COMISSÃO EUROPEIA
Bruxelas, 30.5.2016
COM(2016) 363 final
2013/0027(COD)
COMUNICAÇÃO DA COMISSÃO AO PARLAMENTO EUROPEU
em conformidade com o artigo 294.º, n.º 6, do Tratado sobre o Funcionamento da
União Europeia
relativa à
posição adotada pelo Conselho tendo em vista a adoção de uma Diretiva do Parlamento Europeu e do Conselho relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação em toda a União
(Texto relevante para efeitos do EEE)
2013/0027 (COD)
COMUNICAÇÃO DA COMISSÃO AO PARLAMENTO EUROPEU
em conformidade com o artigo 294.º, n.º 6, do Tratado sobre o Funcionamento da
União Europeia
relativa à
posição adotada pelo Conselho tendo em vista a adoção de uma Diretiva do Parlamento Europeu e do Conselho relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação em toda a União
(Texto relevante para efeitos do EEE)
1.Contexto
|
Data de apresentação da proposta ao Parlamento Europeu e ao Conselho (COM(2013) 48 – 2013/0027COD):
|
7.2.2013
|
|
Data do parecer do Comité Económico e Social Europeu:
|
22.5.2013
|
|
Data da posição do Parlamento Europeu em primeira leitura:
|
13.3.2014
|
|
Data da adoção da posição do Conselho:
|
17.5.2016
|
2.Objeto da proposta da Comissão
Em primeiro lugar, a proposta exige que todos os Estados-Membros garantam um nível mínimo de capacidades nacionais mediante:
a criação de autoridades competentes para a segurança das redes e da informação (SRI);
a criação de equipas de resposta a incidentes de segurança informática (CSIRT);
e a adoção de uma estratégia nacional para a SRI e de um plano nacional de cooperação nessa matéria.
Em segundo lugar, as autoridades nacionais competentes devem cooperar numa rede que permita assegurar uma coordenação segura e eficaz, incluindo o intercâmbio coordenado de informações, bem como a deteção e a resposta a nível da UE. Através desta rede, os Estados-Membros devem trocar informações e cooperar para enfrentar as ameaças e os incidentes relativos à SRI com base no plano de cooperação europeia nesta matéria. A fim de garantir que todas as autoridades competentes sejam devida e oportunamente envolvidas, a proposta exige também que as autoridades responsáveis pela aplicação da lei sejam notificadas dos incidentes de origem criminosa e que a Europol participe nos mecanismos de coordenação a nível da UE.
Em terceiro lugar, com base no modelo da Diretiva-Quadro das comunicações eletrónicas, a proposta visa garantir o desenvolvimento de uma cultura de gestão dos riscos e a partilha de informação entre os setores público e privado. Será pedido às empresas dos diferentes setores críticos e às administrações públicas que avaliem os riscos com que se deparam e adotem medidas adequadas e proporcionadas para garantir a segurança das redes e da informação. Estas entidades serão obrigadas a informar as autoridades competentes sobre todos os incidentes que comprometam seriamente as suas redes e sistemas informáticos e afetem significativamente a continuidade de serviços de importância crítica e o fornecimento de produtos.
3.Observações à posição do Conselho
Globalmente, a posição do Conselho vai no sentido dos principais objetivos da proposta da Comissão, designadamente, garantir um elevado nível comum de segurança das redes e dos sistemas informáticos. No entanto, o Conselho introduz algumas alterações sobre a forma de atingir esse objetivo.
Capacidades nacionais de cibersegurança
Segundo a posição do Conselho, os Estados-Membros serão obrigados a adotar uma estratégia nacional de SRI que defina os objetivos estratégicos e as medidas políticas e regulamentares adequadas em matéria de cibersegurança. Os Estados-Membros serão também obrigados a designar uma autoridade nacional competente para a implementação e execução da diretiva, bem como as equipas de resposta a incidentes de segurança informática (CSIRT) responsáveis pela gestão de incidentes e riscos.
Embora a posição do Conselho não exija que os Estados-Membros adotem um plano de cooperação nacional em matéria de SRI, tal como previsto na proposta original, a posição pode ser apoiada dado que alguns aspetos do plano de cooperação foram mantidos na disposição sobre a estratégia de SRI.
Cooperação entre os Estados-Membros
Segundo a posição do Conselho, a diretiva criará um «grupo de cooperação», composto por representantes dos Estados-Membros, da Comissão e da Agência da União Europeia para a segurança das redes e da informação («ENISA»), com o objetivo de apoiar e de facilitar a cooperação estratégica e o intercâmbio de informações entre os Estados-Membros. A diretiva criará também uma rede de equipas de resposta a incidentes de segurança informática, designadas por CSIRT, para promover uma cooperação operacional rápida e eficaz no que toca a incidentes de cibersegurança concretos e a partilha de informações sobre os riscos.
Embora substancialmente diferente da abordagem adotada na proposta original, a posição do Conselho pode ser apoiada, uma vez que corresponde globalmente ao objetivo de melhorar a cooperação entre os Estados-Membros.
Requisitos em matéria de segurança e de notificação para os operadores de serviços essenciais
Segundo a posição do Conselho, os «operadores de serviços essenciais» (equivalente a «operadores de infraestruturas críticas», na proposta original) serão obrigados a adotar as medidas de segurança adequadas e a notificar os incidentes graves às autoridades nacionais competentes. No entanto, o Conselho não apoiou a obrigação de as autoridades nacionais competentes notificarem os incidentes de origem criminosa às autoridades responsáveis pela aplicação da lei.
De acordo com a proposta original, a posição do Conselho abrange os operadores nos setores da energia, dos transportes, da banca, das infraestruturas do mercado financeiro e da saúde. Contudo, a posição do Conselho inclui ainda os setores da água e das infraestruturas digitais.
Os Estados-Membros terão de identificar estes operadores, com base em determinados critérios, como a questão de saber se os serviços são essenciais para a manutenção de atividades sociais ou económicas fundamentais. Embora este processo de identificação não fizesse parte da proposta inicial, pode ser aceite, tendo em conta a obrigação que incumbe aos Estados-Membros de apresentarem à Comissão as informações de que esta necessita para avaliar se estes utilizam abordagens coerentes para identificar os operadores de serviços essenciais.
As administrações públicas enquanto tais não estão incluídas na posição do Conselho. No entanto, no caso de preencherem os critérios previstos no artigo 5.º, estas deverão ser identificadas pelos Estados-Membros como operadores de serviços essenciais, dado que estes operadores podem ser entidades públicas ou privadas.
Requisitos em matéria de segurança e de notificação para os prestadores de serviços digitais
Segundo a posição do Conselho, os Estados-Membros deverão assegurar que os prestadores de serviços digitais tomam as medidas de segurança adequadas e que notificam os incidentes à autoridade competente. A posição do Conselho abrange os mercados em linha (equivalentes às plataformas de comércio eletrónico, na proposta original), os serviços de computação em nuvem e os motores de pesquisa. Em comparação com a proposta original, a posição do Conselho não inclui:
os portais de pagamento pela Internet – que passaram a estar abrangidos pela Diretiva Serviços de Pagamento revista;
as lojas de aplicações em linha – que devem ser consideradas um tipo de mercado em linha;
as redes sociais – em conformidade com o acordo político do Conselho com o Parlamento Europeu.
Segundo a posição do Conselho, foram conferidos à Comissão poderes de execuçãopara estabelecer as disposições processuais necessárias para o funcionamento do grupo de cooperação, bem como para especificar mais pormenorizadamente determinados elementos relativos aos prestadores de serviços digitais, incluindo os formatos e os procedimentos aplicáveis aos requisitos de notificação dos prestadores de serviços digitais.
A Comissão apoia estas conclusões.
Na sequência das discussões tripartidas informais de 14 de outubro de 2014, 11 de novembro de 2014, 30 de abril de 2015, 29 de junho de 2015, 17 de novembro de 2015 e 7 de dezembro de 2015, o Parlamento Europeu e o Conselho chegaram a um acordo político provisório sobre o texto.
Este acordo político foi confirmado pelo Conselho em 18 de dezembro de 2015. O Conselho adotou a sua posição em primeira leitura em 17 de maio de 2016.
4.Conclusão
A Comissão congratula-se com os resultados das negociações interinstitucionais, pelo que aceita a posição do Conselho em primeira leitura.