ANEXO

Plano de ação para a resposta coordenada a incidentes e crises de cibersegurança transfronteiriços em larga escala

INTRODUÇÃO

Este plano aplica-se a incidentes de cibersegurança que causam perturbações demasiado extensas para que um Estado-Membro afetado seja capaz de as resolver sozinho ou que afetem dois ou mais Estados-Membros ou instituições da UE, causando um impacto de tão grande alcance e com repercussões a nível técnico e político que exija uma coordenação e uma resposta a nível político da União.

Os incidentes de cibersegurança em tão larga escala são considerados uma «crise» de cibersegurança.

Em caso de crise a nível da UE com elementos de cibersegurança, a coordenação a nível político da resposta da União será exercida pelo Conselho, por intermédio do Mecanismo Integrado da UE de Resposta Política a Situações de Crise (IPCR).

Na Comissão, a coordenação será feita em conformidade com o sistema ARGUS de alerta rápido.

Se a crise implicar uma importante dimensão externa ou a nível da política comum de segurança e defesa (PCSD), será ativado o mecanismo de resposta a situações de crise do Serviço Europeu para a Ação Externa (SEAE).

O presente plano descreve como estes bem estabelecidos mecanismos de gestão de crises devem fazer pleno uso das entidades responsáveis em matéria de cibersegurança existentes a nível da UE, bem como dos mecanismos de cooperação entre os Estados-Membros.

Ao fazê-lo, o plano tem em conta um conjunto de princípios orientadores (proporcionalidade, subsidiariedade, complementaridade e confidencialidade de informações), apresenta os principais objetivos da cooperação (resposta eficaz, conhecimento partilhado da situação, comunicação pública) a três níveis (estratégico/político, operacional e técnico), os mecanismos e os intervenientes envolvidos, bem como as atividades para alcançar os referidos objetivos fundamentais.

O plano não abrange todo o ciclo de gestão de crises (prevenção/atenuação, preparação, resposta e recuperação), mas concentra-se na resposta. No entanto, são visadas certas atividades, em especial as relacionadas com a obtenção de um conhecimento partilhado da situação.

É também importante notar que os incidentes de cibersegurança podem estar na origem ou ser parte de uma crise mais ampla, com impacto noutros setores. Dado que a maior parte das crises de cibersegurança são suscetíveis de ter efeitos no mundo físico, uma resposta adequada deve assentar em atividades de atenuação a nível cibernético e a outros níveis. As atividades de resposta a situações de crise de cibersegurança devem ser coordenadas com outros mecanismos de gestão de crises a nível da UE, nacional ou setorial.

Por último, o plano não substitui nem prejudica os mecanismos, acordos ou instrumentos existentes que abrangem setores ou políticas específicas, tais como o criado no âmbito do programa para um sistema global de navegação por satélite (GNSS) europeu (1).

Princípios orientadores

Nos seus esforços em prol dos objetivos, na identificação das atividades necessárias e na atribuição de competências e responsabilidades aos respetivos intervenientes ou mecanismos, foram aplicados os seguintes princípios orientadores que também devem ser respeitados, de futuro, na preparação de orientações de execução.

Proporcionalidade: a grande maioria dos incidentes de cibersegurança que afetam os Estados-Membros tem uma dimensão muito inferior ao que se pode considerar uma «crise» nacional e, muito menos, europeia. As bases da cooperação entre os Estados-Membros na resposta a tais incidentes são prestadas pela rede de equipas de resposta a incidentes de segurança informática (CSIRT) criada pela Diretiva SRI (2). As CSIRT nacionais cooperam e trocam voluntariamente informações numa base diária, incluindo, quando necessário, em resposta a incidentes de cibersegurança que afetam um ou mais Estados-Membros, em conformidade com os procedimentos operacionais normalizados (PON) da rede de CSIRT. O plano deve, por conseguinte, utilizar plenamente esses PON e quaisquer funções específicas adicionais em matéria de crises de cibersegurança devem neles refletir-se.

Subsidiariedade: o princípio da subsidiariedade é fundamental. Os Estados-Membros são os principais responsáveis pela resposta aos incidentes ou crises de cibersegurança em grande escala que os afetem. A Comissão, o Serviço Europeu para a Ação Externa e outras instituições, organismos, gabinetes e agências da UE têm, no entanto, um papel importante. Este papel é claramente definido no mecanismo IPCR, mas deriva também do direito da União ou simplesmente do facto de os incidentes de cibersegurança e as crises poderem afetar todos os setores da atividade económica no âmbito do mercado único, a segurança e as relações internacionais da União, bem como as próprias instituições europeias.

Complementaridade: o plano tem plenamente em conta os atuais mecanismos de gestão de crises a nível da UE, nomeadamente, o Mecanismo Integrado da UE de Resposta Política a Situações de Crise (IPCR), o ARGUS e o mecanismo de resposta a situações de crise do SEAE, e integra estruturas e mecanismos da nova Diretiva SRI, nomeadamente a rede de CSIRT, bem como as agências e organismos competentes, nomeadamente a Agência da União Europeia para a Segurança das Redes e da Informação (ENISA), o Centro Europeu da Cibercriminalidade (EC3) da Europol, o Centro de Análise de Informações da UE (INTCEN), a Direção de Informações do Estado-Maior da UE (EUMS INT) e a Sala de Situação (SITROOM) do INTCEN, trabalhando em conjunto como SIAC (Capacidade Única de Análise de Informações); a célula de fusão da UE contra as ameaças híbridas (com base no INTCEN); e a Equipa de Resposta a Emergências Informáticas para as instituições e agências da UE (CERT-UE). Para o efeito, o plano deve igualmente assegurar que a sua interação e cooperação garantem a máxima complementaridade e a mínima sobreposição.

Confidencialidade das informações: todos os intercâmbios de informações no contexto do plano devem ser conformes com as regras aplicáveis em matéria de segurança (3), a proteção de dados pessoais e o protocolo «sinalização luminosa» para a partilha de informações (4). Para o intercâmbio de informações classificadas, independentemente do sistema de classificação aplicado, devem ser utilizadas ferramentas acreditadas e disponíveis (5). No que diz respeito ao tratamento de dados pessoais, este respeitará as normas da UE, nomeadamente o Regulamento geral sobre a proteção de dados (6), a Diretiva Privacidade Eletrónica (7), bem como o regulamento (8)«relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições, organismos, gabinetes e agências da União e à livre circulação desses dados».

Objetivos fundamentais

A cooperação no âmbito do presente plano segue a abordagem de três níveis acima mencionada — política, operacional e técnica. Em cada nível, a cooperação pode incluir o intercâmbio de informações e ações conjuntas, e visa alcançar os seguintes objetivos fundamentais.

—

Permitir uma resposta eficaz: a resposta pode assumir muitas formas, que vão da identificação de medidas técnicas que podem implicar uma investigação conjunta, por duas ou mais entidades, das causas técnicas do incidente (por exemplo, análise de programas maliciosos), ou da identificação de formas pelas quais as organizações podem avaliar se foram afetadas (por exemplo, indicadores de compromisso), às decisões operacionais sobre a aplicação dessas medidas técnicas e, a nível político, à decisão de recorrer a outros instrumentos como a resposta diplomática conjunta da UE às ciberatividades maliciosas («instrumentos de ciberdiplomacia») ou o protocolo operacional da UE contra as ameaças híbridas, em função do incidente em causa.

—

Partilhar o conhecimento da situação: uma boa compreensão dos acontecimentos à medida que estes se vão desenrolando, por todas as partes interessadas pertinentes e em todos os níveis (técnico, operacional, político), é essencial para uma resposta coordenada. O conhecimento da situação pode incluir elementos tecnológicos sobre as causas, bem como sobre o impacto e a origem do incidente. Como os incidentes de cibersegurança podem afetar uma grande variedade de setores (finanças, energia, transportes, saúde, etc.) é imperativo que as informações importantes cheguem a todas as partes interessadas, no formato adequado e em tempo útil.

—

Chegar a acordo sobre as principais mensagens da comunicação pública (9): as comunicações em situação de crise desempenham um papel importante na atenuação dos efeitos negativos de incidentes e crises de cibersegurança, mas podem também ser utilizadas como meio para influenciar o comportamento de (potenciais) agressores. Uma mensagem adequada pode também servir para sinalizar claramente as consequências prováveis de uma resposta diplomática, de modo a influenciar o comportamento dos agressores. Alinhar a comunicação pública para que atenue os efeitos negativos de incidentes e crises de cibersegurança e influencie agressores é essencial para a eficácia de uma resposta política. Um fator particularmente importante em matéria de cibersegurança é a divulgação de informações práticas exatas sobre o modo como o público pode atenuar os efeitos de um incidente (por exemplo, instalação de uma correção, adoção de ações complementares para evitar a ameaça, etc.).

COOPERAÇÃO ENTRE ESTADOS-MEMBROS E ENTRE ESTES E OS INTERVENIENTES DA UE A NÍVEL TÉCNICO, OPERACIONAL E ESTRATÉGICO/POLÍTICO

Uma resposta eficaz a incidentes ou crises de cibersegurança em grande escala a nível da UE depende da cooperação eficaz a nível técnico, operacional e estratégico/político.

Em cada nível, os intervenientes devem realizar atividades específicas no que respeita à concretização dos três objetivos fundamentais:

—	Resposta coordenada

—	Conhecimento partilhado da situação

—	Comunicações públicas

Durante o incidente ou crise, os níveis inferiores de cooperação alertarão, informarão e apoiarão os níveis superiores e estes fornecerão orientações (10) e decisões aos níveis inferiores, conforme adequado.

Cooperação a nível técnico

Âmbito das atividades:

—	Tratamento dos incidentes (11) durante uma crise de cibersegurança.

—	Acompanhamento e vigilância de incidentes, incluindo a análise contínua das ameaças e dos riscos.

Potenciais intervenientes

A nível técnico, o mecanismo central para a cooperação identificado pelo presente plano é a rede de CSIRT, presidida pela Presidência e cujos serviços de secretariado são assegurados pela ENISA.

—	Estados-Membros: — Autoridades competentes e pontos de contacto únicos criados pela Diretiva SRI — CSIRT

—	Organismos/gabinetes/agências da UE — ENISA — Europol/EC3 — CERT-EU

—

Comissão Europeia — O Centro de Coordenação de Resposta de Emergência (CCRE — serviço operacional a tempo inteiro situado na DG ECHO) e o serviço responsável designado (a escolher entre a DG CONNECT e a DG HOME, consoante a natureza particular do incidente), o Secretariado Geral (secretariado ARGUS), a DG RH (Direção de Segurança), a DG DIGIT (Operações de Segurança Informática) — No caso das restantes agências da UE (12), a respetiva DG de tutela na Comissão ou o SEAE (primeiro ponto de contacto)

—	SEAE — SIAC (Capacidade Única de Análise de Informações: INTCEN da UE e EUMS INT) — Sala de Situação da UE e serviços geográficos ou temáticos designados. — Célula de fusão da UE contra as ameaças híbridas (parte do INTCEN da UE — cibersegurança num contexto híbrido)

Conhecimento partilhado da situação:

—

No âmbito da constante cooperação a nível técnico para apoiar o conhecimento da situação da União, a ENISA deve elaborar periodicamente um relatório sobre a situação técnica da cibersegurança na UE relativo aos incidentes e ameaças, baseando-se em informações publicamente disponíveis, nas suas próprias análises e em relatórios partilhados pelas CSIRT dos Estados-Membros (numa base voluntária) ou pelos pontos de contacto únicos no âmbito da Diretiva SRI, pelo Centro Europeu da Cibercriminalidade (EC3) da Europol e pela CERT-UE e, se for caso disso, pelo Centro de Análise de Informações da União Europeia (INTCEN) que integra o Serviço Europeu para a Ação Externa (SEAE). O relatório deve ser disponibilizado às instâncias competentes do Conselho, da Comissão, do Alto Representante e Vice-Presidente e da rede de CSIRT.

—

Em caso de incidente grave, o presidente da rede de CSIRT, com a assistência da ENISA, elabora um relatório sobre a situação de incidentes de cibersegurança da UE (13) que é apresentado à Presidência, à Comissão e ao Alto Representante e Vice-Presidente por intermédio da CSIRT do Estado-Membro que assume a presidência rotativa.

—	Todas as outras agências da UE informarão as respetivas DG de tutela, que, por sua vez, reportarão ao serviço responsável da Comissão.

—	O CERT-UE providencia relatórios técnicos à rede de CSIRT, às instituições e agências da UE (conforme for adequado) e ao sistema ARGUS (se ativado).

—	O Europol/EC3  (14) e a CERT-EU providenciam análises forenses especializadas de artefactos técnicos e outras informações técnicas à rede de CSIRT.

—	SIAC do SEAE: a célula de fusão da UE contra as ameaças híbridas reporta aos serviços pertinentes do SEAE, em nome do INTCEN.

Resposta:

—	A rede de CSIRT procede ao intercâmbio de pormenores e análises técnicas sobre o incidente, tais como endereços de IP, indicadores de comprometimento (15), etc. Essas informações devem ser prestadas sem demora à ENISA, e, o mais tardar, 24 horas após a deteção do incidente.

—	Em conformidade com os procedimentos operacionais normalizados da rede de CSIRT, os seus membros cooperam nos esforços para analisar os artefactos e outras informações técnicas disponíveis relativas ao incidente, com vista a determinar as causas e possíveis medidas técnicas de atenuação.

—	A ENISA ajuda a rede de CSIRT nas suas atividades técnicas, recorrendo aos seus conhecimentos especializados e em conformidade com o seu mandato (16).

—	As CSIRT dos Estados-Membros coordenam as suas atividades de resposta técnica, com a assistência da ENISA e da Comissão.

—	SIAC do SEAE: a célula de fusão da UE contra as ameaças híbridas inicia, em nome do INTCEN, o processo de recolha das provas iniciais.

Comunicações públicas:

—	As CSIRT elaboram conselhos técnicos (17) e alertas de vulnerabilidade (18) e divulgam-nos às suas comunidades e ao público na sequência dos procedimentos de autorização aplicáveis em cada caso.

—	A ENISA promove a produção e a difusão de comunicações comuns da rede de CSIRT.

—	A ENISA coordena as suas atividades de comunicação pública com a rede de CSIRT e o serviço do porta-voz da Comissão.

—	A ENISA e o EC3 coordenam as suas atividades de comunicação pública com base no conhecimento partilhado da situação acordado entre os Estados-Membros. Ambos coordenam as suas atividades de comunicação pública com o serviço do porta-voz da Comissão.

—	Se a crise implicar uma dimensão externa ou a nível da política comum de segurança e defesa (PCSD), a comunicação pública deve ser coordenada com o SEAE e o serviço do porta-voz do AR/VP.

Cooperação a nível operacional

Âmbito das atividades:

—	Preparar a tomada de decisões a nível político

—	Coordenar a gestão da crise de cibersegurança (consoante o caso)

—	Avaliar as consequências e impacto a nível da UE e propor eventuais medidas de atenuação

Potenciais intervenientes

—	Estados-Membros: — Autoridades competentes e pontos de contacto únicos criados pela Diretiva SRI — Rede de CSIRT, agências de cibersegurança — Outras autoridades setoriais nacionais (em caso de incidentes ou crises multissetoriais)

—	Organismos/gabinetes/agências da UE — ENISA — Europol/EC3 — CERT-EU

—	Comissão Europeia — Secretário-Geral (Adjunto) SG (processo ARGUS) — DG CNECT/HOME — Autoridade de Segurança da Comissão — Outras DG (em caso de incidentes ou crises multissetoriais)

—	SEAE — Secretário-Geral (Adjunto) para a Resposta a Situações de Crise SIAC (INTCEN da UE e EUMS INT) — Célula de fusão da UE contra as ameaças híbridas

—	Conselho — Presidência (Presidente do Grupo Horizontal das Questões do Ciberespaço ou Coreper (19)), apoiada pelo SGC, ou pelo CPS (20) e — se for acionado — com o apoio do mecanismo IPCR;

Conhecimento da situação:

—	Apoiar a elaboração de relatórios sobre a situação a nível político/estratégico [por exemplo, relatórios de conhecimento e análise integrados da situação (ISAA) em caso de ativação do IPCR].

—	O Grupo Horizontal das Questões do Ciberespaço do Conselho prepara a reunião do Coreper ou, se for caso disso, do CPS.

—

Em caso de ativação do IPCR: — A Presidência pode convocar mesas-redondas para apoiar a preparação da reunião do Coreper ou do CPS, reunindo partes interessadas pertinentes dos Estados-Membros, das instituições, das agências e de terceiros, tais como países terceiros e organizações internacionais. Estas são reuniões de crise com o propósito de identificar pontos de bloqueio e apresentar propostas de ação para questões transversais. — O serviço responsável da Comissão ou o SEAE, enquanto responsável pelo relatório ISAA, prepara o relatório com contribuições da ENISA, da rede de CSIRT, do Europol/EC3, do INTCEN, da EUMS INT e de todos os outros intervenientes relevantes. O relatório ISAA constitui uma avaliação à escala da UE, tendo por base a correlação entre incidentes técnicos e avaliação das crises (análise das ameaças, avaliação dos riscos, consequências e efeitos não técnicos, aspetos do incidente ou crise não relacionados com a cibersegurança, etc.), que é adaptada às necessidades dos níveis operacional e político.

—	Em caso de ativação do processo ARGUS: — A CERT-EU e o EC3 (21) contribuem diretamente para o intercâmbio de informações no âmbito da Comissão.

—	Em caso de ativação do mecanismo de resposta a situações de crise do SEAE: — A SIAC intensificará a recolha de informações, agregará a informação de todas as fontes e preparará uma análise e avaliação do incidente.

Resposta (mediante pedido do nível político):

—	Cooperação transfronteiriça com o ponto de contacto único e com as autoridades nacionais competentes (Diretiva SRI) para atenuar as consequências e efeitos.

—	Ativação de todas as medidas técnicas de atenuação e coordenar as capacidades técnicas necessárias para impedir ou reduzir o impacto dos ataques aos sistemas de informação visados.

—	Cooperação e, se assim for decidido, coordenação de capacidades técnicas para uma resposta conjunta ou colaborativa em conformidade com os PON da rede de CSIRT .

—	Avaliação da necessidade de cooperar com terceiros relevantes.

—	Tomada de decisão no âmbito do processo ARGUS (quando ativado).

—	Preparação das decisões e coordenação ao abrigo do mecanismo IPCR (quando ativado).

—

Apoio à tomada de decisões do SEAE por intermédio do mecanismo de resposta a situações de crise do SEAE (quando ativado), nomeadamente no que se refere aos contactos com países terceiros e organizações internacionais, bem como qualquer medida destinada a proteger as missões e operações da PCSD e as delegações da UE.

Comunicações públicas:

—	Chegar a acordo sobre as mensagens públicas relativas ao incidente.

—	Se a crise implicar uma dimensão externa ou a nível da política comum de segurança e defesa (PCSD), a comunicação pública deve ser coordenada com o SEAE e o serviço do porta-voz do AR/VP.

Cooperação a nível estratégico/político

Potenciais intervenientes

—	Pelos Estados-Membros, os ministros responsáveis pela cibersegurança

—	Pelo Conselho Europeu, o Presidente

—	Pelo Conselho, a Presidência rotativa

—	Se as medidas se incluírem no âmbito dos «instrumentos de ciberdiplomacia», o CPS e o Grupo Horizontal

—	Pela Comissão Europeia, o Presidente ou o Vice-Presidente/Comissário delegado.

—	O Alto-Representante da União para os Negócios Estrangeiros e a Política de Segurança/Vice-Presidente da Comissão.

Âmbito das atividades: Gestão estratégica e política dos aspetos cibernéticos e não cibernéticos da crise, incluindo as medidas ao abrigo do quadro para uma resposta diplomática comum da UE às ciberatividades maliciosas.

Conhecimento partilhado da situação:

—	Identificar os impactos das perturbações causadas pela crise sobre o funcionamento da União.

Resposta:

—	Ativar os mecanismos/instrumentos adicionais de gestão de crises, dependendo da natureza e do impacto do incidente. Estes podem incluir, por exemplo, o Mecanismo de Proteção Civil.

—	Tomar medidas no âmbito do quadro para uma resposta diplomática comum da UE às ciberatividades maliciosas.

—	Disponibilizar ajuda de emergência aos Estados-Membros afetados, por exemplo, ativando o Fundo de Resposta de Emergência para a Cibersegurança (22), quando aplicável.

—	Cooperação e coordenação, se for caso disso, com organizações internacionais, tais como as Nações Unidas (ONU), a Organização para a Segurança e a Cooperação na Europa (OSCE) e, em especial, a OTAN.

—	Avaliar as implicações em matéria de segurança e defesa nacional.

Comunicações públicas:

Decidir sobre uma estratégia comum de comunicação para o público.

RESPOSTA COORDENADA COM OS ESTADOS-MEMBROS A NÍVEL DA UE, NO QUADRO DO MECANISMO IPCR

De acordo com o princípio da complementaridade a nível da UE, a presente secção apresenta e centra-se, em particular, no objetivo fundamental e nas responsabilidades e atividades das autoridades dos Estados-Membros, da rede de CSIRT, da ENISA, da CERT-UE, do Europol/EC3, do INTCEN, da célula de fusão da UE contra as ameaças híbridas, e do Grupo Horizontal das Questões do Ciberespaço do Conselho, no âmbito do processo IPCR. Pressupõe-se que os intervenientes devem atuar em conformidade com os procedimentos estabelecidos a nível da UE ou a nível nacional.

É essencial referir que, como ilustrado na figura 1, independentemente da ativação dos mecanismos de gestão de crises da UE, as atividades a nível nacional, bem como a cooperação no âmbito da rede de CSIRT (quando necessária), ocorrem, durante qualquer incidente/crise, de acordo com os princípios da subsidiariedade e da proporcionalidade.

Figura 1

Resposta a incidentes/crises de cibersegurança a nível da UE

Todas as atividades descritas a seguir devem ser realizadas em conformidade com os procedimentos operacionais normalizados/regras dos mecanismos de cooperação envolvidos e em linha com os mandatos e competências dos vários intervenientes e instituições. Estas regras/procedimentos podem necessitar de alguns aditamentos ou alterações a fim de alcançar a melhor cooperação possível e a eficácia de resposta a incidentes e crises de cibersegurança em grande escala.

Nem todos os intervenientes a seguir apresentados podem ser obrigados a tomar medidas durante um determinado incidente. No entanto, o plano e os procedimentos operacionais normalizados pertinentes dos mecanismos de cooperação devem prever a sua eventual participação.

Tendo em conta os diferentes graus de impacto na sociedade que um incidente ou crise de cibersegurança pode ter, obter um elevado grau de flexibilidade no que se refere à participação de intervenientes setoriais a todos os níveis e formular uma resposta adequada dependerão de atividades de atenuação de cariz cibernético e não cibernético.

Gestão de crises de cibersegurança — Integração da cibersegurança no processo IPCR

O mecanismo IPCR, descrito nos PON do IPCR (23), segue sequencialmente as etapas descritas abaixo (a observância de algumas destas etapas dependerá da situação).

São especificadas as atividades e intervenientes específicos em matéria de cibersegurança para cada etapa. Por razões de comodidade de leitura, em cada etapa, o texto dos PON do IPCR é seguido pelas atividades específicas do plano. Esta abordagem progressiva permite igualmente a identificação clara das lacunas existentes em termos de capacidades necessárias e de procedimentos que dificultam uma resposta eficaz às crises de cibersegurança.

A figura 2 (abaixo (24)) é uma representação gráfica do processo IPCR, na qual os novos elementos introduzidos estão assinalados a azul.

Figura 2

Elementos específicos de cibersegurança no IPCR

Nota: Dada a natureza das ameaças híbridas no domínio do ciberespaço, que se destinam a permanecer abaixo do limiar reconhecível de uma crise, a UE precisa de levar a cabo medidas de prevenção e preparação. A célula de fusão da UE contra as ameaças híbridas fica incumbida de analisar rapidamente os incidentes relevantes e de informar as estruturas de coordenação adequadas. A apresentação periódica de relatórios por parte da célula de fusão pode contribuir para fundamentar a tomada de decisões setoriais no sentido de melhorar o estado de preparação.

—

Etapa 1 — Acompanhamento e alerta setorial regular: os relatórios e alertas de situação setorial existentes dão indicações à Presidência do Conselho sobre o desenvolvimento de uma crise e a sua eventual evolução. — Lacuna identificada: Atualmente, não existem relatórios e alertas de situação periódicos e coordenados em matéria de cibersegurança relativos a incidentes (e ameaças) de cibersegurança a nível da UE. — Plano de ação: Acompanhamento/comunicação da situação da UE em matéria de cibersegurança — A ENISA elaborará um relatório periódico sobre a situação técnica da UE em matéria de cibersegurança relativo aos incidentes e ameaças, com base em informações publicamente disponíveis, nas suas própria análises e em relatórios partilhados pelas CSIRT dos Estados-Membros (numa base voluntária) ou pelos pontos de contacto únicos no âmbito da Diretiva SRI, pelo Centro Europeu da Cibercriminalidade (EC3) da Europol, pela CERT-UE e pelo Centro de Análise de Informações da União Europeia (INTCEN) do Serviço Europeu para a Ação Externa (SEAE). O relatório deve ser disponibilizado às instâncias competentes do Conselho, da Comissão e da rede de CSIRT. — Em nome da SIAC, a célula de fusão da UE contra as ameaças híbridas deve elaborar um relatório sobre a situação operacional da UE em matéria de cibersegurança. O relatório apoia igualmente o quadro para uma resposta diplomática comum da UE às ciberatividades maliciosas. — Ambos os relatórios são divulgados às partes interessadas, a nível nacional e da UE, a fim de contribuir para o seu próprio conhecimento da situação e fundamentar a tomada de decisões e facilitar a cooperação transfronteiras a nível regional.

Após a deteção de um incidente

—

Etapa 2 — Análise e aconselhamento: com base nos dados de acompanhamento e alerta disponíveis, os serviços da Comissão, o SEAE e o SGC mantêm-se mutuamente informados sobre eventuais desenvolvimentos, de modo a estarem aptos a aconselhar a Presidência para uma eventual ativação do IPCR (na íntegra ou em modo de partilha de informações); — Plano de ação: — Pela Comissão, a DG CNECT, a DG HOME, a DG HR.DS e a DG DIGIT, apoiadas pela ENISA, pelo EC3 e pela CERT-EU. — O SEAE. Baseando-se nos trabalhos da SITROOM e em fontes de informação, a célula de fusão da UE contra as ameaças híbridas providencia o conhecimento da situação sobre ameaças híbridas reais e potenciais que afetam a UE e os seus parceiros, incluindo as ciberameaças. Por conseguinte, quando a análise e avaliação da célula de fusão da UE contra as ameaças híbridas indica a existência de possíveis ameaças dirigidas contra um Estado-Membro, países ou organizações parceiras, o INTCEN informará (em primeira instância) a nível operacional, de acordo com os procedimentos estabelecidos. O nível operacional elaborará então recomendações para o nível estratégico e político, incluindo a eventual ativação de mecanismos de gestão de crise no modo de acompanhamento (por exemplo, o mecanismo de resposta a situações de crise do SEAE ou página de acompanhamento do IPCR). — O presidente da rede de CSIRT elabora, com a assistência da ENISA, um relatório sobre a situação de incidentes de cibersegurança da UE (25), que é apresentado à Presidência, à Comissão e ao Alto Representante/Vice-Presidente por intermédio da CSIRT do Estado-Membro que assume a presidência rotativa.

—

Etapa 3 — Avaliação/decisão sobre a ativação do IPCR: a Presidência avalia a necessidade de coordenação política, de intercâmbio de informações ou de tomada de decisões a nível da UE. Para o efeito, a Presidência pode convocar uma mesa-redonda informal. A Presidência procede a uma primeira identificação dos domínios que exigem uma intervenção do Coreper ou do Conselho. Esta constituirá a base das orientações para a produção de relatórios de conhecimento e análise integrados da situação (ISAA). Em função das características da crise, das suas possíveis consequências e das necessidades políticas conexas, a Presidência decidirá quanto à conveniência ou não de convocar reuniões dos grupos pertinentes do Conselho e/ou do Coreper e/ou do CPS. — Plano de ação: — Participantes da mesa-redonda: — Os serviços da Comissão e o SEAE aconselharão a Presidência nas respetivas áreas de competência. — Os representantes dos Estados-Membros no Grupo Horizontal das Questões do Ciberespaço, apoiados por peritos nacionais (das CSIRT, das autoridades competentes em matéria de cibersegurança, etc.). — Orientação política/estratégica para os relatórios ISAA, baseada no mais recente relatório sobre a situação de incidentes de cibersegurança da UE e em informações adicionais facultadas pelos participantes da mesa-redonda. — Grupos de trabalho e comités pertinentes: — Grupo Horizontal das Questões do Ciberespaço. A Comissão, o SEAE e o SGC, em pleno acordo e em associação com a Presidência, podem igualmente decidir ativar o IPCR em modo de partilha de informações, gerando uma página de crise, a fim de preparar o terreno para uma possível ativação plena.

—

Etapa 4 — Ativação do IPCR/recolha e intercâmbio de informação: após a ativação (quer em modo de partilha de informações, quer em pleno) é gerada uma página de crise na plataforma Web do IPCR, a qual permite o intercâmbio específico de informações centrado nos aspetos que contribuirão para alimentar o relatório ISAA e preparar o debate a nível político. O serviço responsável pelo ISAA (um dos serviços da Comissão ou o SEAE) dependerá das circunstâncias do caso.

—

Etapa 5 — Elaboração de relatórios ISAA: a produção de relatórios ISAAA é iniciada. A Comissão/SEAE emitirá relatórios ISAA tal como delineado nos PON do ISAA e pode continuar a promover o intercâmbio de informações na plataforma Web do IPCR, ou emitir pedidos de informação específicos. Os relatórios ISAA são elaborados de acordo com as necessidades a nível político (ou seja, do Coreper ou do Conselho), tal como definido pela Presidência e estabelecido nas suas orientações, permitindo, assim, uma visão estratégica da situação e um debate esclarecido sobre os pontos da ordem de trabalhos definidos pela Presidência. Em conformidade com os procedimentos operacionais normalizados do ISAA, a natureza da crise de cibersegurança determinará se o relatório ISAA é preparado por um dos serviços da Comissão (DG CNECT, DG HOME) ou pelo SEAE. Na sequência da ativação do IPCR, a Presidência resumirá os domínios específicos de interesse para o ISAA, a fim de apoiar a coordenação política e/ou o processo de tomada de decisões no Conselho. A Presidência irá também especificar o calendário de apresentação do relatório, na sequência de consultas com os serviços da Comissão e o SEAE. — Plano de ação: — O relatório ISAA inclui as contribuições de serviços pertinentes, incluindo: — A rede de CSIRT, sob a forma do relatório sobre a situação a incidentes de cibersegurança da UE. — O EC3, a SITROOM, a célula de fusão da UE contra as ameaças híbridas, a CERT-UE. A célula de fusão da UE contra as ameaças híbridas apoiará e dará contributos ao serviço responsável pelo relatório ISAA e à mesa-redonda do IPCR, se for caso disso. — Agências e organismos setoriais da UE, consoante os setores afetados. — Autoridades dos Estados-Membros (além das CSIRT). — Recolha de dados para o relatório ISAA (26): — Comissão e agências da UE: o sistema informático ARGUS proporcionará a espinha dorsal da rede interna da ISAA. As agências da UE devem enviar os seus contributos para as respetivas DG responsáveis, as quais, por sua vez, introduzirão as informações pertinentes no ARGUS. Os serviços e agências da Comissão recolherão informações a partir de redes setoriais existentes junto dos Estados-Membros e organizações internacionais e de outras fontes pertinentes. — No caso do SEAE: a Sala de Situação da UE, apoiada por outros departamentos do SEAE competentes, constituirá a espinha dorsal da rede interna e o ponto de contacto único para o ISAA. O SEAE recolherá informações provenientes de países terceiros e de organizações internacionais competentes.

—

Etapa 6 — Preparação da mesa-redonda informal da Presidência: a Presidência, assistida pelo Secretariado-Geral do Conselho, definirá o calendário, a ordem de trabalhos, os participantes, os resultados esperados e (possíveis prestações concretas) da mesa-redonda informal da Presidência. O SGC dará informações relevantes sobre a plataforma Web do IPCR em nome da Presidência, e emitirá, nomeadamente, a convocatória da reunião.

—

Etapa 7 — Mesa-redonda da Presidência/medidas preparatórias para a coordenação/tomada de decisões políticas a nível da UE: a Presidência reunirá uma mesa-redonda informal para rever a situação, assim como para elaborar e rever os elementos que devem ser levados à atenção do Coreper ou do Conselho. A mesa-redonda informal da Presidência será também a instância adequada para elaborar, rever e debater todas as propostas de ação a apresentar ao Coreper/Conselho. — Plano de ação: — O Grupo Horizontal das Questões do Ciberespaço do Conselho deve preparar a reunião do CPS ou do Coreper;

—

Etapa 8 — Coordenação política e tomada de decisão a nível do Coreper/Conselho: os resultados das reuniões do Coreper/Conselho dizem respeito à coordenação das atividades de resposta a todos os níveis, às decisões sobre medidas excecionais, às declarações políticas, etc. Estas decisões constituem igualmente uma orientação política/estratégica atualizada para a produção de futuros relatórios ISAA. — Plano de ação: — A decisão política de coordenar a resposta à crise de cibersegurança é executada por meio das atividades (realizadas pelos respetivos intervenientes) descritas na secção 1 «Cooperação a nível estratégico/político, operacional e técnico», no que diz respeito à Resposta e Comunicação Pública. — A elaboração do relatório ISAA continua, baseada na cooperação a nível técnico, operacional e político/estratégico, no que diz respeito ao Conhecimento da Situação também descrito na secção 1.

—

Etapa 9 — Acompanhamento do impacto: o serviço responsável pelo relatório ISAA, com o apoio dos colaboradores do ISAA, fornecerá informações sobre a evolução da crise e sobre o impacto das decisões políticas tomadas. Este circuito de retorno de informação apoiará um processo evolutivo e a decisão da Presidência no sentido de continuar o envolvimento a nível político da UE, ou de retirar progressivamente o IPCR.

—

Etapa 10 — Retirada gradual: seguindo o mesmo procedimento utilizado para a ativação, a Presidência pode convocar uma mesa-redonda informal para avaliar a necessidade de manter o IPCR ativo ou não. A Presidência pode decidir encerrar ou reduzir o nível de ativação. — Plano de ação: — A ENISA pode ser convidada a contribuir para um inquérito técnico ex post do incidente, ou a realizá-lo, em conformidade com o disposto no seu mandato.

---

(1)  Decisão 2014/496/PESC.

(2)  Diretiva (UE) 2016/1148.

(3)  Decisão (UE, Euratom) 2015/443, de 13 de março de 2015, relativa à segurança na Comissão (JO L 72 de 17.3.2015, p. 41); Decisão (UE, Euratom) 2015/444, de 13 de março de 2015, relativa às regras para a proteção de informações classificadas (JO L 72 de 17.3.2015, p. 53); Decisão da Alta-Representante da União Europeia para os Negócios Estrangeiros e a Política de Segurança, de 19 de abril de 2013, relativa às regras de segurança aplicáveis ao Serviço Europeu para a Ação Externa (JO C 190 de 29.6.2013, p. 1); Decisão 2013/488/UE do Conselho de 23 de setembro de 2013, relativa às regras de segurança para a proteção de informações classificadas da UE (JO L 274 de 15.10.2013, p. 1).

(4)  https://www.first.org/tlp/.

(5)  Em junho de 2016, estes canais de transmissão incluíam o CIMS (Sistema de Gestão de Informações Classificadas), o ACID (algoritmo de encriptação), o RUE (sistema seguro para criar, trocar e armazenar documentos restritos da UE — RESTREINT UE/EU RESTRICTED) e o SOLAN. Outros meios de transmissão de informações classificadas incluem, por exemplo, o PGP ou S/MIME.

(6)  Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) (JO L 119 de 4.5.2016, p. 1).

(7)  Diretiva 2002/58/CE do Parlamento Europeu e do Conselho, de 12 de Julho de 2002, relativa ao tratamento de dados pessoais e à proteção da privacidade no setor das comunicações eletrónicas (Diretiva relativa à privacidade e às comunicações eletrónicas) (JO L 201 de 31.7.2002, p. 37).

(8)  Regulamento (CE) n.o 45/2001 do Parlamento Europeu e do Conselho, de 18 de dezembro de 2000, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições e pelos órgãos comunitários e à livre circulação desses dados (JO L 8 de 12.1.2001, p. 1) — atualmente objeto de reexame.

(9)  Neste contexto, é importante notar que a comunicação pública pode referir-se tanto à comunicação sobre o incidente em geral, como à comunicação de informações mais técnicas ou operacionais com setores críticos e/ou com aqueles que tenham sido afetados. Isto pode exigir a utilização de canais de divulgação confidenciais e de ferramentas/plataformas técnicas específicas. Em qualquer dos casos, a comunicação aos operadores e ao público em geral no território dos Estados-Membros é da responsabilidade e constitui uma prerrogativa destes. Por conseguinte, em conformidade com o princípio da subsidiariedade acima exposto, os Estados-Membros e as CSIRT nacionais têm responsabilidade final pelas informações difundidas no interior do seu território e aos seus constituintes, respetivamente.

(10)  «Autorização para atuar» — perante uma crise de cibersegurança, os tempos de reação curtos são de importância crucial para que se possam definir medidas de atenuação adequadas. A fim de permitir esses tempos de reação curtos, um Estado-Membro pode emitir, voluntariamente, «autorizações para atuar» a um outro, autorizando esse Estado-Membro a atuar de imediato, sem ter de consultar níveis ou instituições da UE superiores e passar por todos os canais oficiais normalmente exigidos, se tal não for exigido no caso de um determinado incidente (por exemplo, uma CSIRT não deve ter de consultar níveis superiores para transmitir informações valiosas a uma CSIRT de outro Estado-Membro).

(11)  Entende-se por «tratamento de incidentes» todos os procedimentos de apoio à deteção, análise e contenção de um incidente, e a resposta ao incidente;

(12)  Consoante a natureza e o impacto do incidente em diferentes setores de atividade (finanças, transportes, energia, saúde, etc.), serão envolvidas as agências ou organismos competentes da UE.

(13)  O relatório sobre a situação de incidentes de cibersegurança da UE é composto por uma agregação de relatórios nacionais fornecidos pelas CSIRT nacionais. O formato do relatório deve ser descrito nos PON da rede de CSIRT.

(14)  Em conformidade e ao abrigo das condições e procedimentos estabelecidos no quadro jurídico do EC3.

(15)  Indicador de comprometimento (COI) — em informática forense, é uma anomalia observada numa rede ou num sistema operativo, que, com um índice elevado de confiança, revela uma intrusão informática. Os OIC típicos são assinaturas de vírus e endereços de IP, endereçamentos MD5 de ficheiros maliciosos ou URL ou nomes de domínio de comando «botnet» e servidores de controlo.

(16)  Proposta de Regulamento relativo à ENISA, Agência da União Europeia para a Cibersegurança, e à certificação da cibersegurança das tecnologias da informação e comunicação («Regulamento Cibersegurança»), e que revoga o Regulamento (UE) n.o 526/2013, de 13 de setembro de 2017.

(17)  Aconselhamento de caráter técnico quanto às causas do incidente e eventuais medidas de atenuação.

(18)  Informação sobre a vulnerabilidade técnica que está a ser aproveitada para exercer um impacto negativo nos sistemas informáticos.

(19)  O Comité de Representantes Permanentes ou Coreper (artigo 240.o do Tratado sobre o Funcionamento da União Europeia — TFUE) é responsável pela preparação dos trabalhos do Conselho da União Europeia.

(20)  O Comité Político e de Segurança é um Comité do Conselho da União Europeia que lida com a política externa e de segurança comum (PESC) a que se refere o artigo 38.o do Tratado da União Europeia.

(21)  Em conformidade e ao abrigo das condições e procedimentos estabelecidos no quadro jurídico do EC3.

(22)  O Fundo de Resposta de Emergência para a Cibersegurança é uma ação proposta ao abrigo da comunicação conjunta «Resiliência, dissuasão e defesa: Reforçar a cibersegurança na UE», JOIN (2017) 450/1.

(23)  Documento 12607/15 — «Procedimentos Operacionais Normalizados do IPCR», acordado pelo Grupo dos Amigos da Presidência e levado ao conhecimento do Coreper em outubro de 2015.

(24)  Está disponível, no apêndice, uma versão maior da figura.

(25)  O relatório sobre a situação de incidentes de cibersegurança da UE é composto por uma agregação de relatórios nacionais fornecidos pelas CSIRT nacionais. O formato do relatório deve ser descrito nos PON da rede de CSIRT.

(26)  PON do ISAA

APÊNDICE

1.   GESTÃO DE CRISES, MECANISMOS DE COOPERAÇÃO E INTERVENIENTES A NÍVEL DA UE

Mecanismos de gestão de crises

Mecanismo Integrado da UE de Resposta Política a Situações de Crise (IPCR): o Mecanismo Integrado da UE de Resposta Política a Situações de Crise (IPCR), aprovado pelo Conselho em 25 de junho de 2013 (1), visa facilitar a coordenação a resposta atempadas a nível político da UE em caso de uma crise grave. O IPCR também apoia a coordenação a nível político da resposta à invocação da cláusula de solidariedade (artigo 222.o do TFUE), tal como definido na Decisão 2014/415/UE do Conselho relativa às regras de execução da cláusula de solidariedade pela União, adotada em 24 de junho de 2014. Os procedimentos operacionais normalizados (2) (PON) do IPCR definem o processo de ativação e as medidas subsequentes a tomar.

ARGUS: sistema de coordenação de crises criado pela Comissão Europeia em 2005 para assegurar um processo de coordenação específico em caso de crise multissetorial grave. É apoiado por um sistema geral de alerta rápido (ferramenta informática) com o mesmo nome. O sistema ARGUS prevê duas fases, sendo que na fase II (em caso de crise multissetorial grave) são convocadas reuniões do Comité de Coordenação da Crise (CCC) sob a autoridade do Presidente da Comissão ou de um comissário a quem tenha sido delegada essa responsabilidade. O CCC reúne representantes das Direções-Gerais competentes da Comissão, dos gabinetes, e de outros serviços da UE, a fim de conduzir e coordenar a resposta da Comissão à crise. Presidido pelo Secretário-Geral Adjunto, o CCC avalia a situação, pondera as opções e toma decisões práticas no que se refere às ferramentas e instrumentos da UE sob a responsabilidade da Comissão, e garante a implementação das decisões (3)  (4).

Mecanismo de resposta a situações de crise do SEAE: o mecanismo de resposta a situações de crise do SEAE é um sistema estruturado que permite ao SEAE responder a crises e situações de emergência que tenham natureza externa ou uma importante dimensão externa — incluindo ameaças híbridas — que afetem potencial ou efetivamente os interesses da UE ou de qualquer Estado-Membro. Garantindo a participação de funcionários competentes da Comissão, bem como do Secretariado do Conselho, nas suas reuniões, o mecanismo promove sinergias entre os esforços diplomáticos, de segurança e de defesa e os instrumentos financeiros, comerciais e de cooperação geridos pela Comissão. A célula de crise pode ser ativada para toda a duração da crise.

Mecanismos de cooperação

Rede de CSIRT: a rede de equipas de resposta a incidentes de segurança informática reúne todas as CSIRT nacionais e governamentais e a CERT-UE. O objetivo da rede é permitir e reforçar a partilha de informações entre as CSIRT sobre ameaças e incidentes de cibersegurança e cooperar na resposta a incidentes e crises de cibersegurança.

Grupo Horizontal das Questões do Ciberespaço do Conselho: o grupo de trabalho foi criado para assegurar a coordenação estratégica e horizontal das questões de política do ciberespaço no Conselho e pode ser envolvido em atividades legislativas e não legislativas.

Intervenientes

ENISA: a Agência da União Europeia para a Segurança das Redes e da Informação foi criada em 2004. A Agência trabalha em estreita colaboração com os Estados-Membros e o setor privado, a fim de prestar aconselhamento sobre questões e soluções, tais como exercícios pan-europeus de cibersegurança, o desenvolvimento de estratégias nacionais em matéria de cibersegurança, a cooperação entre as CSIRT e o reforço das capacidades. A ENISA colabora diretamente com as CSIRT em toda a UE e assegura os serviços de secretariado da rede de CSIRT.

CCRE: o Centro de Coordenação de Resposta de Emergência da Comissão (integrado na Direção-Geral da Proteção Civil e das Operações de Ajuda Humanitária Europeias — DG ECHO) apoia e coordena um vasto leque de atividades de prevenção, preparação e operações de resposta, 24 horas por dia, sete dias por semana. Inaugurado em 2013, funciona como plataforma de resposta da Comissão à situações de crise (estabelecendo o contacto com outros centros de crise), incluindo como ponto de contacto central a tempo inteiro do IPCR.

Europol/EC3: o Centro Europeu da Cibercriminalidade (EC3), criado em 2013 no âmbito da Europol, apoia a aplicação coerciva da lei contra a cibercriminalidade na UE. O EC3 oferece apoio analítico e operacional às investigações dos Estados-Membros e funciona como plataforma central de dados e de informações criminais para apoiar as operações e as investigações dos Estados-Membros por meio de uma análise operacional, coordenação e conhecimentos especializados, bem como de técnicos altamente especializados e de capacidades digitais de apoio forense.

CERT-UE: a Equipa de Resposta a Emergências Informáticas para as instituições e agências da UE tem um mandato para melhorar a proteção das instituições, organismos e agências da UE contra ciberameaças. É membro da rede de CSIRT. O CERT-UE tem acordos técnicos sobre a partilha de informações sobre ciberameaças com a CIRC da OTAN, alguns países terceiros e importantes intervenientes comerciais no domínio da cibersegurança.

A Comunidade de Informações da UE inclui o Centro de Análise de Informações da UE (INTCEN) e a Direção de Informações (EUMS INT) do Estado-Maior da UE (EMUS), no âmbito do regime da Capacidade Única de Análise de Informações (SIAC). A SIAC tem por missão fornecer análises de informação, alertas rápidos e conhecimento da situação ao Alto Representante da União Europeia para os Negócios Estrangeiros e a Política de Segurança e ao Serviço Europeu para a Ação Externa (SEAE). A SIAC oferece os seus serviços a vários órgãos de tomada de decisão da União Europeia nos domínios da política externa e de segurança comum (PESC), da política comum de segurança e defesa (PCSD) e da luta contra o terrorismo (CT), bem como aos Estados-Membros. O INTCEN da UE e a EUMS INT não são agências operacionais e não têm qualquer capacidade de recolha. O nível operacional dos serviços de informação é da responsabilidade dos Estados-Membros. A SIAC apenas realiza análises estratégicas.

Célula de fusão da UE contra as ameaças híbridas: a comunicação conjunta em matéria de luta contra as ameaças híbridas, de abril de 2016, designa a célula de fusão da UE contra as ameaças híbridas da UE (HFC) como ponto de contacto para todas as análises de raiz a ameaças híbridas na UE: o seu mandato foi aprovado em dezembro de 2016 pela Comissão, mediante uma consulta interserviços. Tendo por base o INTCEN, a célula de fusão da UE contra as ameaças híbridas faz parte do SIAC e, por conseguinte, trabalha em conjunto com a EUMS INT e dispõe de um militar permanente designado. O termo «híbrido» refere-se à utilização deliberada por um Estado ou por um interveniente não estatal de uma combinação de múltiplas ferramentas e alavancas militares/civis de cariz secreto/ostensivo, como, por exemplo, os ciberataques, as campanhas de desinformação, a espionagem, a pressão económica, a utilização de forças rebeldes de outro país ou outras atividades subversivas. A HFC da UE trabalha com uma vasta rede de pontos de contacto, tanto no âmbito da Comissão como dos Estados-Membros, para fornecer a resposta integrada/abordagem cabal do governo necessária para fazer face aos diversos desafios.

SITROOM DA UE: A Sala de Situação da UE faz parte do Centro de Análise de Informações da UE (INTCEN) e disponibiliza ao SEAE capacidade operacional para assegurar uma resposta imediata e eficaz às crises. Trata-se de um organismo permanente de prevenção, civil e militar, que disponibiliza a tempo inteiro o acompanhamento e o conhecimento da situação.

Instrumentos relevantes

Quadro para uma resposta diplomática comum da UE às ciberatividades maliciosas: o quadro, acordado em junho de 2017, faz parte da abordagem da UE em matéria de ciberdiplomacia, que contribui para a prevenção de conflitos, para atenuar as ameaças à cibersegurança e para uma maior estabilidade nas relações internacionais. O quadro faz pleno uso das medidas no âmbito da política externa e de segurança comum, incluindo, se necessário, medidas restritivas. A utilização das medidas no âmbito do quadro deve incentivar a cooperação, facilitar a atenuação das ameaças imediatas e a longo prazo e influenciar o comportamento de infratores e de potenciais agressores, a longo prazo.

2.   COORDENAÇÃO DE CRISES DE CIBERSEGURANÇA NO MECANISMO IPCR — NÍVEL DE COORDENAÇÃO HORIZONTAL E PROCEDIMENTO POLÍTICO POR ETAPAS

O mecanismo IPCR pode ser (e tem sido) utilizado para abordar questões técnicas e operacionais, mas sempre a partir de um ângulo estratégico/político.

Em termos de procedimento por etapas, o IPCR pode ser utilizado de acordo com o nível da crise, passando do modo de «acompanhamento» para o «modo de partilha de informações», que é o primeiro nível de ativação do IPCR, e para «IPCR com ativação plena».

A sua plena ativação é uma decisão da Presidência rotativa do Conselho da UE. A Comissão, o SEAE e o SGC podem ativar o IPCR no modo de partilha de informações. O acompanhamento e a partilha de informações desencadeiam diferentes níveis de intercâmbio de informações, sendo que, no segundo caso, é ativado um pedido para a elaboração de relatórios ISAA. A ativação plena acrescenta as mesas-redondas do IPCR ao instrumento, adicionando a Presidência à discussão (geralmente o presidente do Coreper II, ou um perito com nível de conselheiro representante permanente; porém, excecionalmente, já tiveram lugar mesas redondas a nível ministerial).

Intervenientes

A Presidência rotativa (normalmente o Presidente do Coreper) é a responsável

Pelo Conselho Europeu, o Gabinete do Presidente

Pela Comissão Europeia, representantes ao nível do SGA/DG e/ou peritos

Pelo SEAE, representantes ao nível do SGA/DE e/ou peritos

Pelo SGC, o Gabinete do SG, a equipa do IPCR e as DG competentes

Âmbito das atividades: gerar uma visão integrada comum da situação e aumentar o conhecimento dos pontos de bloqueio ou limitações em cada um dos três níveis, a fim de resolvê-los a nível político, gerando decisões na reunião da mesa, caso se enquadrem nas competências dos participantes, ou gerando propostas de ação que passem para o Coreper II e para o Conselho.

Conhecimento partilhado da situação:

IPCR não ativado: podem ser geradas páginas de acompanhamento do IPCR para acompanhar o desenvolvimento de situações que possam degenerar numa crise com consequências para a UE.

IPCR ativado em modo de partilha de informações: os relatórios ISAA serão redigidos pelo responsável pelo ISAA com base nos contributos dos serviços da Comissão, do SEAE, e dos Estados-Membros (por meio dos questionários IPCR).

IPCR em ativação plena IPCR: além dos relatórios ISAA, as mesas-redondas informais do IPCR reúnem diferentes intervenientes afetados nos Estados-Membros, na Comissão, no SEAE, nas agências competentes, etc., para debater as limitações e os pontos de bloqueio.

Cooperação e resposta:

Ativar/sincronizar os mecanismos/instrumentos adicionais de gestão de crises, dependendo da natureza e impacto do incidente. Estes podem incluir, por exemplo, o Mecanismo de Proteção Civil, o quadro para uma resposta diplomática comum da UE às ciberatividades maliciosas ou o quadro comum em matéria de luta contra as ameaças híbridas.

Comunicação em situação de crise:

A rede de comunicação em situação de crise do IPCR pode ser ativada pela Presidência, após consulta com os serviços competentes da Comissão, do SGC e do SEAE, a fim de apoiar a criação de mensagens comuns ou desenvolver os instrumentos de comunicação mais eficazes.

3.   GESTÃO DE CRISES DE CIBERSEGURANÇA NO ARGUS — PARTILHA DE INFORMAÇÕES NO SEIO DA COMISSÃO EUROPEIA

Perante crises inesperadas que exigiram ação a nível europeu, por exemplo, os atentados terroristas em Madrid (março de 2004), o tsunami no Sudeste Asiático (dezembro de 2004) e os ataques terroristas em Londres (julho de 2005), a Comissão criou, em 2005, o sistema ARGUS de coordenação, apoiado por um sistema geral de alerta rápido com o mesmo nome (5)  (6). O seu objetivo é disponibilizar um processo de coordenação de crise específico, numa eventual situação de crise multissetorial grave, a fim de permitir a partilha em tempo real de informações relacionadas com a crise e garantir a rápida tomada de decisões.

O sistema ARGUS define duas fases em função da gravidade do caso:

Fase I: é utilizada para a «partilha de informações» sobre uma crise de dimensões limitadas Exemplos de eventos de Fase I recentemente comunicados incluem os incêndios florestais em Portugal e Israel, o ataque em Berlim, em 2016, as inundações na Albânia, o furacão Matthew no Haiti e a seca na Bolívia. Todas as DG podem comunicar um evento na Fase I caso considerem que uma situação no seu domínio de competência é suficientemente grave para justificar ou beneficiar de partilha de informações. Por exemplo, a DG CNECT ou a DG HOME podem comunicar um evento na Fase I caso considerem que uma situação em matéria de ciberespaço no seu domínio de competência é suficientemente grave para justificar ou beneficiar de partilha de informações.

Fase II: é ativada em caso de crise multissetorial grave ou de ameaça previsível ou iminente para a União. A Fase II desencadeia um processo de coordenação específico que permite à Comissão tomar decisões e gerir uma resposta rápida, coordenada e coerente ao mais alto nível no seu domínio de competência e em cooperação com as outras instituições. A Fase II aplica-se a crises multissetoriais graves ou a ameaças previsíveis ou iminentes. Exemplos de eventos reais de Fase II incluem a crise da migração/refugiados (iniciada em 2015 e a decorrer), a tripla catástrofe de Fucoxima (2011) e a erupção do vulcão Eyjafjallajökull na Islândia (2010). A Fase II é ativada pelo Presidente, por sua própria iniciativa ou a pedido de um membro da Comissão. O Presidente pode atribuir a responsabilidade política da resposta da Comissão ao comissário responsável pelo serviço mais afetado pela crise em questão, ou decidir manter ele próprio essa responsabilidade. Esta fase prevê reuniões de emergência do Comité de Coordenação da Crise (CCC). Estas são convocadas sob a autoridade do Presidente ou de um comissário a quem tenha sido delegada essa responsabilidade. O SG convoca as reuniões por meio da ferramenta informática do ARGUS. O CCC é uma estrutura específica de gestão operacional de situações de crise, criada a fim de dirigir e coordenar a resposta da Comissão à crise, reunindo representantes das Direções-Gerais competentes da Comissão, dos gabinetes, e de outros serviços da UE. Presidido pelo Secretário-Geral Adjunto, o CCC avalia a situação, pondera as opções e toma decisões, e assegura que essas decisões e ações são executadas garantindo, ao mesmo tempo, a coerência e consistência da resposta. O SG fornece apoio ao CCC.

4.   MECANISMO DE RESPOSTA A SITUAÇÕES DE CRISE DO SEAE

O mecanismo de resposta a situações de crise do SEAE (MRSC) é ativado mediante a ocorrência de uma situação grave ou de uma emergência que diga respeito ou de qualquer forma envolva a dimensão externa da UE. O MRSC é ativado pelo SGA para a resposta a situações de crise, após consulta com o AR/VP ou o Secretário-Geral. O SGA para a resposta a situações de crise pode igualmente receber um pedido para iniciar o mecanismo de resposta a situações de crise por parte do AR/VP ou do SG, ou de outro SGA ou SE.

O MRSC contribui para a coerência da UE na resposta a crises no âmbito da estratégia de segurança. Em especial, o MRSC facilita a criação de sinergias entre os esforços diplomáticos, de segurança e de defesa e os instrumentos financeiros, comerciais e de cooperação geridos pela Comissão.

O MRSC está ligado ao sistema de resposta geral de emergência da Comissão (ARGUS) e ao Mecanismo Integrado da UE de Resposta Política a Situações de Crise (IPCR), a fim de explorar as sinergias em caso de ativação simultânea. A Sala de Situação do SEAE funciona como plataforma de comunicação entre o SEAE e os sistemas de resposta a situações de emergência no âmbito do Conselho e da Comissão.

Normalmente, a primeira ação relacionada com a execução do MRSC consiste em convocar uma reunião de crise entre o SEAE, a Comissão e quadros superiores do Conselho diretamente afetados pela crise em causa. A reunião de crise avalia os efeitos da crise a curto prazo e pode acordar que sejam tomadas medidas de imediato, que seja ativada a célula de crise ou que seja organizada uma plataforma de crise. Esses cursos de ação podem ser observados em qualquer sequência temporal.

A célula de crise é uma pequena sala de operações em que representantes dos serviços do SEAE, da Comissão e do Conselho envolvidos na resposta à crise se reúnem para acompanhar a situação de forma contínua, a fim de apoiar os decisores na sede do SEAE. Quando ativada, a célula de crise está operacional 24 horas por dia, 7 dias por semana.

A plataforma de crise reúne os serviços competentes do SEAE, da Comissão e do Conselho para avaliar os efeitos de crises a médio e longo prazo e chegar a acordo sobre as medidas a tomar. É presidido pelo Alto-Representante, ou pelo Secretário-Geral, ou pelo SGA para a resposta a situações de crise. A plataforma de crise avalia a eficácia da ação da UE em no país ou região afetada pela crise, decide sobre as alterações ou medidas adicionais e discute propostas de ação do Conselho. A plataforma de crise é uma reunião ad hoc; por conseguinte, não está permanentemente ativada.

O grupo de trabalho é composto por representantes dos serviços envolvidos na resposta e pode ser ativado para acompanhar e facilitar a execução da resposta da UE. Avalia o impacto da ação da UE, elabora documentos de políticas e opções, contribui para a preparação do quadro político para a abordagem de crises (QPAC), contribui para a estratégia de comunicação, e adota quaisquer outras modalidades que possam facilitar a implementação da resposta da UE.

5.   DOCUMENTOS DE REFERÊNCIA

Segue-se uma lista de documentos de referência que foram tomados em consideração na preparação do presente plano:

—	Quadro de cooperação europeia em crises de cibersegurança, versão 1, 17 de outubro de 2012

—	Relatório sobre a gestão e cooperação em crises de cibersegurança, ENISA, 2014

—	Informações práticas para resposta a incidentes de segurança, ENISA, 2014

—	Práticas comuns a nível da UE no domínio da gestão de crises e aplicabilidade às crises de cibersegurança, ENISA, 2015

—	Estratégias de resposta a incidentes e cooperação em crises de cibersegurança, ENISA, 2016

—	Procedimentos operacionais normalizados da UE em matéria de cibersegurança, ENISA, 2016

—	Um guia de boas práticas para a utilização de taxonomias na prevenção e deteção de incidentes, ENISA, 2017

—	Comunicação «Reforçar o sistema de ciber-resiliência da Europa e promover uma indústria de cibersegurança competitiva e inovadora», COM(2016) 410 final, 5 de julho de 2016

—	Conclusões do Conselho — «Reforçar o sistema de ciberresiliência da Europa e promover uma indústria de cibersegurança competitiva e inovadora» — Conclusões do Conselho (15 de novembro de 2016), 14540/16

—	Decisão 2014/415/UE do Conselho, de 24 de junho de 2014, relativa às regras de execução da cláusula de solidariedade pela União (JO L 192 de 1.7.2014, p. 53)

—	Conclusão do processo de revisão do MCC: Mecanismo Integrado da UE de Resposta Política a Situações de Crise (IPCR), 10708/13, 7 de junho de 2013

—	Conhecimento e Análise Integrados da Situação (ISAA) — Procedimentos Operacionais Normalizados, DS 1570/15, 22 de outubro de 2015

—	Disposições da Comissão que criam o sistema geral de alerta rápido «ARGUS», COM(2005) 662 final de 23 de dezembro de 2005.

—	Decisão 2006/25/CE da Comissão, de 23 de dezembro de 2005, que altera o seu Regulamento Interno (JO L 19 de 24.1.2006, p. 20)

—	Modus operandi do ARGUS, Comissão Europeia, 23 de outubro de 2013

—	Conclusões do Conselho sobre um quadro para uma resposta diplomática comum da UE às ciberatividades maliciosas («instrumentos de ciberdiplomacia»), Doc. 9916/17

—	Protocolo operacional da UE para fazer face às ameaças híbridas, «EU Playbook», SWD(2016) 227

—	Documento de trabalho conjunto dos serviços da Comissão — «Protocolo operacional da UE para fazer face às ameaças híbridas, “EU Playbook”», SWD(2016) 227 final, 5 de julho de 2016.

—	Comunicação conjunta ao Parlamento Europeu e ao Conselho: Quadro comum em matéria de luta contra as ameaças híbridas: uma resposta da União Europeia, JOIN/2016/018 final, 6 de abril de 2016.

—	EEAS(2016) 1674 — Documento de trabalho do Serviço Europeu para a Ação Externa — Célula de fusão da UE contra as ameaças híbridas — Termos de Referência

6.   ELEMENTOS ESPECÍFICOS DE CIBERSEGURANÇA NO PROCESSO IPCR

---

(1)  Documento 10708/13 sobre a «Conclusão do processo de revisão do MCC: o Mecanismo Integrado da UE de Resposta Política a Situações de Crise», aprovado pelo Conselho em 24 de junho de 2013,

(2)  Documento 12607/15 — «Procedimentos Operacionais Normalizados do IPCR», acordado pelo Grupo dos Amigos da Presidência e levado ao conhecimento do Coreper em outubro de 2015.

(3)  Disposições da Comissão que criam o sistema geral de alerta rápido «ARGUS», COM(2005) 662 final de 23 de dezembro de 2005.

(4)  Decisão 2006/25/CE, Euratom da Comissão, de 23 de dezembro de 2005, que altera o seu Regulamento Interno (JO L 19 de 24.1.2006, p. 20).

(5)  Comissão das Comunidades Europeias, 23 de dezembro de 2005, Comunicação da Comissão ao Parlamento Europeu, ao Conselho, ao Comité Económico e Social Europeu e ao Comité das Regiões: Disposições da Comissão que criam o sistema geral de alerta rápido «ARGUS», COM(2005) 662 final.

(6)  Decisão 2006/25/CE, Euratom.