Relator:	Dumitru FORNEA
Correlator:	Alberto MAZZOLA

Consulta	Parlamento Europeu, 1.6.2023
	Conselho da União Europeia, 7.6.2023
Base jurídica	Artigo 114.o, artigo 173.o, n.o 3, e artigo 304.o do Tratado sobre o Funcionamento da União Europeia
Competência	Comissão Consultiva das Mutações Industriais
Adoção em plenária	13.7.2023
Reunião plenária n.o	580
Resultado da votação (votos a favor/votos contra/abstenções)	174/0/1

1.   Conclusões e recomendações

1.1.

O Comité Económico e Social Europeu (CESE) congratula-se com a proposta de regulamento (1) e considera que a coordenação da UE é fundamental para fazer frente à fragmentação atual do mercado e reforçar a cooperação entre as partes interessadas públicas e privadas da UE, com vista a melhorar a prevenção, deteção e capacidade de resposta a ciberameaças. O CESE recomenda que a proposta em apreço preste mais atenção à questão do respeito pelos princípios da subsidiariedade e da proporcionalidade, em consonância com o artigo 4.o, n.o 2, do Tratado da União Europeia (TUE).

1.2.

O CESE reconhece os esforços envidados pela Comissão Europeia no domínio da cibersegurança e salienta que uma resposta abrangente aos incidentes de cibersegurança deve contemplar não só as capacidades e os processos, mas também os aspetos de hardware e software. No entanto, o CESE opõe-se às numerosas competências de execução propostas pelo regulamento, nomeadamente devido ao facto de a cibersegurança continuar a ser uma prerrogativa dos Estados-Membros.

1.3.

É necessária uma estratégia a médio prazo para alcançar a autonomia estratégica em tecnologias-chave e setores críticos, apoiando as empresas sediadas na UE na criação de instalações de investigação e produção. O CESE salienta a importância crucial de adquirir exclusivamente na UE as tecnologias necessárias para equipar os centros de operações de segurança nacionais (SOC) com tecnologias de ponta.

1.4.

O CESE manifesta a sua preocupação por não ter ainda sido adotado, quatro anos após a adoção do Regulamento Cibersegurança da UE (2), nenhum sistema de cibersegurança e não se ter certificado a cibersegurança de nenhum produto. Recomenda a participação das agências setoriais (3) da UE no desenvolvimento de sistemas de cibersegurança e a adoção de uma norma mínima da UE em colaboração com o Comité Europeu de Normalização (CEN), o Comité Europeu de Normalização Eletrotécnica (CENELEC) e o Instituto Europeu de Normalização das Telecomunicações (ETSI), nomeadamente para os dispositivos da «Internet das pessoas» e da «Internet das coisas».

1.5.

O CESE toma nota do papel reforçado proposto para a Agência da União Europeia para a Cibersegurança (ENISA) e apela para que seja dotada de pessoal específico e de recursos orçamentais suficientes para todas as atividades adicionais, a fim de permitir a esta agência desempenhar o seu importante papel estratégico em consonância com as ambições da UE em matéria de cibersegurança.

1.6.

Os Estados-Membros devem chegar a um consenso sobre a adoção de uma abordagem global em matéria de cibersegurança que preveja pessoal qualificado, a aplicação coerente dos processos e a utilização de tecnologias de ponta adequadas, com especial destaque para o reforço da cooperação com o setor privado. É fundamental fortalecer os laços fortes e a cooperação entre os setores da defesa e do setor privado.

1.7.

As especificações técnicas da futura infraestrutura informática devem permitir uma interoperabilidade sem descontinuidades entre os sistemas nacionais e o ciberescudo da UE. Os SOC nacionais devem também estar preparados para realizar testes de esforço a nível nacional em infraestruturas críticas e partilhar os resultados no âmbito do ciberescudo da UE.

1.8.

O CESE propõe que o SOC coordenador de cada consórcio disponha de um mandato de um ano de acordo com um sistema de rotação. O financiamento da UE para o consórcio de acolhimento deve cobrir 100 % dos custos de aquisição de ferramentas e infraestruturas e 50 % dos custos operacionais (contrariamente ao rácio proposto de 75 % e 50 %).

1.9.

Frente à crescente escassez de competências no domínio da cibersegurança verificada nos últimos anos, o CESE congratula-se com a iniciativa da Academia de Competências de Cibersegurança e considera que são necessários indicadores que meçam os progressos realizados na redução do défice de competências desse tipo.

1.10.

O CESE observa que a Comissão Europeia não forneceu uma estimativa precisa dos custos ligados aos programas, às tecnologias de análise de dados e aos projetos de desenvolvimento de infraestruturas necessários. Considera que as fontes de financiamento propostas a nível da UE são inadequadas e insta para que se explorem fontes adicionais, incluindo a mutualização de recursos de financiamento privado.

1.11.

O procedimento descrito para solicitar apoio à reserva de cibersegurança da UE afigura-se lento e carece de prazos de resposta claros. O CESE sublinha a necessidade de uma resposta ultra-rápida em caso de ocorrência de ciberincidentes.

1.12.

Solicita que a Comissão Europeia clarifique o significado da expressão «quantidade significativa de dados» constante do artigo 6.o, n.o 2, alínea a), da proposta de regulamento em apreço, bem como do termo «metas» referido na alínea c) do mesmo número.

1.13.

O CESE considera fundamental que a UE participe nos debates a nível mundial sobre a elaboração de uma estratégia internacional em matéria de cibersegurança. É fundamental investigar rapidamente os ciberataques e responsabilizar os autores dos crimes, recorrendo aos canais diplomáticos quando estejam em causa países terceiros.

1.14.

O CESE lamenta que os parceiros sociais e as organizações da sociedade civil não sejam mencionados uma única vez no documento e salienta que o reforço da cooperação entre as entidades públicas e privadas exige a plena participação da sociedade civil organizada da UE.

1.15.

O CESE propõe que o relatório destinado ao Parlamento Europeu e ao Conselho seja apresentado no prazo de dois anos a contar da data de entrada em vigor do regulamento (e não no prazo de quatro anos como proposto pela Comissão), juntamente com a avaliação de impacto que o acompanha. Insiste na necessidade de aplicar tanto medidas de desempenho precisas centradas na consecução de resultados como indicadores-chave de desempenho que avaliem os resultados.

2.   Observações introdutórias

2.1.

A constante mudança, o anonimato e a ausência de fronteiras que caracterizam o ciberespaço apresentam simultaneamente oportunidades e riscos para o funcionamento da sociedade da informação a nível individual, estatal e transnacional.

2.2.

Devido ao claro risco de rápida disseminação dos ciberincidentes de um Estado-Membro para outro, a UE enfrenta riscos de cibersegurança crescentes e um cenário de ameaças complexo. A coordenação da UE é essencial para superar a fragmentação existente e promover uma cooperação reforçada entre os Estados-Membros.

2.3.

O mercado único da UE necessita de uma interpretação e aplicação homogéneas das regras em matéria de cibersegurança, ainda que devam ser previstas abordagens diferentes para os vários setores em função do seu funcionamento específico.

2.4.

Para responder de forma rápida e eficiente a qualquer incidente de cibersegurança, é fundamental dispor de um sistema rápido de intercâmbio de informações entre todas as partes interessadas significativas a nível nacional e da UE, o que, por sua vez, exige uma compreensão clara das funções e responsabilidades de cada parte.

2.5.

O CESE reconhece os esforços envidados pela Comissão Europeia no domínio da cibersegurança e congratula-se com o elevado número de propostas e comunicações que visam estabelecer um quadro europeu mais eficaz e reforçar a cooperação, a resiliência e a dissuasão. A Europa necessita de cibertecnologias de ponta, com uma forte ligação entre o setor da defesa e o setor privado, que permita mobilizar os orçamentos de defesa com vista ao desenvolvimento de produtos cibernéticos para uso militar e civil. O CESE salienta que a resposta necessária para fazer frente a incidentes de cibersegurança deve contemplar não só as capacidades e os processos, mas também os aspetos de hardware e software.

2.6.

A proposta de regulamento em apreço também aplica a Estratégia de Cibersegurança da UE, adotada em dezembro de 2020, na qual se anunciou a criação de um ciberescudo europeu para reforçar as capacidades de deteção de ciberameaças e de partilha de informações em toda a UE.

2.7.

A Comissão propõe que o desenvolvimento do ciberescudo europeu seja seguido de uma colaboração com as redes e plataformas responsáveis pela partilha de informações na comunidade de ciberdefesa, em estreita cooperação com o alto representante.

2.8.

A agressão militar da Rússia à Ucrânia demonstrou como a condução de ciberoperações ofensivas pode constituir um elemento fundamental de um quadro de táticas híbridas que envolvem coação, desestabilização e perturbação económica.

3.   Observações na generalidade

3.1.

O CESE congratula-se com a proposta de regulamento, que visa fazer frente à fragmentação atual do mercado e acelerar a colaboração entre as partes interessadas europeias dos setores público e privado, com vista a aumentar a eficácia na prevenção, deteção e resposta às ciberameaças. A sua aplicação tem potencial para reforçar a resiliência dos sistemas europeus.

3.2.

No entanto, importa salientar que os objetivos estabelecidos na proposta de regulamento agora apresentada já tinham sido assinalados na proposta relativa à ciberunidade conjunta (4), nomeadamente uma maior cooperação, preparação e resiliência dos sistemas cibernéticos da UE. Embora se previsse que a ciberunidade entrasse em funcionamento até ao final de 2022, esta não é mencionada uma única vez na proposta da Comissão.

3.3.

Nenhuma tecnologia ou ferramenta pode garantir, por si só, uma proteção completa contra as ciberameaças, pelo que os Estados-Membros devem chegar a acordo sobre uma abordagem global em matéria de segurança que preveja pessoal qualificado, a aplicação coerente dos processos e a utilização de tecnologias de ponta adequadas. A tónica deve ser colocada numa cooperação mais eficaz com o setor privado.

3.4.

O CESE lamenta que os parceiros sociais e as organizações da sociedade civil não sejam mencionados uma única vez no documento. Não é possível reforçar a cooperação entre as organizações públicas e privadas sem a plena participação da sociedade civil organizada da UE.

3.5.

A UE deve adotar uma estratégia a médio prazo para alcançar a autonomia estratégica em tecnologias-chave e setores críticos. Neste contexto, o CESE recomenda que as empresas sediadas na UE sejam apoiadas na criação de instalações de investigação e produção a fim de promover um ecossistema cibernético autónomo. O CESE já assinalou que «a UE tem de reduzir a sua dependência de gigantes tecnológicos de países terceiros, redobrando de esforços para desenvolver uma economia digital segura, inclusiva e baseada em valores» (5).

3.6.

O CESE considera muito positiva a proposta de criação de um ciberescudo europeu, que será composto por centros de operações de segurança (SOC) nacionais e transfronteiriços e será equipado com tecnologias de ponta. Para assegurar a resiliência de toda a cadeia de abastecimento, as soluções dos SOC devem não só salvaguardar os recursos organizacionais internos mas também promover intercâmbios seguros e uma cooperação mais ampla no seio do ecossistema. As especificações técnicas da futura infraestrutura informática devem permitir uma interoperabilidade sem descontinuidades entre os sistemas nacionais e o ciberescudo da UE.

3.7.

O CESE salienta a importância crucial de adquirir exclusivamente na UE as tecnologias necessárias para equipar as entidades que constituem o ciberescudo europeu com tecnologias de ponta. A UE não pode correr o risco de adquirir cibertecnologias críticas a empresas estrangeiras, sendo «do interesse estratégico da UE assegurar que a União mantém e desenvolve as capacidades essenciais para proteger a sua economia digital, a sua sociedade e a sua democracia e para alcançar a plena soberania digital, pois é essa a única forma de proteger as tecnologias críticas e de prestar serviços de cibersegurança fulcrais eficazes» (6).

3.8.

O CESE considera adequada a proporção de financiamento proposta para a aquisição de equipamento para os SOC nacionais (50 % de financiamento nacional e 50 % de financiamento da UE), que determina um equilíbrio entre os fundos nacionais e os fundos da UE. É necessário um esforço conjunto para assegurar equipamentos de alta tecnologia adequados e o funcionamento coordenado da rede dos SOC.

3.9.

Os SOC nacionais devem centrar-se no estabelecimento de protocolos abrangentes de avaliação e teste da segurança e realizar avaliações periódicas. A fim de avaliar e reforçar a resiliência a potenciais ciberataques, os SOC dos Estados-Membros devem também estar preparados para realizar testes de esforço a nível nacional em infraestruturas críticas. Os resultados desses testes devem ser partilhados no âmbito do ciberescudo europeu. Além disso, são necessários esforços conjuntos para avaliar os problemas existentes, atualizar as orientações sobre a comunicação de problemas e proceder à sua resolução de forma eficaz.

3.10.

O CESE manifesta a sua preocupação por a Comissão Europeia, quatro anos após a adoção do Regulamento Cibersegurança da UE, ainda não ter adotado nenhum sistema de cibersegurança através de atos de execução e ainda não se ter certificado a cibersegurança de nenhum produto. Importa assegurar a participação das agências setoriais da UE no desenvolvimento de sistemas de cibersegurança e a adoção de uma norma mínima da UE em colaboração com o CEN, o CENELEC e o ETSI, nomeadamente para os dispositivos da «Internet das pessoas» e da «Internet das coisas».

3.11.

As ciências informáticas e a cibersegurança devem fazer parte dos currículos do ensino básico e secundário de todos os Estados-Membros. Frente à crescente escassez de competências no domínio da cibersegurança verificada nos últimos anos, o CESE considera necessário ponderar incentivos que promovam essa iniciativa. Congratula-se com a iniciativa da Academia de Competências de Cibersegurança e considera que são necessários indicadores que meçam os progressos na redução dos défices de competências desse tipo.

3.12.

A menos que se reforce a cooperação internacional entre países, indústria e peritos para estabelecer definições e soluções comuns para a cibersegurança, a economia digital mundial enfrentará um risco cada vez maior de ciberataques. A cooperação internacional é vital para a compreensão dos riscos cibernéticos e da natureza evolutiva dos ciberataques mundiais e assegurar assim a preparação para os enfrentar. A UE deve participar nos debates a nível mundial sobre a elaboração de uma estratégia internacional em matéria de cibersegurança, que preveja esforços comuns a nível internacional e uma cooperação reforçada.

3.13.

Para uma dissuasão eficaz do cibercrime, é essencial reforçar a resposta da UE em matéria de aplicação da lei e centrar esforços na deteção, rastreabilidade e punição dos cibercriminosos. É fundamental investigar rapidamente os ciberataques e levar os autores dos crimes a responder perante a justiça, recorrendo aos canais diplomáticos quando estejam em causa países terceiros.

4.   Observações na especialidade

4.1.

O CESE observa que existe uma divergência de visões no que diz respeito a uma ação mais centralizada a nível da UE e às competências e jurisdição dos Estados-Membros, e questiona o acordo final constante da proposta em apreço, tanto mais que os Estados-Membros deixaram claro nas conclusões do Conselho de 2021 (7) que são eles os responsáveis por dar resposta aos incidentes e crises de cibersegurança significativos que os afetem.

4.2.

O CESE avalia de forma positiva o papel reforçado atribuído à ENISA e as responsabilidades adicionais propostas para esta agência após a adoção do regulamento. No entanto, salienta que a ENISA, para a realização de quaisquer atividades adicionais que lhe sejam atribuídas, disponha de pessoal específico e de recursos orçamentais adequados. Caso contrário, a ENISA não poderá cumprir o seu papel estratégico fundamental em consonância com as ambições da UE em matéria de cibersegurança.

4.3.

O CESE considera que a proposta da Comissão não é clara quanto à questão de saber se um SOC nacional pode integrar mais do que um SOC transfronteiriço. Além disso, também não é claro se o agrupamento de SOC nacionais será feito de acordo com critérios geográficos ou deixado ao livre arbítrio dos Estados-Membros.

4.4.

O CESE solicita a clarificação do significado da expressão «quantidade significativa de dados» constante do artigo 6.o, n.o 2, alínea a), da proposta de regulamento em apreço, bem como do termo «metas» referido na alínea c) do mesmo número.

4.5.

Caso a proposta de SOC transfronteiriços seja aceite pelos Estados-Membros, a fim de assegurar a plena participação dos SOC nacionais e a gestão partilhada dos SOC transfronteiriços, o SOC coordenador de cada consórcio deve ter um mandato de um ano, de acordo com um sistema rotativo em que todos os SOC terão a oportunidade de liderar o consórcio.

4.6.

O CESE considera que o financiamento da UE para o consórcio de acolhimento deve cobrir 100 % dos custos de aquisição de ferramentas e infraestruturas e 50 % dos custos operacionais (em comparação com o rácio de 75 % e 50 % constante da proposta) a fim de contribuir para uma criação mais rápida dos consórcios. Importa assegurar a coordenação em matéria de contratos públicos.

4.7.

O CESE considera que a eficácia do ciberescudo europeu em matéria de preparação e resposta dos Estados-Membros a incidentes de cibersegurança depende da aplicação de medidas de desempenho específicas centradas na obtenção de resultados tangíveis, bem como de indicadores-chave de desempenho que avaliem os resultados. O CESE recomenda o registo sistemático das violações de cibersegurança e a sua disponibilização às partes interessadas legítimas. Esta medida permitirá a avaliação, a aplicação de ações preventivas adequadas e a proteção contra eventuais perdas.

4.8.

O CESE aprecia e saúda a proposta segundo a qual os Estados-Membros podem solicitar a cobertura dos custos associados ao envio de equipas de peritos no âmbito da assistência mútua. Se, por um lado o processo de assistência mútua deve ser apoiado, por outro, importa testar de forma gradual e adequada o mecanismo de solidariedade, a fim de comprovar a sua eficácia antes da sua plena aplicação.

4.9.

O CESE manifesta a sua preocupação com o facto de cada vez mais gurus da inteligência artificial (Elon Musz, Geoffrey Hinton, etc.) alertarem para a ameaça existencial que representa o desenvolvimento não regulamentado da IA. Importa aprofundar a regulamentação da IA para além do Regulamento Inteligência Artificial (8), e o CESE apela para uma utilização responsável da tecnologia de IA em todos os projetos na UE, incluindo a cibersegurança. É urgente realizar mais debates sobre esta matéria e reforçar o quadro regulamentar.

4.10.

O CESE já afirmou que a «UE deve assumir uma posição firme contra qualquer tipo de sistema de classificação social aplicado aos cidadãos. O CESE esclarece que não pode haver verdadeira democracia sem uma proteção dos dados pessoais eficaz» (9). A proteção dos direitos humanos e o direito dos cidadãos à privacidade devem continuar a ser regras essenciais para o desenvolvimento de sistemas de cibersegurança reforçados em toda a UE.

4.11.

Os cidadãos europeus têm um papel importante a desempenhar na sinalização de ciberameaças às autoridades competentes. O CESE considera que é fundamental assegurar canais de comunicação adequados com o público e as organizações da sociedade civil e apela para a criação de uma plataforma específica para a comunicação de informações pertinentes sobre ciberameaças. A fim de criar instrumentos para a interação com o público, o CESE solicita a realização de campanhas de informação e sensibilização para promover os instrumentos já disponíveis.

4.12.

A UE e a NATO devem trabalhar em conjunto na harmonização das normas de cibersegurança e de outras normas técnicas no setor da defesa, a fim de minimizar os obstáculos e dificuldades burocráticas. Além disso, a UE e a NATO devem colaborar no que diz respeito às normas em matéria de contratos públicos e estabelecer conjuntamente um quadro de contratação eficaz e transparente que permita às empresas, especialmente às PME, participar em concursos públicos e competir de forma leal.

4.13.

O CESE considera que as fontes de financiamento propostas a nível da UE são insuficientes e solicita que se explorem fontes adicionais, incluindo a mutualização de recursos de financiamento privado. Observa que a Comissão não apresentou uma estimativa específica dos custos ligados aos programas de IA, às tecnologias de análise de dados e aos projetos de desenvolvimento de infraestruturas, necessários para executar a nível nacional e da UE as ações previstas no regulamento em apreço.

4.14.

A Comissão propõe que lhe sejam atribuídas competências de execução a fim de assegurar condições uniformes para a aplicação do regulamento em apreço, entre as quais competências para especificar as condições de interoperabilidade entre os SOC transfronteiriços, determinar as modalidades processuais da partilha de informações durante incidentes de cibersegurança e estabelecer requisitos técnicos para garantir a segurança do ciberescudo europeu, etc. O CESE considera que todas estas questões deveriam ter sido clarificadas previamente e só depois apresentadas na proposta de regulamento, uma vez que a cibersegurança continua a ser uma prerrogativa dos Estados-Membros. A atribuição de poderes excessivos à Comissão para efetuar mudanças pode gerar tensões desnecessárias ao contornar o sistema democrático da UE.

4.15.

O Regulamento Cibersegurança inclui uma componente industrial que visa estabelecer um mercado unificado de soluções de cibersegurança através da criação da Reserva de Cibersegurança. No entanto, o procedimento para solicitar apoio à Reserva de Cibersegurança da UE afigura-se muito lento e carece de prazos de resposta claros. O CESE salienta que a resposta a incidentes de cibersegurança tem de ser extremamente rápida. Posto isto, é evidente que o procedimento apresentado, caracterizado por uma longa lista de requisitos, não será capaz de satisfazer essa necessidade.

4.16.

A Comissão Europeia explica que, dada a natureza urgente da proposta, não foi efetuada uma avaliação de impacto. Propõe igualmente a apresentação de um relatório exaustivo ao Parlamento Europeu e ao Conselho quatro anos após a entrada em vigor do regulamento. Tendo em conta a rápida evolução no domínio da cibersegurança, o CESE considera que o relatório deve ser apresentado dois anos após a entrada em vigor do regulamento, juntamente com a avaliação de impacto em falta. Além disso, recomenda que a proposta de regulamento preste mais atenção à questão do respeito pelos princípios da subsidiariedade e da proporcionalidade, em consonância com o artigo 4.o, n.o 2, do Tratado da União Europeia (TUE). Este aspeto é importante para prevenir tensões entre a ação centralizada da UE e as competências e a jurisdição dos Estados-Membros.

4.17.

Por último, o CESE salienta que importa integrar as considerações de cibersegurança em todas as políticas da UE.

---

(1)  Proposta de regulamento do Parlamento Europeu e do Conselho que estabelece medidas destinadas a reforçar a solidariedade e as capacidades da União para detetar, preparar e dar resposta a ameaças e incidentes de cibersegurança.

(2)  Regulamento (UE) 2019/881 do Parlamento Europeu e do Conselho, de 17 de abril de 2019, relativo à ENISA (Agência da União Europeia para a Cibersegurança) e à certificação da cibersegurança das tecnologias da informação e comunicação e que revoga o Regulamento (UE) n.o 526/2013 (Regulamento Cibersegurança) (JO L 151 de 7.6.2019, p. 15).

(3)  Agência da União Europeia para a Segurança da Aviação (AESA), Agência Ferroviária da União Europeia (ERA), Agência Europeia de Medicamentos (EMA), etc.

(4)  Comissão propõe uma ciberunidade conjunta para reforçar a resposta a incidentes de segurança em grande escala.

(5)  Parecer do Comité Económico e Social Europeu — Soberania digital: um pilar crucial para a digitalização e o crescimento da UE (parecer de iniciativa) (JO C 75 de 28.2.2023, p. 8).

(6)  Parecer do Comité Económico e Social Europeu — Comunicação conjunta ao Parlamento Europeu e ao Conselho — Política de ciberdefesa da UE (parecer de iniciativa) (JO C 293 de 18.8.2023, p. 21).

(7)  Conclusões do Conselho de 19 de outubro de 2021 — Explorar o potencial da iniciativa relativa a uma ciberunidade conjunta.

(8)  Regulamento Inteligência Artificial.

(9)  Parecer do Comité Económico e Social Europeu — Comunicação conjunta ao Parlamento Europeu e ao Conselho — Política de ciberdefesa da UE (parecer de iniciativa) (JO C 293 de 18.8.2023, p. 21).