(1)

A Diretiva (UE) 2016/1148 do Parlamento Europeu e do Conselho (4) tinha por objetivo desenvolver as capacidades de cibersegurança em toda a União, atenuar as ameaças aos sistemas de rede e informação utilizados para prestar serviços essenciais em setores-chave e garantir a continuidade de tais serviços em face de incidentes, contribuindo assim para a segurança da União e para o eficaz funcionamento da sua economia e sociedade.

(2)

Desde a entrada em vigor da Diretiva (UE) 2016/1148, foram alcançados progressos significativos no sentido de aumentar a ciber-resiliência da União. A avaliação dessa diretiva revelou que esta funcionou como um catalisador para a abordagem institucional e regulamentar para a cibersegurança na União, abrindo as portas a uma mudança significativa das mentalidades. A referida diretiva assegurou a conclusão de quadros nacionais em matéria de segurança dos sistemas de rede e informação, mediante a definição de estratégias nacionais em matéria de segurança dos sistemas de rede e informação, o estabelecimento de capacidades nacionais e a aplicação de medidas regulamentares que abrangem as infraestruturas e as entidades essenciais identificadas por cada Estado-Membro. A Diretiva (UE) 2016/1148 contribuiu igualmente para a cooperação a nível da União por via da criação do grupo de cooperação e da rede de equipas nacionais de resposta a incidentes de segurança informática. Não obstante esses resultados, a avaliação da Diretiva (UE) 2016/1148 revelou deficiências intrínsecas que a impedem de responder de forma eficaz a desafios atuais e emergentes no domínio da cibersegurança.

(3)

Com a rápida transformação digital e interligação da sociedade, nomeadamente nos intercâmbios transfronteiriços, os sistemas de rede e informação passaram a ocupar um lugar central na vida quotidiana. Essa evolução originou um alargamento do cenário de ciberameaças, criando novos desafios que exigem respostas adaptadas, coordenadas e inovadoras em todos os Estados-Membros. O número, a amplitude, a sofisticação, a frequência e o impacto dos incidentes estão a aumentar e constituem uma grave ameaça ao funcionamento dos sistemas de rede e informação. Consequentemente, os incidentes podem impedir o exercício de atividades económicas no mercado interno, gerar perdas financeiras, minar a confiança dos utilizadores e causar graves prejuízos à economia e à sociedade da União. Por conseguinte, a preparação e a eficácia no domínio da cibersegurança nunca foram tão importantes para o bom funcionamento do mercado interno como agora. Além disso, a cibersegurança é um fator essencial que permite a muitos setores críticos adotar com êxito a transformação digital e tirar pleno partido das vantagens económicas, sociais e sustentáveis da digitalização.

(4)

A base jurídica da Diretiva (UE) 2016/1148 é o artigo 114.o do Tratado sobre o Funcionamento da União Europeia (TFUE), cujo objetivo consiste no estabelecimento e funcionamento do mercado interno por intermédio do reforço de medidas relativas à aproximação das regras nacionais. Os requisitos de cibersegurança impostos às entidades que prestam serviços ou que exercem atividades economicamente significativas variam consideravelmente entre os Estados-Membros em termos do tipo de requisitos, do seu grau de pormenor e do método de supervisão. Essas disparidades implicam custos adicionais e criam dificuldades para as entidades que propõem bens ou serviços além-fronteiras. As diferenças ou até mesmo as contradições entre os requisitos impostos por dois Estados-Membros podem afetar substancialmente essas atividades transfronteiriças. Além disso, a eventual inadequação na conceção ou aplicação de requisitos de cibersegurança num Estado-Membro terá, provavelmente, repercussões no nível de cibersegurança de outros Estados-Membros, em especial em virtude da intensidade dos intercâmbios transfronteiriços. A avaliação da Diretiva (UE) 2016/1148 revelou grandes divergências na sua aplicação pelos Estados-Membros, nomeadamente em relação ao seu âmbito, cuja delimitação foi deixada, em larga medida, ao critério dos Estados-Membros. A Diretiva (UE) 2016/1148 também concedeu aos Estados-Membros uma margem de apreciação muito ampla relativamente à aplicação das obrigações nela estabelecidas em matéria de segurança e de notificação de incidentes. Tais obrigações foram, portanto, aplicadas de formas significativamente diferentes a nível nacional. Existem divergências semelhantes na aplicação das disposições da Diretiva (UE) 2016/1148 em matéria de supervisão e execução.

(5)

Todas essas divergências implicam uma fragmentação do mercado interno e podem prejudicar o seu funcionamento, afetando, em especial, a prestação transfronteiriça de serviços e o nível de ciber-resiliência devido à aplicação de uma variedade de medidas. Em última análise, essas divergências poderiam conduzir a uma maior vulnerabilidade de alguns Estados-Membros às ciberameaças, com potenciais repercussões em toda a União. A presente diretiva visa eliminar essas divergências tão profundas entre os Estados-Membros, em especial estabelecendo regras mínimas relativas ao funcionamento de um quadro regulamentar coordenado, criando mecanismos para uma cooperação eficaz entre as autoridades responsáveis em cada Estado-Membro, atualizando a lista de setores e atividades sujeitas a obrigações em matéria de cibersegurança e prevendo vias de recurso e medidas de execução eficazes que são fundamentais para a execução efetiva dessas obrigações. Por conseguinte, a Diretiva (UE) 2016/1148 deverá ser revogada e substituída pela presente diretiva.

(6)

Com a revogação da Diretiva (UE) 2016/1148, o âmbito de aplicação por setor deverá ser alargado a uma parte mais vasta da economia a fim de assegurar uma cobertura exaustiva dos setores e serviços de importância vital para as atividades económicas e sociais fundamentais no mercado interno. Em especial, a presente diretiva tem por objetivo colmatar as lacunas da diferenciação entre operadores de serviços essenciais e prestadores de serviços digitais, que se revelou obsoleta, uma vez que não reflete a importância dos setores ou serviços para as atividades económicas e sociais no mercado interno.

(7)

Nos termos da Diretiva (UE) 2016/1148, cabia aos Estados-Membros identificar as entidades que cumpriam os critérios de classificação como operadores de serviços essenciais. A fim de eliminar as profundas divergências entre os Estados-Membros nesse domínio e proporcionar a todas as entidades jurídicas pertinentes segurança jurídica no que respeita às medidas de gestão de riscos de cibersegurança e às obrigações de notificação, há que estabelecer um critério uniforme para identificar as entidades abrangidas pelo âmbito da presente diretiva. Tal critério deverá consistir na aplicação da regra da limitação com base na dimensão da empresa, nos termos da qual todas as entidades que sejam consideradas médias empresas nos termos do artigo 2.o do anexo da Recomendação 2003/361/CE da Comissão (5), ou que excedam os limiares relativos às médias empresas previstos no n.o 1 desse artigo, e que atuam nos setores e que prestam os tipos de serviços ou exerçam atividades abrangidos pela presente diretiva estão abrangidas pelo seu âmbito. Os Estados-Membros deverão igualmente prever que determinadas pequenas empresas e microempresas, na aceção do artigo 2.o, n.os 2 e 3, do referido anexo, que preencham critérios específicos indicativos de um papel fundamental para a sociedade, a economia ou para setores ou tipos de serviços específicos sejam abrangidas pelo âmbito da presente diretiva.

(8)

A exclusão de entidades da administração pública do âmbito da presente diretiva deverá aplicar-se às entidades cujas atividades sejam predominantemente exercidas nos domínios da segurança nacional, da segurança pública, da defesa ou da aplicação da lei, incluindo a prevenção, investigação, deteção e repressão de infrações penais. No entanto, as entidades da administração pública cujas atividades estejam apenas marginalmente relacionadas com esses domínios não deverão ser excluídas do âmbito de aplicação da presente diretiva. Para efeitos da presente diretiva, não se considera que as entidades com competências regulamentares exercem atividades no domínio da aplicação da lei, pelo que não ficam excluídas com esse fundamento do âmbito de aplicação da presente diretiva. As entidades da administração pública estabelecidas em conjunto com um país terceiro em conformidade com um acordo internacional estão excluídas do âmbito de aplicação da presente diretiva. A presente diretiva não se aplica às missões diplomáticas e consulares dos Estados-Membros em países terceiros nem aos seus sistemas de rede e informação, na medida em que esses sistemas estejam localizados nas instalações da missão ou sejam explorados para utilizadores num país terceiro.

(9)

Os Estados-Membros deverão poder tomar as medidas necessárias para garantir a proteção dos interesses essenciais da segurança nacional, salvaguardar a ordem e a segurança públicas e permitir a prevenção, a investigação, a deteção e a repressão das infrações penais. Para o efeito, os Estados-Membros deverão poder isentar entidades específicas que exercem atividades nos domínios da segurança nacional, da segurança pública, da defesa ou da aplicação da lei, incluindo atividades relacionadas com a prevenção, investigação, deteção e repressão de infrações penais, da obrigação de cumprir certas obrigações estabelecidas na presente diretiva no que diz respeito a essas atividades. Caso uma entidade preste serviços exclusivamente a uma entidade da administração pública excluída do âmbito de aplicação da presente diretiva, os Estados-Membros deverão poder isentar essa entidade de cumprir determinadas obrigações estabelecidas na presente diretiva no que diz respeito a esses serviços. Além disso, nenhum Estado-Membro deverá ser obrigado a prestar informações cuja divulgação seja contrária aos interesses essenciais do Estado– Membro em matéria de segurança nacional, segurança pública ou defesa. Nesse contexto, deverão ser tidas em conta as regras nacionais ou da União relativas à proteção de informações classificadas, os acordos de não divulgação e os acordos de não divulgação informais, tais como o protocolo «sinalização luminosa» (do inglês, traffic light protocol). O protocolo «sinalização luminosa» deve ser entendido como um meio de fornecer informações sobre possíveis limitações à disseminação posterior de informações. É utilizado em quase todas as equipas de resposta a incidentes de segurança informática (CSIRT, do inglês, computer security incident response teams) e em alguns centros de partilha e análise de informações.

(10)

Embora a presente diretiva se aplique a entidades que exercem atividades de produção de eletricidade a partir de centrais nucleares, algumas dessas atividades podem estar ligadas à segurança nacional. Se for esse o caso, um Estado-Membro deverá poder exercer a sua responsabilidade de salvaguardar a segurança nacional no que diz respeito a essas atividades, incluindo as atividades no âmbito da cadeia de valor nuclear, em conformidade com os Tratados.

(11)

Algumas entidades exercem atividades no domínio da segurança nacional, da segurança pública, da defesa ou da aplicação da lei, incluindo a prevenção, a investigação, a deteção e a repressão das infrações penais, prestando simultaneamente serviços de confiança. Os prestadores de serviços de confiança abrangidos pelo âmbito de aplicação do Regulamento (UE) n.o 910/2014 do Parlamento Europeu e do Conselho (6) deverão ser abrangidos pelo âmbito de aplicação da presente diretiva, a fim de garantir o mesmo nível de requisitos de segurança e supervisão que o anteriormente estabelecido no referido regulamento a respeito dos prestadores de serviços de confiança. Em consonância com a exclusão de determinados serviços específicos do Regulamento (UE) n.o 910/2014, a presente diretiva não deverá aplicar-se à oferta de serviços de confiança utilizados exclusivamente dentro de sistemas fechados que decorram do direito nacional ou de acordos entre um grupo definido de participantes.

(12)

Os prestadores de serviços postais, tal como definidos na Diretiva 97/67/CE do Parlamento Europeu e do Conselho (7), incluindo os prestadores de serviços de correio, deverão ser abrangidos pela presente diretiva se realizarem, pelo menos, uma das atividades na cadeia de entrega postal, em especial recolha, triagem ou distribuição, incluindo serviços de levantamento, tendo simultaneamente em conta o grau da sua dependência dos sistemas de rede e informação. Os serviços de transporte que não sejam prestados em conjunto com uma dessas atividades deverão ser excluídos do âmbito dos serviços postais.

(13)

Tendo em conta a intensificação e a crescente sofisticação das ciberameaças, os Estados-Membros deverão procurar assegurar que as entidades excluídas do âmbito de aplicação da presente diretiva atinjam um elevado nível de cibersegurança e apoiar a aplicação de medidas equivalentes de gestão dos riscos de cibersegurança que reflitam a natureza sensível dessas entidades.

(14)

O direito da União em matéria de proteção de dados e o direito da União em matéria de privacidade são aplicáveis a qualquer tratamento de dados pessoais realizado ao abrigo da presente diretiva. Em especial, a presente diretiva não prejudica o Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho (8) e a Diretiva 2002/58/CE do Parlamento Europeu e do Conselho (9). Por conseguinte, a presente diretiva não deverá afetar, nomeadamente, as funções e os poderes das autoridades competentes para controlar o cumprimento do direito da União em matéria de proteção de dados e do direito da União em matéria de privacidade aplicáveis.

(15)

As entidades abrangidas pelo âmbito de aplicação da presente diretiva, para efeitos de cumprimento das obrigações relativas às medidas de gestão dos riscos de cibersegurança e à notificação, deverão ser classificadas em duas categorias, entidades essenciais e entidades importantes, refletindo a medida em que são fundamentais no que respeita ao seu setor ou ao tipo de serviço que prestam, bem como a sua dimensão. A este respeito, deverão ser tidas devidamente em conta quaisquer avaliações de risco setoriais ou orientações pertinentes emitidas pelas autoridades competentes, quando aplicável. Os regimes de supervisão e de execução aplicáveis a essas duas categorias deverão ser diferentes, a fim de garantir um equilíbrio justo entre os requisitos baseados no risco e as obrigações, por um lado, e os encargos administrativos decorrentes da supervisão do cumprimento, por outro.

(16)

A fim de evitar que as entidades que têm empresas parceiras ou que são empresas associadas sejam consideradas entidades essenciais ou importantes se tal for desproporcionado, os Estados-Membros podem ter em conta o grau de independência de que goza uma entidade em relação às suas empresas parceiras ou associadas aquando da aplicação do artigo 6.o, n.o 2, do anexo da Recomendação 2003/361/CE. Em especial, os Estados-Membros podem ter em conta o facto de uma entidade ser independente das suas empresas parceiras ou associadas em termos de sistemas de rede e informação que essa entidade utiliza na prestação dos seus serviços e em termos dos serviços que presta. Nessa base, se for caso disso, os Estados-Membros podem considerar que tal entidade não é uma média empresa nos termos do artigo 2.o do anexo da Recomendação 2003/361/CE, ou não excede os limiares relativos a uma média empresa previstos no n.o 1 desse artigo, se, após ter em conta o grau de independência dessa entidade, essa entidade não teria sido considerada uma média empresa ou não teria excedido esses limiares no caso de apenas serem tidos em conta os seus próprios dados. Tal não afeta as obrigações previstas na presente diretiva para as empresas parceiras e associadas abrangidas pelo âmbito de aplicação da presente diretiva.

(17)

Os Estados-Membros deverão poder decidir que as entidades identificadas como operadores de serviços essenciais antes da entrada em vigor da presente diretiva, nos termos da Diretiva (UE) 2016/1148, devem ser consideradas entidades essenciais.

(18)

A fim de assegurar uma panorâmica clara das entidades abrangidas pelo âmbito de aplicação da presente diretiva, os Estados-Membros deverão estabelecer uma lista de entidades essenciais e importantes, bem como de entidades que prestam serviços de registo de nomes de domínio. Para o efeito, os Estados-Membros deverão exigir que as entidades apresentem, pelo menos, as seguintes informações às autoridades competentes, a saber, o nome, o endereço e os dados de contacto atualizados, incluindo os endereços de correio eletrónico, as gamas de endereços IP e os números de telefone da entidade e, se aplicável, o setor e subsetor pertinentes referidos nos anexos, bem como, se aplicável, uma lista dos Estados-Membros em que prestam serviços abrangidos pelo âmbito da presente diretiva. Nesse sentido, a Comissão, com a assistência da Agência da União Europeia para a Cibersegurança (ENISA), deverá fornecer, sem demora injustificada, orientações e modelos no que diz respeito às obrigações de enviar informações. A fim de facilitar a elaboração e atualização da lista de entidades essenciais e importantes, bem como de entidades que prestam serviços de registo de nomes de domínio, os Estados-Membros deverão poder estabelecer mecanismos nacionais para que as entidades se registem. Caso os registos existam a nível nacional, os Estados-Membros podem decidir quais os mecanismos adequados que permitem a identificação das entidades abrangidas pelo âmbito de aplicação da presente diretiva.

(19)

Os Estados-Membros deverão ser responsáveis por comunicar à Comissão, pelo menos, o número de entidades essenciais e importantes para cada setor e subsetor referidos nos anexos, bem como informações pertinentes sobre o número de entidades identificadas e a disposição, de entre as previstas na presente diretiva, com base na qual foram identificadas, e o tipo de serviço que prestam. Os Estados-Membros são incentivados a proceder ao intercâmbio de informações com a Comissão sobre entidades essenciais e importantes e, em caso de incidente de cibersegurança em grande escala, informações pertinentes, como o nome da entidade em causa.

(20)

Em cooperação com o grupo de cooperação e após consulta das partes interessadas pertinentes, a Comissão deverá fornecer orientações sobre a aplicação dos critérios relativos às microempresas e às pequenas empresas para avaliar se elas são abrangidas pelo âmbito da presente diretiva. A Comissão deverá também garantir o fornecimento de orientações adequadas a todas as microempresas e pequenas empresas abrangidas pelo âmbito de aplicação da presente diretiva. A Comissão, com a assistência dos Estados-Membros, deverá colocar à disposição das microempresas e das pequenas empresas informações a este respeito.

(21)

A Comissão poderá fornecer orientações para apoiar os Estados-Membros na aplicação das disposições da presente diretiva relativas ao âmbito de aplicação e na avaliação da proporcionalidade das medidas a adotar nos termos da presente diretiva, em particular no que toca a entidades com modelos de negócio ou ambientes operacionais complexos, em que uma entidade pode simultaneamente preencher os critérios atribuídos a entidades essenciais e a entidades importantes ou pode simultaneamente exercer algumas atividades abrangidas pelo âmbito de aplicação da presente diretiva e algumas atividades excluídas do mesmo.

(22)

A presente diretiva estabelece a base de referência para as medidas de gestão dos riscos de cibersegurança e as obrigações de notificação nos setores abrangidos pelo respetivo âmbito de aplicação. A fim de evitar a fragmentação das disposições em matéria de cibersegurança dos atos jurídicos da União, sempre que se considerem necessários outros atos jurídicos da União setoriais relativos às medidas de gestão dos riscos de cibersegurança e às obrigações de notificação para garantir um elevado nível de cibersegurança em toda a União, a Comissão deverá avaliar se essas disposições adicionais poderão ser definidas num ato de execução nos termos da presente diretiva. Caso esses atos de execução não sejam adequados para o efeito, os atos jurídicos setoriais da União poderão contribuir para assegurar um elevado nível de cibersegurança em toda a União, tomando simultaneamente em plena consideração as especificidades e complexidades dos setores em causa. Nesse sentido, a presente diretiva não obsta à adoção de atos jurídicos setoriais adicionais da União relacionados com medidas de gestão dos riscos de cibersegurança e obrigações de notificação que tenham em devida conta a necessidade de um quadro de cibersegurança exaustivo e coerente. A presente diretiva não prejudica as atuais competências de execução atribuídas à Comissão em vários setores, incluindo transportes e energia.

(23)

Nos casos em que um ato jurídico setorial da União inclua disposições que exijam que entidades essenciais e importantes adotem medidas de gestão dos riscos de cibersegurança ou notifiquem incidentes significativos, e, se tais exigências forem, na prática, pelo menos equivalentes às obrigações estabelecidas na presente diretiva, essas disposições, incluindo em matéria de supervisão e execução, deverão aplicar-se a essas entidades. Se um ato jurídico setorial da União não abranger todas as entidades de um setor específico abrangido pelo âmbito de aplicação da presente diretiva, as disposições pertinentes da presente diretiva deverão continuar a aplicar-se às entidades não abrangidas pelo referido ato.

(24)

Sempre que as disposições de um ato jurídico setorial da União exijam que as entidades essenciais ou importantes cumpram obrigações de notificação que sejam pelo menos equivalentes na prática às obrigações de notificação estabelecidas na presente diretiva, deverá ser assegurada a coerência e a eficácia do tratamento das notificações de incidentes. Para o efeito, as disposições do ato jurídico setorial da União sobre a notificação de incidentes deverão proporcionar às CSIRT, às autoridades competentes ou aos pontos de contacto únicos em matéria de cibersegurança (pontos de contacto únicos) ao abrigo da presente diretiva um acesso imediato às notificações de incidentes apresentadas em conformidade com o ato jurídico setorial da União. Em especial, esse acesso imediato pode ser assegurado se as notificações de incidentes forem reencaminhadas sem demora injustificada à CSIRT, à autoridade competente ou ao ponto de contacto único nos termos da presente diretiva. Se for caso disso, os Estados-Membros deverão criar um mecanismo de comunicação automática e direta que assegure a partilha sistemática e imediata de informações com as CSIRT, as autoridades competentes ou os pontos de contacto único sobre o tratamento dessas notificações de incidentes. A fim de simplificar a comunicação de informações e de aplicar o mecanismo de comunicação automática e direta, os Estados-Membros poderão, em conformidade com o ato jurídico setorial da União, utilizar um ponto de entrada único.

(25)

Os atos jurídicos setoriais da União que prevejam medidas de gestão dos riscos de cibersegurança ou obrigações de notificação pelo menos equivalentes às estabelecidas na presente diretiva poderão prever que as autoridades competentes ao abrigo desses atos exerçam as suas competências de supervisão e execução em relação a essas medidas ou obrigações com a assistência das autoridades competentes nos termos da presente diretiva. As autoridades competentes em causa poderão estabelecer acordos de cooperação para esse efeito. Tais acordos de cooperação poderão especificar, entre outros, os procedimentos relativos à coordenação das atividades de supervisão, incluindo os procedimentos das investigações e inspeções no local, em conformidade com o direito nacional e um mecanismo de intercâmbio de informações relevantes em matéria de supervisão e execução entre as autoridades competentes, incluindo o acesso a informações relacionadas com o ciberespaço solicitadas pelas autoridades competentes nos termos da presente diretiva.

(26)

Sempre que atos jurídicos setoriais da União exijam ou proporcionem incentivos às entidades para notificarem ciberameaças significativas, os Estados-Membros deverão também incentivar a partilha de ciberameaças significativas com as CSIRT, as autoridades competentes ou os pontos de contacto únicos ao abrigo da presente diretiva, a fim de assegurar um maior nível de sensibilização desses organismos para o panorama das ciberameaças e de permitir-lhes dar resposta, de forma eficaz e atempada, caso as ciberameaças significativas se materializem.

(27)

Os futuros atos jurídicos setoriais da União deverão ter devidamente em conta as definições e o quadro de supervisão e execução estabelecidos na presente diretiva.

(28)

O Regulamento (UE) 2022/2554 do Parlamento Europeu e do Conselho (10) deverá ser considerado um ato jurídico setorial da União para efeitos da presente diretiva no que diz respeito às entidades financeiras. As disposições do Regulamento (UE) 2022/2554 relativas às medidas de gestão dos riscos no domínio das tecnologias da informação e comunicação (TIC), à gestão de incidentes relacionados com TIC e, em especial, às obrigações de notificação de incidentes de caráter severo relacionados com as TIC, bem como as relativas a testes de resiliência operacional digital, acordos de partilha de informações e riscos de terceiros no domínio das TIC, deverão ser aplicadas em vez das disposições previstas na presente diretiva. Por conseguinte, os Estados-Membros não deverão aplicar as disposições da presente diretiva em matéria de obrigações de gestão dos riscos de cibersegurança e de notificação, e em matéria de supervisão e execução, relativas às entidades financeiras abrangidas pelo Regulamento (UE) 2022/2554. Ao mesmo tempo, é importante manter uma relação sólida e o intercâmbio de informações com o setor financeiro no âmbito da presente diretiva. Para o efeito, o Regulamento (UE) 2022/2554 permite que as autoridades europeias de supervisão (AES) e as autoridades competentes ao abrigo desse regulamento participem nas atividades do grupo de cooperação, e que troquem informações e cooperem com os pontos de contacto únicos, bem como com as CSIRT e as autoridades competentes ao abrigo da presente diretiva. As autoridades competentes ao abrigo do Regulamento (UE) 2022/2554 também deverão transmitir informações pormenorizadas sobre incidentes graves relacionados com as TIC e, quando pertinente, com ciberameaças significativas às autoridades competentes, às CSIRT ou os pontos de contacto únicos nos termos da presente diretiva. Tal é possível através de um acesso imediato a notificações de incidentes e do respetivo reencaminhamento quer diretamente quer através de um ponto de entrada único. Adicionalmente, os Estados-Membros deverão continuar a incluir o setor financeiro nas respetivas estratégias de cibersegurança e as CSIRT podem contemplar o setor financeiro nas suas atividades.

(29)

A fim de evitar lacunas ou duplicações das obrigações em matéria de cibersegurança impostas às entidades do setor da aviação, as autoridades nacionais nos termos dos Regulamentos (CE) n.o 300/2008 (11) e (UE) 2018/1139 (12) do Parlamento Europeu e do Conselho e as autoridades competentes nos termos da presente diretiva deverão cooperar na aplicação de medidas de gestão dos riscos de cibersegurança e na supervisão da conformidade dessas medidas a nível nacional. O cumprimento por uma entidade dos requisitos de segurança estabelecidos nos Regulamentos (CE) n.o 300/2008 e (UE) 2018/1139 e nos atos delegados e de execução pertinentes adotados nos termos desses regulamentos poderá ser tida em conta pelas autoridades competentes ao abrigo da presente diretiva como constituindo o cumprimento dos requisitos correspondentes estabelecidos na presente diretiva.

(30)

Tendo em conta as interligações entre a cibersegurança e a segurança física das entidades, importa assegurar uma abordagem coerente entre a Diretiva (UE) 2022/2557 do Parlamento Europeu e do Conselho (13) e a presente diretiva. Para tal, as entidades identificadas como entidades críticas nos termos da Diretiva (UE) 2022/2557 deverão ser consideradas entidades essenciais no âmbito da presente diretiva. Além disso, cada Estado-Membro deverá garantir que a sua estratégia nacional em matéria de cibersegurança preveja um quadro político para o reforço da cooperação nos Estados-Membros entre as suas autoridades competentes nos termos da presente diretiva e as autoridades competentes nos termos da Diretiva (UE) 2022/2557 no contexto da partilha de informações sobre os riscos, as ciberameaças e os incidentes, bem como sobre os riscos, as ameaças e os incidentes não cibernéticos e o exercício de funções de supervisão. As autoridades competentes referidas na presente diretiva e as referidas na Diretiva (UE) 2022/2557 deverão cooperar e trocar informações, sem demora injustificada, especialmente no que respeita à identificação de entidades críticas, riscos, ciberameaças e incidentes, bem como no que respeita a riscos, ameaças e incidentes não cibernéticos que afetem entidades críticas, inclusive sobre medidas físicas e de cibersegurança adotadas por entidades críticas, bem como os resultados das atividades de supervisão realizadas em relação a essas entidades.

Além disso, a fim de racionalizar as atividades de supervisão entre as autoridades competentes nos termos da presente diretiva e da Diretiva (UE) 2022/2557 e a fim de minimizar os encargos administrativos para as entidades em causa, essas autoridades competentes deverão procurar harmonizar os modelos de notificação de incidentes e os processos de supervisão. Se for caso disso, as autoridades competentes nos termos da Diretiva (UE) 2022/2557 deverão poder solicitar às autoridades competentes ao abrigo da presente diretiva que exerçam as suas competências de supervisão e execução em relação a uma entidade que também seja identificada como entidade crítica nos termos da Diretiva (UE) 2022/2557. As autoridades competentes nos termos da presente diretiva e as autoridades competentes nos termos da Diretiva (UE) 2022/2557 deverão, se possível em tempo real, cooperar e trocar informações para este fim.

(31)

As entidades pertencentes ao setor das infraestruturas digitais baseiam-se por natureza nos sistemas de rede e informação, pelo que as obrigações impostas a essas entidades nos termos da presente diretiva deverão atender de forma abrangente à segurança física desses sistemas, no quadro das suas medidas de gestão dos riscos de cibersegurança e das obrigações de notificação. Uma vez que essas matérias são abrangidas pela presente diretiva, as obrigações estabelecidas nos capítulos III, IV e VI da Diretiva (UE) 2022/2557 não se aplicam a tais entidades.

(32)

A proteção e a conservação de um sistema de nomes de domínio (DNS, do inglês, domain name system) fiável, resiliente e seguro são fatores cruciais para manter a integridade da Internet, sendo igualmente essenciais para a continuidade e a estabilidade do seu funcionamento, das quais a sociedade e a economia digital dependem. Consequentemente, a presente diretiva deverá ser aplicável a registos de nomes de domínio de topo (TLD, do inglês top-level-domain) e a prestadores de serviços de DNS que devem ser entendidos como entidades que prestam serviços de resolução recursiva de nomes de domínio disponíveis ao público para utilizadores finais de Internet ou serviços de resolução com autoridade para nomes de domínio para utilização de terceiros. A presente diretiva não deverá ser aplicável a servidores de nomes raiz.

(33)

Os serviços de computação em nuvem deverão abranger serviços digitais que permitam a administração a pedido e um amplo acesso remoto a um conjunto modulável e adaptável de recursos de computação partilháveis, inclusive quando esses recursos são distribuídos por várias localizações. Os recursos de computação incluem redes, servidores ou outras infraestruturas, sistemas operativos, software, armazenamento, aplicações e serviços. Os modelos de serviço de computação em nuvem incluem, entre outras, as infraestruturas como serviço (IaaS, do inglês Infrastructure as a Service), a plataforma como serviço (PaaS, do inglês Platform as a Service), o software como serviço (SaaS, do inglês Software as a Service) e a rede como serviço (NaaS, do inglês Network as a Service). Os modelos de implantação da computação em nuvem deverão incluir soluções de nuvem privada, comunitária, pública e híbrida. Os serviços e os modelos de implantação de computação em nuvem têm o mesmo significado que as condições de serviço e os modelos de implantação definidos na norma ISO/IEC 17788:2014. A possibilidade de o utilizador de serviços de computação em nuvem gerir autónoma e unilateralmente as capacidades de computação, como o tempo de acesso ao servidor ou o armazenamento em rede, sem qualquer interação humana do prestador do serviço de computação em nuvem, pode ser descrita como administração a pedido.

O termo «amplo acesso remoto» é utilizado para descrever o facto de as capacidades de computação em nuvem serem disponibilizadas através da rede e acedidas através de mecanismos que promovem a utilização de diferentes plataformas para clientes «magros» (thin client) ou «gordos» (thick client), nomeadamente telemóveis, tabletes, computadores portáteis e estações de trabalho. O termo «modulável» refere-se a recursos de computação atribuídos de forma flexível pelo prestador de serviços de computação em nuvem, independentemente da localização geográfica dos recursos, a fim de fazer face às flutuações da procura. O termo «conjunto adaptável» é utilizado para descrever os recursos de computação fornecidos e libertados em função da procura, a fim de aumentar ou diminuir rapidamente os recursos disponíveis, consoante o volume de trabalho. O termo «partilhável» é utilizado para descrever os recursos de computação fornecidos a múltiplos utilizadores que partilham um acesso comum ao serviço, mas cujo processamento é efetuado separadamente para cada utilizador, embora o serviço seja prestado a partir do mesmo equipamento eletrónico. O termo «distribuído» é utilizado para descrever os recursos de computação localizados em diferentes computadores ou dispositivos ligados em rede, que comunicam e se coordenam entre si por via da transmissão de mensagens.

(34)

Dada a emergência de tecnologias inovadoras e de novos modelos de negócio, espera-se que surjam novos serviços e modelos de implantação da computação em nuvem no mercado interno em resposta à evolução das necessidades dos consumidores. Nesse contexto, os serviços de computação em nuvem poderão ser prestados sob uma forma altamente distribuída, ainda mais próxima do ponto de geração ou recolha dos dados, substituindo assim o modelo tradicional por um modelo altamente distribuído (a denominada «computação periférica»).

(35)

Os serviços oferecidos por prestadores de serviços de centro de dados nem sempre serão prestados sob a forma de um serviço de computação em nuvem. Consequentemente, os centros de dados nem sempre farão parte de uma infraestrutura de computação em nuvem. A fim de gerir todos os riscos que se colocam à segurança dos sistemas de rede e informação, a presente diretiva, por conseguinte, deverá abranger os prestadores de serviços de centro de dados que não sejam serviços de computação em nuvem. Para efeitos da presente diretiva, o termo «serviço de centro de dados» deverá abranger a prestação de um serviço que englobe estruturas ou grupos de estruturas dedicados ao alojamento, à interligação e à operação centralizadas de equipamento de redes e tecnologias da informação (TI) que preste serviços de armazenamento, tratamento e transmissão de dados, juntamente com todas as instalações e infraestruturas de distribuição de energia e controlo ambiental. O termo «serviço de centro de dados» não se deverá aplicar aos centros de dados internos das empresas, detidos e geridos pela entidade em causa, para os seus próprios fins.

(36)

As atividades de investigação desempenham um papel fundamental no desenvolvimento de novos produtos e processos. Muitas dessas atividades são realizadas por entidades que partilham, divulgam ou exploram os resultados da sua investigação para fins comerciais. Por conseguinte, essas entidades podem ser intervenientes importantes nas cadeias de valor, pelo que a segurança dos seus sistemas de rede e informação faz parte integrante da cibersegurança global do mercado interno. Os organismos de investigação deverão ser entendidos como entidades que concentram a parte essencial das suas atividades na realização de investigação aplicada ou no desenvolvimento experimental, na aceção do Manual de Frascati 2015 da Organização de Cooperação e de Desenvolvimento Económicos: Orientações para a recolha e comunicação de dados sobre a investigação e o desenvolvimento experimental, com vista a explorar os seus resultados para fins comerciais, como o fabrico ou o desenvolvimento de um produto ou processo, ou a prestação de um serviço, ou a respetiva comercialização.

(37)

As crescentes interdependências resultam de uma rede de prestação de serviços com um caráter cada vez mais transfronteiriço e interdependente, que utiliza infraestruturas essenciais em toda a União em setores como o da energia, dos transportes, das infraestruturas digitais, da água potável e das águas residuais, da saúde, de certos aspetos da administração pública, bem como no setor do espaço no que se refere à prestação de certos serviços que dependem de infraestruturas terrestres detidas, geridas e operadas por Estados-Membros ou por entidades privadas, não abrangendo, portanto, as infraestruturas detidas, geridas ou operadas pela União ou em seu nome no âmbito do seu programa espacial. Em virtude dessas interdependências, qualquer perturbação, mesmo que inicialmente confinada a uma entidade ou a um setor, pode ter repercussões mais vastas e causar impactos negativos generalizados e duradouros na prestação de serviços em todo o mercado interno. A intensificação dos ciberataques durante a pandemia de COVID-19 revelou a vulnerabilidade das nossas sociedades, cada vez mais interdependentes perante riscos com baixa probabilidade de ocorrência.

(38)

Tendo em conta as diferenças nas estruturas governativas nacionais, e a fim de salvaguardar os acordos setoriais já existentes ou os organismos de supervisão e regulação da União, os Estados-Membros deverão poder designar ou estabelecer uma ou mais autoridades competentes responsáveis pela cibersegurança e pelas funções de supervisão nos termos da presente diretiva.

(39)

A fim de facilitar a cooperação e a comunicação transfronteiriça entre as autoridades e permitir a aplicação eficaz da presente diretiva, é necessário que cada Estado-Membro designe um ponto de contacto único responsável pela coordenação das questões relativas à segurança dos sistemas de rede e informação e pela cooperação transfronteiriça a nível da União.

(40)

Os pontos de contacto únicos deverão assegurar uma cooperação transfronteiriça eficaz com as autoridades competentes de outros Estados-Membros e, se for caso disso, com a Comissão e a ENISA. Os pontos de contacto únicos, por conseguinte, deverão ser incumbidos do reencaminhamento das notificações de incidentes significativos com impacto transfronteiriço para os pontos de contacto únicos de outros Estados-Membros afetados, a pedido da CSIRT ou da autoridade competente. A nível nacional, os pontos de contacto únicos deverão permitir uma cooperação transetorial harmoniosa com outras autoridades competentes. Os pontos de contacto únicos poderão ser também os destinatários de informações sobre incidentes respeitantes a entidades do setor financeiro fornecidas pelas autoridades competentes nos termos do Regulamento (UE) 2022/2554, informações essas que deverão poder transmitir, conforme adequado, às CSIRT ou às autoridades competentes nos termos da presente diretiva.

(41)

Os Estados-Membros deverão estar adequadamente equipados, em termos de capacidade técnica e organizativa, para evitar, detetar, enfrentar e atenuar os incidentes e os riscos. Por conseguinte, deverão criar ou designar uma ou mais CSIRT ao abrigo da presente diretiva e assegurar que estas dispõem dos recursos e capacidades técnicas adequados. As CSIRT deverão preencher os requisitos estabelecidos na presente diretiva para garantir capacidades efetivas e compatíveis para fazer face aos incidentes e aos riscos e para assegurar uma cooperação eficaz a nível da União. Os Estados-Membros deverão poder designar como CSIRT equipas de resposta a emergências informáticas (CERT, do inglês computer emergency response teams) existentes. No intuito de melhorar a relação de confiança entre as entidades e as CSIRT, se uma autoridade competente dispuser de uma CSIRT, os Estados-Membros deverão poder ponderar a separação funcional entre as funções operacionais desempenhadas pelas CSIRT, especialmente no que respeita à partilha de informações e à assistência prestada às entidades, e as atividades de supervisão das autoridades competentes.

(42)

As CSIRT são responsáveis pelo tratamento de incidentes. Tal inclui o tratamento de grandes volumes de dados por vezes sensíveis. Os Estados-Membros deverão assegurar que as CSIRT disponham de uma infraestrutura para a partilha e o tratamento de informações, bem como de pessoal bem equipado, que garanta a confidencialidade e a fiabilidade das suas operações. As CSIRT podem igualmente adotar códigos de conduta a este respeito.

(43)

No que respeita a dados pessoais, as CSIRT deverão poder facultar, em conformidade com o Regulamento (UE) 2016/679, a pedido de uma entidade essencial ou importante, uma análise proativa dos sistemas de rede e informação utilizados para prestarem os serviços da entidade. Se aplicável, os Estados-Membros deverão procurar garantir que todas as CSIRT setoriais possuam o mesmo nível de capacidades técnicas. Os Estados-Membros devem poder solicitar a assistência da ENISA na criação das suas CSIRT.

(44)

As CSIRT deverão ter capacidade para, a pedido de uma entidade essencial ou importante, monitorizar todos os ativos da entidade com acesso à Internet, tanto nas instalações como fora delas, a fim de identificar, compreender e gerir os riscos globais organizacionais da entidade face a recém-identificadas exposições ou a vulnerabilidades críticas da cadeia de abastecimento. A entidade deverá ser incentivada a comunicar à CSIRT se opera uma interface de gestão privilegiada, uma vez que tal pode afetar a rapidez da adoção de medidas de atenuação.

(45)

Tendo em conta a importância da cooperação internacional em matéria de cibersegurança, as CSIRT deverão poder participar em redes de cooperação internacional, em complemento da rede de CSIRT criada pela presente diretiva. Por conseguinte, para efeitos do exercício das suas funções, as CSIRT e as autoridades competentes deverão poder trocar informações, incluindo dados pessoais, com equipas nacionais de resposta a incidentes de segurança informática ou com autoridades competentes de países terceiros, desde que estejam preenchidas as condições previstas no direito da União em matéria de proteção de dados para as transferências de dados pessoais para países terceiros, nomeadamente as previstas no artigo 49.o do Regulamento (UE) 2016/679.

(46)

É essencial assegurar recursos adequados para cumprir os objetivos da presente diretiva e para permitir às autoridades competentes e às CSIRT desempenhar as funções aqui estabelecidas. Os Estados-Membros podem introduzir a nível nacional um mecanismo de financiamento para cobrir as despesas necessárias relacionadas com o exercício das funções das entidades públicas responsáveis pela cibersegurança no Estado-Membro nos termos da presente diretiva. Esse mecanismo deverá respeitar o direito da União, deverá ser proporcionado e não discriminatório e deverá ter em conta diferentes abordagens para a prestação de serviços seguros.

(47)

A rede de CSIRT deverá continuar a contribuir para reforçar a confiança e a promover uma cooperação operacional rápida e eficaz entre os Estados-Membros. A fim de reforçar a cooperação operacional a nível da União, a rede de CSIRT deverá ponderar a possibilidade de convidar os organismos e as agências da União implicados na política de cibersegurança, como a Europol, a participar nos seus trabalhos.

(48)

A fim de alcançar e manter um elevado nível de cibersegurança, as estratégias nacionais de cibersegurança exigidas pela presente diretiva deverão consistir em quadros coerentes que estabeleçam objetivos e prioridades estratégicos no domínio da cibersegurança e a governação para os alcançar. Essas estratégias podem ser compostas por um ou mais instrumentos legislativos ou não legislativos.

(49)

As políticas de ciber-higiene garantem as bases para a proteção da segurança das infraestruturas dos sistemas de rede e informação, do hardware, do software e das aplicações em linha, bem como dos dados das empresas ou dos utilizadores finais dos quais as entidades dependem. As políticas de ciber-higiene que comportam um conjunto comum de práticas de base, incluindo atualizações de software e hardware, alterações de palavra-passe, gestão de novas instalações, limitação das contas de acesso a nível de administrador e salvaguarda de dados, asseguram um quadro pró-ativo de preparação e de proteção e segurança gerais em caso de incidentes ou ciberameaças. A ENISA deverá acompanhar e analisar as políticas de ciber-higiene dos Estados-Membros.

(50)

A sensibilização para a cibersegurança e a ciber-higiene são essenciais para melhorar o nível de cibersegurança na União, em especial tendo em conta o número crescente de dispositivos conectados que são cada vez mais utilizados em ciberataques. Deverão ser envidados esforços para aumentar a sensibilização global para os riscos relacionados com esses dispositivos, enquanto as avaliações a nível da União poderão contribuir para assegurar um entendimento comum desses riscos no mercado interno.

(51)

Os Estados-Membros deverão incentivar a utilização de qualquer tecnologia inovadora, incluindo a inteligência artificial, cuja utilização possa melhorar a deteção e a prevenção de ciberataques, permitindo que os recursos sejam desviados para os ciberataques de forma mais eficaz. Por conseguinte, os Estados-Membros deverão incentivar, no âmbito da sua estratégia nacional de cibersegurança, as atividades de investigação e desenvolvimento destinadas a promover a utilização dessas tecnologias, em especial as relacionadas com ferramentas automatizadas ou semiautomatizadas no domínio da cibersegurança, e, quando pertinente, a partilha dos dados necessários para a formação dos utilizadores dessas tecnologias e para a sua melhoria. A utilização de qualquer tecnologia inovadora, incluindo a inteligência artificial, deverá respeitar o direito da União em matéria de proteção de dados, incluindo os princípios da proteção de dados em matéria de exatidão dos dados, minimização dos dados, equidade e transparência, bem como a segurança dos dados, como a encriptação de ponta. Os requisitos de proteção de dados desde a conceção e por defeito estabelecidos no Regulamento (UE) 2016/679 deverão ser plenamente utilizados.

(52)

As ferramentas e aplicações de cibersegurança de código aberto podem contribuir para um maior grau de abertura e ter um impacto positivo na eficiência da inovação industrial. As normas abertas facilitam a interoperabilidade entre as ferramentas de segurança, beneficiando a segurança da indústria. As ferramentas e aplicações de código aberto em matéria de cibersegurança podem impulsionar a comunidade mais ampla de programadores, permitindo a diversificação de fornecedores. A fonte aberta pode conduzir a um processo de verificação mais transparente das ferramentas relacionadas com a cibersegurança e a um processo de deteção de vulnerabilidades impulsionado pela comunidade. Os Estados-Membros deverão, por conseguinte, poder promover a utilização de software de código aberto e de normas abertas, prosseguindo políticas relativas à utilização de dados abertos e de fontes abertas como parte da segurança através da transparência. As políticas que promovem a introdução e a utilização sustentável de ferramentas de cibersegurança de código aberto revestem-se de especial importância para as pequenas e médias empresas que fazem face a custos significativos de execução, os quais podem ser minimizados com a redução da necessidade de aplicações ou ferramentas específicas.

(53)

Os serviços públicos estão cada vez mais ligados às redes digitais nas cidades, com o objetivo de melhorar as redes de transporte urbano, melhorar o abastecimento de água e as instalações de eliminação de resíduos e aumentar a eficiência da iluminação e do aquecimento dos edifícios. Esses serviços públicos digitais são vulneráveis a ciberataques e correm o risco, em caso de ciberataque bem-sucedido, de prejudicar em grande escala os cidadãos devido à sua interligação. Os Estados-Membros deverão elaborar uma política que aborde o desenvolvimento dessas cidades conectadas ou inteligentes e os seus potenciais impactos na sociedade, como parte da sua estratégia nacional de cibersegurança.

(54)

Em anos recentes, a União tem enfrentado um aumento exponencial dos ataques de ransomware, em que o malware encripta dados e sistemas e exige um pagamento de resgate para a sua libertação. A frequência e a gravidade crescentes dos ataques de ransomware podem ser motivadas por vários fatores, tais como os diferentes padrões de ataque, os modelos empresariais criminosos em torno do «ransomware como um serviço» e as criptomoedas, as exigências de resgate e o aumento dos ataques na cadeia de abastecimento. Os Estados-Membros deverão elaborar uma política que dê resposta ao aumento dos ataques de ransomware no âmbito da sua estratégia nacional de cibersegurança.

(55)

As parcerias público-privadas (PPP) no domínio da cibersegurança podem proporcionar um quadro adequado para o intercâmbio de conhecimentos, a partilha de boas práticas e o estabelecimento de um nível comum de entendimento entre todas as partes interessadas. Os Estados-Membros deverão promover políticas que sustentem o estabelecimento de PPP específicas para a cibersegurança. Essas políticas devem clarificar, nomeadamente, o âmbito e as partes interessadas envolvidas, o modelo de governação, as opções de financiamento disponíveis e a interação entre as partes interessadas participantes no que respeita às PPP. As PPP podem mobilizar os conhecimentos especializados de entidades do setor privado para apoiar as autoridades competentes no desenvolvimento de serviços e processos de vanguarda, incluindo o intercâmbio de informações, alertas precoces, exercícios em matéria de ciberameaças e de incidentes, gestão de crises e planeamento da resiliência.

(56)

Os Estados-Membros deverão abordar, nas suas estratégias nacionais de cibersegurança, as necessidades específicas das pequenas e médias empresas em matéria de cibersegurança. As pequenas e médias empresas representam, em toda a União, uma grande percentagem do mercado industrial e comercial e debatem-se frequentemente com dificuldades na adaptação às novas práticas empresariais num mundo mais ligado, e ao ambiente digital, com os empregados a trabalhar a partir de casa e negócios que se fazem cada vez mais em linha. Algumas pequenas e médias empresas enfrentam desafios de cibersegurança específicos, como uma limitada sensibilização para o ciberespaço, a falta de segurança informática à distância, o elevado custo das soluções de cibersegurança e um nível acrescido de ameaça, como o ransomware, em relação aos quais deverão receber orientações e assistência. As pequenas e médias empresas estão a tornar-se cada vez mais alvo de ataques nas cadeias de abastecimento devido às suas medidas menos rigorosas de gestão dos riscos de cibersegurança e de gestão de ataques, bem como ao facto de terem recursos de segurança limitados. Tais ataques na cadeia de abastecimento não só têm impacto nas pequenas e médias empresas e nas suas operações isoladamente, como também podem ter um efeito em cascata em ataques de maior dimensão contra entidades das quais são fornecedoras. Os Estados-Membros deverão, através das suas estratégias nacionais de cibersegurança, ajudar as pequenas e médias empresas a fazer face os desafios enfrentados nas suas cadeias de abastecimento. Os Estados-Membros deverão dispor de um ponto de contacto para as pequenas e médias empresas a nível nacional ou regional, que preste orientação e assistência às pequenas e médias empresas ou as encaminhe para os organismos adequados de orientação e assistência no que diz respeito a questões relacionadas com a cibersegurança. Os Estados-Membros são também incentivados a oferecer serviços, como a configuração de sítios Web e o registo de dados, às microempresas e às pequenas empresas que não dispõem dessas capacidades.

(57)

No âmbito das suas estratégias nacionais de cibersegurança, os Estados-Membros deverão adotar políticas de promoção da ciberproteção ativa como parte de uma estratégia defensiva mais ampla. Em vez de uma resposta reativa, a ciberproteção ativa consiste na prevenção, deteção, monitorização, análise e atenuação de violações da segurança da rede, de uma forma ativa, combinadas com a utilização de capacidades utilizadas dentro ou fora da rede da vítima. Tal poderá incluir a oferta por parte dos Estados-Membros de serviços ou ferramentas gratuitos a certas entidades, incluindo verificações self-service, ferramentas de deteção e serviços de retirada. A capacidade de rápida e automaticamente partilhar e compreender informações e análises de ameaças, alertas de ciberatividade e ações de resposta é fundamental para permitir unir esforços na prevenção, na deteção, na abordagem e no bloqueio bem-sucedidos de ataques contra os sistemas de rede e informação. A ciberproteção ativa baseia-se numa estratégia defensiva que exclui medidas ofensivas.

(58)

Uma vez que a exploração das vulnerabilidades dos sistemas de rede e informação pode causar perturbações e danos consideráveis, a celeridade na identificação e correção de tais vulnerabilidades é um fator importante na redução dos riscos. As entidades que desenvolvem ou administram sistemas de rede e informação deverão, por conseguinte, estabelecer procedimentos adequados para fazer face a vulnerabilidades quando estas sejam detetadas. Uma vez que as vulnerabilidades são frequentemente detetadas e divulgadas por terceiros, o fabricante ou fornecedor de produtos TIC ou o prestador de serviços de TIC deverá adotar igualmente os procedimentos necessários para receber informações sobre vulnerabilidades fornecidas por terceiros. Nessa matéria, as normas internacionais ISO/IEC 30111 e ISO/IEC 29147 fornecem orientações sobre o tratamento de vulnerabilidades e a divulgação de vulnerabilidades. O reforço da coordenação entre pessoas singulares e coletivas notificadoras e os fabricantes ou fornecedores de produtos de TIC ou prestadores de serviços de TIC assume especial importância para facilitar o quadro voluntário de divulgação de vulnerabilidades. A divulgação coordenada de vulnerabilidades especifica um processo estruturado mediante o qual as vulnerabilidades são notificadas aos fabricantes ou fornecedores de produtos de TIC ou aos prestadores de serviços de TIC potencialmente vulneráveis de uma forma que lhes permite diagnosticar e corrigir as vulnerabilidades antes de serem divulgadas informações pormenorizadas sobre as mesmas a terceiros ou ao público. A divulgação coordenada de vulnerabilidades deverá incluir também a coordenação entre pessoas singulares ou coletivas notificadoras e o fabricante ou fornecedor de produtos de TIC ou prestador de serviços de TIC potencialmente vulneráveis no que respeita ao momento da correção e da publicação das vulnerabilidades.

(59)

A Comissão, a ENISA e os Estados-Membros deverão continuar a fomentar o alinhamento com as normas internacionais e as boas práticas do setor existentes no âmbito da gestão dos riscos de cibersegurança, por exemplo, nos domínios das avaliações de segurança da cadeia de abastecimento, da partilha de informações e da divulgação de vulnerabilidades.

(60)

Os Estados-Membros, em cooperação com a ENISA, deverão tomar medidas para facilitar a divulgação coordenada de vulnerabilidades, definindo uma política nacional nessa matéria. No âmbito da sua política nacional, os Estados-Membros deverão procurar resolver, na medida do possível, os problemas encontrados pelos peritos que investigam as vulnerabilidades, nomeadamente a sua potencial sujeição à responsabilidade penal, em conformidade com o direito nacional. Dado que as pessoas singulares e coletivas que investigam as vulnerabilidades podem, em alguns Estados-Membros, incorrer em responsabilidade penal e civil, os Estados-Membros são incentivados a adotar orientações sobre a não instauração de ações penais contra quem faz investigação no domínio da segurança da informação e uma isenção de responsabilidade civil para as suas atividades.

(61)

Os Estados-Membros deverão designar uma das suas CSIRT como coordenadora, agindo como intermediária de confiança entre as pessoas singulares ou coletivas notificadoras e os fabricantes ou fornecedores de produtos de TIC ou os prestadores de serviços de TIC, suscetíveis de serem afetados pela vulnerabilidade, se necessário. As funções da CSIRT designada coordenadora deverão incluir a identificação e o contacto das entidades em causa, a prestação de apoio às pessoas singulares ou coletivas que notifiquem as vulnerabilidades, a negociação do calendário de divulgação e a gestão das vulnerabilidades que afetem várias entidades (divulgação coordenada de vulnerabilidades a várias partes). Sempre que a vulnerabilidade comunicada possa ter repercussões significativas para as entidades de mais do que um Estado-Membro, as CSIRT designadas coordenadoras deverão cooperar no âmbito da rede de CSIRT, se for caso disso.

(62)

O acesso em tempo útil a informações fidedignas sobre vulnerabilidades que afetem produtos de TIC e serviços de TIC contribui para melhorar a gestão dos riscos de cibersegurança. As fontes de informações públicas sobre vulnerabilidades constituem um instrumento importante não só para as entidades e os utilizadores dos seus serviços, mas também para as autoridades competentes e as CSIRT. Por esse motivo, a ENISA deverá criar uma base de dados europeia de vulnerabilidades na qual as entidades, caibam ou não no âmbito da presente diretiva, e os seus fornecedores de sistemas de rede e informação, bem como as autoridades competentes e as CSIRT, possam, a título voluntário, divulgar e registar vulnerabilidades publicamente conhecidas, a fim de permitir que os utilizadores tomem medidas de atenuação adequadas. O objetivo desta base de dados consiste em dar resposta aos desafios únicos que os riscos colocam às entidades da União. Além disso, a ENISA deverá estabelecer um procedimento adequado relativamente ao processo de publicação, a fim de dar tempo às entidades para tomarem medidas de atenuação no que diz respeito às suas vulnerabilidades, e utilizar medidas de vanguarda em matéria de gestão dos riscos de cibersegurança, bem como conjuntos de dados de leitura ótica e as interfaces correspondentes. Para incentivar uma cultura de divulgação de vulnerabilidades, a divulgação não deverá ser efetuada em detrimento da pessoa singular ou coletiva notificadora.

(63)

Embora já existam bases de dados ou registos de vulnerabilidades semelhantes, as entidades responsáveis pelo seu alojamento virtual e manutenção não estão estabelecidas na União. Uma base de dados europeia de vulnerabilidades mantida pela ENISA melhoraria a transparência do processo de publicação antes de a vulnerabilidade ser publicamente divulgada, bem como a resiliência em casos de perturbação ou interrupção da prestação de serviços semelhantes. A fim de evitar, tanto quanto possível, uma duplicação de esforços e de assegurar a complementaridade, a ENISA deverá explorar a possibilidade de celebrar acordos de cooperação estruturados com registos ou bases de dados semelhantes abrangidos pela jurisdição de um país terceiro. Em particular, a ENISA deverá explorar a possibilidade de estabelecer uma estreita cooperação com os operadores do sistema de Vulnerabilidades e Exposições Comuns (CVE, do inglês Common Vulnerabilities and Exposures).

(64)

O grupo de cooperação deverá apoiar e facilitar a cooperação estratégica e o intercâmbio de informações entre os Estados-Membros, bem como reforçar a confiança entre eles. O grupo de cooperação deverá elaborar, de dois em dois anos, um programa de trabalho. O programa de trabalho deverá definir as ações a empreender pelo grupo de cooperação no sentido de cumprir os seus objetivos e as suas funções. O calendário para a elaboração do primeiro programa de trabalho ao abrigo da presente diretiva deverá estar alinhado com o calendário do último programa de trabalho definido nos termos da Diretiva (UE) 2016/1148, a fim de evitar potenciais perturbações das atividades do grupo de cooperação.

(65)

Ao elaborar documentos de orientação, o grupo de cooperação deverá consistentemente fazer um levantamento das experiências e soluções nacionais, avaliar o impacto dos resultados do trabalho do grupo de coordenação nas abordagens nacionais, discutir os desafios que se colocam à aplicação e formular recomendações específicas, em particular no que respeita a facilitar a transposição harmonizada da presente diretiva pelos Estados-Membros, a adotar por via de uma melhor aplicação das regras existentes. O grupo de cooperação também pode fazer um levantamento das soluções nacionais para promover a compatibilidade das soluções em matéria de cibersegurança aplicadas a cada setor específico na União. Este aspeto é particularmente pertinente para os setores que têm uma natureza internacional ou transfronteiriça.

(66)

O grupo de cooperação deverá continuar a ser um fórum flexível e estar apto a reagir a alterações das prioridades e desafios políticos ou a novas prioridades e desafios políticos, tendo simultaneamente em conta a disponibilidade de recursos. Poderá organizar regularmente reuniões conjuntas com partes interessadas privadas de toda a União para discutir as atividades desenvolvidas pelo grupo de cooperação e partilhar dados e pontos de vista sobre novos desafios políticos. Além disso, o grupo de cooperação deverá realizar regularmente uma avaliação do ponto da situação das ciberameaças ou incidentes, como o ransomware. A fim de reforçar a cooperação a nível da União, o grupo de cooperação deverá equacionar a possibilidade de convidar instituições, órgãos e organismos competentes da União envolvidos na política de cibersegurança, como o Parlamento Europeu, a Europol, o Comité Europeu de Proteção de Dados, a Agência da União Europeia para a Segurança da Aviação, estabelecida pelo Regulamento (UE) 2018/1139, e a Agência da União Europeia para o Programa Espacial, estabelecida pelo Regulamento (UE) 2021/696 do Parlamento Europeu e do Conselho (14), a participarem nos seus trabalhos.

(67)

As autoridades competentes e as CSIRT deverão estar habilitadas a participar em programas de intercâmbio de funcionários com outros Estados-Membros, no âmbito de um quadro específico e, se aplicável, subjacente à necessária credenciação de segurança dos funcionários que participam nesses programas de intercâmbio, no intuito de reforçar a cooperação e fortalecer a confiança entre os Estados-Membros. As autoridades competentes deverão tomar as medidas necessárias para permitir que os funcionários de outros Estados-Membros participem ativamente nas atividades da autoridade competente de acolhimento ou da CSIRT de acolhimento.

(68)

Os Estados-Membros deverão contribuir para a criação do quadro de resposta da UE a crises de cibersegurança previsto na Recomendação (UE) 2017/1584 da Comissão (15) por intermédio das redes de cooperação existentes, em particular a Rede de Organizações de Coordenação de Cibercrises (UE-CyCLONe), a rede de CSIRT e o grupo de cooperação. A UE-CyCLONe e a rede de CSIRT deverão cooperar com base em disposições processuais que especifiquem os pormenores dessa cooperação e evitar qualquer duplicação de tarefas. O regulamento interno da UE-CyCLONe deverá especificar as disposições de funcionamento da rede, incluindo as funções, os meios de cooperação, as interações com outros intervenientes relevantes e os modelos de partilha de informações, bem como os meios de comunicação. No atinente à gestão de crises a nível da União, as partes responsáveis deverão recorrer ao Mecanismo Integrado da UE de Resposta Política a Situações de Crise previsto na Decisão de Execução (UE) 2018/1993 do Conselho (16) (mecanismo IPCR). A Comissão deverá utilizar, para esse efeito, o processo de alto nível para a coordenação de crises transetoriais do sistema geral de alerta rápido (ARGUS). Se a crise implicar uma dimensão importante a nível externo ou da política comum de segurança e defesa, deverá ser ativado o mecanismo de resposta a situações de crise do Serviço Europeu para a Ação Externa.

(69)

Nos termos do anexo da Recomendação (UE) 2017/1584, entende-se por incidente de cibersegurança em grande escala um incidente que cause um nível de perturbação superior à capacidade de resposta de um Estado-Membro ou que tenha um impacto significativo em, pelo menos, dois Estados-Membros. Consoante a sua causa e o seu impacto, os incidentes de cibersegurança em grande escala poderão agravar-se e transformar-se em verdadeiras crises que impeçam o correto funcionamento do mercado interno ou coloquem graves riscos em termos de segurança pública para entidades ou cidadãos em vários Estados-Membros ou na totalidade da União. Tendo em conta o vasto alcance e, em muitos casos, o caráter transfronteiras de tais incidentes, é importante que os Estados-Membros e as instituições, órgãos e organismos competentes da União cooperem a nível técnico, operacional e político para coordenarem eficazmente a resposta em toda a União.

(70)

As crises e incidentes de cibersegurança em grande escala a nível da União exigem uma ação coordenada para assegurar uma resposta rápida e eficaz, devido ao elevado grau de interdependência entre setores e Estados-Membros. A existência de sistemas de rede e informação ciber-resilientes e a disponibilidade, confidencialidade e integridade dos dados são vitais para a segurança da União e para a proteção dos seus cidadãos, empresas e instituições contra incidentes e ciberameaças, bem como para o reforço da confiança das pessoas e das organizações na capacidade da União para promover e proteger um ciberespaço mundial, aberto, livre, estável e seguro, assente nos direitos humanos, nas liberdades fundamentais, na democracia e no Estado de direito.

(71)

A UE-CyCLONe deverá funcionar como intermediária entre os níveis técnico e político durante crises e incidentes de cibersegurança em grande escala e deverá reforçar a cooperação a nível operacional e apoiar a tomada de decisões a nível político. Em cooperação com a Comissão, tendo em conta as suas competências no domínio da gestão de crises, a UE-CyCLONe deverá basear-se nas conclusões da rede de CSIRT e utilizar as suas próprias capacidades para criar uma análise de impacto de crises e de incidentes de cibersegurança em grande escala.

(72)

Os ciberataques são de natureza transfronteiriça e um incidente significativo pode perturbar e danificar infraestruturas críticas de informação das quais depende o bom funcionamento do mercado interno. A Recomendação (UE) 2017/1584 aborda o papel de todos os intervenientes relevantes. Ademais, a Comissão é responsável, no âmbito do Mecanismo de Proteção Civil da União, criado pela Decisão n.o 1313/2013/UE do Parlamento Europeu e do Conselho (17), por ações gerais de preparação, incluindo a gestão do Centro de Coordenação de Resposta de Emergência e do Sistema Comum de Comunicação e de Informação de Emergência, pela manutenção e pelo desenvolvimento da capacidade de análise e de conhecimento situacional, bem como pela criação e gestão da capacidade de mobilizar e enviar equipas de peritos em caso de pedido de assistência de um Estado-Membro ou de um país terceiro. A Comissão é igualmente responsável pela apresentação de relatórios analíticos sobre o mecanismo IPCR ao abrigo da Decisão de Execução (UE) 2018/1993, nomeadamente no que diz respeito ao conhecimento situacional e à preparação em matéria de cibersegurança, bem como ao conhecimento situacional e à resposta a situações de crise em matéria de agricultura, condições meteorológicas adversas, cartografia e previsões de conflitos, sistemas de alerta rápido em caso de catástrofes naturais, emergências sanitárias, vigilância de doenças infeciosas, fitossanidade, incidentes químicos, segurança dos alimentos para consumo humano e animal, saúde animal, migração, alfândega, emergências nucleares e radiológicas, e energia.

(73)

Quando for caso disso, a União pode celebrar, em conformidade com o artigo 218.o do TFUE, acordos internacionais com países terceiros ou organizações internacionais que permitam e governem a sua participação em atividades específicas do grupo de cooperação, da rede de CSIRT e da UE-CyCLONe. Tais acordos deverão assegurar os interesses da União e uma proteção adequada dos dados. Tal não deverá excluir o direito dos Estados-Membros de cooperarem com países terceiros na gestão de vulnerabilidades e dos riscos de cibersegurança, facilitando a notificação e a partilha geral de informações em conformidade com o direito da União.

(74)

A fim de facilitar a aplicação efetiva da presente diretiva, em particular no que se refere à gestão de vulnerabilidades, a medidas de gestão dos riscos de cibersegurança, as obrigações de notificação de informações e os mecanismos de partilha de informações relativas à cibersegurança, os Estados-Membros podem cooperar com países terceiros e empreender atividades que considerem adequadas para esse efeito, nomeadamente no domínio do intercâmbio de informações sobre ciberameaças, bem como de incidentes, vulnerabilidades, ferramentas e métodos, táticas, técnicas e procedimentos, grau de preparação e exercícios de gestão de crises de cibersegurança, formação, reforço de confiança e mecanismos estruturados de partilha de informações.

(75)

Convém instituir avaliações pelos pares, de molde a contribuir para que sejam retirados ensinamentos das experiências partilhadas, reforçar a confiança mútua e alcançar um elevado nível comum de cibersegurança. As avaliações pelos pares podem dar azo a observações e recomendações preciosas que reforcem as capacidades globais de cibersegurança, criando uma via operacional alternativa para a partilha de boas práticas entre os Estados-Membros e contribuindo para um maior grau de maturidade dos Estados-Membros em matéria de cibersegurança. Além disso, convém que as avaliações pelos pares tenham em conta os resultados de mecanismos semelhantes, como o sistema de avaliações pelos pares da rede de CSIRT, que acrescentem valor e que evitem duplicações. A execução de avaliações pelos pares não deverá prejudicar o direito nacional ou da União em matéria de proteção de informações confidenciais ou classificadas.

(76)

O grupo de cooperação deverá estabelecer uma metodologia de autoavaliação para os Estados-Membros, que vise abarcar fatores como o nível de aplicação das medidas de gestão dos riscos de cibersegurança e das obrigações de notificação, o nível de capacidades e a eficácia das autoridades competentes no desempenho das suas funções, as capacidades operacionais das CSIRT, o nível de aplicação da assistência mútua, o nível de aplicação dos acordos de partilha de informações sobre cibersegurança ou questões específicas de natureza transfronteiras ou intersectorial. Os Estados-Membros deverão ser incentivados a realizar regularmente autoavaliações e a apresentar e debater os resultados da respetiva autoavaliação no âmbito do grupo de cooperação.

(77)

A responsabilidade de garantir a segurança do sistema de rede e informação cabe, em larga medida, às entidades essenciais e importantes. Dever-se-á promover e desenvolver uma cultura de gestão de riscos que passe por avaliações de riscos e pela aplicação de medidas de gestão de riscos de cibersegurança adequadas aos riscos enfrentados.

(78)

As medidas de gestão dos riscos de cibersegurança deverão ter em consideração o grau de dependência da entidade essencial ou importante em relação aos sistemas de rede e informação e incluir medidas para identificar os riscos de incidentes, para evitar e detetar os incidentes, bem como para lhes dar resposta, permitir a recuperação após estes incidentes e atenuar o seu impacto. A segurança dos sistemas de rede e informação deverá abranger a segurança dos dados armazenados, transmitidos e tratados. As medidas de gestão dos riscos de cibersegurança deverão prever uma análise sistémica que tenha em conta o fator humano, a fim de obter uma perspetiva completa da segurança do sistema de rede e informação.

(79)

Uma vez que as ameaças à segurança dos sistemas de rede e informação podem ter origens diferentes, as medidas de gestão dos riscos de cibersegurança deverão basear-se numa abordagem que contempla todos os riscos e que visa a proteção dos sistemas de rede e informação e do ambiente físico contra eventos, como roubos, incêndios, inundações, falhas de telecomunicações ou de energia, ou contra o acesso físico não autorizado, bem como danos causados e interferências praticadas nas instalações de tratamento de informações da entidade essencial ou importante, que possa comprometer a disponibilidade, a autenticidade, a integridade ou a confidencialidade dos dados armazenados, transmitidos ou tratados, ou dos serviços oferecidos pelos sistemas de rede e informação ou a que estes deem acesso. As medidas de gestão dos riscos de cibersegurança deverão, por conseguinte, resolver também problemas de segurança física e ambiental dos sistemas de rede e informação, incluindo, para tal, medidas para proteger estes sistemas contra falhas do sistema, erros humanos, ações maliciosas ou fenómenos naturais, em conformidade com as normas europeias e internacionais, como as que integram a série ISO/IEC 27000. A esse respeito, as entidades essenciais e importantes deverão, no quadro das suas medidas de gestão dos riscos de cibersegurança, atender também à segurança dos recursos humanos e dispor de políticas adequadas de controlo do acesso. Estas medidas deverão ser coerentes com a Diretiva (UE) 2022/2557.

(80)

Para efeitos de demonstração do cumprimento das medidas de gestão dos riscos de cibersegurança e na ausência de sistemas europeus de certificação da cibersegurança adequados, adotados nos termos do Regulamento (UE) 2019/881 do Parlamento Europeu e do Conselho (18), os Estados-Membros deverão, em consulta com o grupo de cooperação e do grupo europeu para a certificação da cibersegurança, promover a utilização de normas europeias e internacionais pertinentes pelas entidades essenciais e importantes ou poderão exigir que as entidades utilizem produtos de TIC, serviços de TIC e processos de TIC certificados.

(81)

Para evitar impor encargos financeiros e administrativos desproporcionados às entidades essenciais e importantes, as medidas estabelecidas em matéria de gestão dos riscos de cibersegurança deverão ser proporcionadas em relação aos riscos para os sistemas de rede e informação em causa, tendo em conta os progressos técnicos mais recentes no que respeita a tais medidas e, se aplicável, as normas europeias e internacionais pertinentes, bem como os custos relativos à sua aplicação.

(82)

As medidas de gestão dos riscos de cibersegurança deverão ser proporcionais ao grau de exposição da entidade essencial ou importante aos riscos e ao impacto societal e económico que um incidente teria. Aquando do estabelecimento de medidas de gestão dos riscos de cibersegurança adaptadas às entidades essenciais e importantes, importa ter em devida conta os diferentes níveis de exposição aos riscos das entidades essenciais e importantes, tais como o caráter crítico da entidade, os riscos, incluindo os riscos societais, a que está exposta, a dimensão da entidade e a probabilidade de ocorrência de incidentes e respetiva gravidade, incluindo o seu impacto societal e económico.

(83)

As entidades essenciais e importantes deverão garantir a segurança dos sistemas de rede e informação que utilizam nas suas atividades. Esses sistemas são constituídos principalmente por sistemas de rede e informação privados geridos por pessoal interno especializado em TI das entidades essenciais e importantes ou cuja segurança tenha sido externalizada. As medidas de gestão dos riscos de cibersegurança e as obrigações de notificação estabelecidos na presente diretiva deverão aplicar-se às entidades essenciais e importantes abrangidas, independentemente de a manutenção dos sistemas de rede e informação dessas entidades ser realizada a nível interno ou ser externalizada.

(84)

Tendo em conta a sua natureza transfronteiriça, os prestadores de serviços de DNS, os registos de nomes de TLD, os prestadores de serviços de computação em nuvem, os prestadores de serviços de centros de dados, os fornecedores de redes de distribuição de conteúdos, os prestadores de serviços geridos, os prestadores de serviços de segurança geridos, os prestadores de serviços de mercados em linha, de motores de pesquisa em linha e de plataformas de serviços de redes sociais e os prestadores de serviços de confiança deverão estar sujeitos a um maior grau de harmonização a nível da União. A aplicação de medidas de gestão dos riscos de cibersegurança no que respeita a essas entidades deverá, por conseguinte, ser facilitada por um ato de execução.

(85)

Tendo em conta a frequência de incidentes em que as entidades foram vítimas de ciberataques e em que intervenientes maliciosos conseguiram pôr em causa a segurança dos sistemas de rede e informação de uma entidade mediante a exploração de vulnerabilidades que afetam produtos e serviços de terceiros, é particularmente importante gerir os riscos decorrentes da cadeia de abastecimento de uma entidade e da relação desta com os seus fornecedores, como os prestadores de serviços de armazenamento e tratamento de dados ou os prestadores de serviços de segurança geridos e os editores de software. Por conseguinte, as entidades essenciais e importantes deverão avaliar e ter em conta a qualidade e a resiliência globais dos produtos e serviços, as medidas de gestão dos riscos de cibersegurança neles integradas e as práticas de cibersegurança dos seus fornecedores e prestadores de serviços, incluindo os respetivos procedimentos de desenvolvimento seguro. As entidades essenciais e importantes deverão, em particular, ser incentivadas a incorporar medidas de gestão dos riscos de cibersegurança nos acordos contratuais com os seus fornecedores e prestadores de serviços diretos. Essas entidades podem tomar em consideração os riscos decorrentes de outros níveis de fornecedores e prestadores de serviços.

(86)

Entre os prestadores de serviços, os prestadores de serviços de segurança geridos em domínios como a resposta a incidentes, os testes de penetração, as auditorias de segurança e a consultoria desempenham um papel especialmente importante em termos de apoio aos esforços desenvolvidos pelas entidades para evitar e detetar os incidentes, bem como para lhes dar resposta ou recuperar dos mesmos. Porém, os próprios prestadores de serviços de segurança geridos têm sido igualmente alvo de ciberataques e, em virtude da sua estreita integração nas atividades das entidades, representam um risco especial. As entidades essenciais e importantes deverão, assim, exercer uma diligência acrescida ao selecionarem um prestador de serviços de segurança geridos.

(87)

As autoridades competentes podem também, no contexto das suas funções de supervisão, recorrer a serviços de cibersegurança, tais como auditorias de segurança, testes de penetração ou resposta a incidentes.

(88)

As entidades essenciais e importantes deverão igualmente gerir os riscos emergentes da sua interação e da sua relação com outras partes interessadas no seio de um ecossistema mais vasto, nomeadamente no que se refere à luta contra a espionagem industrial e à proteção de segredos comerciais. Mais concretamente, essas entidades deverão tomar medidas adequadas para garantir que a sua cooperação com instituições académicas e de investigação respeita as suas políticas de cibersegurança e segue boas práticas no tocante ao acesso e à disseminação de informações em condições de segurança, em geral, e à proteção da propriedade intelectual, em particular. Do mesmo modo, dada a importância e o valor dos dados para as atividades das entidades essenciais e importantes, quando recorrerem a serviços de transformação de dados e de análise de dados prestados por terceiros, essas entidades deverão tomar todas as medidas de gestão dos riscos de cibersegurança adequadas.

(89)

As entidades essenciais e importantes deverão adotar uma vasta gama de práticas básicas de ciber-higiene, como princípios de «confiança zero», a atualização do software, a configuração dos dispositivos, a segmentação da rede, a gestão da identidade e do acesso ou a sensibilização dos utilizadores, organizar formações para o seu pessoal e aumentar a sensibilização para as ciberameaças, a mistificação da interface («phishing») ou as técnicas de engenharia social. Além disso, essas entidades deverão avaliar as suas próprias capacidades de cibersegurança e, se for caso disso, procurar a integração de tecnologias que reforcem a cibersegurança, como a inteligência artificial ou os sistemas de aprendizagem automática para melhorar as suas capacidades e a segurança dos sistemas de rede e informação.

(90)

A fim de melhorar a gestão dos principais riscos da cadeia de abastecimento e de ajudar as entidades essenciais e importantes que atuam em setores abrangidos pela presente diretiva a gerirem adequadamente riscos relacionados com a cadeia de abastecimento e os fornecedores, o grupo de cooperação, em cooperação com a Comissão e a ENISA e, se for caso disso, após consulta das partes interessadas pertinentes, nomeadamente da indústria, deverá realizar avaliações coordenadas dos riscos de segurança associados às cadeias de abastecimento críticas, tal como foi já feito para as redes 5G na sequência da Recomendação (UE) 2019/534 da Comissão (19), com o objetivo de identificar, em cada setor, os produtos de TIC, sistemas de TIC ou serviços de TIC críticos, bem como as vulnerabilidades e ameaças importantes. Essas avaliações coordenadas dos riscos de segurança deverão identificar medidas, planos de atenuação e boas práticas para combater dependências críticas, potenciais falhas pontuais, ameaças, vulnerabilidades e outros riscos associados à cadeia de abastecimento e deverão explorar formas de incentivar a sua adoção mais generalizada pelas entidades essenciais e importantes. Os potenciais fatores de risco não-técnicos, como a influência indevida de um país terceiro nos fornecedores e nos prestadores de serviços, em particular no caso de modelos alternativos de governação, incluem vulnerabilidades ou acessos ocultos e potenciais perturbações sistémicas no abastecimento, em particular no caso de vinculação tecnológica ou de dependência dos fornecedores.

(91)

Dadas as características do setor em causa, as avaliações coordenadas dos riscos de segurança associados às cadeias de abastecimento críticas deverão ter em conta tanto fatores técnicos como, quando pertinente, fatores não técnicos, incluindo os definidos na Recomendação (UE) 2019/534, na avaliação coordenada dos riscos de cibersegurança das redes 5G a nível da UE e no conjunto de instrumentos da UE em matéria de cibersegurança das redes 5G acordado pelo grupo de cooperação. Na identificação das cadeias de abastecimento que deverão estar sujeitas a uma avaliação coordenada dos riscos de segurança, importa ter em conta os seguintes critérios: i) em que medida as entidades essenciais e importantes utilizam e dependem de produtos de TIC, sistemas de TIC ou serviços de TIC críticos específicos; ii) a importância de produtos de TIC, sistemas de TIC ou serviços de TIC críticos específicos para o desempenho de funções críticas ou sensíveis, incluindo o tratamento de dados pessoais; iii) a disponibilidade de produtos de TIC, sistemas de TIC ou serviços de TIC alternativos; iv) a resiliência da cadeia global de abastecimento de produtos de TIC, sistemas de TIC ou serviços de TIC, ao longo do seu ciclo de vida, face a perturbações; e v) no que respeita a produtos de TIC, sistemas de TIC ou serviços de TIC emergentes, a sua potencial importância futura para as atividades das entidades. Além disso, deverá ser prestada especial atenção aos serviços de TIC, sistemas de TIC ou produtos de TIC sujeitos a requisitos específicos decorrentes de países terceiros.

(92)

A fim de simplificar as obrigações impostas aos fornecedores de redes públicas de comunicações eletrónicas ou prestadores de serviços de comunicações eletrónicas acessíveis ao público e aos prestadores de serviços de confiança, relacionadas com a segurança dos respetivos sistemas de rede e informação, bem como para permitir que essas entidades e as autoridades competentes nos termos da Diretiva (UE) 2018/1972 do Parlamento Europeu e do Conselho (20) e do Regulamento (UE) n.o 910/2014, respetivamente, beneficiem do quadro jurídico estabelecido pela presente diretiva, incluindo a designação de uma CSIRT responsável pelo tratamento de incidentes e a participação das autoridades competentes em causa no trabalho do grupo de cooperação e da rede de CSIRT, as referidas entidades deverão estar abrangidas pelo âmbito de aplicação da presente diretiva. Por conseguinte, é necessário suprimir as correspondentes disposições do Regulamento (UE) n.o 910/2014 e da Diretiva (UE) 2018/1972 relacionadas com a imposição de obrigações em matéria de segurança e notificação a estes tipos de entidades. As regras em matéria de obrigações de notificação estabelecidas na presente diretiva deverão ser aplicáveis sem prejuízo das disposições do Regulamento (UE) 2016/679 e da Diretiva 2002/58/CE.

(93)

As obrigações em matéria de cibersegurança estabelecidas na presente diretiva deverão ser consideradas complementares dos requisitos impostos aos prestadores de serviços de confiança nos termos do Regulamento (UE) n.o 910/2014. Os prestadores de serviços de confiança deverão ser obrigados a tomar todas as medidas adequadas e proporcionadas para gerir os riscos que se colocam aos seus serviços, nomeadamente em relação a clientes e a utilizadores terceiros, e a comunicar incidentes nos termos da presente diretiva. Tais obrigações em matéria de cibersegurança e de notificação deverão também dizer respeito à proteção física dos serviços prestados. Os requisitos aplicáveis aos prestadores de serviços de confiança qualificados previstos no artigo 24.o do Regulamento (UE) n.o 910/2014 continuam a ser aplicáveis.

(94)

Os Estados-Membros podem atribuir as funções de autoridade competente pelos serviços de confiança aos organismos supervisores nos termos do Regulamento (UE) n.o 910/2014, a fim de assegurar a continuidade das práticas atuais e tirar partido dos conhecimentos e da experiência resultantes da aplicação do referido Regulamento. Nesse caso, as autoridades competentes nos termos da presente diretiva deverão cooperar estreitamente e em tempo útil, com esses organismos supervisores, trocando informações relevantes, a fim de assegurar uma supervisão eficaz e o cumprimento dos requisitos estabelecidos na presente diretiva e no Regulamento (UE) n.o 910/2014 pelos prestadores de serviços de confiança. Quando aplicável, a CSIRT ou a autoridade competente nos termos da presente diretiva deverá informar de imediato o organismo supervisor nos termos do Regulamento (UE) n.o 910/2014 de qualquer incidente ou ciberameaça significativa notificados que afetem os serviços de confiança, bem como de qualquer infração à presente diretiva por parte dos prestadores de serviços de confiança. Para efeitos de notificação, os Estados-Membros podem, se aplicável, recorrer ao ponto de entrada único estabelecido para efetuar a notificação comum e automática de incidentes tanto ao organismo supervisor nos termos do Regulamento (UE) n.o 910/2014, como à CSIRT ou à autoridade competente nos termos da presente diretiva.

(95)

Quando for caso disso e para evitar perturbações desnecessárias, as orientações nacionais em vigor adotadas para efeitos de transposição das regras relacionadas com medidas de segurança estabelecidas nos artigos 40.o e 41.o da Diretiva (UE) 2018/1972 deverão ser tidas em conta na transposição da presente diretiva, tendo, assim, por base os conhecimentos e as competências resultantes da aplicação da Diretiva (UE) 2018/1972 no que se refere às medidas de segurança e à notificação de incidentes. A ENISA pode também elaborar orientações para os requisitos em matéria de segurança e para as obrigações de notificação destinados aos fornecedores de redes públicas de comunicações eletrónicas ou aos prestadores de serviços de comunicações eletrónicas acessíveis ao público, a fim de facilitar a harmonização e a transição e de minimizar as perturbações. Os Estados-Membros podem atribuir as funções de autoridade competente pelas comunicações eletrónicas às entidades reguladoras nacionais ao abrigo da Diretiva (UE) 2018/1972, a fim de assegurar a continuidade das práticas atuais e tirar partido dos conhecimentos e da experiência resultantes da aplicação dessa diretiva.

(96)

Dada a importância crescente dos serviços de comunicações interpessoais independentes do número, na aceção da Diretiva (UE) 2018/1972, é necessário assegurar que tais serviços também estejam sujeitos a requisitos de segurança adequados, tendo em conta a sua natureza específica e importância económica. À medida que a superfície de ataque continua a expandir-se, os serviços de comunicações interpessoais independentes do número, como os serviços de mensagens, estão a tornar-se vetores de ataque generalizados. Os intervenientes maliciosos utilizam plataformas para comunicar e levar as vítimas a abrir páginas Web expostas, aumentando assim a probabilidade de incidentes que envolvam a exploração de dados pessoais e, por extensão, a segurança dos sistemas de rede e informação. Assim, os prestadores de serviços de comunicações interpessoais independentes do número deverão garantir um nível de segurança dos sistemas de rede e informação adequado aos riscos que representam. Dado que, por norma, os prestadores de serviços de comunicações interpessoais independentes do número não exercem um controlo efetivo sobre a transmissão de sinais através das redes, o nível de risco para esses serviços poderá considerar-se, sob determinados aspetos, inferior ao dos serviços de comunicações eletrónicas tradicionais. O mesmo é válido para os serviços de comunicações interpessoais, na aceção da Diretiva (UE) 2018/1972, que utilizam números e que não exercem um controlo efetivo sobre a transmissão de sinais.

(97)

O mercado interno depende, mais do que nunca, do funcionamento da Internet. Os serviços de quase todas as entidades essenciais e importantes estão dependentes de serviços prestados através da Internet. Para evitar problemas na prestação dos serviços assegurados por entidades essenciais e importantes, é necessário que todos os fornecedores de redes públicas de comunicações eletrónicas adotem medidas de gestão dos riscos de cibersegurança adequadas e notifiquem incidentes significativos relacionados com as mesmas. Os Estados-Membros deverão assegurar a manutenção da segurança das redes públicas de comunicações eletrónicas e a proteção dos seus interesses vitais em matéria de segurança contra sabotagem e espionagem. Uma vez que a conectividade internacional reforça e acelera a digitalização competitiva da União e da sua economia, os incidentes que afetam os cabos submarinos de comunicações deverão ser notificados à CSIRT ou, se aplicável, à autoridade competente. A estratégia nacional de cibersegurança deverá, quando pertinente, ter em conta a cibersegurança dos cabos submarinos de comunicações e incluir um levantamento dos potenciais riscos de cibersegurança e medidas de atenuação para garantir o mais elevado nível de proteção dos mesmos.

(98)

Para salvaguardar a segurança das redes públicas de comunicações eletrónicas e dos serviços de comunicações eletrónicas acessíveis ao público, deverá ser promovida a utilização de tecnologias de cifragem, especialmente da cifragem de ponta a ponta, bem como de conceitos de segurança centrados nos dados, como a cartografia, a segmentação, a etiquetagem, uma política de acesso e a gestão do acesso, bem como decisões de acesso automatizadas. Se necessário, a utilização de cifragem, em particular de cifragem de ponta a ponta, deverá ser obrigatória para os fornecedores de redes públicas de comunicações eletrónicas ou os prestadores de serviços de comunicações eletrónicas acessíveis ao público, em conformidade com os princípios da segurança e da privacidade por defeito e desde a conceção para efeitos da presente diretiva. A utilização da cifragem de ponta a ponta deverá ser conciliada com os poderes que os Estados-Membros detêm para assegurar a proteção dos seus interesses essenciais de segurança e da segurança pública e para permitir a prevenção, a investigação, a deteção e a repressão de infrações penais em conformidade com o direito da União. No entanto, tal não deverá enfraquecer a cifragem de ponta a ponta, que é uma tecnologia fundamental para uma proteção eficaz dos dados, da privacidade e da segurança das comunicações.

(99)

Para salvaguardar a segurança e prevenir abusos e a manipulação das redes públicas de comunicações eletrónicas e dos serviços de comunicações eletrónicas acessíveis ao público, deverá ser promovida a utilização de normas de encaminhamento seguro, a fim de garantir a integridade e a robustez das funções de encaminhamento em todo o ecossistema de prestadores de serviços de acesso à Internet.

(100)

Para salvaguardar a funcionalidade e a integridade da Internet e promover a segurança e a resiliência do DNS, as partes interessadas pertinentes, nomeadamente as entidades do setor privado da União, os prestadores de serviços de comunicações eletrónicas acessíveis ao público, em particular os prestadores de serviços de acesso à Internet, bem como os fornecedores de motores de pesquisa em linha deverão ser incentivados a adotar uma estratégia de diversificação da resolução do DNS. Além disso, os Estados-Membros deverão incentivar o desenvolvimento e a utilização de um serviço europeu, público e seguro de resolução do DNS.

(101)

A presente diretiva define uma abordagem em várias etapas à notificação de incidentes significativos, a fim de estabelecer o equilíbrio adequado entre, por um lado, uma notificação célere que ajude a minimizar a potencial propagação de incidentes significativos e permita às entidades essenciais e importantes procurar assistência e, por outro lado, uma notificação exaustiva que retire ensinamentos valiosos de incidentes individuais e melhore gradualmente a ciber-resiliência de empresas individuais e setores inteiros. Neste contexto, a presente diretiva deverá incluir a notificação de incidentes que, com base numa avaliação inicial realizada pela entidade em causa, possam causar perturbações operacionais ou perdas financeiras graves a essa entidade ou afetar outras pessoas singulares ou coletivas, causando danos materiais ou imateriais consideráveis. Esta avaliação inicial deverá ter em conta, nomeadamente, os sistemas de rede e informação afetados e, em particular, a sua importância para a prestação dos serviços da entidade, a gravidade e as características técnicas da ciberameaça e quaisquer vulnerabilidades subjacentes alvo de exploração, bem como a experiência da entidade com incidentes semelhantes. Indicadores como a medida em que o funcionamento do serviço é afetado, a duração de um incidente ou o número de destinatários de serviços afetados podem desempenhar um papel importante para determinar se a perturbação operacional do serviço é grave.

(102)

Quando tenham tido conhecimento de um incidente significativo, as entidades essenciais e importantes deverão ser obrigadas a enviar um alerta rápido sem demora injustificada e, em qualquer caso, no prazo de 24 horas. Esse alerta rápido deverá ser seguido de uma notificação de incidente. As entidades em causa deverão enviar uma notificação de incidente sem demora injustificada e, em qualquer caso, no prazo de 72 horas depois de terem tomado conhecimento do incidente significativo, com o objetivo, nomeadamente, de atualizar as informações transmitidas no âmbito do alerta rápido e de fornecer uma avaliação inicial do incidente significativo, incluindo da sua gravidade e do seu impacto, bem como indicadores de exposição a riscos, se disponíveis. O mais tardar um mês após a notificação de incidente, deverá ser apresentado um relatório final. O alerta rápido deverá conter apenas as informações necessárias para dar conhecimento do incidente significativo à CSIRT, ou à autoridade competente se aplicável, e para permitir que a entidade em causa procure assistência, caso tal seja necessário. Esse alerta rápido deve, se aplicável, indicar se existem suspeitas de que o incidente significativo foi provocado por atos ilícitos ou maliciosos e se é suscetível de ter um impacto transfronteiriço. Os Estados-Membros deverão garantir que a obrigação de apresentar o alerta rápido, ou a subsequente notificação de incidente, não desvie os recursos da entidade notificadora afetos a atividades relacionadas com o tratamento de incidentes, às quais deverá ser atribuída prioridade, a fim de evitar que as obrigações de notificação de incidentes desviem recursos afetos à resposta a incidentes significativos ou prejudiquem de qualquer outra forma os esforços envidados pelas entidades nessa matéria. Em caso de incidente em curso no momento da apresentação do relatório final, os Estados-Membros deverão assegurar que as entidades em causa apresentem um relatório intercalar nessa altura e um relatório final no prazo de um mês após terem resolvido o incidente significativo.

(103)

Quando aplicável, as entidades essenciais e importantes deverão informar sem demora injustificada os destinatários dos seus serviços sobre quaisquer medidas ou soluções que podem adotar para minimizar os riscos resultantes de uma ciberameaça significativa. Se for caso disso e em particular quando a ciberameaça significativa for suscetível de se concretizar, essas entidades deverão informar também os destinatários dos seus serviços sobre a ameaça em causa. A exigência de informar os referidos destinatários das ciberameaças significativas deverá ser cumprida na medida do possível, mas não deverá isentar essas entidades da obrigação de, a expensas suas, adotarem medidas adequadas e imediatas para prevenir ou remediar quaisquer ameaças e restabelecer o nível normal de segurança do serviço. A prestação dessas informações aos destinatários dos serviços sobre ciberameaças significativas deverá ser gratuita e feita numa linguagem facilmente compreensível.

(104)

Os fornecedores de redes públicas de comunicações eletrónicas ou os prestadores de serviços de comunicações eletrónicas acessíveis ao público deverão implementar a segurança desde a conceção e por defeito e informar os destinatários dos serviços sobre ciberameaças significativas e sobre as medidas que podem tomar para proteger a segurança dos seus dispositivos e das suas comunicações, por exemplo, recorrendo a tipos específicos de software ou tecnologias de cifragem.

(105)

Uma abordagem proativa das ciberameaças é uma componente vital das medidas de gestão dos riscos de cibersegurança que deverá dar às autoridades competentes condições para impedirem eficazmente que as ciberameaças se transformem em incidentes suscetíveis de causar danos materiais ou imateriais consideráveis. Para o efeito, reveste-se de uma importância fundamental a notificação de ciberameaças. As entidades são, por conseguinte, incentivadas a notificar a título voluntário as ciberameaças.

(106)

A fim de simplificar a comunicação das informações exigidas pela presente diretiva, bem como de reduzir os encargos administrativos para as entidades, os Estados-Membros deverão disponibilizar meios técnicos, como um ponto de entrada único, sistemas automatizados, formulários em linha, interfaces de fácil utilização, modelos e plataformas específicas para utilização pelas entidades, independentemente de serem abrangidas ou não pelo âmbito de aplicação da presente diretiva, para a apresentação das informações pertinentes a notificar. O financiamento da União destinado a apoiar a aplicação da presente diretiva, em particular no âmbito do Programa Europa Digital criado pelo Regulamento (UE) 2021/694 do Parlamento Europeu e do Conselho (21), pode incluir o apoio a pontos de entrada únicos. Ademais, as entidades encontram-se frequentemente numa situação em que um determinado incidente, por força das suas características, tem de ser comunicado a várias autoridades em cumprimento de obrigações de notificação estabelecidas em diferentes instrumentos jurídicos. Essas situações criam encargos administrativos adicionais, podendo igualmente gerar dúvidas quanto ao formato e aos procedimentos aplicáveis a tais notificações. Sempre que seja estabelecido um ponto de entrada único, os Estados-Membros são também incentivados a recorrer a esse ponto de entrada único para as notificações de incidentes de segurança exigidas por outros instrumentos do direito da União, como o Regulamento (UE) 2016/679 e a Diretiva 2002/58/CE. A utilização desse ponto de entrada único para a notificação de incidentes de segurança nos termos do Regulamento (UE) 2016/679 e da Diretiva 2002/58/CE não deverá afetar a aplicação das disposições do Regulamento (UE) 2016/679 e da Diretiva 2002/58/CE, em particular as relativas à independência das autoridades aí referidas. A ENISA, em colaboração com o grupo de cooperação, deverá criar modelos comuns de notificação por intermédio de orientações destinadas a simplificar e racionalizar a comunicação das informações a notificar nos termos do direito da União e a reduzir os encargos administrativos sobre as entidades notificadoras.

(107)

Os Estados-Membros deverão incentivar as entidades essenciais e importantes, com base nas regras de processo penal aplicáveis e em conformidade com o direito da União, a notificar às autoridades policiais competentes os incidentes que se suspeite estarem relacionados com atividades criminosas graves nos termos do direito da União ou do direito nacional. Se for caso disso, e sem prejuízo das regras relativas à proteção de dados pessoais aplicáveis à Europol, é desejável que o Centro Europeu da Cibercriminalidade (EC3) e a ENISA facilitem a coordenação entre as autoridades competentes e as autoridades policiais dos diferentes Estados-Membros.

(108)

Os dados pessoais ficam amiúde expostos em consequência de incidentes. Nesse contexto, as entidades competentes deverão cooperar e trocar informações sobre todas as questões pertinentes com as autoridades referidas no Regulamento (UE) 2016/679 e na Diretiva 2002/58/CE.

(109)

A manutenção de bases de dados fidedignas e completas dos dados relativos ao registo de nomes de domínio («dados WHOIS») e a concessão de acesso lícito a tais dados é essencial para garantir a segurança, estabilidade e resiliência do DNS, o que, por sua vez, contribui para um elevado nível comum de cibersegurança em toda a União. Para esse efeito específico, os registos de nomes de TLD e as entidades que prestam serviços de registo de nomes de domínio deverão ser obrigados a tratar determinados dados necessários para alcançar esse objetivo. Esse tratamento deverá constituir uma obrigação jurídica na aceção do artigo 6.o, n.o 1, alínea c), do Regulamento (UE) 2016/679. Essa obrigação aplica-se sem prejuízo da possibilidade de recolher dados relativos ao registo de nomes de domínio para outros fins, por exemplo, com base em disposições contratuais ou requisitos legais estabelecidos noutros instrumentos do direito da União ou do direito nacional. Essa obrigação visa alcançar um conjunto completo e exato de dados de registo e não deverá dar origem à recolha repetida dos mesmos dados. Os registos de nomes de TLD e as entidades que prestam serviços de registo de nomes de domínio deverão cooperar entre si, a fim de evitar a duplicação dessa tarefa.

(110)

A disponibilização e a concessão atempada dos dados relativos ao registo de nomes de domínio aos requerentes legítimos de acesso são fundamentais para prevenir e combater os abusos dos DNS, bem como para prevenir e detetar incidentes e para lhes dar resposta. Os requerentes legítimos de acesso devem ser entendidos como qualquer pessoa singular ou coletiva que apresente um pedido nos termos do direito da União ou do direito nacional. Podem incluir as autoridades competentes nos termos da presente diretiva e as que são competentes nos termos do direito da União ou do direito nacional para a prevenção, investigação, deteção ou repressão de infrações penais, e CERT ou CSIRT. Os registos de nomes de TLD e as entidades que prestam serviços de registo de nomes de domínio deverão permitir o acesso lícito a dados específicos de registo de nomes de domínio, que são necessários para efeitos do pedido de acesso, aos requerentes legítimos de acesso, em conformidade com o direito da União e o direito nacional. O pedido dos requerentes legítimos de acesso deverá ser acompanhado de uma exposição de motivos que permita avaliar a necessidade de acesso aos dados.

(111)

A fim de assegurar a disponibilidade de dados exatos e completos relativos ao registo de nomes de domínio, os registos de nomes de TLD e as entidades que prestam serviços de registo de nomes de domínio deverão recolher dados relativos ao registo de nomes de domínio e garantir a integridade e disponibilidade desses dados. Em especial, os registos de nomes de TLD e as entidades que prestam serviços de registo de nomes de domínio deverão estabelecer políticas e procedimentos para recolher e manter dados exatos e completos relativos ao registo de nomes de domínio, bem como para evitar e corrigir dados de registo incorretos, em conformidade com o direito da União em matéria de proteção de dados. Essas políticas e procedimentos deverão ter em conta, na medida do possível, as normas elaboradas pelas estruturas de governação multilateral a nível internacional. Os registos de nomes de TLD e as entidades que prestam serviços de registo de nomes de domínio deverão adotar e aplicar procedimentos proporcionados de verificação dos dados relativos ao registo de nomes de domínio. Esses procedimentos deverão refletir as melhores práticas utilizadas no setor e, na medida do possível, os progressos realizados no domínio da identificação eletrónica. Os exemplos de procedimentos de verificação podem incluir controlos ex ante realizados no momento do registo e controlos ex post realizados após o registo. Os registos de nomes de TLD e as entidades que prestam serviços de registo de nomes de domínio deverão, em particular, verificar pelo menos um meio de contacto do requerente do registo.

(112)

Os registos de nomes de TLD e as entidades que prestam serviços de registo de nomes de domínio deverão ser obrigadas a disponibilizar ao público dados relativos ao registo de nomes de domínio que não estejam abrangidos pelo âmbito de aplicação do direito da União em matéria de proteção de dados, como os dados respeitantes a pessoas coletivas, em conformidade com o preâmbulo do Regulamento (UE) 2016/679. No caso das pessoas coletivas, os registos de nomes de TLD e as entidades que prestam serviços de registo de nomes de domínio deverão disponibilizar ao público, pelo menos, o nome do requerente do registo e o número de telefone de contacto. O endereço eletrónico de contacto deverá também ser publicado, desde que não contenha quaisquer dados pessoais, nomeadamente quando são usados pseudónimos de correio eletrónico ou contas funcionais. Os registos de nomes de TLD e as entidades que prestam serviços de registo de nomes de domínio deverão igualmente permitir o acesso lícito a dados específicos de registo de nomes de domínio respeitantes a pessoas singulares aos requerentes legítimos de acesso, em conformidade com o direito da União em matéria de proteção de dados. Os Estados-Membros deverão exigir que os registos de nomes de TLD e as entidades que prestam serviços de registo de nomes de domínio estejam obrigados a responder, sem demora injustificada, a pedidos de divulgação de dados relativos ao registo de nomes de domínio apresentados por requerentes legítimos de acesso. Os registos de nomes de TLD e as entidades que prestam serviços de registo de nomes de domínio deverão estabelecer políticas e procedimentos com vista à publicação e divulgação de dados de registo, incluindo acordos de nível de serviço, a fim de responder a pedidos de acesso apresentados por requerentes legítimos de acesso. Essas políticas e procedimentos deverão ter em conta, na medida do possível, quaisquer orientações e as normas elaboradas pelas estruturas de governação multilateral a nível internacional. O procedimento de acesso pode contemplar a utilização de uma interface, de um portal ou de outra ferramenta técnica para disponibilizar um sistema eficiente de pedido e acesso a dados de registo. A fim de promover práticas harmonizadas em todo o mercado interno, a Comissão pode, sem prejuízo das competências do Comité Europeu para a Proteção de Dados, fornecer orientações sobre tais procedimentos, que tenham em conta, na medida do possível, as normas elaboradas pelas estruturas de governação multilateral a nível internacional. Os Estados-Membros deverão assegurar que todos os tipos de acesso aos dados pessoais e não pessoais de registo de nomes de domínio sejam gratuitos.

(113)

As entidades abrangidas pelo âmbito de aplicação da presente diretiva deverão estar sob a jurisdição do Estado-Membro em que se encontram estabelecidas. No entanto, os fornecedores de redes públicas de comunicações eletrónicas ou os prestadores de serviços de comunicações eletrónicas acessíveis ao público deverão ser considerados como estando sob a jurisdição do Estado-Membro em que prestam os seus serviços. Os prestadores de serviços de DNS, os registos de nomes de TLD, as entidades que prestam serviços de registo de nomes de domínio, os prestadores de serviços de computação em nuvem, os prestadores de serviços de centro de dados, os fornecedores de redes de distribuição de conteúdos, os prestadores de serviços geridos, os prestadores de serviços de segurança geridos, bem como os prestadores de serviços de mercados em linha, de motores de pesquisa em linha e de plataformas de serviços de redes sociais, deverão ser considerados como estando sob a jurisdição do Estado-Membro em que têm o seu estabelecimento principal na União. As entidades da administração pública deverão estar sob a jurisdição do Estado-Membro que as estabeleceu. Se uma entidade prestar serviços ou estiver estabelecida em mais do que um Estado-Membro, deverá estar sob a jurisdição autónoma e concorrente de cada um desses Estados-Membros. As autoridades competentes desses Estados-Membros deverão cooperar, prestar assistência mútua e, se for caso disso, realizar ações de supervisão conjuntas. Sempre que os Estados-Membros exerçam jurisdição, não deverão aplicar medidas de execução nem sanções mais do que uma vez pelo mesmo comportamento, em conformidade com o princípio ne bis in idem.

(114)

Para ter em conta a natureza transfronteiriça dos serviços e operações dos prestadores de serviços de DNS, dos registos de nomes de TLD, das entidades que prestam serviços de registo de nomes de domínio, dos prestadores de serviços de computação em nuvem, dos prestadores de serviços de centro de dados, dos fornecedores de redes de distribuição de conteúdos, dos prestadores de serviços geridos, dos prestadores de serviços de segurança geridos bem como dos prestadores de serviços de mercados em linha, de motores de pesquisa em linha e de plataformas de serviços de redes sociais, estas entidades deverão estar sob a jurisdição de um único Estado-Membro. A competência deverá ser atribuída ao Estado-Membro onde a entidade em causa tem o seu estabelecimento principal na União. O critério do estabelecimento para efeitos da presente diretiva pressupõe o exercício efetivo de uma atividade com base numa instalação estável. A forma jurídica de tal estabelecimento, quer se trate de uma sucursal, quer de uma filial com personalidade jurídica, não é fator determinante nesse contexto. O preenchimento desse critério não deverá estar subordinado à presença física dos sistemas de rede e informação num determinado local; a presença e utilização desses sistemas não constitui, por si só, um estabelecimento principal e, consequentemente, não é um critério decisivo para determinar o estabelecimento principal. O estabelecimento principal deverá ser considerado como tendo lugar no Estado-Membro onde as decisões relacionadas com as medidas de gestão dos riscos de cibersegurança são predominantemente tomadas na União. Em regra, corresponderá ao local onde se situa a administração central das empresas na União. Se não for possível determinar esse Estado-Membro ou se tais decisões não forem tomadas na União, deverá considerar-se que o estabelecimento principal se situa no Estado-Membro em que são levadas a cabo as operações de cibersegurança. Se não for possível determinar esse Estado-Membro, deverá considerar-se que o estabelecimento principal se situa no Estado-Membro em que a entidade tem o estabelecimento com o maior número de trabalhadores na União. Se os serviços forem prestados por um grupo de empresas, deverá considerar-se que o seu estabelecimento principal é o estabelecimento principal da empresa que exerce o controlo.

(115)

Quando um serviço de DNS recursivo disponível ao público é prestado por um fornecedor de redes de comunicações eletrónicas ou por um prestador de serviços de comunicações eletrónicas acessíveis ao público apenas no quadro do serviço de acesso à Internet, deverá considerar-se que a entidade se encontra sob a jurisdição de todos os Estados-Membros em que os seus serviços são prestados.

(116)

Sempre que ofereça serviços na União, um prestador de serviços de DNS, um registo de nomes de TLD, uma entidade que presta serviços de registo de nomes de domínio, um prestador de serviços de computação em nuvem, um prestador de serviços de centro de dados, um fornecedor de redes de distribuição de conteúdos, um prestador de serviços geridos, um prestador de serviços de segurança geridos ou um prestador de serviços de mercados em linha, de motores de pesquisa em linha ou de plataformas de serviços de redes sociais que não esteja estabelecido na União deverá designar um representante na União. A fim de determinar se tal entidade oferece serviços na União, há que apurar se tem a intenção de oferecer serviços a pessoas em um ou vários Estados-Membros. O mero facto de estar acessível, na União, um sítio Web da entidade ou de um intermediário ou um endereço eletrónico ou outro tipo de contactos ou de ser utilizada uma língua de uso corrente no país terceiro em que a entidade se encontra estabelecida deverá ser considerado insuficiente para determinar essa intenção. Contudo, fatores como a utilização de uma língua ou de uma moeda de uso corrente em um ou vários Estados-Membros, com a possibilidade de encomendar serviços nessa língua, ou a referência a clientes ou utilizadores na União são suscetíveis de revelar que a entidade tenciona oferecer serviços na União. O representante deverá atuar por conta da entidade e as autoridades competentes ou as CSIRT deverão poder dirigir-se a ele. O representante deverá ser explicitamente designado, por mandato escrito da entidade, para atuar por conta desta última relativamente às obrigações que lhe incumbem por força da presente diretiva, incluindo a notificação de incidentes.

(117)

A fim de assegurar uma visão de conjunto clara dos prestadores de serviços de DNS, dos registos de nomes de TLD, das entidades que prestam serviços de registo de nomes de domínio, dos prestadores de serviços de computação em nuvem, dos prestadores de serviços de centro de dados, dos fornecedores de redes de distribuição de conteúdos, dos prestadores de serviços geridos, dos prestadores de serviços de segurança geridos, bem como dos prestadores de serviços de mercados em linha, de motores de pesquisa em linha e de plataformas de serviços de redes sociais que prestam, em toda a União, serviços abrangidos pelo âmbito de aplicação da presente diretiva, a ENISA deverá criar e manter um registo dessas entidades, com base nas informações recebidas pelos Estados-Membros, se aplicável através de mecanismos nacionais estabelecidos para se registarem a si mesmas. Os pontos de contacto únicos deverão transmitir à ENISA as informações e quaisquer alterações às mesmas. Com o intuito de garantir a exatidão e a exaustividade das informações a incluir no referido registo, os Estados-Membros podem apresentar à ENISA as informações disponíveis nos registos nacionais a respeito dessas entidades. A ENISA e os Estados-Membros deverão tomar medidas para facilitar a interoperabilidade desses registos, assegurando simultaneamente a proteção das informações confidenciais ou classificadas. A ENISA deverá estabelecer protocolos adequados de classificação e gestão da informação, de molde a garantir a segurança e a confidencialidade das informações divulgadas e a restringir o acesso, o armazenamento e a transmissão dessas informações aos utilizadores a que se destinam.

(118)

Se, ao abrigo da presente diretiva, forem trocadas, comunicadas ou de outro modo partilhadas informações classificadas em conformidade com o direito da União ou o direito nacional, deverão ser aplicadas as regras correspondentes sobre o tratamento de informações classificadas. Além disso, a ENISA deverá dispor das infraestruturas, dos procedimentos e das regras necessárias para o tratamento de informações sensíveis e classificadas, em conformidade com as regras de segurança aplicáveis à proteção das informações classificadas da UE.

(119)

Dado que as ciberameaças têm vindo a tornar-se mais complexas e sofisticadas, a deteção eficaz de tais ameaças e as medidas para as prevenir dependem, em grande medida, da troca regular, entre as entidades, de informações sobre ameaças e vulnerabilidades. A partilha de informações contribui para uma maior sensibilização para as ciberameaças, o que, por sua vez, reforça a capacidade das entidades para impedirem que tais ameaças se materializem sob a forma de incidentes e permite que as entidades contenham melhor os efeitos dos incidentes e recuperem de modo mais eficiente. Na ausência de orientações a nível da União, diversos fatores parecem ter impedido a referida partilha de informações, especialmente as dúvidas quanto à compatibilidade com as regras em matéria de concorrência e responsabilidade.

(120)

As entidades deverão ser incentivadas e assistidas pelos Estados-Membros no sentido de, coletivamente, tirarem partido dos seus conhecimentos e experiências práticas individuais a nível estratégico, tático e operacional, tendo em vista o reforço das suas capacidades para, de forma adequada, prevenir e detetar incidentes, bem como para lhes dar resposta, para permitir a recuperação após estes incidentes e para atenuar o seu impacto. Consequentemente, é necessário permitir a emergência, a nível da União, de acordos de partilha de informações sobre cibersegurança de cariz voluntário. Para tal, os Estados-Membros deverão prestar assistência ativa e incentivar entidades, tais como as entidades que prestam serviços e fazem investigação no domínio da cibersegurança, bem como as entidades pertinentes não abrangidas pelo âmbito de aplicação da presente diretiva, a participarem em tais acordos de partilha de informações sobre cibersegurança. Esses acordos deverão ser estabelecidos em conformidade com as regras da União em matéria de concorrência e de proteção de dados.

(121)

O tratamento de dados pessoais, efetuado na medida estritamente necessária e proporcionada para assegurar a segurança dos sistemas de rede e informação, por entidades essenciais e importantes poderá ser considerado lícito pelo facto de respeitar uma obrigação jurídica a que o responsável pelo tratamento está sujeito, em conformidade com os requisitos estabelecidos pelo artigo 6.o, n.o 1, alínea c), e pelo artigo 6.o, n.o 3, do Regulamento (UE) 2016/679. O tratamento de dados pessoais pode também ser necessário para efeito dos interesses legítimos prosseguidos por entidades essenciais e importantes, bem como por fornecedores de tecnologias e prestadores de serviços de segurança que atuem em nome dessas entidades, nos termos do artigo 6.o, n.o 1, alínea f), do Regulamento (UE) 2016/679, nomeadamente quando tal tratamento é necessário aos acordos de partilha de informações sobre cibersegurança ou à notificação voluntária de informações pertinentes em conformidade com a presente diretiva. Medidas relacionadas com a prevenção, deteção, identificação, contenção, análise e resposta a incidentes, medidas de sensibilização relativas a ciberameaças específicas, intercâmbio de informações no contexto da correção e da divulgação coordenada de vulnerabilidades, bem como o intercâmbio voluntário de informações sobre esses incidentes, ciberameaças e vulnerabilidades, indicadores de exposição a riscos, táticas, técnicas e procedimentos, alertas de cibersegurança e ferramentas de configuração poderão implicar o tratamento de determinadas categorias de dados pessoais, tais como endereços IP, localizadores uniformes de recursos (URL), nomes de domínio, endereços de correio eletrónico, e, sempre que revelem dados pessoais, selos temporais. O tratamento de dados pessoais pelas autoridades competentes, pelos pontos de contacto únicos e pelas CSIRT pode constituir uma obrigação jurídica ou ser considerado necessário para o exercício de uma missão de interesse público ou da autoridade pública de que está investido o responsável pelo tratamento, nos termos do artigo 6.o, n.o 1, alíneas c) ou e), e do artigo 6.o, n.o 3, do Regulamento (UE) 2016/679, ou para a prossecução de um interesse legítimo das entidades essenciais e importantes, tal como referido no artigo 6.o, n.o 1, alínea f), do referido regulamento. Além disso, é possível que o direito nacional estabeleça regras que — na medida do necessário e proporcionado para garantir a segurança dos sistemas de rede e informação de entidades essenciais e importantes — permitam às autoridades competentes, aos balcões únicos e às CSIRT tratar categorias específicas de dados pessoais em conformidade com o artigo 9.o do Regulamento (UE) 2016/679, mormente prevendo medidas adequadas e específicas para salvaguardar os direitos e interesses fundamentais das pessoas singulares, nomeadamente restrições técnicas no que diz respeito à reutilização desses dados e o recurso às medidas tecnologicamente mais avançadas em matéria de segurança e de preservação da privacidade, como a pseudonimização ou a cifragem, sempre que a anonimização possa afetar significativamente a finalidade prosseguida.

(122)

A fim de reforçar as ações e os poderes de supervisão que ajudam a assegurar um cumprimento efetivo, a presente diretiva deverá estabelecer uma lista mínima de meios e ações de supervisão por meio dos quais as autoridades competentes podem supervisionar entidades essenciais e importantes. Adicionalmente, a presente diretiva deverá distinguir entre o regime de supervisão aplicável a entidades essenciais e a entidades importantes, com vista a garantir um equilíbrio justo das obrigações tanto para essas entidades como para as autoridades competentes. Assim, as entidades essenciais deverão ficar sujeitas a um regime de supervisão completo ex ante e ex post, ao passo que as entidades importantes deverão ficar sujeitas a um regime de supervisão simplificado, aplicável apenas ex post. Tal significa que as entidades importantes não deverão ser obrigadas a documentar sistematicamente o cumprimento das medidas de gestão dos riscos de cibersegurança e que as autoridades competentes deverão adotar uma abordagem ex post reativa à supervisão, pelo que não estão sujeitas a uma obrigação geral de supervisionar essas entidades. A supervisão ex post das entidades importantes pode ser desencadeada por elementos de prova, indicações ou informações levadas ao conhecimento das autoridades competentes que estas considerem sugerir potenciais infrações à presente diretiva. Por exemplo, esses elementos de prova, indicações ou informações poderão ser do tipo transmitido às autoridades competentes por outras autoridades, entidades, cidadãos, meios de comunicação social ou outras fontes, ou informações acessíveis ao público, ou poderão resultar de outras atividades realizadas pelas autoridades competentes no exercício das suas funções.

(123)

O desempenho das funções de supervisão pelas autoridades competentes não deverá dificultar desnecessariamente as atividades comerciais da entidade em causa. Sempre que desempenhem as suas funções de supervisão em relação a entidades essenciais – nomeadamente procedendo à realização de inspeções no local e à supervisão fora do local, à investigação de infrações à presente diretiva, ou à realização de auditorias ou de verificações de segurança –, as autoridades competentes deverão minimizar o impacto nas atividades empresariais da entidade em causa.

(124)

Quando exercem uma supervisão ex ante, as autoridades competentes deverão estar aptas a definir prioridades no que diz respeito ao recurso proporcionado às medidas e meios de supervisão de que dispõem. Tal significa que as autoridades competentes podem definir essas prioridades com base em metodologias de supervisão que deverão seguir uma abordagem baseada no risco. Mais especificamente, essas metodologias poderão compreender critérios ou parâmetros de referência para a classificação de entidades essenciais em categorias de risco e as correspondentes medidas e meios de supervisão recomendados por categoria de risco, tais como a realização, a frequência ou o tipo de inspeções no local, as auditorias de segurança específicas ou as verificações de segurança, o tipo de informações a solicitar e o nível de pormenor dessas informações. Estas metodologias de supervisão poderiam também ser acompanhadas de programas de trabalho e ser avaliadas e revistas com regularidade, nomeadamente quanto a aspetos como a afetação de recursos e as necessidades em termos de recursos. Em relação às entidades da administração pública, as competências de supervisão deverão ser exercidas em conformidade com os quadros legislativos e institucionais nacionais.

(125)

As autoridades competentes deverão assegurar que as suas funções de supervisão no que diz respeito às entidades essenciais e importantes são desempenhadas por profissionais formados, com as competências necessárias para levar a cabo as tarefas em causa, em especial no que diz respeito à realização de inspeções no local e à supervisão fora do local, nomeadamente a identificação de deficiências em matéria de bases de dados, equipamento informático, barreiras de proteção, encriptação e redes. Essas inspeções e a supervisão em causa deverão ser realizadas de forma objetiva.

(126)

Nos casos devidamente fundamentados em que tenha conhecimento de uma ciberameaça significativa ou de um risco iminente, a autoridade competente deverá poder tomar decisões de execução imediatas com o objetivo de prevenir ou de dar resposta a um incidente.

(127)

Para que a execução seja eficaz, há que estabelecer uma lista mínima de poderes de execução que podem ser aplicados em caso de incumprimento das medidas de gestão dos riscos de cibersegurança e das obrigações de notificação previstas na presente diretiva, definindo um quadro claro e consistente para tal execução em toda a União. Importa ter em devida conta a natureza, a gravidade e a duração da infração à presente diretiva, os danos materiais ou imateriais causados, se a infração foi de caráter intencional ou negligente, as medidas tomadas para prevenir ou atenuar os danos materiais ou imateriais, o grau de responsabilidade ou quaisquer infrações anteriores pertinentes, o grau de cooperação com a autoridade competente e qualquer outra circunstância agravante ou atenuante. As medidas de execução, incluindo coimas, deverão ser proporcionadas e a sua imposição deverá estar sujeita a garantias processuais adequadas em conformidade com os princípios gerais do direito da União e da Carta dos Direitos Fundamentais da União Europeia (a «Carta»), nomeadamente a tutela jurisdicional efetiva, o direito a um processo equitativo, a presunção de inocência e os direitos de defesa.

(128)

A presente diretiva não impõe aos Estados-Membros a obrigação de preverem uma responsabilidade penal ou civil relativamente às pessoas singulares às quais incumbe assegurar que uma entidade cumpra o disposto na presente diretiva pelos danos sofridos por terceiros em resultado de uma infração à presente diretiva.

(129)

A fim de assegurar a execução das obrigações estabelecidas na presente diretiva, cada autoridade competente deverá ter o poder de impor ou de solicitar a imposição de coimas.

(130)

Sempre que forem impostas coimas a uma entidade essencial ou importante que seja uma empresa, esta deverá, para esse efeito, ser entendida como sendo uma empresa na aceção dos artigos 101.o e 102.o do TFUE. Sempre que forem impostas coimas a pessoas que não sejam empresas, a autoridade competente deverá ter em conta o nível geral de rendimentos no Estado-Membro, bem como a situação económica da pessoa em causa, no momento de estabelecer o montante adequado da coima. Deverá caber aos Estados-Membros determinar se as autoridades públicas devem estar sujeitas a coimas, e em que medida. A imposição de uma coima não afeta o exercício de outros poderes das autoridades competentes nem a aplicação de outras sanções estabelecidas nas regras nacionais que transpõem a presente diretiva.

(131)

Os Estados-Membros deverão poder definir as normas relativas às sanções penais aplicáveis por infrações às regras nacionais que transpõem a presente diretiva. Contudo, a imposição de sanções penais por infrações às referidas regras nacionais e de sanções administrativas conexas não pode configurar uma violação do princípio ne bis in idem, tal como interpretado pelo Tribunal de Justiça da União Europeia.

(132)

Sempre que a presente diretiva não harmonize sanções administrativas, ou se necessário noutros casos (por exemplo, em caso de infração grave à presente diretiva), os Estados-Membros deverão criar um sistema que preveja sanções efetivas, proporcionadas e dissuasivas. O direito nacional deverá estabelecer a natureza de tais sanções e se se trata de sanções penais ou administrativas.

(133)

Com vista a reforçar a eficácia e o caráter dissuasivo das medidas de execução aplicáveis por infração à presente diretiva, as autoridades competentes deverão estar habilitadas a suspender temporariamente ou solicitar uma suspensão temporária de uma certificação ou autorização para a totalidade ou parte dos serviços pertinentes prestados por uma entidade essencial e solicitar a imposição de uma interdição temporária do exercício de funções de direção por uma pessoa singular a nível de diretor executivo ou de representante legal. Dada a sua severidade e o seu impacto nas atividades das entidades e, em última análise, nos seus clientes, tais suspensões ou proibições temporárias só deverão ser aplicadas de modo proporcional à gravidade da infração e ter em conta as circunstâncias concretas de cada caso, incluindo o caráter doloso ou negligente da infração e as medidas tomadas para prevenir ou atenuar os danos materiais ou imateriais. Essas suspensões ou proibições temporárias só deverão ser aplicadas em último recurso, ou seja, apenas depois de esgotadas todas as outras medidas de execução pertinentes previstas na presente diretiva, e apenas até que as entidades em causa tenham tomado as medidas necessárias para corrigir as deficiências ou satisfazer os requisitos da autoridade competente que estiveram na origem da aplicação das suspensões ou proibições temporárias. A imposição de tais suspensões ou proibições temporárias deverá ser sujeita a garantias processuais adequadas, em conformidade com os princípios gerais do direito da União e da Carta, como o direito a um recurso efetivo e a um processo equitativo, a presunção de inocência e os direitos de defesa.

(134)

A fim de assegurar que as entidades cumpram as obrigações que lhes incumbem por força da presente diretiva, os Estados-Membros deverão cooperar entre si e prestar assistência mútua no que diz respeito às medidas de supervisão e execução, em especial quando uma entidade presta serviços em mais do que um Estado-Membro ou quando os seus sistemas de rede e informação estão situados num Estado-Membro diferente daquele em que presta serviços. Ao prestar assistência, a autoridade competente requerida deverá tomar medidas de supervisão ou de execução em conformidade com o direito nacional. A fim de assegurar o bom funcionamento da assistência mútua nos termos da presente diretiva, as autoridades competentes deverão recorrer ao grupo de cooperação enquanto fórum para debater casos e pedidos específicos de assistência.

(135)

A fim de assegurar uma supervisão e execução eficazes, nomeadamente quando a situação assume uma dimensão transfronteiriça, o Estado-Membro que tenha recebido um pedido de assistência mútua deverá, dentro dos limites desse pedido, tomar medidas de supervisão e execução adequadas em relação à entidade que é objeto desse pedido e que presta serviços ou que tem um sistema de rede e informação no território desse Estado-Membro.

(136)

A presente diretiva deverá definir regras em matéria de cooperação entre as autoridades competentes e as autoridades de controlo, ao abrigo do Regulamento (UE) 2016/679, com vista ao tratamento de infrações à presente diretiva relacionadas com dados pessoais.

(137)

A presente diretiva deverá procurar assegurar um elevado nível de responsabilidade pelas medidas de gestão dos riscos de cibersegurança e pelas obrigações de notificação ao nível das entidades essenciais e importantes. Por conseguinte, os órgãos de direção das entidades essenciais e importantes deverão aprovar as medidas de gestão dos riscos de cibersegurança e supervisionar a sua aplicação.

(138)

A fim de garantir um elevado nível comum de cibersegurança em toda a União com base na presente diretiva, o poder de adotar atos nos termos do artigo 290.o do TFUE deverá ser delegado na Comissão com vista a complementar a presente diretiva, especificando as categorias de entidades essenciais e importantes que devem ser obrigadas a utilizar determinados produtos, serviços e processos de TIC certificados ou a obter um certificado ao abrigo de um sistema europeu de certificação da cibersegurança. É particularmente importante que a Comissão proceda às consultas adequadas durante os trabalhos preparatórios, inclusive ao nível de peritos, e que essas consultas sejam conduzidas de acordo com os princípios estabelecidos no Acordo Interinstitucional, de 13 de abril de 2016, sobre legislar melhor (22). Em particular, a fim de assegurar a igualdade de participação na preparação dos atos delegados, o Parlamento Europeu e o Conselho recebem todos os documentos ao mesmo tempo que os peritos dos Estados-Membros, e os respetivos peritos têm sistematicamente acesso às reuniões dos grupos de peritos da Comissão que tratem da preparação dos atos delegados.

(139)

A fim de assegurar condições uniformes para a execução da presente diretiva, deverão ser atribuídas competências de execução à Comissão para estabelecer as disposições processuais necessárias ao funcionamento do grupo de cooperação e os requisitos técnicos, metodológicos e setoriais relativos às medidas de gestão dos riscos de cibersegurança, bem como para especificar mais pormenorizadamente o tipo de informações, o formato e o procedimento das notificações de incidentes, de ciberameaças e de quase incidentes e das comunicações relativas a ciberameaças significativas, bem como os casos em que um incidente deve ser considerado significativo. Essas competências deverão ser exercidas nos termos do Regulamento (UE) n.o 182/2011 do Parlamento Europeu e do Conselho (23).

(140)

A Comissão deverá avaliar regularmente a presente diretiva, em consulta com as partes interessadas, nomeadamente para decidir se é adequado propor alterações à luz da evolução das condições sociais, políticas, tecnológicas ou do mercado. No âmbito dessas avaliações, a Comissão deverá analisar a pertinência da dimensão das entidades em causa, dos setores, dos subsetores e dos tipos de entidades referidas nos anexos da presente diretiva para o funcionamento da economia e da sociedade no que diz respeito à cibersegurança. A Comissão deverá avaliar, nomeadamente, se os fornecedores abrangidos pelo escopo da presente diretiva que sejam classificados como plataformas em linha de muito grande dimensão na aceção do artigo 33.o do Regulamento (UE) 2022/2065 do Parlamento Europeu e do Conselho (24) podem ser identificadas como entidades essenciais nos termos da presente diretiva.

(141)

A presente diretiva atribui novas tarefas à ENISA, reforçando assim o seu papel, o que poderá também fazer com que a ENISA tenha de desempenhar as atuais atribuições que lhe incumbem por força do Regulamento (UE) 2019/881 a um nível mais elevado do que anteriormente. A fim de assegurar que a ENISA disponha dos recursos financeiros e humanos necessários para realizar as atuais e as novas atribuições, bem como para satisfazer eventuais normas mais elevadas resultantes do seu papel reforçado, o seu orçamento deverá ser aumentado em conformidade. Além disso, com o intuito de garantir uma utilização eficiente dos recursos, a ENISA deverá dispor de maior flexibilidade na forma como pode afetar recursos a nível interno, de modo a poder desempenhar eficazmente as suas funções e ir ao encontro das expectativas.

(142)

Atendendo a que o objetivo da presente diretiva, a saber, atingir um elevado nível comum de cibersegurança em toda a União, não pode ser suficientemente alcançado pelos Estados-Membros, mas pode, devido aos efeitos da ação, ser mais bem alcançado a nível da União, a União pode tomar medidas, em conformidade com o princípio da subsidiariedade consagrado no artigo 5.o do Tratado da União Europeia. Em conformidade com o princípio da proporcionalidade consagrado no mesmo artigo, a presente diretiva não excede o necessário para alcançar esse objetivo.

(143)

A presente diretiva respeita os direitos fundamentais e observa os princípios reconhecidos na Carta, nomeadamente o direito ao respeito pela vida privada e pelo caráter privado das comunicações, o direito à proteção de dados pessoais, a liberdade de empresa, o direito de propriedade, o direito à ação e a um tribunal imparcial, a presunção de inocência e os direitos de defesa. O direito a um recurso efetivo estende-se aos destinatários dos serviços prestados por entidades essenciais e importantes. A presente diretiva deverá ser aplicada de acordo com esses direitos e princípios.

(144)

A Autoridade Europeia para a Proteção de Dados foi consultada nos termos do artigo 42.o, n.o 1, do Regulamento (UE) 2018/1725 do Parlamento Europeu e do Conselho (25) e emitiu parecer em 11 de março de 2021 (26),