Back to EUR-Lex homepage

EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Use quotation marks to search for an "exact phrase". Append an asterisk (*) to a search term to find variations of it (transp*, 32019R*). Use a question mark (?) instead of a single character in your search term to find variations of it (ca?e finds case, cane, care).
Search tips
Need more search options? Use the Advanced search
You are here

Summaries of EU Legislation

Cibersegurança das redes e dos sistemas de informação (2022)

Date of last review:
03/05/2024
Author:
Serviço das Publicações da União Europeia
Responsible entity(ies):
Direção-Geral das Redes de Comunicação, Conteúdos e Tecnologias
Summarised document(s):

Cibersegurança das redes e dos sistemas de informação (2022)

 

SÍNTESE DE:

Diretiva (UE) 2022/2555 relativa a medidas destinadas a garantir um elevado nível comum de cibersegurança na União Europeia

QUAL É O OBJETIVO DESTA DIRETIVA?

A diretiva, conhecida como SRI 2, estabelece um quadro regulamentar comum no domínio da cibersegurança com o objetivo de aumentar o nível de cibersegurança na União Europeia (UE), exigindo que os Estados-Membros da UE reforcem as capacidades de cibersegurança e introduzindo medidas de gestão dos riscos de cibersegurança e de notificação de informações em setores críticos, juntamente com regras relativas à cooperação, à partilha de informações, à supervisão e à execução.

PONTOS-CHAVE

A cibersegurança: diz respeito às atividades necessárias para proteger de ciberameaças as redes e os sistemas de informação, os seus utilizadores e outras pessoas afetadas.

Setores críticos

A diretiva aplica-se principalmente a entidades de média e grande dimensão que atuam nos setores de importância crítica seguidamente apresentados, conforme definido no Anexo I.

  • energia:
    • eletricidade, incluindo sistemas de produção, distribuição e transporte e pontos de carregamento;
    • sistemas de aquecimento e arrefecimento urbano;
    • petróleo, incluindo oleodutos e instalações de produção, armazenamento e transporte;
    • gás, incluindo sistemas de comercialização, distribuição e transporte, bem como de armazenamento; e
    • hidrogénio;
  • transporte aéreo, ferroviário, aquático e rodoviário;
  • setor bancário e infraestruturas do mercado financeiro, tais como instituições de crédito, operadores de plataformas de negociação e contrapartes centrais;
  • saúde, incluindo prestadores de cuidados de saúde, fabricantes de produtos farmacêuticos de base e dispositivos médicos considerados críticos, bem como laboratórios de referência da UE.
  • água potável;
  • águas residuais;
  • infraestruturas digitais, incluindo os prestadores de serviços do centro de dados, serviços de computação em nuvem, redes públicas de comunicações eletrónicas e serviços de comunicações eletrónicas publicamente disponíveis;
  • gestão de serviços TIC (entre empresas);
  • espaço;
  • administração pública a nível central e regional, excluindo o poder judicial, os parlamentos e os bancos centrais, embora não se aplique a entidades de administração pública que desenvolvam atividades nos domínios da segurança nacional, da segurança pública, da defesa ou da aplicação da lei.

Também se aplica a outros setores críticos, conforme definido no anexo II:

  • serviços postais e de estafeta;
  • gestão de resíduos;
  • produção, fabrico e distribuição de produtos químicos;
  • produção, transformação e distribuição de produtos alimentares;
  • indústria transformadora, especificamente dispositivos médicos, produtos informáticos, eletrónicos e óticos, certos tipos de equipamentos elétricos e máquinas, veículos automóveis e outros equipamentos de transporte;
  • prestadores de serviços digitais de mercados em linha, de motores de pesquisa e de redes sociais; e
  • organismos de investigação.

Estratégia nacional de cibersegurança

Cada Estado-Membro deve adotar uma estratégia nacional com vista a alcançar e a manter um elevado nível de cibersegurança nos setores críticos, incluindo:

  • um quadro de governação que clarifique as funções e responsabilidades das partes interessadas pertinentes a nível nacional;
  • políticas que abordem a segurança das cadeias de abastecimento;
  • políticas que assegurem a gestão das vulnerabilidades;
  • políticas que promovam e desenvolvam a educação e a formação em cibersegurança; e
  • medidas destinadas a reforçar o nível de sensibilização dos cidadãos para a cibersegurança.

Os Estados-Membros devem estabelecer uma lista de entidades essenciais e importantes, juntamente com entidades que prestem serviços de registo de nomes de domínio, até 17 de abril de 2025. Devem rever e, se for caso disso, atualizar essa lista regularmente e, posteriormente, de dois em dois anos. A Comissão Europeia adotou orientações relativas às informações a recolher aquando da elaboração destas listas, juntamente com um modelo para o fazer.

A Comissão também emitiu orientações que clarificam as regras relativas à relação entre a Diretiva (UE) 2022/2555 e os atos jurídicos da UE, atuais e futuros, específicos dos setores, que abordam as medidas de gestão dos riscos de cibersegurança ou os requisitos de comunicação de incidentes. O apêndice às orientações apresenta uma lista não exaustiva dos atos jurídicos setoriais que a Comissão considera abrangidos pelo âmbito de aplicação da Diretiva (UE) 2022/2555.

Equipas de resposta a incidentes de segurança informática

As equipas de resposta a incidentes de segurança informática (CSIRT) prestam assistência técnica a entidades, nomeadamente através das seguintes ações:

  • monitorizar e analisar ciberameaças, vulnerabilidades e incidentes a nível nacional;
  • ativar os mecanismos de alerta rápido, enviar mensagens de alerta, fazer comunicações e divulgar informações às autoridades competentes e a outras partes interessadas, sobre ciberameaças, vulnerabilidades e incidentes, se possível em tempo quase real;
  • intervir em caso de incidentes e prestar assistência, se aplicável;
  • recolher e analisar dados forenses, proceder à análise dinâmica dos riscos e dos incidentes e desenvolver o conhecimento situacional em matéria de cibersegurança; e
  • realizar, a pedido, uma análise proativa dos sistemas de rede e informação, a fim de detetar vulnerabilidades com um potencial impacto significativo.

Rede de CSIRT

A diretiva estabelece uma rede de CSIRT nacionais para promover uma cooperação operacional rápida e eficaz.

Divulgação coordenada de vulnerabilidades

Os Estados-Membros devem:

  • designar uma das suas CSIRT como coordenadora da divulgação de vulnerabilidades identificadas em produtos ou serviços de TIC; e
  • assegurar que as pessoas nos Estados-Membros possam comunicar as vulnerabilidades de forma anónima se assim o solicitarem.

A Agência da União Europeia para a Cibersegurança (ENISA) irá criar e manter uma base de dados de vulnerabilidades.

Grupo de cooperação

A diretiva cria um grupo de cooperação para apoiar e facilitar a cooperação estratégica e o intercâmbio de informações. É composta por representantes dos Estados-Membros, da Comissão Europeia e da ENISA. Se for caso disso, o grupo de cooperação pode convidar o Parlamento Europeu e representantes de partes interessadas relevantes para participar nos seus trabalhos.

Rede Europeia de Organizações de Coordenação de Cibercrises

A Rede Europeia de Organizações de Coordenação de Cibercrises (EU-CyCLONe) é uma rede constituída pelos representantes das autoridades de gestão de cibercrises dos Estados-Membros, bem como, nos casos em que um incidente de cibersegurança em grande escala, potencial ou em curso, tenha ou seja suscetível de ter um impacto significativo nos serviços e atividades abrangidos pelo âmbito de aplicação da diretiva, pela Comissão. Noutros casos, a Comissão participa nas atividades da rede na qualidade de observadora.

A rede apoia a gestão coordenada de crises e incidentes de cibersegurança em grande escala a nível operacional e para assegurar o intercâmbio regular de informações entre os Estados-Membros e as instituições, órgãos e organismos da UE.

A rede tem como funções, nomeadamente:

  • coordenar a gestão de crises e de incidentes de cibersegurança em grande escala e apoiar a tomada de decisões a nível político;
  • aumentar o nível de preparação;
  • desenvolver um conhecimento situacional comum; e
  • avaliar as consequências e o impacto de crises e incidentes de cibersegurança em grande escala e propor eventuais medidas de atenuação.

Apresentação de relatórios

As entidades devem notificar a sua CSIRT ou a autoridade competente de qualquer incidente que:

  • possa causar ou seja suscetível de causar graves perturbações operacionais dos serviços ou perdas financeiras à entidade;
  • tenha afetado ou seja suscetível de afetar outras pessoas, causando danos materiais ou imateriais consideráveis.

Além disso, a ENISA elaborará, em cooperação com a Comissão e com o grupo de cooperação, um relatório bienal sobre o estado da cibersegurança na UE e deve apresentar esse relatório ao Parlamento.

Supervisão e execução

A diretiva prevê medidas corretivas e sanções para garantir a execução.

Avaliações pelos pares

As avaliações pelos pares são estabelecidas com vista a retirar ensinamentos das experiências partilhadas, reforçar a confiança mútua, alcançar um elevado nível comum de cibersegurança e reforçar as capacidades e políticas de cibersegurança dos Estados-Membros necessárias à aplicação da diretiva. Estas avaliações incluem visitas virtuais ou físicas aos locais e intercâmbios de informação fora do local. A participação nestas avaliações pelos pares é voluntária.

A PARTIR DE QUANDO SÃO APLICÁVEIS AS REGRAS?

A diretiva tem de ser transposta para o direito nacional até 17 de outubro de 2024. As regras são aplicáveis a partir de 18 de outubro de 2024.

CONTEXTO

A diretiva revoga a Diretiva (UE) 2016/1148 (ver síntese) com efeitos a partir de 18 de outubro de 2024.

Para mais informações, consultar:

PRINCIPAL DOCUMENTO

Diretiva (UE) 2022/2555 do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022, relativa a medidas destinadas a garantir um elevado nível comum de cibersegurança na União que altera o Regulamento (UE) n.o 910/2014 e a Diretiva (UE) 2018/1972 e revoga a Diretiva (UE) 2016/1148 (Diretiva SRI 2) (JO L 333 de 27.12.2022, p. 80-152).

As sucessivas alterações da Diretiva (UE) 2022/2555 foram integradas na versão de base. A versão consolidada tem apenas valor documental.

DOCUMENTOS RELACIONADOS

Comunicação da Comissão — Orientações da Comissão sobre a aplicação do artigo 3.o, n.o 4, da Diretiva (UE) 2022/2555 (Diretiva SRI 2) 2023/C 324/02 (JO L 324 de 14.9.2023, p. 2-7).

Comunicação da Comissão — Orientações da Comissão sobre a aplicação dos n.o 1 e 2 do artigo 4.o da Diretiva (UE) 2022/2555 (Diretiva NEI 2) 2023/C 328/02 (JO C 328 de 18.9.2023, p. 2-10).

Regulamento (UE) 2022/2554 do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022, relativo à resiliência operacional digital do setor financeiro e que altera os Regulamentos (CE) n.o 1060/2009, (UE) n.o 648/2012, (UE) n.o 600/2014, (UE) n.o 909/2014 e (UE) 2016/1011 (JO L 333 de 27.12.2022, p. 1-79).

Diretiva (UE) 2022/2557 do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022, relativa à resiliência das entidades críticas e que revoga a Diretiva 2008/114/CE do Conselho (JO L 333 de 27.12.2022, p. 164-198).

Regulamento (UE) 2021/696 do Parlamento Europeu e do Conselho, de 28 de abril de 2021, que cria o Programa Espacial da União e a Agência da União Europeia para o Programa Espacial e que revoga os Regulamentos (UE) n.o 912/2010, (UE) n.o 1285/2013 e (UE) n.o 377/2014 e a Decisão n.o 541/2014/UE (JO L 170 de 12.5.2021, p. 69-148).

Regulamento (UE) 2021/694 do Parlamento Europeu e do Conselho, de 29 de abril de 2021, que cria o Programa Europa Digital e revoga a Decisão (UE) 2015/2240 (JO L 166 de 11.5.2021, p. 1-34).

Ver versão consolidada.

Regulamento (UE) 2019/881 do Parlamento Europeu e do Conselho, de 17 de abril de 2019, relativo à ENISA (Agência da União Europeia para a Cibersegurança) e à certificação da cibersegurança das tecnologias da informação e comunicação e que revoga o Regulamento (UE) n.o 526/2013 (Regulamento Cibersegurança) (JO L 151 de 7.6.2019, p. 15-69).

Recomendação (UE) 2019/534 da Comissão, de 26 de março de 2019 — Cibersegurança das redes 5G (JO L 88 de 29.3.2019, p. 42-47).

Regulamento (UE) 2018/1139 do Parlamento Europeu e do Conselho, de 4 de julho de 2018, relativo a regras comuns no domínio da aviação civil que cria a Agência da União Europeia para a Segurança da Aviação, altera os Regulamentos (CE) n.o 2111/2005, (CE) n.o 1008/2008, (UE) n.o 996/2010 e (UE) n.o 376/2014 e as Diretivas 2014/30/UE e 2014/53/UE do Parlamento Europeu e do Conselho, e revoga os Regulamentos (CE) n.o 552/2004 e (CE) n.o 216/2008 do Parlamento Europeu e do Conselho e o Regulamento (CEE) n.o 3922/91 do Conselho (JO L 212 de 22.8.2018, p. 1-122).

Ver versão consolidada.

Decisão de Execução (UE) 2018/1993 do Conselho, de 11 de dezembro de 2018, relativa ao Mecanismo Integrado da UE de Resposta Política a Situações de Crise (JO L 320 de 17.12.2018, p. 28-34).

Diretiva (UE) 2018/1972 do Parlamento Europeu e do Conselho, de 11 de dezembro de 2018, que estabelece o Código Europeu das Comunicações Eletrónicas (reformulação) (JO L 321 de 17.12.2018, p. 36-214).

Ver versão consolidada.

Recomendação (UE) 2017/1584 da Comissão, de 13 de setembro de 2017, sobre a resposta coordenada a incidentes e crises de cibersegurança em grande escala (JO L 239 de 19.9.2017, p. 36-58).

Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) (JO L 119 de 4.5.2016, p. 1-88).

Ver versão consolidada.

Regulamento (UE) n.o 910/2014 do Parlamento Europeu e do Conselho, de 23 de julho de 2014, relativo à identificação eletrónica e aos serviços de confiança para as transações eletrónicas no mercado interno e que revoga a Diretiva 1999/93/CE (JO L 257 de 28.8.2014, p. 73-114).

Diretiva 2013/40/UE do Parlamento Europeu e do Conselho, de 12 de agosto de 2013, relativa a ataques contra os sistemas de informação e que substitui a Decisão-Quadro 2005/222/JAI do Conselho (JO L 218 de 14.8.2013, p. 8-14).

Decisão n.o 1313/2013/UE do Parlamento Europeu e do Conselho, de 17 de dezembro de 2013, relativa a um Mecanismo de Proteção Civil da União Europeia (JO L 347 de 20.12.2013, p. 924-947).

Ver versão consolidada.

Diretiva 2011/93/UE do Parlamento Europeu e do Conselho, de 13 de dezembro de 2011, relativa à luta contra o abuso sexual e a exploração sexual de crianças e a pornografia infantil, e que substitui a Decisão-Quadro 2004/68/JAI do Conselho (JO L 335 de 17.12.2011, p. 1-14).

Ver versão consolidada.

Regulamento (CE) n.o 300/2008 do Parlamento Europeu e do Conselho, de 11 de março de 2008, relativo ao estabelecimento de regras comuns no domínio da segurança da aviação civil e que revoga o Regulamento (CE) n.o 2320/2002 (JO L 97 de 9.4.2008, p. 72-84).

Ver versão consolidada.

Diretiva 2002/58/CE do Parlamento Europeu e do Conselho, de 12 de julho de 2002, relativa ao tratamento de dados pessoais e à proteção da privacidade no setor das comunicações eletrónicas (Diretiva relativa à privacidade e às comunicações eletrónicas) (JO L 201 de 31.7.2002, p. 37-47).

Ver versão consolidada.

última atualização 03.05.2024

Top