(1)

As entidades críticas, enquanto prestadoras de serviços essenciais, desempenham um papel indispensável na manutenção de funções societais ou atividades económicas vitais no mercado interno, numa economia cada vez mais interdependente como a da União. Por conseguinte, é essencial estabelecer um quadro da União destinado a reforçar a resiliência das entidades críticas no mercado interno, estabelecendo regras mínimas harmonizadas, e a prestar-lhes assistência através de medidas coerentes e específicas de apoio e de supervisão.

(2)

A Diretiva 2008/114/CE do Conselho (4) prevê um procedimento de designação de infraestruturas críticas europeias nos setores da energia e dos transportes cuja perturbação ou destruição teria um impacto transfronteiriço significativo em pelo menos dois Estados Membros. Essa diretiva centra-se exclusivamente na proteção de tais infraestruturas. No entanto, a avaliação da Diretiva 2008/114/CE realizada em 2019 concluiu que, devido à natureza cada vez mais interligada e transfronteiriça das operações que utilizam infraestruturas críticas, as medidas de proteção relativas apenas a ativos individuais são insuficientes para evitar a ocorrência de todas as perturbações. Por conseguinte, é necessário alterar a abordagem no sentido de assegurar que se atende melhor aos riscos, que as funções e as obrigações das entidades críticas enquanto prestadoras de serviços essenciais ao funcionamento do mercado interno sejam mais bem definidas e coerentes e que sejam adotadas regras da União, a fim de reforçar a resiliência das entidades críticas. As entidades críticas deverão estar em condições de poder reforçar a sua capacidade para prevenir incidentes com potencial para perturbar a prestação de serviços essenciais, para se protegerem desses incidentes, lhes dar resposta, lhes resistirem, os atenuarem, os absorverem, se adaptarem a eles e recuperarem deles.

(3)

Embora uma série de medidas em vigor a nível da União, como o Programa Europeu para a Proteção das Infraestruturas Críticas, e a nível nacional se destinem a apoiar a proteção de infraestruturas críticas na União, importa envidar mais esforços no sentido de equipar melhor as entidades que exploram essas infraestruturas para fazer face aos riscos para as suas operações que possam resultar em perturbações na prestação de serviços essenciais. Também deverá ser feito mais para equipar melhor essas entidades, porque existe um cenário de ameaças dinâmico, que inclui ameaças híbridas e terroristas em evolução e interdependências crescentes entre as infraestruturas e os setores. Além disso, verifica-se um aumento do risco físico devido a catástrofes naturais e a alterações climáticas, o que aumenta a frequência e a dimensão de eventos meteorológicos extremos e origina alterações a longo prazo nas condições climáticas médias que podem reduzir a capacidade, a eficiência e o tempo de vida útil de determinados tipos de infraestruturas se não forem adotadas medidas de adaptação às alterações climáticas. Adicionalmente, o mercado interno caracteriza-se por uma fragmentação no que diz respeito à identificação de entidades críticas, uma vez que alguns setores e categorias de entidades pertinentes não são reconhecidos de forma coerente como críticos em todos os Estados-Membros. Por conseguinte, a presente diretiva deverá alcançar um nível sólido de harmonização em termos dos setores e categorias de entidades abrangidos pelo seu âmbito de aplicação.

(4)

Embora certos setores da economia, como os da energia e transportes, já sejam regulamentados por atos jurídicos setoriais específicos da União, esses atos jurídicos contêm disposições exclusivamente relacionadas com determinados aspetos da resiliência das entidades que operam nesses setores. A fim de abordar, de forma aprofundada, a resiliência das entidades críticas para o bom funcionamento do mercado interno, a presente diretiva cria um quadro global que aborda a resiliência das entidades críticas relativamente a todos os riscos, independentemente de serem naturais ou de origem humana, acidentais ou intencionais.

(5)

As crescentes interdependências entre infraestruturas e setores resultam de uma rede de prestação de serviços com um caráter cada vez mais transfronteiriço e interdependente utilizar infraestruturas essenciais em toda a União nos setores da energia, dos transportes, dos serviços bancários, da água potável, das águas residuais, da produção, transformação e distribuição de produtos alimentares, da saúde, espacial, das infraestruturas do mercado financeiro e das infraestruturas digitais, e em determinados aspetos do setor da administração pública. O setor espacial é abrangido pelo âmbito de aplicação da presente diretiva no que se refere à prestação de determinados serviços que dependem de infraestruturas terrestres detidas, geridas e operadas por Estados-Membros ou por entidades privadas, pelo que as infraestruturas detidas, geridas ou operadas pela União ou em seu nome no âmbito do seu programa espacial não são abrangidas pelo âmbito de aplicação da presente diretiva.

No que respeita ao setor da energia e, em particular, aos métodos de produção e transporte de eletricidade (em termos de abastecimento), entende-se que, se assim se considerar adequado, a produção de eletricidade pode incluir elementos das centrais nucleares que sirvam para o transporte de eletricidade, excluindo contudo os elementos especificamente nucleares abrangidos pelos tratados e o direito da União, incluindo os atos jurídicos pertinentes da União relativos à energia nuclear. O processo de identificação das entidades críticas no setor alimentar deverá refletir adequadamente a natureza do mercado interno nesse setor e as regras exaustivas da União relacionadas com os princípios e requisitos gerais do direito alimentar e da segurança dos alimentos. Por conseguinte, a fim de assegurar que existe uma abordagem proporcionada e de refletir adequadamente o papel e a importância dessas entidades a nível nacional, só deverão ser identificadas entidades críticas entre as empresas do setor alimentar, com ou sem fins lucrativos e quer públicas, quer privadas, que estejam envolvidas exclusivamente na logística e distribuição por grosso e na produção e transformação industriais em grande escala e cuja quota de mercado seja significativa a nível nacional. Em virtude dessas interdependências, qualquer perturbação dos serviços essenciais, mesmo que esteja inicialmente confinada a uma entidade ou a um setor, pode ter repercussões mais vastas e resultar em impactos negativos generalizados e a longo prazo na prestação de serviços em todo o mercado interno. As crises graves, como a pandemia de COVID-19, revelaram a vulnerabilidade das nossas sociedades, cada vez mais interdependentes, perante riscos com baixa probabilidade de ocorrência, mas de elevado impacto.

(6)

As entidades envolvidas na prestação de serviços essenciais estão cada vez mais sujeitas a requisitos divergentes impostos ao abrigo do direito nacional. O facto de alguns Estados-Membros imporem requisitos de segurança menos rigorosos a essas entidades não só conduz a vários níveis de resiliência, como corre também o risco de ter um impacto negativo na manutenção de funções societais ou atividades económicas vitais em toda a União, conduzindo ainda a obstáculos ao bom funcionamento do mercado interno. Os investidores e as empresas podem fiar-se e confiar em entidades críticas resilientes, sendo a fiabilidade e a confiança pedras angulares do bom funcionamento de um mercado interno. Tipos semelhantes de entidades são considerados críticos em alguns Estados-Membros mas não noutros, e as entidades que são identificadas como críticas estão sujeitas a requisitos divergentes em diferentes Estados-Membros. Tal resulta em encargos administrativos adicionais e desnecessários para as empresas que operam além-fronteiras, nomeadamente para as empresas ativas em Estados-Membros com requisitos mais rigorosos. Por conseguinte, um quadro da União irá também ter o efeito de nivelar as condições de concorrência para as entidades críticas em toda a União.

(7)

É necessário estabelecer regras mínimas harmonizadas para assegurar a prestação de serviços essenciais no mercado interno, reforçar a resiliência das entidades críticas e melhorar a cooperação transfronteiriça entre autoridades competentes. É importante que a conceção e aplicação dessas regras sejam orientadas para o futuro, permitindo simultaneamente a flexibilidade necessária. É igualmente crucial melhorar a capacidade das entidades críticas para prestar serviços essenciais face a um conjunto diversificado de riscos.

(8)

A fim de alcançar um elevado nível de resiliência, os Estados-Membros deverão identificar as entidades críticas que ficarão sujeitas a requisitos específicos e a uma supervisão determinada e que receberão apoio e orientações face a todos os riscos pertinentes.

(9)

Dada a importância da cibersegurança para a resiliência das entidades críticas, e por uma questão de coerência, deverá assegurar-se uma abordagem, sempre que possível, coerente entre a presente diretiva e a Diretiva (UE) 2022/2555 do Parlamento Europeu e do Conselho (5). À luz da maior frequência e das características particulares dos riscos relacionados com a cibersegurança, a Diretiva (UE) 2022/2555 impõe requisitos abrangentes a um vasto conjunto de entidades para assegurar a sua cibersegurança. Dado que a cibersegurança é suficientemente abordada na Diretiva (UE) 2022/2555, as matérias por esta abrangidas deverão ser excluídas do âmbito de aplicação da presente diretiva, sem prejuízo do regime específico aplicável às entidades do setor das infraestruturas digitais.

(10)

Caso as disposições de atos jurídicos setoriais específicos da União exijam que as entidades críticas tomem medidas para reforçar a sua resiliência, e caso esses requisitos sejam reconhecidos pelos Estados-Membros como sendo pelo menos equivalentes às obrigações correspondentes estabelecidas na presente diretiva, as disposições pertinentes da presente diretiva não deverão ser aplicáveis, a fim de evitar duplicações e encargos desnecessários. Nesse caso, deverão aplicar-se as disposições pertinentes desses atos jurídicos da União. Caso as disposições pertinentes da presente diretiva não sejam aplicáveis, as disposições em matéria de supervisão e de execução coerciva previstas na presente diretiva também não deverão ser aplicáveis.

(11)

A presente diretiva não afeta as competências dos Estados-Membros e das suas autoridades em termos de autonomia administrativa ou a sua responsabilidade na salvaguarda da segurança ou defesa nacionais, nem a sua competência para salvaguardar outras funções essenciais do Estado, em especial no que se refere à segurança pública, à integridade territorial e à manutenção da ordem pública. A exclusão das entidades da administração pública do âmbito de aplicação da presente diretiva deverá aplicar-se às entidades cujas atividades sejam exercidas predominantemente nos domínios da segurança nacional, da segurança pública, da defesa ou da aplicação da lei, incluindo a investigação, deteção e repressão de infrações penais. No entanto, as entidades da administração pública cujas atividades estejam apenas marginalmente relacionadas com esses domínios deverão ser abrangidas pelo âmbito de aplicação da presente diretiva. Para os efeitos da presente diretiva, não se considera que as entidades com competências regulamentares exercem atividades no domínio da aplicação da lei, pelo que não ficam por esse motivo excluídas do âmbito de aplicação da presente diretiva. As entidades da administração pública que sejam estabelecidas conjuntamente com um país terceiro em conformidade com um acordo internacional estão excluídas do âmbito de aplicação da presente diretiva. A presente diretiva não se aplica às missões diplomáticas e consulares dos Estados-Membros em países terceiros.

Determinadas entidades críticas exercem atividades nos domínios da segurança nacional, da segurança pública, da defesa ou da aplicação da lei, incluindo a investigação, deteção e repressão de infrações penais, ou prestam serviços exclusivamente a entidades da administração pública que exercem atividades predominantemente nesses domínios. À luz da sua responsabilidade na salvaguarda da segurança e defesa nacionais, os Estados-Membros deverão poder decidir que as obrigações impostas às entidades críticas por força da presente diretiva não se aplicam, total ou parcialmente, a essas entidades críticas se os serviços que estas prestam ou as atividades que estas exercem estiverem predominantemente relacionados com os domínios da segurança nacional, da segurança pública, da defesa ou da aplicação da lei, incluindo a investigação, deteção e repressão de infrações penais. As entidades críticas cujos serviços ou atividades estejam apenas marginalmente relacionados com esses domínios deverão ser abrangidas pelo âmbito de aplicação da presente diretiva. Nenhum Estado-Membro deverá ser obrigado a fornecer informações cuja divulgação possa ser contrária aos interesses essenciais da sua segurança nacional. São pertinentes neste contexto as regras nacionais ou da União relativas à proteção de informações classificadas e os acordos de confidencialidade.

(12)

A fim de não comprometer a segurança nacional nem os interesses comerciais e em matéria de segurança das entidades críticas, o acesso a informações sensíveis, bem como o seu intercâmbio e tratamento, deverão ser efetuados com prudência e com especial atenção aos canais de transmissão e às capacidades de armazenamento utilizadas.

(13)

A fim de assegurar uma abordagem abrangente da resiliência das entidades críticas, cada Estado-Membro deverá dispor de uma estratégia para reforçar a resiliência das entidades críticas («estratégia»). A estratégia deverá estabelecer objetivos estratégicos e medidas políticas a aplicar. Por razões de coerência e eficiência, a estratégia deverá ser concebida de modo a integrar sem descontinuidades as políticas existentes, com base, sempre que possível, nas estratégias nacionais e setoriais, planos ou documentos similares pertinentes existentes. A fim de estabelecer uma abordagem abrangente, os Estados-Membros deverão assegurar que as suas estratégias prevejam um quadro político para o reforço da cooperação entre as autoridades competentes ao abrigo da presente diretiva e as autoridades competentes ao abrigo da Diretiva (UE) 2022/2555 no contexto da partilha de informações sobre os riscos de cibersegurança, as ciberameaças e os ciberincidentes, bem como sobre os riscos, ameaças e incidentes não relacionados com a cibersegurança, e no contexto do exercício de funções de supervisão. Ao aplicar as suas estratégias, os Estados-Membros deverão ter devidamente em conta a natureza híbrida das ameaças às entidades críticas.

(14)

Os Estados-Membros deverão comunicar à Comissão as suas estratégias e as suas atualizações substanciais, nomeadamente para permitir que a Comissão avalie a correta aplicação da presente diretiva no que se refere a abordagens estratégicas para a resiliência das entidades críticas a nível nacional. Sempre que necessário, as estratégias poderão ser comunicadas como informações classificadas. A Comissão deverá elaborar um relatório de síntese sobre as estratégias comunicadas pelos Estados-Membros que sirva de base para os intercâmbios com vista a identificar boas práticas e questões de interesse comum no âmbito de um Grupo para a Resiliência das Entidades Críticas. Devido à natureza sensível das informações agregadas incluídas no relatório de síntese, quer se tratem ou não de informações classificadas, a Comissão deverá gerir o relatório de síntese com o nível de sensibilização adequado no que se refere à segurança das entidades críticas, dos Estados-Membros e da União. O relatório de síntese e as estratégias deverão ser protegidos contra ações ilícitas ou maliciosas e só deverão ser acessíveis a pessoas autorizadas, a fim de cumprir os objetivos da presente diretiva. A comunicação das estratégias e das respetivas atualizações substanciais deverá também ajudar a Comissão a compreender a evolução das abordagens em matéria de resiliência das entidades críticas e contribuir para o acompanhamento do impacto e do valor acrescentado da presente diretiva, que a Comissão deverá rever periodicamente.

(15)

As ações dos Estados-Membros para identificar as entidades críticas e ajudar a assegurar a sua resiliência deverão seguir uma abordagem baseada no risco que se centre nas entidades mais pertinentes para o desempenho de funções societais ou atividades económicas vitais. A fim de assegurar essa abordagem direcionada, cada Estado-Membro deverá realizar, num quadro harmonizado, uma avaliação dos riscos naturais e de origem humana pertinentes, incluindo os de natureza intersetorial ou transfronteiriça, que possam afetar a prestação de serviços essenciais, nomeadamente acidentes, catástrofes naturais, emergências de saúde pública como as pandemias e as ameaças híbridas ou outras ameaças antagónicas, incluindo infrações terroristas, infiltrações criminosas e sabotagens («avaliação dos riscos do Estado-Membro»). Ao efetuarem avaliações dos riscos do Estado-Membro, os Estados-Membros deverão ter em conta outras avaliações de riscos gerais ou específicas do setor efetuadas nos termos de outros atos jurídicos da União, e deverão ter em consideração em que medida os setores dependem uns dos outros, inclusive setores noutros Estados-Membros e em países terceiros. Os resultados da avaliação dos riscos do Estado-Membro deverão ser utilizados para efeitos da identificação de entidades críticas e para ajudar essas entidades a cumprir os seus requisitos em matéria de resiliência. A presente diretiva só se aplica aos Estados-Membros e às entidades críticas que operam na União. No entanto, as competências especializadas e os conhecimentos gerados pelas autoridades competentes, nomeadamente através de avaliações dos riscos, e pela Comissão, nomeadamente através de várias formas de apoio e cooperação, poderão ser utilizados, se for caso disso e em conformidade com os instrumentos jurídicos aplicáveis, em benefício de países terceiros, designadamente na vizinhança direta da União, contribuindo para a cooperação já existente em matéria de resiliência.

(16)

A fim de assegurar que todas as entidades pertinentes estão sujeitas aos requisitos em matéria de resiliência previstos na presente diretiva e de reduzir as divergências a esse respeito, é importante estabelecer regras harmonizadas que permitam uma identificação coerente das entidades críticas em toda a União, permitindo simultaneamente aos Estados-Membros refletir de forma adequada o papel e a importância dessas entidades a nível nacional. Ao aplicar os critérios previstos na presente diretiva, cada Estado-Membro deverá identificar as entidades que prestem um ou mais serviços essenciais num Estado-Membro e que operem e possuam infraestruturas críticas localizadas no seu território. Deverá considerar-se que uma entidade opera no território de um Estado-Membro no qual exerce as atividades necessárias para o serviço essencial ou serviços essenciais em causa e no qual está localizada a infraestrutura crítica dessa entidade que é utilizada para prestar esse serviço ou esses serviços. Se não existir nenhuma entidade que cumpra esses critérios num Estado-Membro, esse Estado-Membro não deverá ter a obrigação de identificar nenhuma entidade crítica no setor ou subsetor correspondente. Por razões de eficácia, eficiência, coerência e segurança jurídica, deverão igualmente ser estabelecidas regras adequadas relativamente à notificação de entidades que tenham sido identificadas como entidades críticas.

(17)

Os Estados-Membros deverão apresentar à Comissão, de uma forma que cumpra os objetivos da presente diretiva, uma lista de serviços essenciais, o número de entidades críticas identificadas para cada um dos setores e subsetores enumerados no anexo e para o serviço essencial ou os serviços essenciais que cada entidade presta e, se forem aplicados, os limiares. Deverá ser possível apresentar limiares separadamente ou de forma agregada, o que significa que a informação pode ser calculada como a média por zona geográfica, por ano, por setor, por subsetor ou por outra forma, e pode incluir dados sobre o conjunto de indicadores facultados.

(18)

Deverão ser estabelecidos critérios para determinar a importância de um efeito perturbador produzido por um incidente. Esses critérios deverão basear-se nos critérios previstos na Diretiva (UE) 2016/1148 do Parlamento Europeu e do Conselho (6), a fim de tirar partido dos esforços envidados pelos Estados-Membros para identificar os operadores dos serviços essenciais definidos na referida diretiva e a experiência adquirida neste contexto. As crises graves, como a pandemia de COVID-19, revelaram a importância de garantir a segurança da cadeia de abastecimento e têm demonstrado de que forma as perturbações nessa cadeia podem ter um impacto económico e societal negativo num grande número de setores e além-fronteiras. Por conseguinte, os Estados-Membros deverão também, tanto quanto possível, ter em conta os efeitos na cadeia de abastecimento ao determinar em que medida outros setores e subsetores dependem do serviço essencial prestado por uma entidade crítica.

(19)

Em conformidade com o direito da União e nacional aplicáveis, incluindo o Regulamento (UE) 2019/452 do Parlamento Europeu e do Conselho (7), que estabelece um regime de análise dos investimentos diretos estrangeiros na União, deverá reconhecer-se que a propriedade estrangeira de infraestruturas críticas na União representa uma potencial ameaça, pois os serviços, a economia, a livre circulação e a segurança dos cidadãos da União dependem do bom funcionamento das infraestruturas críticas.

(20)

A Diretiva (UE) 2022/2555 exige que as entidades pertencentes ao setor das infraestruturas digitais, que possam ser identificadas como entidades críticas nos termos da presente diretiva, tomem medidas técnicas, operacionais e organizativas adequadas e proporcionadas para gerir os riscos para a segurança das redes e da informação, bem como para notificar incidentes e ciberameaças significativos. Uma vez que as ameaças à segurança das redes e da informação podem ter diferentes origens, a Diretiva (UE) 2022/2555 aplica uma abordagem que abrange todos os perigos e que inclui a resiliência dos sistemas de rede e informação, bem como dos componentes físicos e ambiente desses sistemas.

Uma vez que os requisitos estabelecidos na Diretiva (UE) 2022/2555 a esse respeito são pelo menos equivalentes às obrigações correspondentes estabelecidas na presente diretiva, as obrigações estabelecidas no artigo 11.o e nos capítulos III, IV e VI da presente diretiva não deverão aplicar-se a entidades pertencentes ao setor das infraestruturas digitais, a fim de evitar duplicações e encargos desnecessários. Todavia, tendo em consideração a importância dos serviços prestados por entidades pertencentes ao setor das infraestruturas digitais a entidades críticas pertencentes a todos os outros setores, os Estados-Membros deverão identificar, com base nos critérios e recorrendo ao procedimento previsto na presente diretiva, as entidades pertencentes ao setor das infraestruturas digitais como entidades críticas. Por conseguinte, as estratégias, a avaliação dos riscos do Estado-Membro e as medidas de apoio previstas no capítulo II da presente diretiva deverão ser aplicáveis. Os Estados-Membros deverão poder adotar ou manter disposições de direito nacional destinadas a atingir um nível mais elevado de resiliência dessas entidades críticas, desde que essas disposições sejam coerentes com o direito da União aplicável.

(21)

O direito da União em matéria de serviços financeiros estabelece requisitos abrangentes aplicáveis às entidades financeiras no sentido de gerirem todos os riscos que enfrentam, incluindo os riscos operacionais, e de assegurarem a continuidade das atividades. Esse direito inclui os Regulamentos (UE) n.o 648/2012 (8), (UE) n.o 575/2013 (9) e (UE) n.o 600/2014 do Parlamento Europeu e do Conselho (10) e as Diretivas 2013/36/UE (11) e 2014/65/UE do Parlamento Europeu e do Conselho (12). Esse quadro jurídico é complementado pelo Regulamento (UE) 2022/2554 do Parlamento Europeu e do Conselho (13), que estabelece requisitos aplicáveis às entidades financeiras no sentido de gerirem os riscos no domínio das tecnologias da informação e comunicação (TIC), incluindo no que se refere à proteção das infraestruturas físicas de TIC. Por conseguinte, uma vez que a resiliência dessas entidades é amplamente abrangida, o disposto no artigo 11.o e nos capítulos III, IV e VI da presente diretiva não deverá aplicar-se a essas entidades, a fim de evitar duplicações e encargos desnecessários.

Todavia, tendo em consideração a importância dos serviços prestados por entidades do setor financeiro a entidades críticas pertencentes a todos os outros setores, os Estados-Membros deverão identificar, com base nos critérios e recorrendo ao procedimento previsto na presente diretiva, as entidades do setor financeiro como entidades críticas. Por conseguinte, as estratégias, as avaliações dos riscos do Estado-Membro e as medidas de apoio previstas no capítulo II da presente diretiva deverão ser aplicáveis. Os Estados-Membros deverão poder adotar ou manter disposições de direito nacional destinadas a atingir um nível mais elevado de resiliência dessas entidades críticas, desde que essas disposições sejam coerentes com o direito da União aplicável.

(22)

Os Estados-Membros deverão designar ou estabelecer autoridades competentes para supervisionar a aplicação das regras da presente diretiva e, sempre que necessário, fazê-las cumprir, e assegurar que essas autoridades dispõem dos poderes e recursos adequados. Dadas as diferenças nas estruturas de governação nacionais, a fim de salvaguardar as disposições setoriais ou os organismos de supervisão e de regulamentação da União existentes, e a fim de evitar duplicações, os Estados-Membros deverão poder designar ou estabelecer mais do que uma autoridade competente. Caso os Estados-Membros designem ou estabeleçam mais do que uma autoridade competente, deverão delinear claramente as respetivas funções das autoridades em causa e assegurar a cooperação harmoniosa e eficaz entre as mesmas. Todas as autoridades competentes deverão igualmente cooperar, de um modo mais geral, com outras autoridades pertinentes, tanto a nível da União como nacional.

(23)

A fim de facilitar a cooperação e a comunicação transfronteiriça e permitir a aplicação efetiva da presente diretiva, cada Estado-Membro deverá, sem prejuízo dos requisitos dos atos jurídicos setoriais específicos da União, designar um ponto de contacto único, responsável pela coordenação das questões relacionadas com a resiliência das entidades críticas e a cooperação transfronteiriça a nível da União («ponto de contacto único»), se for caso disso no seio de uma autoridade competente. Cada ponto de contacto único deverá estabelecer ligações e coordenar as comunicações, se for caso disso, com as autoridades competentes do seu Estado-Membro, com os pontos de contacto únicos de outros Estados-Membros e com o Grupo para a Resiliência das Entidades Críticas.

(24)

As autoridades competentes nos termos da presente diretiva e as autoridades competentes nos termos da Diretiva (UE) 2022/2555 deverão cooperar e trocar informações no que diz respeito aos riscos de cibersegurança, às ciberameaças e aos ciberincidentes, bem como aos riscos, ameaças e incidentes não relacionados com a cibersegurança, que afetam entidades críticas, assim como em relação a medidas pertinentes tomadas por autoridades competentes nos termos da presente diretiva e autoridades competentes nos termos da Diretiva (UE) 2022/2555. É importante que os Estados-Membros assegurem que os requisitos previstos na presente diretiva e na Diretiva (UE) 2022/2555 sejam aplicados de forma complementar e que as entidades críticas não sejam sujeitas a encargos administrativos que excedam o necessário para alcançar os objetivos da presente diretiva e dessa diretiva.

(25)

Os Estados-Membros deverão apoiar as entidades críticas, incluindo as que se qualificam como pequenas ou médias empresas, no reforço da sua resiliência, no cumprimento das obrigações que incumbem aos Estados-Membros nos termos da presente diretiva, sem prejuízo da responsabilidade jurídica própria das entidades críticas para assegurar esse cumprimento, prevenindo, deste modo, encargos administrativos excessivos. Os Estados-Membros poderão, nomeadamente, desenvolver documentação e metodologias de orientação, apoiar a organização de exercícios para testar a resiliência das entidades críticas e proporcionar aconselhamento e formação ao pessoal das entidades críticas. Sempre que necessário e justificado por objetivos de interesse público, os Estados-Membros poderão disponibilizar recursos financeiros e deverão facilitar a partilha voluntária de informações e o intercâmbio de boas práticas entre entidades críticas, sem prejuízo da aplicação das regras em matéria de concorrência estabelecidas no Tratado sobre o Funcionamento da União Europeia (TFUE).

(26)

Com o objetivo de reforçar a resiliência das entidades críticas identificadas pelos Estados-Membros e de reduzir os encargos administrativos que impendem sobre essas entidades críticas, as autoridades competentes deverão proceder a consultas recíprocas, sempre que tal for adequado, para assegurar que a presente diretiva seja aplicada de forma coerente. Tais consultas deverão ser iniciadas a pedido de qualquer autoridade competente interessada e deverão visar principalmente assegurar uma abordagem convergente no que diz respeito às entidades críticas interligadas que utilizam infraestruturas críticas fisicamente ligadas entre dois ou mais Estados-Membros, pertencentes aos mesmos grupos ou estruturas empresariais ou que tenham sido identificadas num Estado-Membro e que prestem serviços essenciais a outros ou noutros Estados-Membros.

(27)

Sempre que as disposições do direito da União ou do direito nacional exijam que as entidades críticas avaliem os riscos pertinentes para efeitos da presente diretiva e tomem medidas para assegurar a sua própria resiliência, tais exigências deverão ser devidamente tidas em conta para efeitos de supervisão do cumprimento da presente diretiva por parte das entidades críticas.

(28)

As entidades críticas deverão ter um conhecimento abrangente dos riscos pertinentes a que estão expostas e o dever de analisar esses riscos. Para o efeito, deverão efetuar avaliações dos riscos sempre que necessário, tendo em conta as suas circunstâncias particulares e a evolução desses riscos, e, em todo o caso, de quatro em quatro anos, a fim de avaliar todos os riscos pertinentes que possam perturbar a prestação dos seus serviços essenciais («avaliação dos riscos de entidade crítica»). Sempre que as entidades críticas tenham efetuado outras avaliações dos riscos ou elaborado documentos em conformidade com as obrigações estabelecidas noutros atos jurídicos que sejam pertinentes para a sua avaliação dos riscos de entidade crítica, deverão poder utilizar essas avaliações e documentos para efeitos do cumprimento dos requisitos previstos na presente diretiva relativamente às avaliações dos riscos de entidade crítica. Uma autoridade competente deverá poder declarar que uma avaliação dos riscos existente efetuada por uma entidade crítica que incida sobre os riscos pertinentes e a medida pertinente de dependência, cumpre, total ou parcialmente, as obrigações estabelecidas na presente diretiva.

(29)

As entidades críticas deverão tomar medidas técnicas, de segurança e organizacionais adequadas e proporcionais aos riscos que enfrentam, de modo a prevenirem incidentes, protegerem-se deles, lhes darem resposta, lhes resistirem, os atenuarem, os absorverem, adaptarem-se a eles e recuperarem deles. Embora as entidades críticas devam tomar as referidas medidas em conformidade com a presente diretiva, as particularidades e o alcance dessas medidas deverão refletir os diferentes riscos que cada entidade crítica tenha identificado como parte da sua avaliação dos riscos de entidade crítica e as especificidades dessa entidade de forma adequada e proporcionada. A fim de promover uma abordagem coerente à escala da União, a Comissão deverá, após consulta ao Grupo para a Resiliência das Entidades Críticas, adotar orientações não vinculativas para especificar essas medidas técnicas, de segurança e organizacionais. Os Estados-Membros deverão assegurar que cada entidade crítica designe um agente de ligação ou equivalente como ponto de contacto com as autoridades competentes.

(30)

Por razões de eficácia e de responsabilização, as entidades críticas deverão descrever as medidas que tomem, com um nível de pormenor suficiente para alcançar os objetivos de eficácia e responsabilização, tendo em conta os riscos identificados, num plano de resiliência ou documento(s) equivalente(s) a um plano de resiliência, e aplicar esse plano na prática. Se uma entidade crítica já tiver tomado medidas técnicas, de segurança e organizativas e já tiver elaborado documentos nos termos de outros atos jurídicos que sejam pertinentes para as medidas de reforço da resiliência nos termos da presente diretiva, deverá poder, a fim de evitar duplicações desnecessárias, utilizar essas medidas e documentos para efeitos do cumprimento das suas obrigações em relação às medidas de resiliência nos termos da presente diretiva. A fim de evitar duplicações, uma autoridade competente deverá poder declarar que as medidas de resiliência existentes tomadas por uma entidade critica que atendam à obrigação que a esta incumbe de tomar medidas técnicas, de segurança e organizacionais nos termos da presente diretiva, cumprem, total ou parcialmente, os requisitos da presente diretiva.

(31)

Os Regulamentos (CE) n.o 725/2004 (14) e (CE) n.o 300/2008 do Parlamento Europeu e do Conselho (15) e a Diretiva 2005/65/CE do Parlamento Europeu e do Conselho (16) estabelecem requisitos aplicáveis às entidades dos setores da aviação e dos transportes marítimos para prevenir incidentes causados por atos ilícitos e resistir a tais incidentes e atenuar as consequências dos mesmos. Embora as medidas exigidas por força da presente diretiva sejam mais amplas em termos de riscos abordados e de tipos de medidas a tomar, as entidades críticas nesses setores deverão refletir no seu plano de resiliência ou documentos equivalentes as medidas tomadas em conformidade com esses atos jurídicos da União. As entidades críticas deverão também ter em conta a Diretiva 2008/96/CE do Parlamento Europeu e do Conselho (17), que introduz uma avaliação da totalidade da rede rodoviária para mapear os riscos de acidentes e uma inspeção específica da segurança rodoviária para identificar condições perigosas, defeitos e problemas que aumentem o risco de acidentes e lesões, com base em visitas no local de vias rodoviárias ou de troços existentes. É da maior importância para o setor ferroviário garantir a proteção e a resiliência das entidades críticas e, na aplicação de medidas de resiliência nos termos da presente diretiva, as entidades críticas são incentivadas a fazer referência a orientações não vinculativas e a documentos de boas práticas desenvolvidos no âmbito de fluxos de trabalho setoriais, como a plataforma de segurança dos passageiros ferroviários da UE criada pela Decisão 2018/C 232/03 da Comissão (18).

(32)

O risco de trabalhadores de entidades críticas ou dos contratantes externos destas últimas fazerem uma utilização abusiva, por exemplo, dos seus direitos de acesso no seio da organização da entidade crítica para prejudicar e causar danos é cada vez mais preocupante. Por conseguinte, os Estados-Membros deverão especificar as condições em que as entidades críticas estão autorizadas, em casos devidamente justificados e tendo em conta a avaliação dos riscos do Estado-Membro, a apresentar pedidos de verificação de antecedentes relativos a pessoas pertencentes a categorias específicas do seu pessoal. Deverá garantir-se que as autoridades pertinentes avaliam esses pedidos num prazo razoável e os tratam em conformidade com o direito e procedimentos nacionais, bem como com o direito da União pertinente e aplicável, inclusive em matéria de proteção de dados pessoais. A fim de corroborar a identidade de uma pessoa sujeita a uma verificação de antecedentes, é conveniente que os Estados-Membros exijam uma prova de identidade, como um passaporte, um documento de identificação nacional ou uma forma de identificação digital, em conformidade com o direito aplicável.

As verificações de antecedentes deverão incluir uma verificação do registo criminal da pessoa em questão. Os Estados-Membros deverão recorrer ao Sistema Europeu de Informação sobre Registos Criminais, de acordo com os procedimentos estabelecidos na Decisão-Quadro 2009/315/JAI do Conselho (19) e, se for caso disso e aplicável, no Regulamento (UE) 2019/816 do Parlamento Europeu e do Conselho (20), para efeitos de obtenção de informações de registos criminais detidos por outros Estados-Membros. Os Estados-Membros poderão também, se for caso disso e aplicável, recorrer ao Sistema de Informação de Schengen de Segunda Geração (SIS II) criado pelo Regulamento (UE) 2018/1862 do Parlamento Europeu e do Conselho (21), a informações provenientes dos serviços de informação e de segurança, bem como a quaisquer outras informações objetivas disponíveis que possam ser necessárias para determinar a adequação da pessoa em causa para ocupar o cargo em relação ao qual a entidade crítica solicitou a realização de uma verificação de antecedentes.

(33)

Deverá ser criado um mecanismo para a notificação de determinados incidentes que permita às autoridades competentes responderem de forma rápida e adequada aos incidentes e ter uma visão abrangente do impacto, da natureza, da causa e das eventuais consequências de um incidente com o qual as entidades críticas tenham de lidar. As entidades críticas deverão notificar, sem demora injustificada, as autoridades competentes de incidentes que perturbem significativamente ou que sejam suscetíveis de perturbar significativamente a prestação de serviços essenciais. Exceto se tal não for possível por razões operacionais, as entidades críticas deverão apresentar uma notificação inicial, o mais tardar, 24 horas após terem tido conhecimento de um incidente. A notificação inicial deverá conter apenas as informações estritamente necessárias para dar conhecimento do incidente à autoridade competente e dar à entidade crítica a possibilidade de procurar assistência, caso tal seja necessário. Essa notificação deverá indicar, sempre que possível, a causa presumida do incidente. Os Estados-Membros deverão garantir que a obrigação de apresentar esta notificação inicial não desvia os recursos da entidade crítica das atividades relacionadas com o tratamento de incidentes, às quais deverá ser atribuída prioridade. A notificação inicial deverá ser seguida, se for caso disso, de um relatório pormenorizado, o mais tardar um mês após o incidente. O relatório pormenorizado deverá complementar a notificação inicial e fornecer uma visão mais completa do incidente.

(34)

A normalização deverá continuar a ser essencialmente um processo impulsionado pelo mercado. No entanto, podem ainda existir situações em que seja adequado exigir o cumprimento de normas específicas. Os Estados-Membros deverão, sempre que seja útil, incentivar a utilização de normas e de especificações técnicas europeias e internacionais que sejam pertinentes para as medidas de segurança e de resiliência aplicáveis às entidades críticas.

(35)

Embora as entidades críticas operem geralmente como parte de uma rede cada vez mais interligada de prestação de serviços e infraestruturas e prestem, frequentemente, serviços essenciais em mais do que um Estado-Membro, algumas dessas entidades críticas revestem-se de especial relevância para a União e o seu mercado interno, uma vez que prestam serviços essenciais a, ou em, seis ou mais Estados-Membros e, por conseguinte, poderão beneficiar de apoio específico a nível da União. Deverão, pois, ser estabelecidas regras sobre missões consultivas destinadas a essas entidades críticas de especial relevância europeia. Essas regras não prejudicam as regras em matéria de supervisão e de execução coerciva estabelecidas na presente diretiva.

(36)

Mediante pedido fundamentado da Comissão de um ou mais Estados-Membros aos quais ou nos quais seja prestado o serviço essencial, sempre que forem necessárias informações adicionais para poder aconselhar uma entidade crítica no cumprimento das obrigações que lhe incumbem por força da presente diretiva ou para avaliar o cumprimento dessas obrigações por parte de uma entidade crítica de especial relevância europeia, o Estado-Membro que tenha identificado uma entidade crítica de especial relevância europeia como sendo uma entidade crítica deverá facultar à Comissão determinadas informações estabelecidas na presente diretiva. De acordo com o Estado-Membro que tenha identificado a entidade crítica de especial relevância europeia como sendo uma entidade crítica, a Comissão deverá poder organizar uma missão consultiva para avaliar as medidas adotadas por essa entidade. A fim de garantir que tais missões consultivas sejam devidamente realizadas, deverão ser estabelecidas regras complementares, nomeadamente no que se refere à organização e realização das missões consultivas, às medidas de seguimento a tomar e às obrigações que incumbem às entidades críticas de especial relevância europeia em causa. Sem prejuízo da necessidade de o Estado-Membro em que a missão consultiva é realizada e de a entidade crítica em causa cumprirem as regras estabelecidas na presente diretiva, as missões consultivas deverão ser realizadas sob reserva das regras de execução do direito desse Estado-Membro, por exemplo, sobre as condições exatas a preencher para obter acesso a instalações ou documentos pertinentes e sobre as vias de recurso judicial. Os conhecimentos específicos necessários para a realização de tais missões consultivas podem, se for caso disso, ser solicitados através do Centro de Coordenação de Resposta de Emergência criado pela Decisão n.o 1313/2013/UE do Parlamento Europeu e do Conselho (22).

(37)

A fim de apoiar a Comissão e facilitar a cooperação entre os Estados-Membros e o intercâmbio de informações, incluindo boas práticas, sobre questões relacionadas com a presente diretiva, deverá ser criado um Grupo para a Resiliência das Entidades Críticas, enquanto grupo de peritos da Comissão. Os Estados-Membros deverão esforçar-se por assegurar que os representantes designados das suas autoridades competentes no Grupo para a Resiliência das Entidades Críticas cooperam eficaz e eficientemente, nomeadamente mediante a designação de representantes com credenciação de segurança, se for caso disso. O Grupo para a Resiliência das Entidades Críticas deverá começar a desempenhar as suas funções logo que possível, a fim de proporcionar meios adicionais para uma cooperação adequada durante o período de transposição da presente diretiva. O Grupo para a Resiliência das Entidades Críticas deverá interagir com outros grupos de peritos setoriais pertinentes.

(38)

O Grupo para a Resiliência das Entidades Críticas deverá colaborar com o grupo de cooperação criado ao abrigo da Diretiva (UE) 2022/2555, com vista a apoiar um quadro abrangente para a ciber-resiliência e a resiliência não relacionada com a cibersegurança das entidades críticas. O Grupo para a Resiliência das Entidades Críticas e o grupo de cooperação criado ao abrigo da Diretiva (UE) 2022/2555 deverão manter um diálogo regular, a fim de promover a cooperação entre as autoridades competentes nos termos da presente diretiva e da Diretiva (UE) 2022/2555 e facilitar o intercâmbio de informações, nomeadamente sobre temas pertinentes para ambos os grupos.

(39)

A fim de alcançar os objetivos da presente diretiva, e sem prejuízo da responsabilidade jurídica dos Estados-Membros e das entidades críticas de assegurarem o cumprimento das respetivas obrigações nela estabelecidas, a Comissão deverá, sempre que considerar adequado, apoiar as autoridades competentes e as entidades críticas a fim de facilitar o cumprimento por parte destas das respetivas obrigações. Aquando da prestação de apoio aos Estados-Membros e às entidades críticas no cumprimento das obrigações decorrentes da presente diretiva, a Comissão deverá basear-se nas estruturas e instrumentos existentes, como os do Mecanismo de Proteção Civil da União Europeia, criado pela Decisão n.o 1313/2013/UE, e da rede europeia de referência para a proteção das infraestruturas críticas. Além disso, deverá informar os Estados-Membros dos recursos disponíveis a nível da União, nomeadamente no âmbito do Fundo para a Segurança Interna, criado pelo Regulamento (UE) 2021/1149 do Parlamento Europeu e do Conselho (23), do Horizonte Europa, criado pelo Regulamento (UE) 2021/695 do Parlamento Europeu e do Conselho (24), ou de outros instrumentos pertinentes para a resiliência das entidades críticas.

(40)

Os Estados-Membros deverão assegurar que as suas autoridades competentes dispõem de determinados poderes específicos para assegurar a correta aplicação e execução da presente diretiva em relação a entidades críticas, sempre que essas entidades se encontrem sob a sua jurisdição, tal como especificado na presente diretiva. Esses poderes deverão incluir, nomeadamente, o poder de realizar inspeções e auditorias, o poder de exercer a supervisão, de exigir que as entidades críticas forneçam informações e elementos de prova relativos às medidas por si tomadas para cumprir as obrigações que lhes incumbem e, sempre que necessário, o poder de emitir ordens para corrigir as infrações identificadas. Ao emitir tais ordens, os Estados-Membros não deverão exigir medidas que vão além do necessário e proporcionado para assegurar a conformidade da entidade crítica em causa, tendo especialmente em conta a gravidade da infração e a capacidade económica da entidade crítica em questão. De um modo mais geral, esses poderes deverão ser acompanhados de garantias adequadas e eficazes a especificar no direito nacional em conformidade com a Carta dos Direitos Fundamentais da União Europeia. Ao avaliar o cumprimento, por uma entidade crítica, das obrigações que lhe incumbem nos termos da presente diretiva, as autoridades competentes nos termos da presente diretiva deverão poder solicitar às autoridades competentes nos termos da Diretiva (UE) 2022/2555 que exerçam os seus poderes de supervisão e de execução coerciva em relação a uma entidade nos termos dessa diretiva que tenha sido identificada como sendo uma entidade crítica nos termos da presente diretiva. As autoridades competentes nos termos da presente diretiva e as autoridades competentes nos termos da Diretiva (UE) 2022/2555 deverão colaborar e trocar informações para o efeito.

(41)

A fim de assegurar que a presente diretiva é aplicada de forma efetiva e coerente, o poder de adotar atos nos termos do artigo 290.o do TFUE deverá ser delegado na Comissão para completar a presente diretiva através da elaboração de uma lista de serviços essenciais. Essa lista deverá ser utilizada pelas autoridades competentes para efeitos da realização de avaliações dos riscos do Estado-Membro e da identificação de entidades críticas nos termos da presente diretiva. À luz da abordagem de harmonização mínima na presente diretiva, essa lista não é exaustiva e os Estados-Membros poderão completá-la com serviços essenciais adicionais a nível nacional, a fim de ter em conta as especificidades nacionais na prestação de serviços essenciais. É particularmente importante que a Comissão proceda às consultas adequadas durante os trabalhos preparatórios, inclusive ao nível de peritos, e que essas consultas sejam conduzidas de acordo com os princípios estabelecidos no Acordo Interinstitucional, de 13 de abril de 2016, sobre legislar melhor (25). Em particular, a fim de assegurar a igualdade de participação na preparação dos atos delegados, o Parlamento Europeu e o Conselho recebem todos os documentos ao mesmo tempo que os peritos dos Estados-Membros, e os respetivos peritos têm sistematicamente acesso às reuniões dos grupos de peritos da Comissão que tratem da preparação dos atos delegados.

(42)

A fim de assegurar condições uniformes para a execução da presente diretiva, deverão ser atribuídas competências de execução à Comissão. Essas competências deverão ser exercidas nos termos do Regulamento (UE) n.o 182/2011 do Parlamento Europeu e do Conselho (26).

(43)

Atendendo a que os objetivos da presente diretiva, a saber, assegurar que os serviços essenciais para a manutenção de funções societais ou atividades económicas vitais sejam prestados sem entraves no mercado interno e reforçar a resiliência das entidades críticas que prestam tais serviços, não podem ser suficientemente alcançados pelos Estados-Membros, mas podem, devido aos efeitos da ação considerada, ser mais bem alcançados ao nível da União, a União pode tomar medidas, em conformidade com o princípio da subsidiariedade consagrado no artigo 5.o do Tratado da União Europeia. Em conformidade com o princípio da proporcionalidade consagrado no mesmo artigo, a presente diretiva não excede o necessário para alcançar esses objetivos.

(44)

A Autoridade Europeia para a Proteção de Dados foi consultada nos termos do 42.o, n.o 1, do Regulamento (UE) 2018/1725 do Parlamento Europeu e do Conselho (27) e emitiu parecer em 11 de agosto de 2021.

(45)

Por conseguinte, a Diretiva 2008/114/CE deverá ser revogada,