Access to European Union law
<a href="https://eur-lex.europa.eu/content/help/eurlex-content/experimental-features.html" target="_blank">More about the experimental features corner</a>
Choose the experimental features you want to try
EUR-Lex
Access to European Union law

This document is an excerpt from the EUR-Lex website

You are here
Use quotation marks to search for an "exact phrase". Append an asterisk (*) to a search term to find variations of it (transp*, 32019R*). Use a question mark (?) instead of a single character in your search term to find variations of it (ca?e finds case, cane, care).
Search tips
Need more search options? Use the Advanced search

Summaries of EU Legislation

    Sistema europeu de certificação da cibersegurança baseado nos Critérios Comuns (EUCC)

    Date of last review:
    01/07/2024
    Author:
    Serviço das Publicações da União Europeia
    Responsible entity(ies):
    Direção-Geral das Redes de Comunicação, Conteúdos e Tecnologias
    Summarised document(s):

    Sistema europeu de certificação da cibersegurança baseado nos Critérios Comuns (EUCC)

     

    SÍNTESE DE:

    Regulamento de Execução (UE) 2024/482 — regras de execução do Regulamento (UE) 2019/881 no respeitante à adoção do sistema europeu de certificação da cibersegurança baseado nos Critérios Comuns

    QUAL É O OBJETIVO DESTE REGULAMENTO?

    O regulamento de execução estabelece as regras de execução do Regulamento (UE) 2019/881 (ver síntese) no respeitante à adoção do sistema europeu de certificação da cibersegurança baseado nos Critérios Comuns (EUCC).

    O EUCC é um sistema destinado a avaliar e certificar a cibersegurança dos produtos de tecnologias da informação e comunicação (TIC) e dos perfis de proteção. O sistema visa assegurar que os produtos de TIC cumprem normas de segurança rigorosas através de um processo estruturado, que visa reforçar a cibersegurança, alcançar coerência em toda a União Europeia (UE) e proporcionar uma certificação de confiança. O EUCC baseia-se no Acordo de Reconhecimento Mútuo («ARM») de Certificados de Avaliação da Segurança das Tecnologias da Informação do Grupo de Altos Funcionários para a Segurança dos Sistemas de Informação («SOG-IS»).

    PONTOS-CHAVE

    NORMAS E MÉTODOS DE AVALIAÇÃO

    • O sistema utiliza os Critérios Comuns (ISO/IEC 15408) e a metodologia comum de avaliação (ISO/IEC 18045) para as avaliações.
    • Os organismos de certificação emitem dois tipos de certificados EUCC de nível de garantia: «substancial» (níveis AVA_VAN* 1 ou 2) e «elevado» (níveis AVA_VAN 3, 4 ou 5). O nível de garantia determina a exaustividade e o rigor da avaliação.
    • Os produtos de TIC são certificados em relação às suas metas de segurança, que podem incluir um perfil de proteção certificado, se aplicável.
    • A autoavaliação da conformidade não é permitida no âmbito do sistema EUCC.

    CERTIFICAÇÃO DE PRODUTOS TIC

    • As avaliações devem respeitar os Critérios Comuns, a Metodologia Comum de Avaliação e os documentos sobre o estado da arte pertinentes.
    • A certificação dos níveis de garantia mais elevados (níveis AVA_VAN 4 ou 5) tem de ser realizada, em regra, com base em domínios técnicos ou perfis de proteção adotados como documentos sobre o estado da arte e enumerados no anexo I.
    • Os requerentes devem fornecer documentação abrangente, incluindo resultados de avaliações anteriores, se necessário, para apoiar o processo de certificação.
    • Os organismos de certificação emitem os certificados quando estiverem preenchidas todas as condições. Estes certificados incluem as informações específicas enumeradas no anexo VII.
    • Os sistemas nacionais de certificação da cibersegurança devem estar alinhados com o EUCC e deixar de produzir efeitos no prazo de 12 meses a contar da data de entrada em vigor do regulamento. Um processo de certificação nacional iniciado durante esse período deve estar concluído no prazo de 24 meses após a entrada em vigor do regulamento.
    • Os certificados são:
      • válidos por um período máximo de cinco anos, com possibilidade de prorrogação sob reserva de aprovação;
      • revistos periodicamente para garantir a conformidade contínua com os requisitos em matéria de segurança;
      • retirados se o produto certificado deixar de cumprir as normas exigidas ou se existirem não-conformidades significativas.

    CERTIFICAÇÃO DOS PERFIS DE PROTEÇÃO

    Os perfis de proteção estabelecem requisitos de segurança para determinadas categorias de produtos de TIC. Os perfis são:

    • avaliados de forma semelhante aos produtos de TIC, a fim de garantir que cumprem os requisitos de segurança necessários para categorias específicas de TIC;
    • certificados por autoridades nacionais de certificação da cibersegurança ou organismos públicos acreditados, ou por um organismo de certificação, mediante aprovação prévia.

    MARCAÇÃO E ROTULAGEM

    • Os produtos certificados podem ostentar uma marca e um rótulo que indiquem o seu estado de certificação.
    • A marca e o rótulo devem estar apostas de forma claramente visíveis e conter pormenores como o nível de garantia, o número de identidade único e um código QR com uma hiperligação para um sítio Web com informações sobre a certificação.

    ORGANISMOS DE AVALIAÇÃO DA CONFORMIDADE

    • Os organismos de certificação e os centros de avaliação da segurança das tecnologias da informação (ITSEF) devem ser acreditados em conformidade com o Regulamento (CE) n.o 765/2008 (ver síntese) e, relativamente aos níveis de garantia elevados, autorizados pelas autoridades nacionais de certificação da cibersegurança.
    • As autoridades nacionais de certificação da cibersegurança controlam o cumprimento por parte dos organismos de certificação, dos ITSEF e dos titulares de certificados. Além disso, tratam reclamações e realizam investigações em caso de não conformidade.
    • Os produtos não conformes devem ser objeto de medidas corretivas e os certificados podem ser suspensos ou retirados se as questões não forem resolvidas.
    • Os organismos de certificação que emitem certificados do nível de garantia elevado devem ser sujeitos a avaliações regulares pelos pares, a fim de garantir um nível elevado de coerência e de aplicação das normas nas práticas de certificação.
    • O Grupo Europeu para a Certificação da Cibersegurançadesempenha um papel fundamental na manutenção do sistema, na aprovação de documentos sobre o estado da arte e na garantia da sua relevância e eficácia permanentes.

    GESTÃO E DIVULGAÇÃO DAS VULNERABILIDADES

    • Os titulares de certificados devem estabelecer procedimentos para a gestão e a divulgação das vulnerabilidades, realizar análises do impacto das vulnerabilidades e comunicar as vulnerabilidades significativas aos organismos e autoridades de certificação.
    • Os certificados retirados devem ser divulgados nas bases de dados relevantes, assegurando a transparência das vulnerabilidades conhecidas.

    CONSERVAÇÃO E PROTEÇÃO DAS INFORMAÇÕES

    • Os organismos de certificação e os ITSEF devem manter registos das avaliações e certificações durante, pelo menos, cinco anos após a retirada do certificado.
    • Todas as partes envolvidas no processo de certificação devem proteger as informações confidenciais e os segredos empresariais.

    ACORDOS DE RECONHECIMENTO MÚTUO COM PAÍSES NÃO PERTENCENTES À UE

    • Os países não pertencentes à UE podem reconhecer as certificações EUCC através de acordos de reconhecimento mútuo, desde que cumpram os critérios de monitorização, supervisão e gestão da vulnerabilidade.

    A PARTIR DE QUANDO É APLICÁVEL O REGULAMENTO?

    O regulamento é aplicável a partir de 27 de fevereiro de 2025.

    CONTEXTO

    Para mais informações, consultar:

    PRINCIPAIS TERMOS

    Nível AVA_VAN. Um nível de análise da vulnerabilidade da garantia, que indica o grau das atividades de avaliação da cibersegurança realizadas para determinar o nível de resistência contra a potencial exploração de falhas ou pontos fracos do alvo de avaliação no seu ambiente operacional, conforme estabelecido nos Critérios Comuns.

    PRINCIPAL DOCUMENTO

    Regulamento de Execução (UE) 2024/482 da Comissão, de 31 de janeiro de 2024, que estabelece as normas de execução do Regulamento (UE) 2019/881 do Parlamento Europeu e do Conselho no que respeita à adoção do Sistema Europeu Comum de Certificação da Cibersegurança (EUCC) (JO L 2024/482 de 7.2.2024).

    DOCUMENTOS RELACIONADOS

    Diretiva (UE) 2022/2555 do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022, relativa a medidas destinadas a garantir um elevado nível comum de cibersegurança na União que altera o Regulamento (UE) n.o 910/2014 e a Diretiva (UE) 2018/1972 e revoga a Diretiva (UE) 2016/1148 (Diretiva SRI 2) (JO L 333 de 27.12.2022, p. 80-152).

    As sucessivas alterações da Diretiva (UE) 2022/2555 foram integradas no texto de base. A versão consolidada tem apenas valor documental.

    Regulamento (UE) 2019/881 do Parlamento Europeu e do Conselho, de 17 de abril de 2019, relativo à ENISA (Agência da União Europeia para a Cibersegurança) e à certificação da cibersegurança das tecnologias da informação e comunicação e que revoga o Regulamento (UE) n.o 526/2013 (Regulamento Cibersegurança) (JO L 151 de 7.6.2019, p. 15-69).

    Regulamento (UE) n.o 2019/1020 do Parlamento Europeu e do Conselho, de 20 de junho de 2019 relativo à fiscalização do mercado e à conformidade dos produtos e que altera a Diretiva 2004/42/CE e os Regulamentos (CE) n.o 765/2008 e (UE) n.o 305/2011 (JO L 169 de 25.6.2019, p. 1-44).

    Ver versão consolidada.

    Regulamento (CE) n.o 765/2008 do Parlamento Europeu e do Conselho, de 9 de julho de 2008, que estabelece os requisitos de acreditação e fiscalização do mercado relativos à comercialização de produtos, e que revoga o Regulamento (CEE) n.o 339/93 (JO L 218 de 13.8.2008, p. 30-47).

    Ver versão consolidada.

    Recomendação 95/144/CE do Conselho, de 7 de abril de 1995, relativa a critérios comuns de avaliação da segurança nas tecnologias da informação (JO L 93 de 26.4.1995, p. 27-28).

    última atualização 01.07.2024

    Top