|
8.2.2022 |
PT |
Jornal Oficial da União Europeia |
C 67/81 |
P9_TA(2021)0286
Estratégia de cibersegurança da UE para a década digital
Resolução do Parlamento Europeu, de 10 de junho de 2021, sobre a Estratégia de Cibersegurança da UE para a década digital (2021/2568(RSP))
(2022/C 67/08)
O Parlamento Europeu,
|
— |
Tendo em conta a Comunicação conjunta da Comissão Europeia e do Alto Representante da União para os Negócios Estrangeiros e a Política de Segurança, de 16 de dezembro de 2020, intitulada «Estratégia de cibersegurança da UE para a década digital» (JOIN(2020)0018), |
|
— |
Tendo em conta a proposta de diretiva do Parlamento Europeu e do Conselho relativa a medidas destinadas a garantir um elevado nível comum de cibersegurança na União e que revoga a Diretiva (UE) 2016/1148, apresentada pela Comissão em 16 de dezembro de 2020 (COM(2020)0823), |
|
— |
Tendo em conta a proposta de regulamento do Parlamento Europeu e do Conselho relativo à resiliência operacional digital do setor financeiro e que altera os regulamentos (CE) n.o 1060/2009, (UE) n.o 648/2012, (UE) n.o 600/2014 e (UE) n.o 909/2014, apresentada pela Comissão em 24 de setembro de 2020 (COM(2020)0595), |
|
— |
Tendo em conta a proposta de regulamento do Parlamento Europeu e do Conselho, que estabelece o Centro Europeu de Competências Industriais, Tecnológicas e de Investigação em Cibersegurança e a Rede de Centros Nacionais de Coordenação, apresentada pela Comissão em 12 de setembro de 2018 (COM(2018)0630), |
|
— |
Tendo em conta a Comunicação da Comissão, de 19 de fevereiro de 2020, intitulada «Construir o futuro digital da Europa» (COM(2020)0067), |
|
— |
Tendo em conta o Regulamento (UE) 2019/881 do Parlamento Europeu e do Conselho, de 17 de abril de 2019, relativo à ENISA (Agência da União Europeia para a Cibersegurança) e à certificação da cibersegurança das tecnologias da informação e comunicação e que revoga o Regulamento (UE) n.o 526/2013 (Regulamento Cibersegurança) (1), |
|
— |
Tendo em conta a Diretiva 2014/53/UE do Parlamento Europeu e do Conselho, de 16 de abril de 2014, relativa à harmonização da legislação dos Estados-Membros respeitante à disponibilização de equipamentos de rádio no mercado e que revoga a Diretiva 1999/5/CE (2), |
|
— |
Tendo em conta a Diretiva (UE) 2018/1972 do Parlamento Europeu e do Conselho, de 11 de dezembro de 2018, que estabelece o Código Europeu das Comunicações Eletrónicas (3), |
|
— |
Tendo em conta o Regulamento (UE) n.o 1290/2013 do Parlamento Europeu e do Conselho, de 11 de dezembro de 2013, que estabelece as regras de participação e difusão relativas ao «Horizonte 2020 — Programa-Quadro de Investigação e Inovação (2014-2020)» e revoga o Regulamento (CE) n.o 1906/2006 (4), |
|
— |
Tendo em conta o Regulamento (UE) n.o 1291/2013 do Parlamento Europeu e do Conselho, de 11 de dezembro de 2013, que cria o Horizonte 2020 — Programa-Quadro de Investigação e Inovação (2014-2020) e que revoga a Decisão n.o 1982/2006/CE (5), |
|
— |
Tendo em conta o Regulamento (UE) 2021/694 do Parlamento Europeu e do Conselho, de 29 de abril de 2021, que cria o Programa Europa Digital e revoga a Decisão (UE) 2015/2240 (6), |
|
— |
Tendo em conta a Diretiva 2010/40/UE do Parlamento Europeu e do Conselho, de 7 de julho de 2010, que estabelece um quadro para a implantação de sistemas de transporte inteligentes no transporte rodoviário, inclusive nas interfaces com outros modos de transporte (7), |
|
— |
Tendo em conta a Convenção de Budapeste sobre a Cibercriminalidade, de 23 de novembro de 2001 (ETS N.o 185), |
|
— |
Tendo em conta a sua Resolução, de 16 de dezembro de 2020, sobre uma nova estratégia para as PME europeias (8), |
|
— |
Tendo em conta a sua Resolução, de 25 de março de 2021, sobre uma estratégia europeia para os dados (9), |
|
— |
Tendo em conta a sua Resolução, de 20 de maio de 2021, sobre o tema «Construir o futuro digital da Europa: eliminar obstáculos ao funcionamento do mercado único digital e melhorar a utilização da inteligência artificial para os consumidores europeus» (10), |
|
— |
Tendo em conta a sua Resolução, de 21 de janeiro de 2021, sobre o tema «Colmatar o fosso digital entre homens e mulheres: participação das mulheres na economia digital» (11), |
|
— |
Tendo em conta a sua Resolução, de 12 de março de 2019, sobre as ameaças à segurança no contexto do aumento da presença tecnológica da China na UE e possíveis medidas a tomar a nível da UE para as reduzir (12), |
|
— |
Tendo em conta a pergunta dirigida à Comissão sobre a Estratégia de cibersegurança da UE para a década digital (O-000037/2021 — B9-0024/2021), |
|
— |
Tendo em conta o artigo 136.o, n.o 5, e o artigo 132.o, n.o 2, do seu Regimento, |
|
A. |
Considerando que a transformação digital é uma prioridade estratégica fundamental da União que está inevitavelmente associada a uma maior exposição a ciberameaças; |
|
B. |
Considerando que o número de dispositivos conectados, incluindo máquinas, sensores, componentes industriais e redes que compõem a Internet das coisas (IdC) continua a aumentar e que se prevê que, até 2024, 22,3 mil milhões de dispositivos estejam ligados à IdC em todo o mundo, elevando assim a exposição a ciberataques; |
|
C. |
Considerando que os avanços tecnológicos — como a computação quântica — e as assimetrias no acesso a esses avanços podem representar um desafio para o panorama da cibersegurança; |
|
D. |
Considerando que a crise da COVID-19 veio expor ainda mais as vulnerabilidades cibernéticas em alguns setores críticos, em particular nos cuidados de saúde, e que as medidas associadas no domínio do teletrabalho e distanciamento social aumentaram a nossa dependência das tecnologias digitais e da conectividade, enquanto, em toda a Europa, estão a aumentar, em número e nível de sofisticação, os ciberataques e a cibercriminalidade, incluindo a espionagem e a sabotagem, bem como o acesso a sistemas, estruturas e redes TIC e a respetiva manipulação através de aplicações maliciosas e ilegais; |
|
E. |
Considerando que o número de ciberataques está a aumentar de forma significativa, como se observa na recente série de ciberataques maliciosos e organizados contra sistemas de saúde, como na Irlanda, Finlândia e França; que estes ciberataques causam danos importantes aos sistemas de saúde e de prestação de cuidados de saúde, bem como a outras instituições públicas e privadas sensíveis; |
|
F. |
Considerando que as ameaças híbridas estão a aumentar, incluindo a utilização de campanhas de desinformação e de ciberataques contra infraestruturas, processos económicos e instituições democráticas, e que se estão a tornar um problema grave tanto no mundo físico como no ciberespaço, comportando o risco de afetar os processos democráticos, como as eleições, os procedimentos legislativos, a aplicação da lei e a justiça; |
|
G. |
Considerando que existe uma dependência crescente da função central da internet e dos serviços essenciais de internet para comunicação e alojamento, aplicações e dados, cuja quota de mercado se está a concentrar progressivamente num número cada vez mais reduzido de empresas; |
|
H. |
Considerando que as capacidades de ataque distribuído de negação de serviço estão a aumentar e que, por conseguinte, a resiliência do núcleo da internet deveria ser aumentada em paralelo; |
|
I. |
Considerando que a preparação e a sensibilização em matéria de cibersegurança das empresas, em particular as PME e os particulares, continuam a ser reduzidas e que existe uma escassez de trabalhadores qualificados (o défice de mão de obra aumentou 20 % desde 2015), porquanto os canais de recrutamento tradicionais não satisfazem a procura, incluindo no que respeita a cargos de gestão e interdisciplinares; considerando que «cerca de 90 % da mão-de-obra no domínio da cibersegurança a nível mundial é do sexo masculino» e que «a persistente falta de paridade entre sexos restringe ainda mais a reserva de talentos» (13); |
|
J. |
Considerando que as capacidades dos Estados-Membros em matéria de cibersegurança são heterogéneas e que a sinalização de incidentes e a partilha de informações entre eles não são sistemáticas nem exaustivas, ao passo que a utilização de centros de partilha e análise de informações para o intercâmbio de informações entre os setores público e privado não está à altura das suas potencialidades; |
|
K. |
Considerando que não existe acordo a nível da UE sobre a colaboração em matéria de ciberinformação e de resposta coletiva a ciberataques e a ataques híbridos; considerando que para os Estados-Membros é muito difícil, do ponto de vista técnico e geopolítico, aplicar isoladamente medidas corretivas contra as ciberameaças e os ciberataques, especialmente os de natureza híbrida; |
|
L. |
Considerando que a partilha de dados a nível transfronteiriço e a nível mundial é importante para a criação de valor, desde que a privacidade e os direitos de propriedade intelectual sejam salvaguardados; considerando que a aplicação da legislação de países terceiros em matéria de dados pode constituir um risco em termos de cibersegurança para os dados europeus, uma vez que as empresas que operam em diferentes regiões estão sujeitas a obrigações que se sobrepõem, independentemente da localização dos dados ou da sua origem; |
|
M. |
Considerando que a cibersegurança representa um mercado mundial de 600 mil milhões de EUR, prevendo-se que este montante aumente rapidamente, e que a União é um importador líquido de produtos e soluções; |
|
N. |
Considerando que existe um risco de fragmentação do mercado único devido às regulamentações nacionais em matéria de cibersegurança e à inexistência de legislação horizontal em matéria de requisitos essenciais de cibersegurança para hardware e software, incluindo aplicações e prod utos conexos; |
|
1. |
Congratula-se com as iniciativas delineadas pela Comissão na comunicação conjunta intitulada «Estratégia de cibersegurança da UE para a década digital»; |
|
2. |
Preconiza a promoção do desenvolvimento, em toda a União, de redes e sistemas de informação, infraestruturas e conectividade que sejam seguros e fiáveis; |
|
3. |
Pede que se estabeleça o objetivo de que todos os produtos ligados à internet na União, incluindo os que se destinem ao consumo e à indústria, juntamente com as cadeias de abastecimento que os disponibilizam, sejam seguros desde a conceção, resilientes a ciberincidentes e possam ser rapidamente corrigidos quando são detetadas vulnerabilidades; congratula-se com os planos da Comissão de propor normas horizontais sobre requisitos de cibersegurança para produtos conexos e serviços associados, e solicita que essas normas proponham a harmonização das legislações nacionais para evitar a fragmentação do mercado único; solicita que a legislação em vigor (o Regulamento Cibersegurança, o novo quadro legislativo, o regulamento relativo à normalização) seja tida em conta para evitar ambiguidades e fragmentação; |
|
4. |
Solicita à Comissão que avalie a necessidade de uma proposta de regulamento horizontal que introduza requisitos de cibersegurança para aplicações, software, software incorporado e sistemas operativos até 2023, com base no acervo da UE em matéria de requisitos de gestão dos riscos; salienta que as aplicações, o software, o software incorporado e os sistemas operativos obsoletos (ou seja, já não recebem correções regulares e atualizações de segurança) representam uma percentagem não negligenciável de todos os dispositivos conectados e um risco de cibersegurança; insta a Comissão a incluir este aspeto na sua proposta; sugere que a proposta inclua a obrigação de os produtores comunicarem antecipadamente o período mínimo durante o qual proporcionarão correções e atualizações de segurança, a fim de permitir que os compradores façam escolhas informadas; considera que os produtores devem fazer parte do programa de divulgação coordenada de vulnerabilidades, tal como estabelecido na proposta de Diretiva SRI2; |
|
5. |
Sublinha que a cibersegurança deve ser integrada na digitalização; solicita, por conseguinte, que os projetos de digitalização financiados pela União incluam requisitos de cibersegurança; regozija-se com o apoio à investigação e inovação no domínio da cibersegurança, especialmente no que diz respeito às tecnologias disruptivas (como a computação quântica e a criptografia quântica), cujo aparecimento poderia desestabilizar o equilíbrio internacional; solicita, além disso, mais investigação sobre algoritmos pós-quânticos como norma de cibersegurança; |
|
6. |
Considera que a digitalização da nossa sociedade significa que todos os setores estão interligados e que as fragilidades de um setor podem prejudicar outros setores; insiste, por conseguinte, em que as políticas de cibersegurança sejam incorporadas na estratégia digital e nos financiamentos da UE e sejam coerentes e interoperáveis entre setores; |
|
7. |
Solicita uma utilização coerente dos fundos da UE no que diz respeito à cibersegurança e à implantação das infraestruturas conexas; solicita à Comissão e aos Estados-Membros que velem por que sejam exploradas as sinergias relacionadas com a cibersegurança entre os diferentes programas, em particular o programa Horizonte Europa, o programa Europa Digital, o Programa Espacial da UE, o Mecanismo de Recuperação e Resiliência da UE, o InvestEU e o MIE, e que façam pleno uso do Centro e da Rede de Competências em Cibersegurança; |
|
8. |
Recorda que a infraestrutura de comunicação é a pedra angular de toda a atividade digital e que garantir a sua segurança é uma prioridade estratégica para a União; apoia o atual desenvolvimento do sistema de certificação da cibersegurança da UE para as redes 5G; acolhe favoravelmente o conjunto de instrumentos da UE em matéria de cibersegurança 5G e convida a Comissão, os Estados-Membros e a indústria a prosseguirem os seus esforços visando criar redes de comunicação seguras, incluindo medidas relativas a toda a cadeia de abastecimento; exorta a Comissão a evitar a dependência de um fornecedor e a reforçar a segurança das redes através da promoção de iniciativas que melhorem a virtualização e a computação em nuvem dos diferentes componentes das redes; solicita o rápido desenvolvimento das próximas gerações de tecnologias da comunicação, prevendo como princípio fundamental a cibersegurança desde a conceção e garantindo a proteção da privacidade e dos dados pessoais; |
|
9. |
Reitera a importância de estabelecer um novo e sólido quadro de segurança para as infraestruturas críticas da UE, a fim de salvaguardar os interesses da UE em matéria de segurança e de tirar partido das capacidades existentes para dar uma resposta adequada aos riscos, às ameaças e à evolução tecnológica; |
|
10. |
Solicita à Comissão que elabore disposições para garantir a acessibilidade, a disponibilidade e a integridade do núcleo público da internet e, por conseguinte, a estabilidade do ciberespaço, em particular no que diz respeito ao acesso da UE ao sistema radicular mundial do DNS; considera que essas disposições devem incluir medidas para a diversificação dos fornecedores, a fim de atenuar o risco atual de dependência do número reduzido de empresas que dominam o mercado; congratula-se com a proposta de um Sistema Europeu de Nomes de Domínio (DNS4EU) por constituir um instrumento a favor de um núcleo da internet mais resiliente; solicita à Comissão que avalie de que forma esta iniciativa DNS4EU poderia socorrer-se das tecnologias, dos protocolos de segurança e dos conhecimentos especializados mais recentes em matéria de ciberameaças, a fim de oferecer a todos os europeus DNS rápido, seguro e resiliente; recorda a necessidade de uma melhor proteção do protocolo de encaminhamento «Border Gateway Protocol» (BGP), a fim de evitar sequestros BGP; recorda o seu apoio a um modelo multilateral de governação da internet, no âmbito do qual a cibersegurança deve representar um dos temas centrais; sublinha que a UE deve acelerar a implementação do IPv6; reconhece o modelo de fonte aberta, que se revelou eficiente e eficaz enquanto base para o funcionamento da internet; incentiva, por conseguinte, a sua utilização; |
|
11. |
Reconhece a necessidade de desenvolver a ciência forense em matéria de cibersegurança para combater a criminalidade, a cibercriminalidade e os ciberataques, incluindo ataques patrocinados por Estados, mas adverte contra medidas desproporcionadas que comprometam a privacidade e a liberdade de expressão dos cidadãos da UE quando utilizam a internet; recorda a necessidade de concluir a revisão do segundo protocolo adicional à Convenção de Budapeste sobre o Cibercriminalidade, que pode melhorar a preparação contra a cibercriminalidade; |
|
12. |
Exorta a Comissão e os Estados-Membros a congregarem os seus recursos para reforçar a resiliência estratégica da UE, reduzir a sua dependência de tecnologias estrangeiras e promover a sua liderança e competitividade no domínio da cibersegurança em toda a cadeia de abastecimento digital (incluindo o armazenamento e o processamento de dados em nuvens, tecnologias de processadores, circuitos integrados (chips), conectividade ultrassegura, computação quântica e a próxima geração de redes); |
|
13. |
Considera que o projeto para uma infraestrutura de conectividade ultrassegura é um instrumento importante para a segurança das comunicações digitais sensíveis; congratula-se com o anúncio do desenvolvimento de um sistema global de comunicações seguras baseado no espaço da UE, que integra tecnologias de encriptação quântica; recorda que devem ser envidados esforços contínuos, em cooperação com a Agência da União Europeia para o Programa Espacial (EUSPA) e a Agência Espacial Europeia (ESA), para garantir a segurança das atividades espaciais europeias; |
|
14. |
Lamenta que as práticas de partilha de informações no domínio das ciberameaças e de ciberincidentes não tenham sido bem aceites pelos setores público e privado; insta a Comissão e os Estados-Membros a aumentarem a confiança relativamente à partilha de informações sobre ciberameaças e ciberataques a todos os níveis e a e a reduzirem os obstáculos a essa partilha; congratula-se com os esforços envidados por alguns setores e apela à colaboração intersetorial, uma vez que as vulnerabilidades raramente são específicas a um determinado setor; salienta que os Estados-Membros têm de unir forças a nível europeu, a fim de partilharem eficazmente os seus conhecimentos mais recentes sobre os riscos em termos de cibersegurança; incentiva a criação de um grupo de trabalho dos Estados-Membros sobre ciberinformação, a fim de promover a partilha de informações na UE e no espaço económico europeu, em particular, para prevenir ciberataques em larga escala; |
|
15. |
Congratula-se com a criação prevista de uma ciberunidade conjunta para reforçar a cooperação entre os organismos da UE e as autoridades dos Estados-Membros responsáveis pela prevenção e dissuasão de ciberataques, bem como pela luta contra esse tipo de ataques; exorta os Estados-Membros e a Comissão a reforçarem a cooperação no domínio da ciberdefesa e a desenvolverem investigação sobre capacidades de ciberdefesa de ponta; |
|
16. |
Recorda a importância do fator humano na estratégia de cibersegurança; preconiza a prossecução dos esforços de sensibilização para a cibersegurança, incluindo a ciber-higiene e a ciberliteracia; |
|
17. |
Salienta a importância de um quadro de segurança sólido e coerente para proteger o pessoal, os dados, as redes de comunicação e os sistemas de informação da UE, bem como os processos de tomada de decisões contra ciberameaças, com base em normas abrangentes, coerentes e homogéneas e numa governação adequada; solicita que sejam disponibilizados recursos e capacidades suficientes, nomeadamente no contexto do reforço do mandato da CERT-UE e no âmbito dos debates em curso sobre a definição de regras comuns em matéria de cibersegurança vinculativas para todas as instituições, organismos e agências da UE; |
|
18. |
Advoga uma utilização mais ampla das normas em matéria de certificação voluntária e cibersegurança, uma vez que constituem instrumentos importantes para melhorar o nível geral da cibersegurança; congratula-se com a criação do enquadramento europeu para a certificação e com os trabalhos do Grupo Europeu para a Certificação da Cibersegurança; exorta a ENISA e a Comissão a ponderarem, no quadro da elaboração do sistema de certificação da cibersegurança para os serviços de computação em nuvem, a possibilidade de tornar obrigatória a aplicação da legislação da UE no que respeita ao nível de garantia «elevado»; |
|
19. |
Salienta a necessidade de satisfazer a procura de mão de obra no setor da cibersegurança e de colmatar o défice de competências, prosseguindo os esforços em matéria de educação e formação; solicita que seja dada especial atenção à eliminação das disparidades entre homens e mulheres, que também existem neste setor; |
|
20. |
Reconhece a necessidade de um melhor apoio às micro, pequenas e médias empresas, a fim de aumentar a sua compreensão de todos os riscos para a segurança das informações e oportunidades para melhorar a cibersegurança; insta a ENISA e as autoridades nacionais a desenvolverem portais de autodiagnóstico e guias de boas práticas para micro, pequenas e médias empresas; recorda a importância da formação e do acesso a financiamento específico para a segurança destas entidades; |
|
21. |
Encarrega o seu Presidente de transmitir a presente resolução à Comissão, ao Conselho, e aos governos e parlamentos dos Estados-Membros. |
(1) JO L 151 de 7.6.2019, p. 15.
(2) JO L 153 de 22.5.2014, p. 62.
(3) JO L 321 de 17.12.2018, p. 36.
(4) JO L 347 de 20.12.2013, p. 81.
(5) JO L 347 de 20.12.2013, p. 104.
(6) JO L 166 de 11.5.2021, p. 1.
(7) JO L 207 de 6.8.2010, p. 1.
(8) Textos Aprovados, P9_TA(2020)0359.
(9) Textos Aprovados, P9_TA(2021)0098.
(10) Textos Aprovados, P9_TA(2021)0261.
(11) Textos Aprovados, P9_TA(2021)0026.
(12) Textos Aprovados, JO C 23 de 21.1.2021, p. 2.
(13) Tribunal de Contas Europeu Desafios à eficácia da política de cibersegurança da UE, documento informativo, março de 2019.