DOCUMENTO DE TRABALHO DOS SERVIÇOS DA COMISSÃO

RESUMO DA AVALIAÇÃO DE IMPACTO

que acompanha o documento

Proposta de diretiva do Parlamento Europeu e do Conselho

relativa a medidas destinadas a garantir um elevado nível de segurança das redes e da informação em toda a União

1.           Âmbito de aplicação

A presente avaliação de impacto incide nas opções estratégicas para melhorar a segurança da Internet e de outras redes e sistemas informáticos subjacentes aos serviços em que se apoia o funcionamento da nossa sociedade (por exemplo, administrações públicas, setores financeiro e bancário, energia, transportes, saúde e certos serviços Internet viabilizadores dos principais processos económicos e societais, como plataformas de comércio eletrónico e redes sociais). Esta matéria é designada por «segurança das redes e da informação» (SRI).

2.           Contexto estratégico

A crescente importância da SRI nas nossas economias e sociedades foi reconhecida pela primeira vez pela Comissão em 2001. A fim de garantir um nível elevado e eficaz de SRI na UE, a Comunidade Europeia decidiu em 2004 criar a Agência Europeia para a Segurança das Redes e da Informação (ENISA). A abordagem adotada até a data pela União Europeia no domínio da SRI consistiu principalmente na adoção de uma série de planos de ação e estratégias, instando os Estados‑Membros a aumentarem as suas capacidades neste domínio e a cooperarem para fazerem face aos problemas de SRI de dimensão transnacional.

As partes interessadas foram consultadas sobre os diferentes aspetos da iniciativa (definição do problema e opções para colmatar as lacunas) através dos seguintes meios:

· Uma consulta pública em linha sobre como «Melhorar a segurança das redes e da informação na UE», que decorreu entre 23 de julho e 15 de outubro de 2012. A Comissão recebeu um total de 169 respostas por Internet e mais 10 por carta.

· Debates com os Estados-Membros no contexto do Fórum Europeu dos Estados‑Membros (FEEM), em reuniões bilaterais e na conferência da União Europeia sobre a cibersegurança organizada pela Comissão e pelo Serviço Europeu para a Ação Externa em 6 de julho de 2012.

· Discussões com associações e empresas do setor privado, nomeadamente no contexto da Parceria Público-Privada Europeia para a Resiliência (EP3R) e em reuniões bilaterais.

· Debates com a ENISA e as CERT‑UE

· Discussões no âmbito da Assembleia da Agenda Digital de 2012.

3.           Descrição do problema

3.1.        Definição do problema

O problema pode ser descrito como um nível geral insuficiente de proteção contra incidentes, riscos e ameaças em matéria de segurança das redes e da informação na UE, o que compromete o bom funcionamento do mercado interno.

Em virtude da interconexão das redes e dos sistemas informáticos e do caráter mundial da Internet, muitos incidentes que afetam a SRI transcendem as fronteiras nacionais e comprometem o funcionamento do mercado interno.

Os serviços transfronteiras podem ficar indisponíveis, suspensos ou interrompidos devido a violações da segurança, como sucede com os ataques que afetam o eBay e o PayPal. A necessidade de agir rapidamente para resolver os problemas e partilhar informações sobre um incidente importante foi salientada no caso dos ataques contra a Diginotar, a sociedade neerlandesa de certificados Internet. Na sequência dos incidentes ocorridos, os Estados‑Membros estão a começar a introduzir a sua própria regulamentação. As intervenções regulamentares não coordenadas podem resultar numa fragmentação e ocasionar entraves ao mercado interno, gerando custos de conformização para as empresas que operam em vários Estados-Membros.

Este problema afeta todos os setores da sociedade e da economia (governos, empresas e consumidores). Mais concretamente, uma série de setores desempenha um papel essencial no fornecimento dos principais serviços de apoio à nossa economia e sociedade, revestindo‑se a segurança dos seus sistemas de particular importância para o funcionamento do mercado interno. Trata-se dos setores bancário, das bolsas, da produção, do transporte e distribuição de energia, dos transportes (aéreos, ferroviários e marítimos), da saúde, das tecnologias facilitadoras dos principais serviços Internet e das administrações públicas. A consulta pública revelou que as partes interessadas eram totalmente favoráveis à resolução dos problemas de SRI nestes setores e à adoção de medidas a nível da UE.

Se não forem tomadas novas medidas para impedir o número crescente de incidentes, tal prejudicará a confiança dos consumidores nos serviços em linha, o que pode comprometer a realização dos objetivos da Agenda Digital.

3.2.        Raiz do problema

O problema definido resulta de uma série de fatores.

Em primeiro lugar, verifica-se um nível desigual de capacidades nos diversos Estados‑Membros da UE, o que dificulta a criação de um clima de confiança entre eles, condição prévia para a cooperação e a partilha de informações.

Em segundo lugar, existe uma partilha insuficiente de informações sobre os incidentes, os riscos e as ameaças. A maioria dos incidentes que afetam a SRI não é comunicada e passa despercebida, devido essencialmente à relutância das empresas em comunicar essa informação por receio dos danos que podem ser causados à sua reputação ou de lhes ser imputada responsabilidade pelos incidentes. O intercâmbio de informações no âmbito das parcerias/plataformas público‑privadas existentes, tais como o FEEM e a PPPER, limita‑se às boas práticas.

4.           Eficácia das medidas em vigor

4.1.        Lacunas do atual quadro regulamentar

As regras atuais só obrigam as empresas de telecomunicações a adotarem medidas de gestão de riscos e a comunicarem os incidentes de segurança. Contudo, todos os intervenientes que dependem das redes e sistemas informáticos correm riscos de segurança. Esta situação cria condições de desigualdade, já que um mesmo incidente que afete, por exemplo, um operador de telecomunicações e uma empresa que forneça serviços de voz em IP tem de ser notificado à autoridade nacional competente no primeiro caso mas não no segundo.

Todos os intervenientes que são responsáveis pelo tratamento de dados (por exemplo, um banco ou um hospital) são obrigados pelo quadro regulamentar relativo à proteção de dados a pôr em prática medidas de segurança proporcionais aos riscos incorridos. Mas os responsáveis pelo tratamento de dados são obrigados a notificar apenas as violações da segurança que comprometam os dados pessoais.

A Diretiva 2008/114/CE do Conselho, relativa à identificação e designação das infraestruturas críticas europeias, apenas abrange os setores da energia e dos transportes e, até à data, só algumas dessas infraestruturas foram identificadas como tal pelos Estados‑Membros. A diretiva não obriga os operadores a comunicarem as violações significativas da segurança e não cria mecanismos para os Estados‑Membros cooperarem e reagirem aos incidentes.

Os colegisladores estão atualmente a debater a proposta da Comissão de uma Diretiva relativa a ataques contra os sistemas de informação[1]. Essa proposta abrange apenas a criminalização de determinados comportamentos, não abordando contudo a prevenção dos riscos e incidentes de SRI, a resposta a incidentes que afetam a SRI nem a redução do seu impacto.

4.2.        Limitações de uma abordagem voluntária

A abordagem voluntária seguida até à data conduziu a um nível desigual de preparação e a uma cooperação limitada.

O FEEM tem um mandato limitado, dado que os Estados-Membros não partilham informações sobre os incidentes, riscos e ameaças nem colaboram para fazer face às ameaças transfronteiriças. O FEEM não tem poder para exigir aos seus membros que disponham de capacidades mínimas para enfrentar este tipo de situação.

A ENISA não tem competências operacionais e não pode, por exemplo, intervir para resolver problemas de SRI.

A PPPER não tem caráter oficial e não pode exigir que o setor privado comunique os incidentes às autoridades nacionais. A PPPER não prevê um quadro para a partilha de informações de confiança e a comunicação de informações sobre as ameaças, riscos e incidentes de SRI.

5.           Necessidade de intervenção da UE, subsidiariedade e proporcionalidade

Garantir a segurança das redes e da informação é vital para o bom funcionamento do mercado interno e o bem-estar da nossa sociedade. O artigo 114.º do TFUE constitui uma base jurídica adequada para harmonizar as exigências em matéria de SRI e introduzir um nível mínimo comum de segurança em todo o território da UE.

A intervenção da União no domínio da SRI justifica‑se por motivos de subsidiariedade, devido à natureza transfronteiras do problema e à maior eficácia e decorrente valor acrescentado que a ação a nível da UE daria às políticas nacionais.

A fim de estabelecer uma cooperação que englobe todos os Estados-Membros, é necessário assegurar que todos possuam o nível mínimo exigido de capacidades. Além disso, é claro que a aplicação de uma política concertada e de colaboração em matéria de SRI pode ter um impacto muito positivo na proteção efetiva dos direitos fundamentais e, mais especificamente, na proteção dos dados pessoais e da privacidade.

As medidas da opção preferida justificam‑se por razões de proporcionalidade, dado que as obrigações para os Estados-Membros são estabelecidas ao nível mínimo necessário para alcançar um nível adequado de preparação e permitir a cooperação baseada na confiança e as obrigações para as empresas e autoridades públicas de efetuarem a gestão dos riscos e comunicarem incidentes visam apenas as entidades críticas e impõem medidas proporcionais aos riscos e que digam respeito a incidentes com impacto significativo. Além disso, as ações previstas pela opção preferida não implicam custos desproporcionados.

6.           Objetivos

O objetivo geral é aumentar o nível de proteção contra os incidentes, riscos e ameaças em matéria de segurança das redes e da informação, em toda a UE. Os objetivos específicos são os seguintes:

· Objetivo 1 - Criar um nível comum mínimo de SRI nos Estados-Membros e, deste modo, aumentar o nível global de preparação e resposta.

· Objetivo 2 - Melhorar a cooperação em matéria de SRI a nível da UE a fim de lidar eficazmente com os incidentes e ameaças transfronteiras.

· Objetivo 3 - Criar uma cultura de gestão dos riscos e melhorar a partilha de informações entre os setores privado e público.

7.           Opções políticas

As opções estratégicas consideradas na presente avaliação de impacto são as seguintes: manutenção do status quo, abordagem regulamentar e abordagem mista. A eventual opção que consistiria em cessar todas as atividades da UE em matéria de SRI foi rejeitada.

7.1.        Opção 1 – Manutenção do status quo («cenário de base»)

A Comissão, com o apoio da ENISA, continuaria com a atual abordagem numa base voluntária, convidando os Estados-Membros a desenvolverem capacidades no domínio da SRI a nível nacional (por exemplo, CERT, planos nacionais de emergência em caso de incidentes informáticos, estratégias nacionais de cibersegurança) e a cooperarem a nível da UE (por exemplo, através de uma rede de CERT em toda a Europa e de um plano europeu de cooperação/emergência para os incidentes informáticos).

7.2.        Opção 2 – Abordagem regulamentar

A Comissão exigiria que todos os Estados-Membros desenvolvessem pelo menos um nível mínimo de capacidades nacionais (CERT, autoridades competentes, planos nacionais de emergência em caso de incidentes informáticos, estratégias nacionais de cibersegurança).

Segundo esta opção, as autoridades nacionais competentes e as CERT fariam parte de uma rede de cooperação a nível da UE. Nesta rede, as autoridades e as CERT trocariam informações e cooperariam para fazer face às ameaças e incidentes de SRI em conformidade com o plano europeu de cooperação/ emergência para os incidentes informáticos em relação ao qual os Estados-Membros teriam de chegar a acordo.

As empresas (exceto as microempresas) em certos setores críticos, ou seja, o setor bancário, a energia (eletricidade e gás natural), os transportes, a saúde, as tecnologias facilitadoras dos principais serviços Internet, bem como as administrações públicas, seriam solicitadas a avaliar os riscos incorridos e a adotar medidas adequadas e proporcionais à dimensão dos riscos reais. Além disso, estas entidades deveriam comunicar às autoridades competentes os incidentes que comprometessem seriamente o funcionamento das suas redes e sistemas informáticos e, por conseguinte, com impacto significativo na continuidade dos serviços e fornecimento de produtos que dependem das redes e sistemas informáticos. Este regime é o mesmo do artigo 13.º-A e B da Diretiva-Quadro relativa às comunicações eletrónicas.

7.3.        Opção 3 - Abordagem mista

A Comissão combinaria iniciativas voluntárias com base na boa vontade dos Estados‑Membros para criar ou reforçar as suas capacidades em matéria de SRI e estabelecer mecanismos de cooperação a nível da UE com requisitos regulamentares impostos aos principais intervenientes privados e às administrações públicas.

As iniciativas voluntárias seriam essencialmente semelhantes às adotadas no âmbito da opção 1, enquanto os requisitos regulamentares seriam idênticos aos impostos na opção 2, tanto no que respeita às entidades a que se destinam como à substância das obrigações.

A ENISA forneceria apoio técnico e conhecimentos especializados à Comissão, aos Estados‑Membros e ao setor privado, por exemplo através da emissão de orientações técnicas e recomendações.

8.           Análise do impacto

A avaliação incide, para além do nível de segurança, no impacto económico e social das três opções. Debruça‑se também sobre os custos inerentes às opções 2 e 3.

Não é possível prever com exatidão o impacto que as opções identificadas terão no ambiente.

8.1.        Opção 1 – Manutenção do status quo («cenário de base»)

Nível de segurança: é pouco provável que todos os Estados-Membros atinjam níveis comparáveis de capacidades nacionais e de preparação necessários para melhorar a segurança e possibilitar a cooperação e a partilha de informações fiáveis a nível da UE. Não se alcançariam condições equitativas de concorrência no que respeita à gestão dos riscos e a uma maior transparência relativa aos incidentes, pelo que continuariam a subsistir lacunas legislativas.

Impacto económico: o impacto dependeria da medida em que os Estados-Membros seguissem as recomendações da Comissão. O nível de segurança insuficiente nos Estados‑Membros menos desenvolvidos prejudicaria a sua competitividade e crescimento e expô-los‑ia a riscos e incidentes. À luz das tendências atuais, os incidentes de SRI tornar‑se‑iam cada vez mais visíveis para as empresas e os consumidores, dificultando a realização do mercado interno.

Impacto social: a continuação e o agravamento previstos dos incidentes, riscos e ameaças afetariam negativamente a confiança dos cidadãos nos serviços em linha.

8.2.        Opção 2 – Abordagem regulamentar

Nível de segurança: as obrigações impostas aos Estados-Membros garantiriam que todos eles estariam convenientemente equipados e contribuiria para a criação de um clima de confiança mútua, condição prévia para uma cooperação eficaz a nível da UE.

A introdução da obrigação de as administrações públicas e os principais intervenientes privados efetuarem a gestão dos riscos em matéria de SRI constituiria um forte incentivo à gestão e avaliação eficazes dos riscos de segurança. Os custos adicionais totais que teriam de ser suportados pelos diversos setores na UE para cumprir essas obrigações variariam entre 1 e 2 mil milhões de EUR. Os custos de conformização por pequena ou média empresa situar‑se‑iam entre 2500 e 5000 EUR.

Impacto económico: em consequência do aumento do nível de segurança, as perdas financeiras associadas aos riscos e incidentes de SRI diminuiriam. A confiança das empresas e dos consumidores no mundo digital seria incentivada e beneficiaria o mercado interno. A promoção de uma cultura de gestão dos riscos reforçada estimularia também a procura de produtos e soluções TIC seguros.

Impacto social: um nível de segurança mais elevado permitiria aumentar a confiança dos cidadãos nos serviços em linha, tornando‑os capazes de retirar todos os benefícios do mundo digital (por exemplo, meios sociais de comunicação, aprendizagem eletrónica e saúde em linha).

8.3.        Opção 3 - Abordagem mista

Nível de segurança: tal como na opção 1, não há qualquer garantia de que o nível de segurança assente nas capacidades nacionais de SRI e na cooperação a nível da UE melhore em consequência de iniciativas voluntárias. Por outro lado, a introdução de obrigações em matéria de segurança impostas às administrações públicas e aos principais intervenientes privados constituiria um forte incentivo à gestão e avaliação dos riscos de segurança. Estes mecanismos seriam, no entanto, ineficazes nos Estados-Membros que não adotassem as recomendações da Comissão sobre o desenvolvimento de capacidades neste domínio.

Impacto económico: o ritmo de desenvolvimento seria muito variável consoante os Estados‑Membros. O nível de segurança insuficiente nos Estados-Membros menos desenvolvidos prejudicaria a sua competitividade e crescimento e expô-los‑ia ao impacto negativo dos riscos e incidentes.

Impacto social: a continuação e o agravamento previstos dos incidentes, riscos e ameaças afetariam negativamente a confiança nos serviços em linha, em especial nos Estados‑Membros que não atribuem prioridade à SRI.

9.           Comparação das opções

As opções 1 e 3 não são consideradas viáveis para alcançar os objetivos estratégicos e não são, portanto, recomendadas, uma vez que a sua eficácia dependeria da questão de saber se a abordagem voluntária asseguraria efetivamente um nível mínimo de SRI. No que respeita à opção 3, tal dependeria da boa vontade dos Estados-Membros de desenvolverem capacidades e de manterem uma cooperação transfronteiras.

A opção 2 é a preferida, dado que permite melhorar consideravelmente a proteção dos consumidores, empresas e administrações da UE contra os incidentes, ameaças e riscos de SRI. Além disso, ao organizar‑se internamente, a UE poderá alargar a sua influência a nível internacional e surgir como parceiro ainda mais credível na cooperação a nível bilateral e multilateral. A UE estará também em melhores condições para promover os direitos fundamentais e os valores fundamentais da UE no estrangeiro.

10.         Acompanhamento e avaliação

O capítulo 10 do relatório de avaliação de impacto refere uma série de indicadores fundamentais dos progressos realizados para atingir os objetivos. Estes indicadores incluem por exemplo:

· No que respeita ao objetivo n.º 1, o número de Estados-Membros que nomearam uma autoridade competente no domínio da SRI e uma CERT ou que adotaram uma estratégia nacional de segurança informática e um plano nacional de cooperação/resposta a emergências em caso de incidentes no domínio da cibersegurança.

· No que se refere ao objetivo n.° 2, o número de autoridades competentes dos Estados‑Membros e de CERT participantes na rede e o volume das informações aí trocadas sobre os riscos e incidentes de SRI. No que respeita ao objetivo n.° 3, o nível de investimentos na SRI pelos principais intervenientes privados e administrações públicas e o número de notificações de incidentes que afetam a SRI com impacto significativo.

[1]               COM(2010) 517 http://eur‑lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2010:0517:FIN:EN:PDF