19.9.2013   

PT

Jornal Oficial da União Europeia

C 271/133

1.1

O Comité toma nota da proposta de diretiva, que deve ser vista no contexto mais amplo da recém-publicada Estratégia de Cibersegurança (1), e que apresenta uma visão abrangente da segurança das redes e da informação (SRI) para garantir que a economia digital pode crescer com segurança, sem deixar de promover os valores europeus de liberdade e democracia.

1.2

O CESE acolhe favoravelmente a proposta de diretiva destinada a assegurar um elevado nível comum de SRI em toda a UE. A harmonização e a gestão da SRI a nível europeu são fundamentais para a realização do mercado único digital e o bom funcionamento do mercado interno no seu conjunto. O Comité partilha a preocupação da Comissão quanto ao enorme dano que poderia ser infringido à economia e ao bem-estar dos cidadãos por uma falha da SRI. No entanto, a diretiva proposta não responde às expectativas do Comité de uma forte ação legislativa sobre uma questão tão importante como esta.

1.3

O Comité está extremamente desapontado com a falta de progressos alcançados por muitos Estados-Membros na implementação eficaz da SRI a nível nacional. O CESE lamenta os riscos acrescidos que uma falha como esta implica para os cidadãos, bem como o impacto negativo que tem na realização do mercado único digital. Todos os Estados devem tomar medidas sem demora para cumprirem as suas obrigações pendentes em matéria de SRI.

1.4

Esta falta de avanço está a criar um outro fosso digital entre um grupo de elite com uma SRI muito avançada e os Estados-Membros com menos progressos. Essa lacuna está a afetar negativamente a confiança e a colaboração em matéria de SRI a nível da UE e, a menos que seja urgentemente colmatada, é suscetível de causar falhas do mercado interno associadas à divergência de capacidades entre os Estados-Membros.

1.5

Como recomendado em pareceres anteriores (2), o CESE considera que as medidas voluntárias e pouco ambiciosas não funcionam e que são necessárias obrigações regulamentares fortes para que os Estados-Membros garantam a harmonização, a gestão e a execução da SRI europeia. Infelizmente, o CESE não é de opinião que esta proposta de diretiva proporcione a legislação clara e decisiva necessária. Para conseguir um elevado nível comum de SRI, o Comité considera que um regulamento impondo obrigações jurídicas vinculativas e bem definidas aos Estados-Membros seria mais eficaz do que uma diretiva.

1.6

Não obstante a intenção da Comissão Europeia de adotar atos delegados de modo a garantir algumas condições uniformes para a execução de partes da diretiva, o Comité deteta uma carência de normas, definições claras e obrigações imperativas no ato proposto, proporcionando assim demasiada flexibilidade aos Estados-Membros quanto à forma de interpretar e transpor elementos cruciais. O Comité gostaria de ver no ato definições muito mais explícitas das normas, dos requisitos e dos procedimentos a respeitar pelos Estados-Membros, poderes públicos, operadores de mercado e principais fornecedores de Internet.

1.7

O Comité considera necessária a criação de uma autoridade a nível da UE para a SRI, semelhante à autoridade central da indústria aeronáutica (EASA) (3), para assegurar uma formulação e implementação vigorosa de políticas em matéria de SRI na UE. Caberia a esta autoridade definir normas e gerir a aplicação de todos os elementos da SRI na União: desde a certificação e utilização de dispositivos terminais seguros, até à segurança da rede e dos dados.

1.8

O CESE está muito ciente do aumento dos riscos para a cibersegurança e a proteção de dados a partir da adoção da computação em nuvem (4) na Europa. O Comité gostaria que o ato proposto incluísse explicitamente mais requisitos e obrigações especiais de segurança relativos à prestação e à utilização de serviços em nuvem.

1.9

Para que se consiga uma responsabilização efetiva em termos de SRI, o ato deve deixar claro que as entidades com obrigações impostas pela proposta de diretiva terão o direito de responsabilizar os fornecedores de software e hardware por quaisquer defeitos dos seus produtos ou serviços, que contribuem diretamente para um incidente de SRI.

1.10

O CESE apela aos Estados-Membros que prestem atenção especial ao aumento do conhecimento em SRI e das competências em cibersegurança das pequenas e médias empresas (PME). O Comité chama também a atenção da Comissão para o sucesso dos «concursos de hackers» nos EUA (5) e em alguns Estados-Membros (6) na sensibilização para os problemas de cibersegurança e formação da próxima geração de profissionais da SRI.

1.11

Dada a importância do cumprimento em todos os Estados dos requisitos de segurança das redes e da informação de toda a UE, o CESE insta a Comissão a considerar que fundo do quadro financeiro plurianual (QFP) pode ser orientado para este efeito de modo a auxiliar os Estados-Membros que precisam de ajuda financeira.

1.12

As despesas com investigação, desenvolvimento e inovação (I&D&I) em prol das tecnologias da SRI devem ocupar um lugar prioritário no Programa-Quadro da UE para a Investigação e a Inovação «Horizonte 2020», para que a Europa possa acompanhar o ritmo da rápida evolução das ciberameaças.

1.13

Para ajudar a clarificar quais as entidades com responsabilidades jurídicas ao abrigo do ato proposto, o CESE gostaria de que todos os Estados-Membros fossem obrigados a publicar um diretório em linha de todas as entidades abrangidas pelos requisitos da diretiva no atinente à gestão de riscos e à notificação. A transparência e a responsabilização pública contribuirão para que se gere confiança e se cumpram as normas.

1.14

O Comité chama a atenção da Comissão para os vários pareceres anteriores do CESE, em que debateu o tema da segurança das redes e da informação e referiu a necessidade de uma sociedade da informação segura e a proteção de infraestruturas críticas (7).

2.1

A proposta de diretiva SRI foi publicada juntamente com a Estratégia Europeia de Cibersegurança da UE, que visa reforçar a resiliência dos sistemas de informação, reduzir a cibercriminalidade, melhorar a política da UE de cibersegurança internacional e ciberdefesa e desenvolver os recursos industriais e tecnológicos para a cibersegurança, promovendo ao mesmo tempo os direitos fundamentais e outros valores essenciais da UE.

2.2

A SRI diz respeito à proteção da Internet e de outras redes, assim como de sistemas de informação e serviços de apoio, em que assenta o funcionamento da nossa sociedade. A SRI é indispensável para o bom funcionamento do mercado interno.

2.3

A abordagem puramente voluntária à SRI que a União Europeia tem seguido até à data não oferece proteção suficiente contra os riscos a que está exposta a referida segurança das redes e da informação. As capacidades existentes em matéria de SRI são insuficientes para fazerem face à rápida evolução das ameaças e garantirem um nível elevado de proteção comum em todos os Estados-Membros.

2.4

Atualmente os Estados-Membros possuem níveis muito diferentes de capacidades e grau de preparação, o que teve por resultado a adoção de abordagens fragmentadas em toda a UE. Dado o facto de as redes e os sistemas estarem interligados, a SRI geral da UE é enfraquecida pelos Estados-Membros com um nível insuficiente de proteção. Esta situação também dificulta a criação de um clima de confiança entre pares, o que é uma condição prévia para a cooperação e a partilha de informações. A consequência desta situação é que só existe cooperação entre uma minoria de Estados-Membros com um elevado nível de capacidades.

2.5

A Diretiva, que tem por base o artigo 114.o do TFUE, tem por objetivo facilitar a realização do mercado único digital e o bom funcionamento do mercado interno:

2.6

A diretiva em apreço estabelece requisitos jurídicos, nomeadamente:

2.7

Os Estados-Membros terão de aplicar a diretiva num prazo de 18 meses após a adoção pelo Conselho e Parlamento Europeu (prevista para meados de 2014).

3.1

O crescimento da Internet e da sociedade digital está a ter um impacto profundo no nosso quotidiano. No entanto, à medida que a nossa dependência em relação à Internet aumenta, a nossa liberdade, prosperidade e qualidade de vida ficam cada vez mais dependentes de uma segurança das redes e da informação (SRI) robusta. A título de exemplo, numa situação de urgência, se a Internet não funcionar e uma pessoa não puder aceder aos registos médicos eletrónicos, o resultado pode ser fatal. Apesar disso, a segurança das infraestruturas críticas de informação na Europa sofre uma ameaça crescente e o nível de SRI da UE não é suficientemente elevado.

3.2

O diretor da Europol afirmou no ano passado que estava «muito preocupado com a confiança desmesurada que as pessoas depositam no caráter inviolável da Internet» (8). Ouvimos frequentemente falar de novos ciberataques a infraestruturas fulcrais por criminosos, terroristas ou governos estrangeiros. As vítimas nem sempre denunciam os ataques para se protegerem contra danos à sua reputação. Contudo, nas últimas semanas, assistimos a ataques a infraestruturas (9) e a sistemas bancários (10) europeus na Internet que foram demasiado perturbadores para passarem despercebidos. Um relatório (11) estima que, em 2011, os Países Baixos sofreram 92 milhões de ciberataques e a Alemanha 82 milhões. O governo do Reino Unido estima que o Reino Unido sofreu 44 milhões de ciberataques em 2011, com um custo para a economia de 30 mil milhões de euros (12).

3.3

Em 2007, o Conselho da UE abordou o problema da SRI na Europa (13). Mas a abordagem política seguida desde então (14) tem assentado sobretudo na ação voluntária pelos Estados-Membros e apenas uma minoria entre eles tomou medidas efetivas. O Comité nota que muitos Estados-Membros ainda não publicaram uma estratégia nacional de cibersegurança nem desenvolveram um plano nacional de emergência para incidentes informáticos e alguns entre eles ainda não criaram uma equipa de resposta a emergências informáticas (CERT). Além disso, vários Estados-Membros ainda não ratificaram a Convenção sobre a Cibercriminalidade do Conselho da Europa (15).

3.4

Dez Estados-Membros muito avançados em matéria de SRI formaram um grupo das CERT governamentais europeias para colaborarem estreitamente entre si sobre assuntos de SRI e resposta a incidentes. A composição deste grupo está fechada atualmente: os restantes 17 Estados-Membros menos avançados e as CERT (16) recentemente criadas estão excluídos deste grupo de elite. Está a criar-se um novo fosso digital entre os Estados-Membros muito avançados em matéria de SRI e os restantes. Se não for colmatado, este fosso atacará o centro do mercado único digital e limitará o desenvolvimento da confiança, da harmonização e da interoperabilidade. Além disso, sem uma ação forte, é provável que o fosso entre Estados-Membros mais e menos avançados aumente, pelo que as lacunas no mercado interno associadas aos diferentes níveis de capacidade dos Estados-Membros também aumentarão.

3.5

O sucesso da estratégia de cibersegurança e a eficácia da proposta de diretiva sobre a SRI dependerão da existência de uma forte indústria de SRI na Europa e da disponibilidade de trabalhadores suficientes com competências especializadas em matéria de SRI. O CESE congratula-se com o facto de a proposta de diretiva incluir a necessidade de os Estados-Membros investirem no ensino, sensibilização e formação sobre SRI. O Comité gostaria igualmente que todos os Estados-Membros envidassem esforços especiais no sentido de informar, prestar formação e apoiar o setor das PME sobre o tema da cibersegurança. As empresas de grande dimensão podem facilmente adquirir os conhecimentos de que necessitam, mas as PME precisam de apoio.

3.6

O CESE aguarda com expectativa a possibilidade de cooperar com a Agência Europeia para a Segurança das Redes e da informação (ENISA) para promover a SRI durante o mês europeu da cibersegurança no decorrer deste ano. No que diz respeito ao objetivo incluído na estratégia de cibersegurança e na diretiva sobre SRI de desenvolver uma cultura consciente da segurança em toda a União e de aumentar o nível de competências em matéria de SRI, o Comité chama a atenção da Comissão para os concursos de hackers destinados aos adolescentes que tiveram grande sucesso em sensibilizar as pessoas para este problema em alguns Estados-Membros e nos EUA.

3.7

O Comité acolhe favoravelmente o empenho assumido na estratégia de cibersegurança para afetar as verbas de investigação, desenvolvimento e inovação às tecnologias de SRI.

3.8

O crescimento da computação em nuvem gera novos riscos para a cibersegurança. A título de exemplo, os cibercriminosos têm agora à sua disposição uma capacidade de computação massiva a custos relativamente baixos e os dados de milhares de empresas situam-se agora em bancos de dados centralizados, vulneráveis a ataques orientados. O CESE apelou a uma maior resiliência da computação em nuvem relativamente a ciberataques (17).

3.9

O Comité instou anteriormente à introdução voluntária de um sistema de identificação eletrónica da UE para a realização de transações que complementasse os sistemas nacionais existentes. Um tal sistema ofereceria um grau mais elevado de proteção contra a fraude, um maior clima de confiança entre operadores económicos, custos mais reduzidos na prestação de serviços e uma melhor qualidade dos serviços e proteção para os cidadãos.

4.1

Lamentavelmente, a proposta de diretiva da Comissão sobre SRI é demasiado tímida, não oferece clareza suficiente e depende excessivamente da autorregulação pelos Estados-Membros. A falta de normas, de definições inequívocas e obrigações imperativas, particularmente no Capítulo IV da diretiva, oferece demasiada flexibilidade aos Estados-Membros para interpretarem e transporem os elementos do ato mais importantes. Um regulamento, impondo obrigações jurídicas vinculativas e bem definidas aos Estados-Membros, seria mais eficaz do que uma diretiva.

4.2

O Comité nota que o artigo 6.o da Diretiva requer que cada Estado-Membro designe uma «autoridade competente» para controlar e assegurar a aplicação coerente da diretiva em toda a UE. Observa também que o artigo 8.o estabelece uma «rede de cooperação» que, através das competências que lhe são reconhecidas e dos poderes da Comissão, irá liderar a nível pan-europeu, gerir e, se for caso disso, controlar a aplicação das disposições nos Estados-Membros. O CESE crê que, com base neste quadro de governação, a UE devia considerar a possibilidade de criar uma autoridade a nível europeu para a SRI, semelhante à Agência Europeia para a Segurança da Aviação (AESA), que estabelece normas e gere o controlo da aplicação das normas de segurança e a conformidade das aeronaves, aeroportos e operações das companhias aéreas.

4.3

A autoridade responsável pela SRI a nível da UE, proposta pelo Comité no ponto 4.2 supra, poderia ter por base o trabalho já realizado em matéria de cibersegurança pela ENISA, pelo Comité Europeu de Normalização (CEN), pelas CERT, pelo grupo das CERT governamentais europeias e por outras entidades. Caberia a esta autoridade definir normas e gerir o controlo da aplicação de todos os elementos de SRI: desde a certificação e utilização de dispositivos terminais seguros até à segurança da rede e dos dados.

4.4

Dada a elevada interdependência dos Estados-Membros na prestação de SRI em toda a União e os custos possivelmente elevados de incidentes de SRI para todas as partes, o CESE gostaria que a legislação incluísse sanções explícitas e proporcionadas para as falhas ao nível da conformidade, que seriam harmonizadas de modo a refletir a dimensão pan-europeia da responsabilidade envolvida e o grau dos possíveis danos, não só para o mercado nacional, mas também para toda a União. O artigo 17.o do ato legislativo, sobre sanções, tem um caráter geral que oferece aos Estados-Membros grande margem de manobra para definirem sanções e não proporciona orientações suficientes para ter em conta os efeitos transfronteiriços e pan-europeus.

4.5

Atualmente, os governos e os prestadores de serviços essenciais não divulgam falhas de segurança e de resiliência a não ser que a isso sejam obrigados. Esta falta de divulgação afeta a capacidade da Europa de responder de forma rápida e eficaz a ciberameaças e de melhorar a SRI geral através da partilha de ensinamentos. O Comité louva a decisão da Comissão de tornar obrigatória, na diretiva em apreço, a notificação de todos os incidentes com impacto significativo. O CESE crê que a notificação voluntária dos incidentes não funcionaria, porque, em caso de fracasso, haveria a tentação de cobrir os eventos por receio de danos à reputação ou de responsabilização.

4.6

Porém, o artigo 14.o da diretiva, sobre notificação, não define o que se entende por incidente «com impacto significativo» na segurança e reserva uma margem de manobra excessivamente grande às entidades relevantes e aos Estados-Membros para estes decidirem sobre a necessidade de notificação de incidentes de SRI. Uma legislação eficaz requer requisitos inequívocos. Sendo a proposta de diretiva demasiado vaga sobre a definição essencial de requisitos, não é possível responsabilizar as partes por violações, conforme previsto no artigo 17.o da diretiva.

4.7

Uma vez que a prestação de SRI se encontra principalmente nas mãos do setor privado, é importante gerar níveis elevados de confiança e cooperação com todas as empresas responsáveis por infraestruturas e serviços de informação. A parceria público-privada europeia para a resiliência (PPPER), lançada pela Comissão em 2009, deve ser louvada e promovida. No entanto, o Comité crê que esta parceria deve ser reforçada e apoiada mediante a inclusão no ato sobre a SRI de uma obrigação regulamentar que force os principais intervenientes que não se empenham devidamente a cooperarem entre si.

4.8

Cada Estado-Membro deveria publicar um diretório em linha sobre a jurisdição de todas as entidades abrangidas pelas exigências de segurança e obrigações de notificação previstos no artigo 14.o da proposta de diretiva. Além de clarificar o processo de decisão em cada Estado-Membro aplicável às definições incluídas no artigo 3.o do ato, esta transparência ajudaria a criar confiança e fomentaria uma cultura de gestão de riscos entre os cidadãos.

4.9

O CESE assinala que os programadores de software e os fabricantes de hardware estão explicitamente excluídos dos requisitos da diretiva, uma vez que não são prestadores de serviço da sociedade de informação. Contudo, o Comité considera que o ato proposto deve indicar que as entidades com obrigações nos termos da proposta de diretiva podem recorrer aos fornecedores de software e hardware caso se detetem defeitos nos seus produtos ou serviços, que contribuam diretamente para um incidente de SRI.

4.10

Apesar de a Comissão estimar que a aplicação da proposta de diretiva sobre SRI custará cerca de 2 mil milhões de euros por ano, distribuídos pelos setores público e privado na Europa, o Comité assinala que alguns Estados-Membros sob pressão financeira terão dificuldade em encontrar o investimento requerido para cumprirem as disposições. Importa avaliar a possibilidade de conceder apoio ao cumprimento das normas em matéria de SRI ao abrigo do QFP, através de vários instrumentos, nomeadamente, do Fundo Europeu de Desenvolvimento Regional (FEDER) e, eventualmente, do Fundo para a Segurança Interna.