para detetar, preparar e dar resposta a ameaças e incidentes de cibersegurança] correspondem aos «serviços de segurança geridos» previstos no presente regulamento.

    (4)A certificação dos serviços de segurança geridos não só é relevante no âmbito do processo de seleção para a Reserva de Cibersegurança da UE, como também constitui um indicador de qualidade essencial para as entidades públicas e privadas que pretendam adquirir esses serviços. Tendo em conta a importância crítica dos serviços de segurança geridos e a sensibilidade dos dados que tratam, a certificação pode fornecer aos potenciais clientes orientações e garantias essenciais sobre a fiabilidade destes serviços. Os sistemas europeus de certificação dos serviços de segurança geridos contribuem para evitar a fragmentação do mercado único. Por conseguinte, o presente regulamento visa melhorar o funcionamento do mercado interno.

    (5)Para além da implantação de produtos, serviços ou processos de TIC, os serviços de segurança geridos proporcionam frequentemente prestações adicionais que dependem das competências, dos conhecimentos especializados e da experiência do seu pessoal. De modo a garantir que os serviços de segurança geridos prestados possuem um nível de qualidade muito elevada, importa que, entre os objetivos de segurança, estejam competências, conhecimentos especializados e experiência de nível elevado, bem como procedimentos internos adequados. A fim de assegurar que os sistemas de certificação possam abranger todos os aspetos dos serviços de segurança geridos, é, por conseguinte, necessário alterar o Regulamento (UE) 2019/881. 
     
    A Autoridade Europeia para a Proteção de Dados foi consultada nos termos do artigo 42.º, n.º 1, do Regulamento (UE) 2018/1725 do Parlamento Europeu e do Conselho e emitiu o seu parecer em [DD/MM/AAAA],

    ADOTARAM O PRESENTE REGULAMENTO:

    Artigo 1.º

    Alterações do Regulamento (UE) 2019/881

    O Regulamento (UE) 2019/881 é alterado do seguinte modo:

    1)    No artigo 1.º, n.º 1, primeiro parágrafo, a alínea b) passa a ter a seguinte redação:

    «b) Um enquadramento para a criação de sistemas europeus de certificação da cibersegurança com o objetivo de assegurar um nível adequado de cibersegurança para os produtos, serviços e processos de TIC e os serviços de segurança geridos na União e de evitar a fragmentação do mercado interno no que toca aos sistemas de certificação da cibersegurança na União.»;

    2)    O artigo 2.º é alterado do seguinte modo:

    a)    Os pontos 9, 10 e 11 passam a ter a seguinte redação:

    «9) “Sistema europeu de certificação da cibersegurança”, o conjunto abrangente, de regras, requisitos técnicos, normas e procedimentos estabelecidos a nível da União e aplicáveis à certificação ou à avaliação da conformidade dos produtos, serviços e processos de TIC ou dos serviços de segurança geridos;

    10) “Sistema nacional de certificação da cibersegurança”, o conjunto abrangente de regras, requisitos técnicos, normas e procedimentos estabelecidos e adotados por uma autoridade pública nacional e aplicáveis à certificação ou à avaliação da conformidade de produtos, serviços e processos de TIC e de serviços de segurança geridos abrangidos pelo âmbito de aplicação desse sistema específico;

    11) “Certificado europeu de cibersegurança”, um documento emitido por um organismo competente, que ateste que determinado produto, serviço ou processo de TIC ou determinado serviço de segurança gerido foi avaliado para verificar a sua conformidade com os requisitos de segurança específicos estabelecidos por um sistema europeu de certificação da cibersegurança;»;

    b)    É inserido o seguinte ponto:

    «14-A) “Serviço de segurança gerido”, um serviço que consiste na realização ou na prestação de assistência para atividades relacionadas com a gestão dos riscos de cibersegurança, incluindo a resposta a incidentes, testes de penetração, auditorias de segurança e consultoria;»;

    c)    Os pontos 20, 21 e 22 passam a ter a seguinte redação:

    «20) “Especificações técnicas”, um documento que define os requisitos técnicos a cumprir pelos produtos, serviços ou processos de TIC ou pelos serviços de segurança geridos, ou os procedimentos de avaliação da conformidade relativos aos mesmos;

    21) “Nível de garantia”, a base da confiança de que um produto, serviço ou processo de TIC ou um serviço de segurança gerido cumpre os requisitos de segurança de um determinado sistema europeu de certificação da cibersegurança, que indica a que nível esse produto, serviço ou processo de TIC ou serviço de segurança gerido foi avaliado, mas não mede, por si só, a segurança dos produtos, serviços ou processos de TIC ou serviços de segurança geridos em si mesmos;

    22) “Autoavaliação da conformidade”, uma ação realizada por um fabricante de produtos de TIC, o prestador de serviços de TIC, o fornecedor de processos de TIC ou o prestador de serviços de segurança geridos para avaliar se esses produtos, serviços ou processos de TIC ou serviços de segurança geridos cumprem os requisitos de um sistema europeu de certificação da cibersegurança;»;

    3)    No artigo 4.º, o n.º 6 passa a ter a seguinte redação:

    «6. A ENISA promove o recurso a uma certificação europeia da cibersegurança, com vista a evitar a fragmentação do mercado interno. A ENISA contribui para a criação e a manutenção de um enquadramento europeu para a certificação da cibersegurança, nos termos do título III do presente regulamento, a fim de aumentar a transparência no que respeita à cibersegurança dos produtos, serviços e processos de TIC e dos serviços de segurança geridos, reforçando, assim, a confiança no mercado interno digital e a sua competitividade.»;

    4)    O artigo 8.º é alterado do seguinte modo:

    a)    O n.º 1 passa a ter a seguinte redação:

    «1. A ENISA apoia e promove a elaboração e a execução da política da União em matéria de certificação da cibersegurança dos produtos, serviços e processos de TIC e dos serviços de segurança geridos, tal como estabelecido no título III do presente regulamento:

    a) Acompanhando continuamente a evolução nos domínios relacionados com a normalização e recomendando especificações técnicas adequadas para utilização na criação de sistemas europeus de certificação da cibersegurança, por força do artigo 54.º, n.º 1, alínea c), caso não existam normas estabelecidas;

    b) Elaborando projetos de sistemas europeus de certificação da cibersegurança (“projetos de sistemas”) dos produtos, serviços e processos de TIC e dos serviços de segurança geridos, nos termos do artigo 49.º;

    c) Avaliando os sistemas europeus de certificação da cibersegurança adotados, nos termos do artigo 49.º, n.º 8;

    d) Participando nas análises pelos pares, nos termos do artigo 59.º, n.º 4;

    e) Prestando assistência à Comissão para assegurar os serviços de secretariado do GECC, nos termos do artigo 62.º, n.º 5.»;

    b)    O n.º 3 passa a ter a seguinte redação:

    «3. A ENISA compila e publica orientações e desenvolve boas práticas em matéria de requisitos de cibersegurança dos produtos, serviços e processos de TIC e dos serviços de segurança geridos, em cooperação com as autoridades nacionais de certificação da cibersegurança e a indústria, de modo formal, estruturado e transparente.»;

    c)    O n.º 5 passa a ter a seguinte redação:

    «5. A ENISA facilita a elaboração e a adoção de normas europeias e internacionais em matéria de gestão dos riscos e de segurança dos produtos, serviços e processos de TIC e dos serviços de segurança geridos.»;

    5)    No artigo 46.º, os n.os 1 e 2 passam a ter a seguinte redação:

    «1. É criado o enquadramento europeu para a certificação da cibersegurança a fim de melhorar as condições de funcionamento do mercado interno elevando o nível de cibersegurança na União e permitindo a adoção de uma abordagem harmonizada a nível da União relativamente aos sistemas europeus de certificação da cibersegurança, tendo em vista criar um mercado único digital de produtos, serviços e processos de TIC e de serviços de segurança geridos.

    2. O enquadramento europeu para a certificação da cibersegurança prevê um mecanismo destinado a criar sistemas europeus de certificação da cibersegurança. Este mecanismo atesta que os produtos, serviços e processos de TIC que tenham sido avaliados de acordo com esses sistemas cumprem os requisitos de segurança especificados, para efeitos da proteção da disponibilidade, autenticidade, integridade ou confidencialidade dos dados armazenados, transmitidos ou tratados, ou as funções ou serviços oferecidos por esses produtos, serviços e processos ou acessíveis por seu intermédio ao longo do respetivo ciclo de vida. Além disso, atesta que os serviços de segurança geridos que tenham sido avaliados de acordo com esses sistemas cumprem os requisitos de segurança especificados, para efeitos da proteção da disponibilidade, autenticidade, integridade e confidencialidade dos dados consultados, tratados, armazenados ou transmitidos no âmbito da prestação desses serviços, e que esses serviços são continuamente prestados, com a competência, os conhecimentos especializados e a experiência necessários, por pessoal com um nível muito elevado de conhecimentos técnicos pertinentes e integridade profissional.»; 

    6)    No artigo 47.º, os n.os 2 e 3 passam a ter a seguinte redação:

    «2. O programa de trabalho evolutivo da União compreende, designadamente, uma lista dos produtos, serviços e processos de TIC, ou das respetivas categorias, e dos serviços de segurança geridos que podem beneficiar da inclusão no âmbito de aplicação de um sistema europeu de certificação da cibersegurança.

    3. A inclusão de um determinado produto, serviço ou processo de TIC, das respetivas categorias ou de serviços de segurança geridos no programa de trabalho evolutivo da União deve ser justificada com base num ou mais dos seguintes fundamentos:

    a) A disponibilidade e o desenvolvimento de sistemas nacionais de certificação da cibersegurança que abranjam uma categoria específica de produtos, serviços ou processos de TIC ou serviços de segurança geridos, em especial no que toca ao risco de fragmentação;

    b) A política ou o direito aplicável na União ou no Estado-Membro;

    c) A procura do mercado;

    d) A evolução do cenário de ciberameaça;

    e) O pedido de elaboração de um projeto de sistema específico pelo GECC.»;

    7)    No artigo 49.º, o n.º 7 passa a ter a seguinte redação:

    «7. A Comissão, com base no projeto de sistema apresentado pela ENISA, pode adotar atos de execução que estabeleçam um sistema europeu de certificação da cibersegurança de produtos, serviços e processos de TIC e de serviços de segurança geridos que cumpram os requisitos estabelecidos nos artigos 51.º, 52.º e 54.º. Os referidos atos de execução são adotados pelo procedimento de exame a que se refere o artigo 66.º, n.º 2.»;

    8)    O artigo 51.º é alterado do seguinte modo:

       a)    O título passa a ter a seguinte redação:

    «Objetivos de segurança dos sistemas europeus de certificação da cibersegurança de produtos, serviços e processos de TIC»;

       

       b)    O proémio passa a ter a seguinte redação:

    «Os sistemas europeus de certificação da cibersegurança de produtos, serviços e processos de TIC são concebidos de modo a alcançar, conforme aplicável, pelo menos os seguintes objetivos de segurança:»;

    9)    É inserido o seguinte artigo:

    «Artigo 51.º-A

    Objetivos de segurança dos sistemas europeus de certificação da cibersegurança de serviços de segurança geridos

       

    Os sistemas europeus de certificação da cibersegurança de serviços de segurança geridos são concebidos de modo a alcançar, conforme aplicável, pelo menos os seguintes objetivos de segurança:

    a) Garantir que os serviços de segurança geridos sejam prestados com as competências, conhecimentos especializados e experiência necessários, nomeadamente que o pessoal responsável pela prestação desses serviços possua um nível muito elevado de competências e conhecimentos técnicos no domínio específico, experiência suficiente e adequada e a maior integridade profissional;

    b) Assegurar que o prestador disponha de procedimentos internos adequados para garantir que os serviços de segurança geridos sejam sempre prestados com um nível de qualidade muito elevado;

    c) Proteger os dados consultados, armazenados, transmitidos ou sujeitos a qualquer outro tipo de tratamento no âmbito da prestação de serviços de segurança geridos, impedindo o acesso, armazenamento, divulgação, destruição, outro tipo de tratamento, perda, alteração ou indisponibilidade acidentais ou não autorizados;

    d) Assegurar que a disponibilidade e o acesso aos dados, serviços e funções sejam restabelecidos em tempo útil, em caso de incidente físico ou técnico;

    e) Garantir que as pessoas, os programas ou as máquinas autorizadas só possam aceder aos dados, serviços ou funções abrangidos pelos seus direitos de acesso;

    f) Registar e permitir examinar que dados, serviços ou funções foram consultados, utilizados ou sujeitos a qualquer outro tipo de tratamento, quando e por quem;

    g) Garantir que os produtos, serviços e processos de TIC [e o equipamento informático] utilizados na prestação dos serviços de segurança geridos sejam seguros por defeito e desde a conceção, não contenham vulnerabilidades conhecidas e incluam as atualizações de segurança mais recentes;»;

    10)    O artigo 52.º é alterado do seguinte modo:

    a)    O n.º 1 passa a ter a seguinte redação:

    «1. Os sistemas europeus de certificação da cibersegurança podem especificar um ou mais dos seguintes níveis de garantia de produtos, serviços e processos de TIC e serviços de segurança geridos: “básico”, “substancial” ou “elevado”. O nível de garantia é proporcional ao nível do risco associado à utilização prevista do produto, serviço ou processo de TIC ou do serviço de segurança gerido, em termos de probabilidade e impacto de ocorrência de um incidente.»;

    b)    O n.º 3 passa a ter a seguinte redação:

    «3. Os requisitos de segurança que correspondem a cada nível de garantia são fornecidos no sistema europeu de certificação da segurança relevante, incluindo as funcionalidades de segurança e o rigor e a exaustividade correspondentes da avaliação a que deve ser sujeito o produto, serviço ou processo de TIC ou o serviço de segurança gerido.»;

    c)    Os n.os 5, 6 e 7 passam a ter a seguinte redação:

    «5. Um certificado europeu de cibersegurança ou uma declaração UE de conformidade que ateste um nível de garantia “básico” dá garantia de que os produtos, serviços e processos de TIC e os serviços de segurança geridos objeto desse certificado ou dessa declaração UE de conformidade cumprem os requisitos de segurança correspondentes, incluindo as funcionalidades de segurança, e de que foram avaliados a um nível que visa a redução ao mínimo dos riscos básicos conhecidos de incidentes e ciberataques. As atividades de avaliação a realizar compreendem, pelo menos, uma análise da documentação técnica. Caso tal análise não seja adequada, são realizadas atividades de avaliação alternativas de efeito equivalente.

    6. Um certificado europeu de cibersegurança que ateste um nível de garantia “substancial” dá garantia de que os produtos, serviços e processos de TIC e os serviços de segurança geridos objeto desse certificado cumprem os requisitos de segurança correspondentes, incluindo as funcionalidades de segurança, e de que foram avaliados a um nível que visa a redução ao mínimo dos riscos conhecidos para a cibersegurança e do risco de incidentes e ciberataques levados a cabo por autores com competências e recursos limitados. As atividades de avaliação a realizar compreendem, pelo menos, o seguinte: uma análise para demonstrar a inexistência de vulnerabilidades que sejam do conhecimento público e a realização de ensaios para demonstrar que os produtos, serviços ou processos de TIC ou os serviços de segurança geridos aplicam corretamente as funcionalidades de segurança necessárias. Caso tais atividades de avaliação não sejam adequadas, são realizadas atividades de avaliação alternativas de efeito equivalente.

    7. Um certificado europeu de cibersegurança que ateste um nível de garantia “elevado” dá garantia de que os produtos, serviços e processos de TIC e os serviços de segurança geridos objeto desse certificado cumprem os requisitos de segurança correspondentes, incluindo as funcionalidades de segurança, e de que foram avaliados a um nível que visa a redução ao mínimo dos riscos de ciberataques sofisticados levados a cabo por autores com competências e recursos significativos. As atividades de avaliação a realizar compreendem, pelo menos, o seguinte: uma análise para demonstrar a inexistência de vulnerabilidades que sejam do conhecimento público, a realização de ensaios para demonstrar que os produtos, serviços ou processos de TIC ou os serviços de segurança geridos aplicam corretamente as funcionalidades de segurança necessárias, ao nível tecnológico mais avançado, e uma avaliação da sua resistência a atacantes competentes através de ensaios de penetração. Caso tais atividades de avaliação não sejam adequadas, são realizadas atividades de avaliação alternativas de efeito equivalente.»;

    11)    No artigo 53.º, os n.os 1, 2 e 3 passam a ter a seguinte redação:

    «1. Os sistemas europeus de certificação da cibersegurança podem permitir a realização de uma autoavaliação da conformidade sob a exclusiva responsabilidade do fabricante de produtos de TIC, do prestador de serviços de TIC, do fornecedor de processos de TIC ou do prestador de serviços de segurança geridos. A autoavaliação da conformidade é permitida apenas para produtos, serviços e processos de TIC e serviços de segurança geridos com um nível de risco baixo, correspondente ao nível de garantia “básico”.

    2. O fabricante de produtos de TIC, o prestador de serviços de TIC, o fornecedor de processos de TIC ou o prestador de serviços de segurança geridos pode emitir uma declaração UE de conformidade que indique que foi demonstrado o cumprimento dos requisitos estabelecidos no sistema. Através da emissão dessa declaração, o fabricante de produtos de TIC, o prestador de serviços de TIC, o fornecedor de processos de TIC ou o prestador de serviços de segurança geridos assume a responsabilidade pela conformidade do produto, serviço ou processo de TIC ou do serviço de segurança gerido com os requisitos previstos nesse sistema.

    3. O fabricante de produtos de TIC, o prestador de serviços de TIC, o fornecedor de processos de TIC ou o prestador de serviços de segurança geridos mantém à disposição da autoridade nacional de certificação da cibersegurança a que se refere o artigo 58.º, pelo período fixado no sistema europeu de certificação da cibersegurança em causa, a declaração UE de conformidade, a documentação técnica e todas as outras informações pertinentes relativas à conformidade dos produtos, serviços ou processos de TIC ou dos serviços de segurança geridos com o sistema. É apresentada à autoridade nacional de certificação da cibersegurança e à ENISA uma cópia da declaração UE de conformidade.»;

    12)    No artigo 54.º, o n.º 1 é alterado do seguinte modo:

    a)    A alínea a) passa a ter a seguinte redação:

    «a) O objeto e o âmbito do sistema de certificação, nomeadamente o tipo ou as categorias de produtos, serviços e processos de TIC e de serviços de segurança geridos abrangidos;»;

    b)    A alínea j) passa a ter a seguinte redação:

    «j) As regras para o controlo da conformidade dos produtos, serviços ou processos de TIC e dos serviços de segurança geridos com os requisitos dos certificados europeus de cibersegurança ou da declaração UE de conformidade, incluindo mecanismos para demonstrar a conformidade permanente com os requisitos de cibersegurança especificados;»;

    c)    A alínea l) passa a ter a seguinte redação:

    «l) As regras relativas às consequências para os produtos, serviços e processos de TIC e para os serviços de segurança geridos que tenham sido certificados ou para os quais tenha sido emitida uma declaração UE de conformidade, mas que não cumprem os requisitos do sistema;»;

    d)    A alínea o) passa a ter a seguinte redação:

    «o) A identificação dos sistemas nacionais ou internacionais de certificação da cibersegurança que abranjam os mesmos tipos ou categorias de produtos, serviços e processos de TIC e de serviços de segurança geridos, requisitos de segurança, critérios e métodos de avaliação e níveis de garantia;»;

    e)    A alínea q) passa a ter a seguinte redação:

    «q) O período de disponibilidade da declaração UE de conformidade, da documentação técnica e de todas as outras informações relevantes a disponibilizar pelo fabricante de produtos de TIC, o prestador de serviços de TIC, o fornecedor de processos de TIC ou o prestador de serviços de segurança geridos;»;

    13)    O artigo 56.º é alterado do seguinte modo:

    a)    O n.º 1 passa a ter a seguinte redação:

    «1. Presume-se que os produtos, serviços e processos de TIC e os serviços de segurança geridos que tenham sido certificados ao abrigo de um sistema europeu de certificação da cibersegurança adotado nos termos do artigo 49.º cumprem os requisitos desse sistema.»;

    b)    O n.º 3 é alterado do seguinte modo:

    i)    o primeiro parágrafo passa a ter a seguinte redação:

    «A Comissão avalia regularmente a eficiência e a utilização dos sistemas europeus de certificação da cibersegurança adotados e se algum sistema europeu de certificação da cibersegurança específico deve passar a ser obrigatório por força do direito aplicável da União, a fim de assegurar um nível adequado de cibersegurança dos produtos, serviços e processos de TIC e dos serviços de segurança geridos na União e melhorar o funcionamento do mercado interno. A primeira dessas avaliações deve ser realizada até 31 de dezembro de 2023 e as avaliações subsequentes devem ser efetuadas pelo menos de dois em dois anos. Com base no resultado dessas avaliações, a Comissão identifica os produtos, serviços e processos de TIC e os serviços de segurança geridos abrangidos por um sistema de certificação existente que devem ser abrangidos por um sistema de certificação obrigatório.»,

    ii)    o terceiro parágrafo é alterado do seguinte modo:

    aa) A alínea a) passa a ter a seguinte redação:

    «a) Toma em consideração o impacto das medidas para os fabricantes de produtos de TIC, os prestadores de serviços de TIC, os fornecedores de processos de TIC e os prestadores de serviços de segurança geridos e para os utilizadores em termos de custos dessas medidas, e os benefícios societais ou económicos decorrentes do reforço previsto do nível de segurança para os produtos, serviços e processos de TIC e os serviços de segurança geridos visados;»;

    bb) A alínea d) passa a ter a seguinte redação:

    «d) Toma em consideração os prazos de aplicação, as medidas e os períodos de transição, tendo especialmente em conta o eventual impacto da medida para os fabricantes de produtos de TIC, os prestadores de serviços de TIC, os fornecedores de processos de TIC e os prestadores de serviços de segurança geridos, incluindo as PME;»;

    c)    Os n.os 7 e 8 passam a ter a seguinte redação:

    «7. As pessoas singulares ou coletivas que submetem os seus produtos, serviços ou processos de TIC ou serviços de segurança geridos à certificação disponibilizam à autoridade nacional de certificação da cibersegurança a que se refere o artigo 58.º, quando essa autoridade for o organismo que emite o certificado europeu de certificação da cibersegurança ou o organismo de avaliação da conformidade a que se refere o artigo 60.º, todas as informações necessárias para efetuar a certificação.

    8. O titular de um certificado europeu de cibersegurança informa a autoridade ou o organismo referido no n.º 7 de quaisquer vulnerabilidades ou irregularidades posteriormente detetadas relativas à segurança do produto, serviço ou processo de TIC ou do serviço de segurança gerido certificado que possam ter um impacto na conformidade do produto, serviço ou processo de TIC ou do serviço de segurança gerido com os requisitos relacionados com a certificação. Essa autoridade ou organismo transmite essas informações sem demora injustificada à autoridade nacional de certificação da cibersegurança.»;

    14)    No artigo 57.º, os n.os 1 e 2 passam a ter a seguinte redação:

    «1. Sem prejuízo do disposto no n.º 3 do presente artigo, os sistemas nacionais de certificação da cibersegurança e os procedimentos conexos relativos aos produtos, serviços e processos de TIC e serviços de segurança geridos abrangidos por um sistema europeu de certificação da cibersegurança deixam de produzir efeitos a partir da data estabelecida no ato de execução adotado ao abrigo do artigo 49.º, n.º 7. Os sistemas nacionais de certificação da cibersegurança e os procedimentos conexos relativos aos produtos, serviços e processos de TIC e serviços de segurança geridos que não sejam abrangidos por um sistema europeu de certificação da cibersegurança continuam a existir.

    2. Os Estados-Membros não podem introduzir novos sistemas nacionais de certificação da cibersegurança relativos aos produtos, serviços e processos de TIC e serviços de segurança geridos abrangidos por um sistema europeu de certificação da cibersegurança em vigor.»;

    15)    O artigo 58.º é alterado do seguinte modo:

    a)    O n.º 7 é alterado do seguinte modo:

    i) as alíneas a) e b) passam a ter a seguinte redação:

     «a) Supervisionar e fazer aplicar as regras incluídas nos sistemas europeus de certificação da cibersegurança, nos termos do artigo 54.º, n.º 1, alínea j), para efetuar o controlo da conformidade dos produtos, serviços e processos de TIC e dos serviços de segurança geridos com os requisitos dos certificados europeus de cibersegurança emitidos nos respetivos territórios, em cooperação com outras autoridades de fiscalização de mercado competentes;

    b) Controlar o cumprimento das obrigações do fabricante de produtos de TIC, do prestador de serviços de TIC, do fornecedor de processos de TIC ou do prestador de serviços de segurança geridos estabelecidos nos respetivos territórios e que efetuem a autoavaliação da conformidade e fazer executar essas obrigações, em especial, as obrigações estabelecidas no artigo 53.º, n.os 2 e 3, e no respetivo sistema europeu de certificação da cibersegurança;»,

    ii) a alínea h) passa a ter a seguinte redação:

    «h) Cooperar com outras autoridades nacionais de certificação da cibersegurança ou outras autoridades públicas, inclusive através da partilha de informações sobre a eventual não conformidade de produtos, serviços e processos de TIC e de serviços de segurança geridos com os requisitos do presente regulamento ou de sistemas europeus de certificação da cibersegurança específicos; e»;

    b)    O n.º 9 passa a ter a seguinte redação:

    «9. As autoridades nacionais de certificação da cibersegurança cooperam entre si e com a Comissão e, em particular, partilham informações, experiências e boas práticas em matéria de certificação da cibersegurança e de questões técnicas relacionadas com a cibersegurança dos produtos, serviços e processos de TIC e dos serviços de segurança geridos.»;

    16)    No artigo 59.º, n.º 3, as alíneas b) e c) passam a ter a seguinte redação:

     «b) Os procedimentos destinados a supervisionar e controlar a aplicação das regras relativas ao controlo da conformidade dos produtos, serviços e processos de TIC e dos serviços de segurança geridos com os certificados europeus de cibersegurança nos termos do artigo 58.º, n.º 7, alínea a);

    c) Os procedimentos destinados a controlar o cumprimento das obrigações dos fabricantes de produtos de TIC, dos prestadores de serviços de TIC, dos fornecedores de processos de TIC e dos prestadores de serviços de segurança geridos nos termos do artigo 58.º, n.º 7, alínea b);»;

    17)    No artigo 67.º, os n.os 2 e 3 passam a ter a seguinte redação:

    «2. A avaliação visa igualmente o impacto, a eficácia e a eficiência das disposições do título III do presente regulamento, no que respeita aos objetivos de assegurar um nível adequado de cibersegurança dos produtos, serviços e processos de TIC e dos serviços de segurança geridos na União e de melhorar o funcionamento do mercado interno.

    3. A avaliação deve verificar se são necessários requisitos de cibersegurança essenciais para o acesso ao mercado interno, a fim de impedir que produtos, serviços e processos de TIC e serviços de segurança geridos que não cumpram os requisitos básicos de cibersegurança entrem no mercado da União.».

    Artigo 2.º

    O presente regulamento entra em vigor no vigésimo dia seguinte ao da sua publicação no Jornal Oficial da União Europeia.

    O presente regulamento é obrigatório em todos os seus elementos e diretamente aplicável em todos os Estados-Membros.

    Feito em Estrasburgo, em

    Pelo Parlamento Europeu    Pelo Conselho

    A Presidente    O Presidente

    (1)    Regulamento (UE) 2019/881 do Parlamento Europeu e do Conselho, de 17 de abril de 2019, relativo à ENISA (Agência da União Europeia para a Cibersegurança) e à certificação da cibersegurança das tecnologias da informação e comunicação e que revoga o Regulamento (UE) n.º 526/2013 (Regulamento Cibersegurança) (JO L 151 de 7.6.2019, p. 15).
    (2)    9364/22.
    (3)    JOIN(2022) 49 final.
    (4)    JO L 333 de 27.12.2022, p. 810.
    (5)    JO L 119 de 4.5.2016, p. 1.
    (6)    JO L 218 de 13.8.2008, p. 30.
    (7)    Regulamento (UE) 2019/881 do Parlamento Europeu e do Conselho, de 17 de abril de 2019, relativo à ENISA (Agência da União Europeia para a Cibersegurança) e à certificação da cibersegurança das tecnologias da informação e comunicação e que revoga o Regulamento (UE) n.º 526/2013 (Regulamento Cibersegurança) (JO L 151 de 7.6.2019, p. 15).
    (8)    Diretiva (UE) 2022/2555 do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022, relativa a medidas destinadas a garantir um elevado nível comum de cibersegurança na União que altera o Regulamento (UE) n.º 910/2014 e a Diretiva (UE) 2018/1972 e revoga a Diretiva (UE) 2016/1148 (Diretiva SRI 2) (JO L 333 de 27.12.2022, p. 80).
    Top