COMISSÃO EUROPEIA

Estrasburgo, 18.4.2023

COM(2023) 207 final

COMUNICAÇÃO DA COMISSÃO AO PARLAMENTO EUROPEU E AO CONSELHO

Colmatar o défice de talentos no domínio da cibersegurança para reforçar a competitividade, o crescimento e a resiliência da UE




(«Academia de Competências de Cibersegurança»)

 Colmatar o défice de talentos no domínio da cibersegurança para reforçar a competitividade, o crescimento e a resiliência da UE
(«Academia de Competências de Cibersegurança»)

1.Necessidade urgente de reduzir os riscos dando resposta à escassez e aos défices de competências de cibersegurança

A cibersegurança não é apenas parte integrante da segurança dos cidadãos, das empresas e dos Estados-Membros. É também necessária para garantir a estabilidade política da UE, a estabilidade das suas democracias e a prosperidade da nossa sociedade e das nossas empresas. O panorama das ciberameaças evoluiu consideravelmente nos últimos anos, registando-se uma tendência preocupante de aumento do número de ciberataques que visam infraestruturas críticas militares e civis na UE. Os autores de ameaças estão a reforçar as suas capacidades e surgem ameaças inovadoras, híbridas e emergentes, como a utilização de robôs digitais e técnicas baseadas na inteligência artificial  1 . Nomeadamente, os autores de ameaças que envolvem software de sequestro infligem regularmente às entidades danos consideráveis, tanto a nível financeiro como em termos de reputação  2 .

Além disso, muitos incidentes de cibersegurança afetaram a administração pública e os governos dos Estados-Membros, bem como as instituições, órgãos e organismos da UE  3 . O setor financeiro  4 e o setor da saúde  5 , ambos pilares da sociedade e da economia, também têm sido sistematicamente visados  6 . As tensões geopolíticas associadas à guerra de agressão da Rússia contra a Ucrânia vieram aumentar as ciberameaças  7 e têm potencial para desestabilizar a nossa sociedade. A segurança da UE não pode ser garantida sem o seu ativo mais valioso: os seus cidadãos. A UE precisa urgentemente de profissionais que disponham das aptidões e competências necessárias para prevenir, detetar e dissuadir ciberataques, bem como para defender a UE, incluindo as suas infraestruturas mais críticas, contra esses ataques, e assegurar a sua resiliência.

O défice de talentos no domínio da cibersegurança coloca mais um entrave à competitividade e ao crescimento da Europa, que dependem fortemente do desenvolvimento e da adoção de tecnologias digitais estratégicas (por exemplo, inteligência artificial, 5G e computação em nuvem). Para que a UE possa continuar a fornecer tecnologias avançadas essenciais num contexto mundial, é necessária uma mão de obra qualificada no domínio da cibersegurança. 

A fim de antecipar e enfrentar este panorama de ameaças em evolução, bem como de promover a competitividade da UE, a política de cibersegurança da UE realizou nos últimos anos progressos significativos, conduzindo à adoção de uma série de iniciativas, como a Estratégia de Cibersegurança da UE para a Década Digital  8 , a Diretiva Segurança das Redes e da Informação revista (Diretiva SRI 2)  9 , a legislação setorial da UE em matéria de cibersegurança  10 , a política de ciberdefesa da UE  11 , o Regulamento Ciber-resiliência  12 e o ato legislativo sobre a cibersolidariedade, proposto pela Comissão juntamente com a presente comunicação. No entanto, sem as pessoas qualificadas necessárias para os aplicar, estes atos legislativos não alcançarão os seus objetivos. Embora os conhecimentos básicos de cibersegurança da população em geral sejam abordados no âmbito de iniciativas de apoio ao desenvolvimento das competências gerais necessárias para participar na sociedade  13 , é essencial dispor de uma mão de obra competente, tanto no setor público como no setor privado, a nível nacional e da UE, incluindo em organizações de normalização, para cumprir esses requisitos jurídicos e estratégicos em matéria de cibersegurança.

Por conseguinte, a segurança e a competitividade da UE dependem de haver mão de obra profissional e qualificada no domínio da cibersegurança. No entanto, a UE enfrenta uma escassez muito substancial de profissionais qualificados da cibersegurança, o que coloca a UE, os seus Estados-Membros, as suas empresas e os seus cidadãos em risco de incidentes de cibersegurança. Em 2022, a escassez de profissionais da cibersegurança na União Europeia oscilava entre 260 000  14  e 500 000  15 , ao passo que, segundo as estimativas, as necessidades de mão de obra da UE nesse domínio corresponderiam a 883 000 profissionais  16 , o que sugere um desalinhamento entre as competências disponíveis e as exigidas pelo mercado de trabalho. A mão de obra no domínio da cibersegurança é ainda afetada pela ideia errada associada à sua imagem técnica e continua a não atrair mulheres, que representam apenas 20 % dos licenciados em cibersegurança  17 e 19 % dos especialistas em tecnologias da informação e comunicação (TIC)  18 . Para resolver este problema, o programa Década Digital para 2030  19  da Europa estabeleceu a meta de aumentar o número de profissionais das TIC em 20 milhões até 2030, alcançando simultaneamente a convergência de género. Além disso, a aplicação da política emergente da UE exige uma mão de obra devidamente qualificada e suficiente. Por exemplo, mais de 42 % dos altos dirigentes de TI no setor dos serviços financeiros salientaram a falta de competências e conhecimentos especializados de cibersegurança como um dos principais desafios para as suas atividades no que diz respeito à defesa e à gestão de incidentes de cibersegurança  20 , num momento em que terão de aplicar legislação setorial em matéria de cibersegurança, como o Regulamento Resiliência Operacional Digital (Regulamento DORA).

A hesitação dos empregadores em investir em capital humano, procurando mão de obra já formada e experiente, contribui ainda mais para restringir o mercado de trabalho  21 . Esta escassez afeta todos os tipos de empresas, incluindo as pequenas e médias empresas (PME), que representam 99 % das empresas da UE  22 . O desafio é também considerável para as administrações públicas, que são fortemente atingidas e as mais afetadas por incidentes de cibersegurança  23 .

Consequentemente, é urgente colmatar o défice de talentos profissionais da UE no domínio da cibersegurança, uma vez que a segurança e a competitividade da UE estão em causa.

2.Falta de sinergias e de uma ação coordenada para colmatar o défice de competências de cibersegurança

As iniciativas a nível europeu e nacional conduzidas por entidades públicas e privadas para resolver a escassez de profissionais da cibersegurança no mercado de trabalho estão a aumentar. No entanto, estas iniciativas são dispersas e, até à data, não conseguiram alcançar uma massa crítica que permita fazer verdadeiramente a diferença.

Em primeiro lugar, existe atualmente um entendimento comum limitado da composição da mão de obra da UE no domínio da cibersegurança e das competências conexas, quando perfis profissionais semelhantes no domínio da cibersegurança deveriam exigir o mesmo conjunto de competências. A reduzida adoção por parte de intervenientes pertinentes de um quadro europeu comum de referência para os profissionais da cibersegurança resulta na falta de um instrumento de comunicação entre empregadores, educadores e decisores políticos, bem como na incapacidade de realizar medições e avaliar os défices do mercado de trabalho da cibersegurança. Além disso, impede a conceção de programas curriculares de educação e formação e a criação de percursos profissionais que respondam às necessidades estratégicas e do mercado para as pessoas que pretendam ingressar na profissão. A melhoria de competências e a requalificação da mão de obra dependem em grande medida das ações de formação e certificações no domínio da cibersegurança, que são geralmente disponibilizadas por prestadores privados. No entanto, a mão de obra enfrenta dificuldades em obter uma panorâmica da qualidade das ações de formação disponibilizadas nesse domínio e dos respetivos certificados emitidos.

Embora a educação, a formação e a criação de percursos profissionais sejam necessárias para melhorar a vertente da oferta do mercado de trabalho, o papel da vertente da procura na formação da sua mão de obra e na adaptação à respetiva evolução é atualmente subestimado. O setor e os empregadores públicos carecem de fóruns e locais comuns para reunir ideias sobre a melhor forma de ministrar formação à mão de obra e de avaliar as competências, principalmente durante o processo de recrutamento. As competências técnicas mais procuradas podem estar relacionadas com a cibersegurança  24 , como o desenvolvimento de software ou a computação em nuvem  25 , mas as competências transversais continuam a ser injustificadamente ignoradas. O pensamento e a análise críticos, a resolução de problemas e a autogestão são grupos de competências mais procurados pelos empregadores  26 e a sua importância aumentará até 2025  27 .

Já existem muitas iniciativas de investimento público e privado em competências de cibersegurança e a UE financia projetos de uma forma considerável, ao abrigo de diferentes instrumentos  28 . Todavia, a persistente escassez de competências na UE levanta questões quanto à sua visibilidade e impacto e sugere que poderão não corresponder sistematicamente às necessidades do mercado, que têm de ser urgentemente identificadas a nível da UE. Adicionalmente, várias fontes de financiamento conduzem a duplicações, perdendo-se a oportunidade de expansão e produção de um impacto real. Além disso, as pessoas que necessitam do investimento nem sempre conseguem identificar as fontes mais adequadas às suas necessidades.

As partes interessadas têm tentado resolver o problema complexo e multifacetado da escassez de competências de cibersegurança. A Agência da UE para a Cibersegurança (ENISA) tem vindo a desenvolver instrumentos relacionados com perfis de funções ou com o ensino superior  29 , o Centro Europeu de Competências Industriais, Tecnológicas e de Investigação em Cibersegurança (ECCC)  30 está a abordar as competências de cibersegurança num grupo de trabalho específico, a Academia Europeia de Segurança e Defesa (AESD) está a trabalhar nas competências de cibersegurança da mão de obra civil e militar no contexto da política comum de segurança e defesa  31 , organizações privadas estão a tentar resolver o problema  32 e o setor da certificação de cibersegurança está a elaborar um roteiro e ações de formação que visam colmatar o défice de competências  33 . Os Estados-Membros estão também a tentar resolver este problema através de uma série de iniciativas, desde a regulamentação  34 à criação de academias de competências de cibersegurança  35 , de «cibercâmpus»  36 ou de centros de excelência para a cibercriminalidade  37 , ou através de parcerias público-privadas  38 . No entanto, o trabalho de todas estas partes interessadas carece frequentemente de coordenação e sinergias e não atingiu o seu potencial para fazer uma diferença significativa no mercado de trabalho, como demonstra a crescente escassez de mão de obra no domínio da cibersegurança na UE. É igualmente necessário aumentar as sinergias entre as cibercomunidades, uma vez que os conjuntos de competências necessárias para manter a cibersegurança, combater a cibercriminalidade ou desenvolver respostas de ciberdefesa possuem frequentemente uma natureza semelhante.

Por último, a UE dispõe atualmente de meios limitados para avaliar a situação e a evolução do mercado de trabalho da cibersegurança e das competências da respetiva mão de obra. Os Estados-Membros e as instituições, órgãos e organismos da UE baseiam-se em dados recolhidos por entidades privadas ou num conjunto mais vasto de dados recolhidos pela UE, nomeadamente pelo Eurostat  39 e pelo Centro Europeu para o Desenvolvimento da Formação Profissional (Cedefop)  40 , sobre os profissionais das TIC. Por outras palavras, a UE tem uma visão parcial e fragmentada das suas necessidades, o que a impede de consolidar uma visão agregada da situação do mercado de trabalho da cibersegurança.

3.Resposta coordenada à escala da UE: a Academia de Competências de Cibersegurança

3.1. Objetivo

A fim de superar o desafio de abordar as competências de cibersegurança e colmatar os défices no mercado de trabalho, a Comissão propõe uma Academia de Competências de Cibersegurança, conforme anunciado pela presidente da Comissão Europeia na sua Carta de Intenções sobre o Estado da União de 2022  41 , 42 , e no contexto do Ano Europeu das Competências.

A Academia de Competências de Cibersegurança («Academia») visa criar um ponto de entrada único e sinergias para ofertas de educação e formação no domínio da cibersegurança, bem como para oportunidades de financiamento e ações específicas de apoio ao desenvolvimento de competências de cibersegurança. Irá reforçar as iniciativas das partes interessadas para alcançar uma massa crítica que fará a diferença no mercado de trabalho, nomeadamente no domínio da defesa. A fim de obter um maior impacto, essas atividades serão alinhadas com objetivos comuns e indicadores-chave de desempenho.

A Academia centrar-se-á no desenvolvimento das competências dos profissionais da cibersegurança. A atividade da Academia contribuirá para as políticas da UE em matéria de cibersegurança, mas também para a educação e a aprendizagem ao longo da vida. Complementa as duas recomendações do Conselho relacionadas com a educação e as competências digitais propostas pela Comissão juntamente com a presente comunicação  43 .

A Academia assentará em quatro pilares: 1) promover a produção de conhecimentos através da educação e da formação trabalhando num quadro comum para perfis de funções no domínio da cibersegurança e competências conexas, reforçando a oferta europeia de educação e formação para satisfazer as necessidades, desenvolvendo percursos profissionais e proporcionando visibilidade e clareza em relação às ações de formação e certificações existentes no domínio da cibersegurança, a fim de melhorar a vertente da oferta do mercado de trabalho; 2) assegurar uma melhor canalização e visibilidade das oportunidades de financiamento disponíveis para atividades relacionadas com as competências, de forma a maximizar o seu impacto; 3) apelar às partes interessadas para que tomem medidas; e 4) definir indicadores para monitorizar a evolução do mercado e ter a capacidade de avaliar a eficácia das suas ações.

A implementação da Academia será apoiada por um financiamento de 10 milhões de EUR proveniente do Programa Europa Digital  44 .

3.2. Governação da Academia

Em última análise, a fim de disponibilizar uma infraestrutura que funcione como ponto de entrada único para promover a cooperação entre o meio académico, os prestadores de formação e o setor, onde as vertentes da oferta e da procura do ecossistema de cibersegurança da UE possam encontrar-se e receber formação, a Academia poderá assumir a forma de um Consórcio para uma Infraestrutura Europeia Digital (EDIC)  45 . Este instrumento permitirá aos Estados-Membros colaborar para colmatar o défice de competências de cibersegurança, cooperar estreitamente com a Comissão, a ENISA e o Centro Europeu de Competências Industriais, Tecnológicas e de Investigação em Cibersegurança (ECCC), em consonância com os respetivos mandatos e competências, e integrar todas as partes interessadas, mas também orientar o investimento europeu, nacional e privado para um objetivo comum. Para o efeito, os Estados-Membros interessados são incentivados a apresentar à Comissão, até 30 de maio de 2023, uma notificação prévia da sua futura candidatura a um EDIC. Esta notificação prévia voluntária permitirá à Comissão formular, numa fase precoce, observações sobre o projeto de candidatura a um EDIC, permitindo assim que esta seja desenvolvida e formalmente apresentada com maior rapidez. Durante todo o processo, e na medida em que tal seja solicitado pelos Estados-Membros, a Comissão, na qualidade de aceleradora de projetos plurinacionais, facilitará a elaboração da candidatura a um EDIC. Após uma avaliação positiva da candidatura pela Comissão e a aprovação pelo comité do programa para a Década Digital, a Comissão emitirá, então, uma decisão de criação do EDIC, ajudando subsequentemente a coordenar a sua execução  46 .

Entretanto, e enquanto o EDIC é formalmente criado, a Comissão criará um ponto de entrada único virtual, reforçando a sua Plataforma para as Competências e o Emprego na Área Digital  47  com o apoio do projeto destinado a apoiar a comunidade europeia de cibersegurança (ECCO)  48 .

A ENISA contribuirá para a implementação da Academia, em consonância com os objetivos da agência  49 , nomeadamente no que diz respeito à assistência em matéria de educação e formação no domínio da cibersegurança, e tendo em conta as suas obrigações de notificação ao abrigo da Diretiva SRI 2  50 . O ECCC trabalhará em conformidade com a sua agenda estratégica para apoiar a implementação da Academia de Competências de Cibersegurança, nomeadamente, através da execução do objetivo estratégico n.º 3 (cibersegurança) do Programa Europa Digital. O ECCC beneficiará do apoio da Comissão e dos Estados-Membros, através dos Centros Nacionais de Coordenação (CNC). O grupo de cooperação criado ao abrigo da Diretiva SRI 2  51 será solicitado sempre que necessário. Por último, será necessário unir esforços com o setor e o meio académico para alcançar o objetivo da Academia de colmatar o défice de competências de cibersegurança.

4.Produção de conhecimentos e formação: estabelecer uma abordagem comum da UE em matéria de formação em cibersegurança

No âmbito do pilar da produção de conhecimentos e formação da Academia de Competências de Cibersegurança, será desenvolvida uma abordagem estruturada com o objetivo claro de aumentar o número de pessoas com competências de cibersegurança na UE, de orientar melhor as ações de formação para as necessidades do mercado e de proporcionar visibilidade aos percursos profissionais.

4.1. Falar a mesma língua: uma abordagem comum em matéria de perfis de funções no domínio da cibersegurança e competências conexas

A ENISA já realizou trabalhos no sentido de definir os perfis de funções dos profissionais da cibersegurança no âmbito do Quadro Europeu de Competências em Cibersegurança (ECSF)  52 , que devem constituir a base para a Academia definir e avaliar as competências relevantes, acompanhar a evolução dos défices de competências e fornecer indicações sobre novas necessidades. Para cada função de cibersegurança do ECSF, é incluído um conjunto de competências aplicáveis do Quadro Europeu de Competências Eletrónicas  53 como elemento da descrição do perfil  54 .

Por conseguinte, a ENISA procederá à revisão do ECSF e identificará a evolução das necessidades e défices de competências da mão de obra no domínio da cibersegurança, nomeadamente através de ferramentas avançadas (por exemplo, inteligência artificial, megadados  55 e prospeção de dados). Para o efeito, a ENISA trabalhará sob a direção do EDIC, quando este for criado, e do ECCC, em cooperação com os CNC, a Comissão, o projeto ECCO e os intervenientes no mercado  56 . No que diz respeito à mão de obra no setor da ciberdefesa, a ENISA terá devidamente em conta o trabalho realizado pela AESD. Do mesmo modo, no domínio da luta contra a cibercriminalidade, a ENISA terá em consideração as atividades realizadas pela Agência da União Europeia para a Formação Policial (CEPOL) e pela Europol na criação de uma ferramenta de análise das necessidades de formação operacional  57 em matéria de ciberataques.

O ECSF será regularmente completado e revisto no âmbito da Academia ao longo de um ciclo bienal. Além disso, a Comissão e o Serviço Europeu para a Ação Externa contribuirão, se for caso disso, para definir perfis específicos e competências setoriais conexas, com o apoio de agências e organismos da UE, como a AESD  58 , a Europol e a CEPOL  59 .

Serão igualmente estabelecidas ligações entre o ECSF e os instrumentos relevantes da política de emprego da UE  60 . Em especial, os perfis profissionais do ECSF, bem como as competências conexas, serão integrados na classificação ESCO, o que melhorará a classificação das profissões e competências no domínio da cibersegurança, bem como as ligações entre as mesmas, facilitando a melhoria de competências e a requalificação das pessoas e apoiando a correspondência entre as competências e os empregos e a mobilidade transfronteiriça.   

4.2. Promover a cooperação para conceber programas curriculares de educação e formação no domínio da cibersegurança

Depois de o EDIC ser criado, a Academia deve receber o apoio dos Estados-Membros para se tornar o local de referência na Europa para a conceção e realização de ações de formação em cibersegurança, que abordem as competências mais procuradas e que proporcionem formações em contexto laboral e oportunidades de estágio às empresas em fase de arranque e às PME, assim como às administrações públicas, em empresas inovadoras no domínio da cibersegurança e em centros de competências de cibersegurança. O EDIC deve trabalhar com todas as partes interessadas, incluindo a indústria, para conceber essas ações de formação e basear-se em projetos como o CyberSecPro  61 , financiado pelo Programa Europa Digital, que reúne 17 instituições de ensino superior e 13 empresas de segurança de 16 Estados-Membros, a fim de se tornar a boa prática a seguir por todos os programas de formação em cibersegurança.

A Academia trabalhará com todas as partes interessadas para atrair as gerações jovens para carreiras no domínio da cibersegurança. Em consonância com a proposta de recomendação do Conselho relativa à melhoria da oferta de competências digitais na educação e na formação, os Estados-Membros devem criar e reforçar medidas para recrutar professores e formadores especializados, bem como ministrar-lhes formação, e facilitar a aquisição de competências de cibersegurança, nomeadamente através de estágios de aprendizagem. Deve ser incentivada a integração da cibersegurança nos programas de educação e formação, assegurando simultaneamente a sua acessibilidade, desenvolvendo a oferta de programas de aprendizagem e estágios, promovendo abordagens inovadoras, incluindo, por exemplo, jogos sérios e plataformas de simulação partilhadas, organizando semanas de imersão em cargos de cibersegurança e explicando os perfis de funções não técnicas. Deve também ser apoiada a participação nestas oportunidades de aprendizagem no domínio da cibersegurança de grupos a que é difícil chegar, como jovens com deficiência, que vivam em zonas remotas ou rurais e pertencentes a outros grupos minoritários.

A Comissão continuará a prestar apoio ao desenvolvimento de microcredenciais, bem como de programas de ensino e formação profissionais. Em especial, no âmbito do programa Erasmus+, continuarão a ser financiados programas conjuntos de licenciatura e mestrado, cursos ou módulos conjuntos que permitam obter microcredenciais e programas intensivos mistos  62  sobre todos os tópicos, incluindo a cibersegurança. Será igualmente apoiada a continuação da implantação da iniciativa Universidades Europeias  63 e de Centros de Excelência Profissional  64 para incentivar uma maior cooperação entre instituições de ensino superior e instituições de ensino e formação profissionais relevantes em toda a Europa. Os programas de financiamento da UE, incluindo o Erasmus+ e o Programa Europa Digital, bem como os fundos da UE para o desenvolvimento de contas individuais de aprendizagem  65 , apoiarão este objetivo de cooperação mais estreita.

A fim de facilitar a cooperação a nível nacional entre o meio académico e os prestadores de ações de formação no domínio das competências de cibersegurança com empregadores dos setores público e privado e promover sinergias entre estes setores, os CNC são convidados a estudar a possibilidade de criar «cibercâmpus» nos Estados-Membros. Os «cibercâmpus» visariam proporcionar polos de excelência a nível nacional para a comunidade de cibersegurança e a Academia apoiaria o seu trabalho em rede e a coordenação das suas atividades.

A ENISA reforçará também a sua oferta de formação em cibersegurança, alinhando o seu catálogo de cursos  66 com os perfis do ECSF e elaborando módulos de formação por perfil, o que pode melhorar as ofertas de formação dos Estados-Membros. A ENISA alargará igualmente o seu programa de formação de formadores  67 , de modo a corresponder às necessidades profissionais das instituições, órgãos e organismos da UE, bem como das autoridades públicas e dos operadores críticos públicos e privados dos Estados-Membros no âmbito da Diretiva SRI 2.

Além disso, outras agências e organismos da UE reforçarão a sua oferta de formação em cibersegurança. Por exemplo, em execução da política de ciberdefesa da UE, a AESD desenvolverá um novo conjunto de cursos de cibersegurança e alinhará alguns dos seus cursos atuais com o ECSF. Estes cursos conduzirão à certificação dos resultados da aprendizagem  68 . A AESD, em colaboração com a Comissão, estudará a possibilidade de incluir certificados nas carteiras europeias de identidade digital. A AESD continuará a examinar a eventual avaliação de mecanismos de competências, que servirão de base à emissão dos certificados. Do mesmo modo, no domínio da luta contra a cibercriminalidade, procurar-se-á estabelecer ligações estreitas com a Academia de Cibercriminalidade da CEPOL  69 , a fim de promover sinergias e complementaridades na conceção e execução de programas curriculares de formação.

4.3. Criar sinergias e dar visibilidade às ações de formação e à certificação no domínio da cibersegurança nos Estados-Membros

A Academia deve abordar a questão da visibilidade e das sinergias em matéria de formação e certificação, o que beneficiará as cibercomunidades civis, de defesa, policiais e diplomáticas, uma vez que todos os setores necessitam, em muitos casos, dos mesmos conhecimentos especializados, baseados em programas curriculares e resultados de aprendizagem semelhantes.

A Academia proporcionará um ponto de entrada único para as pessoas interessadas numa carreira no domínio da cibersegurança. A curto prazo, tal será feito através do reforço da Plataforma para as Competências e o Emprego na Área Digital da Comissão, com o apoio do projeto ECCO. Uma secção específica para carreiras no domínio da cibersegurança assegurará a ligação com os instrumentos existentes, desde programas de ensino superior a oportunidades de formação, incluindo cursos que permitam obter microcredenciais e programas de ensino e formação profissionais, até ofertas de emprego. Tal será possível graças à remissão para ou à integração na plataforma de trabalhos e iniciativas em curso, como os da ENISA, que, em colaboração com o meio académico, elaborou um levantamento das instituições de ensino que oferecem programas de cibersegurança . Esta ação será reforçada com o apoio dos CNC. Além disso, a ENISA desenvolverá e consolidará dois repositórios de ações de formação existentes dos setores público e privado e de certificações de cibersegurança, com o apoio dos CNC, da Comissão e do projeto ECCO, bem como em colaboração com entidades que emitem certificações e também com base noutras iniciativas pertinentes  70 . Estes repositórios serão igualmente integrados no ponto de entrada único da Plataforma para as Competências e o Emprego na Área Digital. Este trabalho beneficiará igualmente os CNC, cuja missão consiste, nomeadamente, em promover e divulgar programas educativos no domínio da cibersegurança  71 . 

É ainda necessário garantir aos profissionais que as ações de formação que realizam possuem a qualidade exigida. A este respeito, a ENISA desenvolverá um projeto-piloto para estudar a possibilidade de criar um sistema europeu de certificação de competências de cibersegurança.

Adicionalmente, é essencial identificar as competências e as ações de formação e associá-las a um perfil profissional, mas é também importante garantir que os serviços de cibersegurança recebem as competências, os conhecimentos especializados e a experiência necessários. Tal aplica-se, em especial, aos prestadores de serviços de segurança geridos em domínios como a resposta a incidentes, os testes de penetração, as auditorias e a consultoria em matéria de segurança. A Diretiva SRI 2 e a proposta de ato legislativo sobre a cibersolidariedade estabelecem atribuições específicas para esses prestadores de serviços de segurança geridos. Por conseguinte, a Comissão propõe igualmente uma alteração específica do Regulamento Cibersegurança  72 , a fim de permitir sistemas de certificação de serviços de segurança geridos a nível da UE. Esses sistemas de certificação devem ter por objetivo, nomeadamente, assegurar que estes serviços sejam prestados por pessoal com um nível muito elevado de conhecimentos e competências técnicas nos domínios relevantes.

Os mecanismos de garantia da qualidade e de reconhecimento das microcredenciais  73 facilitam a transparência, a comparabilidade e a portabilidade dos resultados da aprendizagem. Em consonância com a Recomendação do Conselho relativa a uma abordagem europeia das microcredenciais  74 , os Estados-Membros são incentivados a incluir microcredenciais de cibersegurança nos seus quadros nacionais de qualificações, o que lhes permitirá estabelecer a relação entre as microcredenciais de cibersegurança e o Quadro Europeu de Qualificações  75 . A infraestrutura de credenciais digitais europeias para a aprendizagem está disponível para emitir microcredenciais e qualificações de cibersegurança assinadas digitalmente. Estas contêm dados valiosos, nomeadamente sobre os resultados da aprendizagem no domínio da cibersegurança, passíveis de conservação na futura carteira europeia de identidade digital  76 .

Ações no âmbito da Academia  Estados-Membros e setor ·Assegurar o apoio ao desenvolvimento e ao reconhecimento de microcredenciais de aprendizagem no domínio da cibersegurança, em consonância com a Recomendação do Conselho relativa a uma abordagem europeia das microcredenciais. ·Incluir qualificações de cibersegurança, nomeadamente microcredenciais, nos quadros nacionais de qualificações. ·Proporcionar oportunidades de formação em contexto laboral, através de programas de aprendizagem, a pessoas que participam em iniciativas de desenvolvimento de competências de cibersegurança. Comissão ·A curto prazo, criar um ponto de entrada único para programas de cibersegurança, ações de formação existentes e certificações de cibersegurança através da Plataforma para as Competências e o Emprego na Área Digital, até ao final de 2023. ·Propor uma alteração do Regulamento Cibersegurança, a fim de permitir a certificação de prestadores de serviços de segurança geridos, em 18 de abril de 2023. Órgãos e organismos da UE ·Estabelecer o ECSF como abordagem comum dos perfis de funções no domínio da cibersegurança e das competências conexas, até ao final de 2023. ·No segundo trimestre de 2023, a ENISA iniciará o desenvolvimento de um projeto-piloto para a criação de um sistema europeu de certificação de competências de cibersegurança. ·A ENISA procederá à revisão do seu catálogo de cursos e abrirá o seu programa de formação de formadores a operadores críticos públicos e privados, até ao final de 2023. ·Concluir o alinhamento dos programas curriculares da AESD com o ECSF, até meados de 2023.

5.Participação das partes interessadas: assumir o compromisso de colmatar o défice de competências de cibersegurança

No âmbito da Academia, será desenvolvida uma abordagem coordenada da participação das partes interessadas para colmatar o défice de competências de cibersegurança. O objetivo consistirá em maximizar a visibilidade e o impacto dos compromissos das várias partes interessadas com vista a reduzir o défice de competências de cibersegurança.

A Comissão insta as partes interessadas a assumirem compromissos concretos para a melhoria de competências e a requalificação dos trabalhadores através de ações específicas, tendo em conta, tanto quanto possível, os défices de competências de cibersegurança identificados. Os compromissos das partes interessadas no domínio da cibersegurança devem ser comunicados por meio da Plataforma para as Competências e o Emprego na Área Digital, à semelhança de outros compromissos digitais que já são visíveis na plataforma. A Comissão incentiva ainda as partes interessadas que assumam um compromisso de cibersegurança na plataforma a aderirem à parceria digital em grande escala no âmbito do Pacto para as Competências  77 . Incentiva-se a apresentação dos compromissos no domínio da cibersegurança assumidos no âmbito da parceria digital em grande escala na Plataforma para as Competências e o Emprego na Área Digital. Do mesmo modo, incentiva-se a comunicação dos compromissos assumidos no âmbito da Plataforma para as Competências e o Emprego na Área Digital nos termos da parceria digital em grande escala do Pacto para as Competências.

A Comissão insta ainda os Estados-Membros a prosseguirem os esforços na aplicação da Declaração sobre as mulheres no setor digital  78 , a fim de incentivar as mulheres a desempenharem um papel ativo e proeminente no setor das tecnologias digitais e de alcançar a convergência de género em cargos de cibersegurança. A Comissão incentiva igualmente os Estados-Membros a desenvolverem sinergias com os programas do Fundo Social Europeu Mais (FSE+) para continuar a apoiar o objetivo da igualdade de género na participação no mercado de trabalho  79 , por exemplo através da criação de programas de tutoria para raparigas e mulheres. Estes programas podem facilitar a criação de modelos a seguir, a fim de atrair raparigas para profissões no domínio da cibersegurança, combatendo simultaneamente os estereótipos de género. Incentiva ainda a melhoria das competências e a requalificação das mulheres, bem como o desenvolvimento de uma comunidade, que pode apoiar as mulheres na sua entrada ou promoção no mercado de trabalho da cibersegurança.

Os Estados-Membros devem adotar, no âmbito das suas estratégias nacionais de cibersegurança, medidas específicas com vista a atenuar a escassez de competências de cibersegurança  80 , identificando e canalizando melhor os esforços para colmatar os défices de competências e, em última análise, assegurando uma execução adequada das obrigações que lhes incumbem ao abrigo da Diretiva SRI 2.

Alguns Estados-Membros utilizam sinergias entre iniciativas civis, de defesa e policiais. Por exemplo, o aumento da mão de obra recorrendo ao serviço militar obrigatório ou aos ciber-reservistas, que são cidadãos com formação militar que ocupam cargos de cibersegurança nas forças armadas  81 , permite à população, e em especial aos jovens adultos, melhorar as suas competências de cibersegurança e ciberdefesa. O mesmo se aplica no domínio da luta contra a cibercriminalidade, uma vez que existem muitas semelhanças entre os esforços gerais em matéria de cibersegurança e as atividades policiais de resposta a incidentes de cibersegurança. A Comissão incentiva os Estados-Membros a debaterem estas iniciativas entre si e convida-os a avaliar a melhor forma de uma mão de obra qualificada servir as comunidades de cibersegurança de defesa e civis.

A Comissão refletirá nas propostas sobre como colmatar os défices atuais e previstos identificados na sua revisão das necessidades das instituições, órgãos e organismos da UE. Em especial, incentivará o pessoal a tirar partido da futura bolsa de estudo no domínio da cibersegurança UE-Estados Unidos (EUA), criada no âmbito do diálogo UE-EUA.

Ações no âmbito da Academia  Setor ·Propor compromissos específicos no domínio da cibersegurança por meio da Plataforma para as Competências e o Emprego na Área Digital, a partir de 18 de abril de 2023. Estados-Membros · Incluir nas estratégias nacionais de cibersegurança medidas específicas para colmatar o défice de competências de cibersegurança. Estados-Membros e setor ·Aplicar a Declaração sobre as mulheres no setor digital e alcançar a convergência de género em cargos de cibersegurança, até 2030.

6.Financiamento: criar sinergias para maximizar o impacto das despesas no desenvolvimento de competências de cibersegurança

No âmbito da Academia, o impacto dos investimentos em competências de cibersegurança será maximizado criando um ponto de entrada único, facilitando uma melhor canalização dos fundos para as necessidades do mercado, integrando a utilização do financiamento e facilitando sinergias entre os diferentes instrumentos, evitando simultaneamente a duplicação de esforços  82 .

6.1. Adequação dos fundos às necessidades

No âmbito da Academia, o ECCC, com o apoio da Comissão, do projeto ECCO e dos CNC, recolherá informações sobre a forma como os fundos da UE são utilizados para financiar competências de cibersegurança e avaliará como os fundos da UE estão a apoiar a redução do défice de competências de cibersegurança. Tendo em conta estas informações agregadas, o ECCC procurará assegurar uma melhor canalização dos fundos da UE para as necessidades identificadas e financiará ações destinadas a colmatar os défices mais prementes na mão de obra no domínio da cibersegurança, incluindo as relacionadas com a execução das necessidades da política de cibersegurança.

6.2.Proporcionar visibilidade a iniciativas de parceria e fundos disponíveis no domínio das competências de cibersegurança

A curto prazo, a Plataforma para as Competências e o Emprego na Área Digital tornar-se-á o ponto de entrada único para as partes interessadas, onde estarão disponíveis todas as informações sobre oportunidades de financiamento para competências de cibersegurança.

A UE está a investir nas pessoas e nas suas competências e a utilizar parcerias, nomeadamente com o setor, para mobilizar ações de melhoria de competências e requalificação através de vários instrumentos identificados no âmbito da Agenda de Competências para a Europa  83 , em especial o Pacto para as Competências  84  e o Plano de Ação para a Educação Digital  85 . O Programa Europa Digital financia oportunidades de aquisição de competências de cibersegurança, nomeadamente através de iniciativas de projetos plurinacionais, em clara complementaridade com o apoio disponibilizado no âmbito do Horizonte Europa para a investigação e soluções tecnológicas inovadoras no domínio da cibersegurança. O Fundo Europeu de Defesa  86 financia a investigação e o desenvolvimento tecnológico para a realização de ciberoperações eficientes, incluindo ações de formação e exercícios  87 . O Erasmus+ continuará a apoiar essas iniciativas, nomeadamente através de programas intensivos mistos e projetos de cooperação.

Os Estados-Membros são incentivados a mobilizar os fundos da UE que gerem diretamente para apoiar empregos e competências no domínio da cibersegurança. Os fundos da política de coesão, como o Fundo Europeu de Desenvolvimento Regional (FEDER) e o FSE+, têm um importante potencial para sinergias nesta matéria  88 . O âmbito das ações ao abrigo do Mecanismo de Recuperação e Resiliência (MRR)  89 e do Programa InvestEU  90 inclui complementaridades adicionais fundamentais para a consecução dos objetivos da Academia.

Ações no âmbito da Academia Centro Europeu de Competências Industriais, Tecnológicas e de Investigação em Cibersegurança e ENISA ·Fazer um levantamento do atual financiamento da UE para competências de cibersegurança face às necessidades do mercado, avaliar a eficácia e identificar prioridades de financiamento, até ao final de 2024. Comissão ·Criar um ponto de entrada único para oportunidades de financiamento de competências de cibersegurança na Plataforma para as Competências e o Emprego na Área Digital, até ao final de 2023.

7.Aferir os progressos: responsabilização integrada

No âmbito da Academia, será desenvolvida uma metodologia que permitirá aferir os progressos realizados para colmatar o défice de competências de cibersegurança.

7.1.Definição de indicadores de cibersegurança para acompanhar a evolução do mercado de trabalho da cibersegurança

O índice de digitalidade da economia e da sociedade (IDES) resume os indicadores do desempenho digital da Europa e acompanha o progresso dos Estados-Membros da UE. No âmbito da Academia de Competências de Cibersegurança, a ENISA, em cooperação com a Comissão e o grupo de cooperação SRI  91 , desenvolverá indicadores, nomeadamente relacionados com o género, a fim de acompanhar os progressos realizados nos Estados-Membros da UE para aumentar o número de profissionais da cibersegurança, consultando também os intervenientes no mercado pertinentes e os CNC. A ENISA basear-se-á na metodologia do IDES  92 e assegurará a consonância dos indicadores com as metas digitais da Europa em matéria de profissionais das TIC e com o objetivo de alcançar a convergência de género nas TIC. Em seguida, a Comissão trabalhará no sentido de integrar esses indicadores no IDES, permitindo assim o acompanhamento anual do estado do mercado de trabalho e das competências de cibersegurança.

7.2.Recolha de dados e apresentação de relatórios

A ENISA recolherá os dados sobre os indicadores com o apoio do projeto ECCO e dos CNC. Com base nos dados recolhidos, a ENISA elaborará um relatório anual que contribuirá para o relatório sobre o estado da Década Digital  93 , que, juntamente com o IDES, será utilizado na análise e nas recomendações específicas por país do Semestre Europeu  94 . Além disso, os indicadores relativos às competências de cibersegurança contribuirão para o relatório bienal da ENISA sobre o estado da cibersegurança na UE, previsto na Diretiva SRI 2, que abrangerá as capacidades de cibersegurança, a sensibilização para cibersegurança e a ciber-higiene em toda a UE.

7.3.Elaboração de indicadores-chave de desempenho (ICD) para a cibersegurança

Com vista a colmatar o défice de talentos europeus no domínio da cibersegurança, a ENISA, em estreita cooperação com a Comissão e os CNC, proporá ICD à Comissão, com base na metodologia do programa Década Digital para 2030, bem como na experiência do setor. A ENISA terá devidamente em conta os ICD utilizados pelos Estados-Membros para avaliar as suas estratégias nacionais de cibersegurança  95 .

Ações no âmbito da Academia  ENISA ·Elaborar indicadores e ICD sobre competências de cibersegurança, até ao final de 2023. ·Recolher dados sobre os indicadores e apresentar relatórios sobre os mesmos, devendo a primeira recolha ser efetuada até 2025. Comissão ·Trabalhar no sentido da integração de indicadores sobre a cibersegurança no IDES e no relatório sobre o estado da Década Digital.

8.Conclusão

A presente comunicação estabelece as bases para uma reformulação da abordagem da UE a fim de reforçar as competências de cibersegurança dos profissionais da UE. O objetivo consiste em reduzir o défice de competências de cibersegurança e dotar a UE da mão de obra necessária para dar resposta ao panorama de ameaças em constante evolução, aplicar as políticas da UE destinadas a proteger a UE de ciberataques, mas também aumentar as oportunidades de negócio e a competitividade. Uma mão de obra qualificada no domínio da cibersegurança pode beneficiar as comunidades civil, de defesa, diplomática e policial, facilitando as sinergias entre as mesmas.

A Comissão insta os Estados-Membros e todas as partes interessadas a concretizarem a ambição da Academia de Competências de Cibersegurança.

(1)       ENISA Threat Landscape 2022 — ENISA (europa.eu) (não traduzido para português).

(2)       Europol, Internet Organised Crime Threat Assessment (IOCTA) 2021 (não traduzido para português). Estes autores de ameaças baseiam-se no modelo de « software de sequestro como serviço». O custo anual para as empresas ultrapassou os 18,4 mil milhões de EUR em 2022 ( relatório de 2022 da Cybereason, Ransomware: The True Cost to Business ).

(3)      Ver, por exemplo, a publicação conjunta da ENISA e da CERT-UE, JP-23-01 - Sustained activity by specific threat actors, TLP:CLEAR, 15 de fevereiro de 2023 (não traduzida para português).

(4)      Ver, por exemplo, o caso da Alemanha, onde 90 % das fraudes por correio eletrónico comunicadas entre 1 de junho de 2021 e 31 de maio de 2022 foram de mistificação da interface (phishing) no domínio financeiro, ou o caso do ataque a uma empresa do setor financeiro que envolveu mais de 20 000 dispositivos infetados em 125 países, The State of IT Security in Germany in 2022, Bundesamt für Sicherheit in der Informationstechnik (BSI), 1 de janeiro de 2023 .

(5) Ver, por exemplo, os ataques de software de sequestro a instalações públicas de cuidados de saúde em França, nomeadamente o ataque ao Centre Hospitalier Sud Francilien, durante o qual 11 GB de dados pessoais e médicos, bem como dados relacionados com o pessoal, ficaram comprometidos e foram publicados pelo autor da ameaça, Panorama de la Cybermenace 2022, Agence nationale de la sécurité des systèmes d’information (ANSSI), janeiro de 2023 .

(6)      ENISA, Threat Landscape 2022 (não traduzido para português).

(7)       Ver também: CERT-UE, Russia’s war on Ukraine: one year of cyber operations (europa.eu) (não traduzido para português); Ciberoperações russas contra a Ucrânia: Declaração do alto representante em nome da União Europeia, 10 de maio de 2022 ; Declaração do alto representante, em nome da União Europeia, sobre as ciberatividades maliciosas levadas a cabo por piratas informáticos e grupos de piratas informáticos no contexto da agressão da Rússia contra a Ucrânia, 19 de julho de 2022 .

(8)       Comunicação conjunta ao Parlamento Europeu e ao Conselho «Estratégia de cibersegurança da UE para a década digital» [JOIN(2020) 18 final] .

(9)       Diretiva (UE) 2022/2555 do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022, relativa a medidas destinadas a garantir um elevado nível comum de cibersegurança na União que altera o Regulamento (UE) n.º 910/2014 e a Diretiva (UE) 2018/1972 e revoga a Diretiva (UE) 2016/1148 (Diretiva SRI 2) .

(10) Tal como, para o setor financeiro, o Regulamento (UE) 2022/2554 do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022, relativo à resiliência operacional digital do setor financeiro e que altera os Regulamentos (CE) n.º 1060/2009, (UE) n.º 648/2012, (UE) n.º 600/2014, (UE) n.º 909/2014 e (UE) 2016/1011 (Regulamento DORA).

(11)       Comunicação conjunta ao Parlamento Europeu e ao Conselho «Política de ciberdefesa da UE» [JOIN(2022) 49 final] .

(12)       Proposta de Regulamento do Parlamento Europeu e do Conselho relativo aos requisitos horizontais de cibersegurança dos produtos com elementos digitais e que altera o Regulamento (UE) 2019/1020 [COM(2022) 454 final] .

(13)      Entre as iniciativas pertinentes que abordam as competências gerais da população no domínio digital incluem-se: a meta do Plano de Ação sobre o Pilar Europeu dos Direitos Sociais e das Orientações para a Digitalização de que 80 % da população possua competências digitais básicas até 2030, o Plano de Ação para a Educação Digital 2021-2027, a ferramenta Quadro Europeu de Competências Digitais ou a proposta de recomendação do Conselho relativa à melhoria da oferta de competências digitais na educação e na formação.

(14)      (ISC)² em Assessing Cyber Skills on the basis of the ECSF, webinário da ENISA, 16 de fevereiro de 2023 .

(15)      De acordo com a Organização Europeia para Cibersegurança (ECSO), conforme referido na Comunicação conjunta ao Parlamento Europeu e ao Conselho «Política de ciberdefesa da UE» [JOIN(2022) 49 final] .

(16)      (ISC)² em Assessing Cyber Skills on the basis of the ECSF, webinário da ENISA, 16 de fevereiro de 2023 .

(17)       Cybersecurity Higher Education Database (CyberHEAD) .

(18)      Apenas 19 % dos especialistas em TIC da UE são mulheres.  Digital Economy and Society Index (DESI) 2022 | Shaping Europe’s digital future (europa.eu) . Não existem dados disponíveis relativos à mão de obra feminina da União no domínio da cibersegurança.

(19)       Decisão (UE) 2022/2481 do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022, que estabelece o programa Década Digital para 2030 , que cria um mecanismo de acompanhamento e cooperação para alcançar os objetivos e as metas comuns para a transformação digital da Europa estabelecidos nas Orientações para a Digitalização até 2030, incluindo o domínio das competências. 

(20)       S-RM Cyber Security Insights Report 2022 .

(21)       Cybersecurity Skills Development in the EU (não traduzido para português), ENISA, dezembro de 2019 .

(22)       SME definition (europa.eu) .

(23)       ENISA Threat Landscape 2022 — ENISA (europa.eu) (não traduzido para português).

(24)

      LinkedIn 2023 Most In-Demand Skills: Learn the skills companies need most .

(25)

      Infográfico da ISACA, State of Cyber Security 2022 .

(26)      Como a ferramenta do Cedefop: Skills-OVATE | Cedefop (europa.eu) .

(27)       The Future of Jobs Report, October 2020, Fórum Económico Mundial .

(28)      Por exemplo: o projeto REWIRE — Cybersecurity Skills Alliance — A New Vision for Europe (financiado pelo programa Erasmus+); projetos de apoio ao Centro Europeu de Competências Industriais, Tecnológicas e de Investigação em Cibersegurança [ ECHO , CONCORDIA , CyberSec4Europe , SPARTA (financiado pelo Horizonte 2020), projeto CyberSecPro (financiado pelo Programa Europa Digital)].

(29) Nomeadamente: o Quadro Europeu de Competências em Cibersegurança ; a CyberHEAD, a base de dados do ensino superior em cibersegurança ; a plataforma de exercício em matéria de cibersegurança e ciberdefesa ; o Desafio Europeu da Cibersegurança ; e o Mês Europeu da Cibersegurança .

(30)       Regulamento (UE) 2021/887 do Parlamento Europeu e do Conselho, de 20 de maio de 2021, que cria o Centro Europeu de Competências Industriais, Tecnológicas e de Investigação em Cibersegurança e a Rede de Centros Nacionais de Coordenação .

(31)      Nomeadamente a plataforma de educação, formação, avaliação e exercício em matéria de cibersegurança e ciberdefesa (ETEE) .

(32)      Por exemplo, o grupo de trabalho n.º 5 da Organização Europeia para Cibersegurança (ECSO) sobre educação, formação, sensibilização, centros virtuais de treino e fatores humanos; e a organização DIGITALEUROPE .

(33)      Por exemplo, o Instituto SANS , a (ISC)² e a ISACA.

(34)      Por exemplo, em estratégias nacionais de educação ou cibersegurança.

(35)      Por exemplo, a C-Academy , em Portugal.

(36)      Por exemplo, o Campus Cyber , em França.

(37)      Por exemplo, o centro de excelência lituano para a cibercriminalidade destinado à formação, investigação e educação ( L3CE ).

(38)      Por exemplo, a iniciativa de desenvolvimento de competências de cibersegurança da Microsoft .

(39)       ICT specialists in employment — Statistics Explained (europa.eu) .

(40)      Como a ferramenta do Cedefop: Skills-OVATE | Cedefop (europa.eu) .

(41)       Carta de Intenções de 2022 sobre o estado da União Europeia dirigida à presidente Roberta Metsola e ao primeiro-ministro Petr Fiala .

(42)       Comunicação conjunta ao Parlamento Europeu e ao Conselho «Política de ciberdefesa da UE» [JOIN(2022) 49 final] .

(43)      Proposta de recomendação do Conselho relativa aos principais fatores facilitadores do êxito da educação e da formação digitais e proposta de recomendação do Conselho relativa à melhoria da oferta de competências digitais na educação e na formação.

(44)       Regulamento (UE) 2021/694 do Parlamento Europeu e do Conselho, de 29 de abril de 2021, que cria o Programa Europa Digital e revoga a Decisão (UE) 2015/2240 .

(45)      Os EDIC foram estabelecidos no artigo 13.º e seguintes da Decisão (UE) 2022/2481 do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022, que estabelece o programa Década Digital para 2030 .

(46)      Ibidem, artigo 12.º.

(47)       Home | Digital Skills and Jobs Platform (europa.eu) .

(48)      Ver European Cybersecurity Competence Centre and Network: new EU-funded project to support the Cyber Community (europa.eu) . Em dezembro de 2022, a Comissão Europeia assinou um contrato de 3 milhões de EUR para apoiar a cibercomunidade da UE no âmbito do Centro Europeu de Competências Industriais, Tecnológicas e de Investigação em Cibersegurança. Este projeto contribuirá para a consecução dos objetivos da UE em matéria de criação de comunidades e reforço de capacidades no que diz respeito à investigação, inovação, adoção e base industrial no domínio da cibersegurança.

(49)      «A ENISA apoia o reforço das capacidades e do grau de preparação em toda a União, prestando assistência às instituições, órgãos e organismos da União, bem como aos Estados-Membros e às partes interessadas públicas e privadas para [...] desenvolver capacidades e competências no domínio da cibersegurança.» Artigo 4.º, n.º 3, do Regulamento Cibersegurança.

(50)      Artigo 18.º da Diretiva SRI 2.

(51)       Diretiva (UE) 2022/2555 do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022, relativa a medidas destinadas a garantir um elevado nível comum de cibersegurança na União que altera o Regulamento (UE) n.º 910/2014 e a Diretiva (UE) 2018/1972 e revoga a Diretiva (UE) 2016/1148 (Diretiva SRI 2) .

(52)       European Cybersecurity Skills Framework (ECSF) — ENISA (europa.eu) . O ECSF apoia a identificação e articulação de atribuições, competências, aptidões e conhecimentos associados às funções dos profissionais europeus da cibersegurança. Resume todas as funções relacionadas com a cibersegurança em perfis, que são analisados individual e pormenorizadamente em termos de responsabilidades, competências, sinergias e interdependências correspondentes.

(53)       European e-Competence Framework (e-CF) | ESCO (europa.eu) . O e-CF fornece ligações consistentes no contexto das qualificações no domínio das TIC e de outros quadros relevantes para o setor, nomeadamente para o DigComp .

(54)      Ver, a este respeito, o User Manual — European Cybersecurity Skills Framework (ECSF), setembro de 2022 (não traduzido para português).

(55)      Ver, por exemplo, a plataforma Skills-OVATE desenvolvida pelo Cedefop.

(56)      A agência continuará a tirar partido dos resultados de outros projetos financiados pela UE [por exemplo, REWIRE , Data Space For Skills (DS4S) , CyberSecPro, Concordia ] e das metodologias decorrentes de iniciativas semelhantes (por exemplo, Building a Skilled Cyber Security Workforce in Five Countries — Insights from Australia, Canada, New Zealand, United Kingdom, and United States, relatório da OCDE lançado em 21 de março de 2023) para assegurar, no futuro, uma visão atualizada das necessidades num ambiente em que a procura está em constante evolução. 

(57)       CEPOL, Operational Training Needs Assessment (OTNA) .

(58)      Ver a este respeito a Comunicação conjunta ao Parlamento Europeu e ao Conselho «Política de ciberdefesa da UE» [JOIN(2022) 49 final] .

(59)      Neste contexto, será dada atenção aos trabalhos sobre o Quadro de Competências para a Formação em Cibercriminalidade (TCF), atualmente em desenvolvimento.

(60)      Como a Classificação Europeia das Competências/Aptidões, Qualificações e Profissões ( ESCO ), o Europass e a rede de cooperação europeia de serviços de emprego ( EURES ).

(61)      O CyberSecPro realizará, por exemplo, uma análise dos programas, cursos e cursos de verão no domínio da cibersegurança oferecidos pelas universidades, bem como das tabelas de classificação do Sistema Europeu de Transferência e Acumulação de Créditos (ECTS) utilizadas, assegurará a participação do número visado de mais de 530 formandos ao longo do período de três anos e ministrará formação a pessoas externas de vários setores e indústrias.

(62)      Os programas intensivos mistos combinam o ensino em linha com um curto período de mobilidade física.

(63)       Iniciativa Universidades Europeias | Espaço Europeu da Educação (europa.eu) .

(64)       Centros de Excelência Profissional | Erasmus+ (europa.eu) .

(65)      Em consonância com a Recomendação do Conselho, de 16 de junho de 2022, relativa às contas individuais de aprendizagem .

(66)       Training Courses — ENISA (europa.eu) .

(67)       Train the trainer programme — ENISA (europa.eu) .

(68)      Em consonância com o artigo 20.º, n.º 4, da Decisão (PESC) 2020/1515 do Conselho, de 19 de outubro de 2020, que cria a Academia Europeia de Segurança e Defesa, e que revoga a Decisão (PESC) 2016/2382 .

(69)      A Academia de Cibercriminalidade da CEPOL foi criada em 2019 a fim de proporcionar uma plataforma de ponta para melhorar os conhecimentos sobre a cibercriminalidade e as cibercapacidades na Europa.

(70)      Por exemplo, a W4C Academy — Women4Cyber ou o projeto Global Cybercrime Certification para autoridades policiais e judiciais.

(71)      «1. Os centros nacionais de coordenação têm as seguintes atribuições: [...] g) Sem prejuízo das competências dos Estados-Membros em matéria de educação e tendo em conta as atribuições pertinentes da ENISA, colaborar com as autoridades nacionais no que diz respeito a uma possível contribuição para a promoção e difusão de programas educativos em matéria de cibersegurança», artigo 7.º, n.º 1, alínea g), do Regulamento que cria o Centro Europeu de Competências Industriais, Tecnológicas e de Investigação em Cibersegurança e a Rede de Centros Nacionais de Coordenação. Ver também o considerando 28 conexo.

(72)       Regulamento (UE) 2019/881 do Parlamento Europeu e do Conselho, de 17 de abril de 2019, relativo à ENISA (Agência da União Europeia para a Cibersegurança) e à certificação da cibersegurança das tecnologias da informação e comunicação e que revoga o Regulamento (UE) n.º 526/2013 (Regulamento Cibersegurança) .

(73)      Por exemplo, registo ou certificados de resultados da aprendizagem que as pessoas adquirem na sequência de ações de formação de curta duração.

(74)       Recomendação do Conselho, de 16 de junho de 2022, relativa a uma abordagem europeia das microcredenciais para a aprendizagem ao longo da vida e a empregabilidade .

(75)       Recomendação do Conselho, de 22 de maio de 2017, relativa ao Quadro Europeu de Qualificações para a aprendizagem ao longo da vida, que revoga a Recomendação do Parlamento Europeu e do Conselho, de 23 de abril de 2008, relativa à instituição do Quadro Europeu de Qualificações para a aprendizagem ao longo da vida .

(76)       Proposta de regulamento do Parlamento Europeu e do Conselho que altera o Regulamento (UE) n.º 910/2014 no respeitante à criação de um Quadro Europeu para a Identidade Digital .

(77)       New European Partnerships launched to deliver on the EU's ambitions for the Digital Decade | Shaping Europe’s digital future (europa.eu) (não traduzido para português). As parcerias foram criadas no âmbito do Pacto para as Competências a fim de fazer face à escassez de competências nas tecnologias da informação e da comunicação (TIC).

(78)       EU countries commit to boost participation of women in digital | Shaping Europe’s digital future (europa.eu) .

(79)       Regulamento (UE) 2021/1057 do Parlamento Europeu e do Conselho, de 24 de junho de 2021, que cria o Fundo Social Europeu Mais (FSE+) e que revoga o Regulamento (UE) n.º 1296/2013 , artigo 4.º, n.º 1, alínea c).

(80)      Diretiva SRI 2, artigo 7.º, n.º 2, alínea f).

(81) Report — Cyber Conscription: Experience and Best Practice from Selected Countries, Martin Hurt e Tiia Sõmer, International Centre for Defence and Security, fevereiro de 2021 .

(82)       Funding opportunities (europa.eu) . Os serviços de apoio do Pacto para as Competências proporcionam um ponto de entrada único de informações sobre o financiamento no domínio das competências, incluindo para o ecossistema digital. Não obstante o facto de estes serviços prestarem informações genéricas sobre instrumentos de financiamento que não visam especificamente as competências de cibersegurança, o seu trabalho dever ser tido em conta pela Academia, a fim de evitar duplicações.

(83)       European Skills Agenda — Employment, Social Affairs & Inclusion, Comissão Europeia (europa.eu) .

(84)       EU funding instruments for upskilling and reskilling — Employment, Social Affairs & Inclusion, Comissão Europeia (europa.eu) .

(85) Plano de Ação para a Educação Digital (2021-2027) .

(86)       Regulamento (UE) 2021/697 do Parlamento Europeu e do Conselho, de 29 de abril de 2021, que cria o Fundo Europeu de Defesa e revoga o Regulamento (UE) 2018/1092 .

(87)      Os Estados-Membros estão empenhados em realizar ações de formação e exercícios conjuntos, por exemplo, através da criação e participação em projetos de exercícios e ações de formação cibernéticos da cooperação estruturada permanente (CEP), como a Academia e Plataforma de Inovação da UE no Domínio da Cibernética (EU CAIH) e as Federações de centros virtuais de treino .

(88)      Artigo 3.º, n.º 1, do Regulamento (UE) 2021/1058 e artigo 4.º, n.º 1, alínea g), do Regulamento (UE) 2021/1057.

(89)      Por exemplo, o plano de recuperação e resiliência da Estónia prevê um investimento (10 milhões de EUR) em competências digitais que incluirá a revisão das ações de formação disponíveis para peritos em TIC, financiará a melhoria de competências e a reconversão de especialistas em TIC no domínio da cibersegurança e contribuirá para o desenvolvimento de um programa-piloto para a reformulação do quadro de qualificações dos especialistas em TIC.

(90) As partes interessadas (por exemplo, prestadores de formação e empresas que procuram conceber ou melhorar as suas atividades de formação em cibersegurança) podem aceder à plataforma de aconselhamento InvestEU , que presta apoio técnico e assistência, incluindo para reforço de capacidades de entidades e promotores de projetos, bem como consultar o Portal InvestEU .

(91)      Tendo por base e completando a metodologia a desenvolver pela ENISA para efeitos do relatório bienal da agência sobre o estado da cibersegurança na União, nos termos do artigo 18.º, n.º 3, da Diretiva SRI 2.

(92)      Ver a nota metodológica do índice de digitalidade da economia e da sociedade (IDES) de 2022, disponível em The Digital Economy and Society Index (DESI) | Shaping Europe’s digital future (europa.eu) .

(93)       Decisão (UE) 2022/2481 do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022, que estabelece o programa Década Digital para 2030 .

(94)      Ibidem, considerando 25.

(95)      Diretiva SRI 2, artigo 7.º, n.º 4.