17.5.2019   

PT

Jornal Oficial da União Europeia

LI 129/13


DECISÃO (PESC) 2019/797 DO CONSELHO

de 17 de maio de 2019

relativa a medidas restritivas contra os ciberataques que constituem uma ameaça para a União ou os seus Estados-Membros

O CONSELHO DA UNIÃO EUROPEIA,

Tendo em conta o Tratado da União Europeia, nomeadamente o artigo 29.o,

Tendo em conta a proposta da alta representante da União para os Negócios Estrangeiros e a Política de Segurança,

Considerando o seguinte:

(1)

Em 19 de junho de 2017, o Conselho adotou conclusões sobre um quadro para uma resposta diplomática conjunta da UE às ciberatividades maliciosas («instrumentos de ciberdiplomacia»), nas quais manifestou a sua preocupação com a crescente capacidade e disponibilidade dos intervenientes estatais e não estatais para alcançarem os seus objetivos por meio de ciberatividades maliciosas e afirmou a necessidade crescente de proteger a integridade e a segurança da União, dos seus Estados-Membros e dos seus cidadãos contra as ciberameaças e ciberatividades maliciosas.

(2)

O Conselho salientou que, se forem claramente assinaladas as consequências prováveis de uma resposta diplomática conjunta da União às ciberatividades maliciosas, se influenciará o comportamento dos potenciais agressores no ciberespaço, reforçando-se desse modo a segurança da União e dos seus Estados-Membros. Afirmou igualmente que as medidas do âmbito da política externa e de segurança comum (PESC), inclusive, se necessário, as medidas restritivas adotadas nos termos das disposições pertinentes dos Tratados, são adequadas a um quadro para uma resposta diplomática conjunta da UE às ciberatividades maliciosas com o objetivo de incentivar a cooperação, facilitar a atenuação das ameaças imediatas e a longo prazo e influenciar o comportamento dos agressores potenciais a longo prazo.

(3)

Em 11 de outubro de 2017, o Comité Político e de Segurança aprovou orientações de execução para o conjunto de instrumentos de ciberdiplomacia. As orientações de execução fazem referência a cinco categorias de medidas, incluindo medidas restritivas, no âmbito do conjunto de instrumentos de ciberdiplomacia, bem como ao processo para invocar essas medidas.

(4)

As conclusões do Conselho adotadas em 16 de abril de 2018 sobre ciberatividades maliciosas condenaram firmemente a utilização maliciosa das tecnologias da informação e da comunicação (TIC) e salientaram que a utilização das TIC para fins maliciosos é inaceitável, uma vez que compromete a estabilidade, segurança e os benefícios proporcionados pela Internet e pela utilização das TIC. O Conselho recordou que o conjunto de instrumentos de ciberdiplomacia contribui para a prevenção de conflitos, a cooperação e a estabilidade no ciberespaço, ao definir medidas no âmbito da PESC, inclusive medidas restritivas, que podem ser usadas para prevenir e dar resposta a ciberatividades maliciosas. Declarou que a UE continuará convictamente a defender que o direito internacional vigente é aplicável ao ciberespaço e salientou que o respeito pelo direito internacional, em especial a Carta das Nações Unidas, é essencial para a manutenção da paz e da estabilidade. O Conselho sublinhou também que os Estados não devem utilizar mandatários para cometerem atos internacionalmente considerados ilícitos com recurso às TIC, e deverão procurar assegurar que o respetivo território não seja utilizado por intervenientes não estatais para cometerem tais atos, como expresso no relatório de 2015 dos Grupos de Peritos Governamentais das Nações Unidas no domínio da evolução da informação e das telecomunicações no contexto da segurança internacional.

(5)

Em 28 de junho de 2018, o Conselho Europeu adotou conclusões em que sublinhou a necessidade de reforçar as capacidades de luta contra as ameaças à cibersegurança provenientes de fora da União. O Conselho Europeu pediu às instituições e aos Estados-Membros que aplicassem as medidas enunciadas na Comunicação Conjunta da Comissão e da Alta Representante, de 13 de junho de 2018, intitulada «Aumentar a resiliência e reforçar a capacidade de enfrentar ameaças híbridas», nomeadamente a utilização prática do conjunto de instrumentos de ciberdiplomacia.

(6)

Em 18 de outubro de 2018, na sequência das conclusões do Conselho de 19 de junho de 2017, o Conselho Europeu adotou conclusões que apelavam ao prosseguimento dos trabalhos sobre a capacidade de dar resposta aos ciberataques e de os dissuadir através de medidas restritivas da União.

(7)

Neste contexto, a presente decisão estabelece um quadro de medidas restritivas específicas destinadas a dissuadir e dar resposta aos ciberataques com um efeito significativo, que constituam uma ameaça externa à União ou aos seus Estados-Membros. Sempre que for considerado necessário para atingir os objetivos da PESC nas disposições pertinentes do artigo 21.o do Tratado da União Europeia, a presente decisão também possibilita que sejam aplicadas medidas restritivas em resposta aos ciberataques com um efeito significativo contra Estados terceiros ou organizações internacionais.

(8)

A fim de ter um efeito dissuasivo, as medidas restritivas específicas devem incidir sobre os ciberataques abrangidos pelo âmbito de aplicação da presente decisão que sejam deliberadamente efetuados.

(9)

Deverá ser estabelecida uma diferenciação entre as medidas restritivas específicas e a atribuição de responsabilidades por ciberataques a um Estado terceiro. A aplicação de medidas restritivas específicas não equivale a uma imputação desse tipo, que é uma decisão política soberana tomada caso a caso. Cada Estado-Membro é livre de tomar a sua própria decisão relativamente à atribuição de ciberataques a um Estado terceiro.

(10)

São necessárias novas ações da União para dar execução a determinadas medidas,

ADOTOU A PRESENTE DECISÃO:

Artigo 1.o

1.   A presente decisão aplica-se aos ciberataques com um efeito significativo, nomeadamente a tentativas de ciberataques com um efeito potencialmente significativo, que constituam uma ameaça externa para a União ou para os seus Estados-Membros.

2.   Os ciberataques que constituem uma ameaça externa incluem os que:

a)

tenham origem no exterior da União ou sejam realizados a partir do exterior da União;

b)

façam uso de infraestruturas fora da União;

c)

sejam realizados por qualquer pessoa singular ou coletiva, entidade ou organismo estabelecido ou que opere fora da União; ou

d)

sejam realizados com o apoio, sob a direção ou sob o controlo de qualquer pessoa singular ou coletiva, entidade ou organismo que opere fora da União.

3.   Para este efeito, consideram-se ciberataques as ações que envolvam qualquer das seguintes ações:

a)

acesso aos sistemas de informação;

b)

interferência nos sistemas de informação;

c)

interferência nos dados; ou

d)

interceção de dados,

se essas ações não forem devidamente autorizadas pelo proprietário ou por outro titular dos direitos do sistema ou dos dados, ou de parte deles, ou não forem permitidas pelo direito da União ou do Estado-Membro em causa.

4.   Os ciberataques que constituem uma ameaça aos Estados-Membros incluem os que afetam os sistemas de informação relacionados, nomeadamente, com:

a)

infraestruturas críticas, incluindo cabos submarinos e objetos lançados no espaço extra-atmosférico, essenciais para a manutenção de funções vitais da sociedade, da saúde, da segurança e do bem-estar económico e social das pessoas;

b)

serviços necessários para a manutenção de atividades sociais e/ou económicas essenciais, em especial nos setores da energia (eletricidade, petróleo e gás); dos transportes (aéreos, ferroviários, por água e rodoviários); da banca; das infraestruturas do mercado financeiro; da saúde (prestadores de cuidados de saúde, hospitais e clínicas privadas); do fornecimento e distribuição de água potável; das infraestruturas digitais; e qualquer outro setor que seja essencial para o Estado-Membro em causa;

c)

funções cruciais de um Estado, em especial nos domínios da defesa, da governação e do funcionamento das instituições, nomeadamente em eleições públicas ou no processo de votação, do funcionamento das infraestruturas económicas e civis, da segurança interna e as relações externas, nomeadamente nas missões diplomáticas;

d)

o armazenamento ou o tratamento de informações classificadas; ou

e)

equipas da administração pública de resposta a emergências.

5.   Os ciberataques que constituem uma ameaça à União incluem os perpetrados contra as suas instituições, órgãos, organismos e agências, as suas delegações em países terceiros ou organizações internacionais, as suas operações e missões da política comum de segurança e defesa (PCSD) e os seus representantes especiais.

6.   Sempre que for considerado necessário para atingir os objetivos da PESC nas disposições pertinentes do artigo 21.o do Tratado da União Europeia, podem ser aplicadas medidas restritivas nos termos da presente decisão em resposta aos ciberataques com um efeito significativo contra Estados terceiros ou organizações internacionais.

Artigo 2.o

Para efeitos da presente decisão, entende-se por:

a)

«Sistemas de informação», um dispositivo ou grupo de dispositivos interligados ou associados, dos quais um ou mais executam, através de um programa, o tratamento automático de dados digitais, bem como de dados digitais armazenados, tratados, extraídos ou transmitidos por esse dispositivo ou grupo de dispositivos, tendo em vista o seu funcionamento, utilização, proteção e manutenção;

b)

«Interferência no sistema de informação», o impedimento ou interrupção do funcionamento de um sistema de informação introduzindo dados digitais, transmitindo, danificando, apagando, deteriorando, alterando ou suprimindo esses dados, ou tornando-os inacessíveis;

c)

«Interferência nos dados», a eliminação, danificação, deterioração, alteração ou supressão de dados digitais de um sistema de informação, ou o impedimento do acesso a esses dados. Esta definição inclui igualmente o furto de dados, de fundos, de recursos económicos ou de propriedade intelectual.

d)

«Interceção de dados», a interceção, através de meios técnicos, das transmissões não públicas de dados digitais para, a partir de ou no interior de um sistema de informação, incluindo as emissões eletromagnéticas de um sistema de informação que transmita esses dados digitais;

Artigo 3.o

Os fatores que determinam se um ciberataque tem um efeito significativo, tal como referido no artigo 1.o, n.o 1, incluem qualquer um dos seguintes elementos:

a)

o âmbito, a dimensão, o impacto ou a gravidade da perturbação causada, nomeadamente sobre as atividades económicas e societais, os serviços essenciais, as funções cruciais do Estado, a ordem pública ou a segurança pública;

b)

o número de pessoas singulares ou coletivas, entidades ou organismos afetados;

c)

o número de Estados-Membros afetados;

d)

a escala das perdas económicas causadas, por exemplo, com a apropriação, em grande escala, de fundos, recursos económicos ou propriedade intelectual;

e)

os benefícios económicos obtidos pelo infrator para si próprio ou para terceiros;

f)

a quantidade ou a natureza dos dados furtados ou a dimensão das violações de dados; ou

g)

a natureza dos dados comercialmente sensíveis a que se teve acesso.

Artigo 4.o

1.   Os Estados-Membros tomam as medidas necessárias para prevenir a entrada nos seus territórios, ou o trânsito através deles:

a)

das pessoas singulares que são responsáveis por ciberataques ou tentativas de ciberataques;

b)

das pessoas singulares que prestem assistência financeira, técnica ou material ou estejam de qualquer outro modo envolvidas em ciberataques ou tentativas de ciberataques, nomeadamente planeando tais ataques, preparando-os, participando neles, dirigindo-os, prestando assistência na sua execução ou incentivando-os [ou tornando-os possíveis, por ação ou omissão];

c)

das pessoas singulares associadas às pessoas abrangidas pelas alíneas a) e b),

cujos nomes figuram na lista reproduzida em anexo.

2.   O n.o 1 não obriga os Estados-Membros a recusarem a entrada dos seus próprios nacionais no seu território.

3.   O n.o 1 não prejudica os casos em que um Estado-Membro esteja sujeito a uma obrigação de direito internacional, a saber:

a)

enquanto país anfitrião de uma organização intergovernamental internacional;

b)

enquanto país anfitrião de uma conferência internacional organizada pelas Nações Unidas ou sob os auspícios desta;

c)

nos termos de um acordo multilateral que confira privilégios e imunidades; ou

d)

nos termos do Tratado de Latrão, de 1929, celebrado entre a Santa Sé (Estado da Cidade do Vaticano) e a Itália.

4.   Considera-se que o n.o 3 se aplica também nos casos em que um Estado-Membro seja o país anfitrião da Organização para a Segurança e a Cooperação na Europa (OSCE).

5.   O Conselho deve ser devidamente informado em todos os casos em que um Estado-Membro conceda uma isenção ao abrigo do n.o 3 ou 4.

6.   Os Estados-Membros podem conceder isenções das medidas impostas nos termos do n.o 1 caso a viagem se justifique por razões humanitárias urgentes ou para efeitos de participação em reuniões intergovernamentais e reuniões promovidas ou organizadas pela União, ou organizadas por um Estado-Membro que exerça a presidência da OSCE, em que se desenvolva um diálogo político que promova diretamente os objetivos políticos das medidas restritivas, incluindo a segurança e a estabilidade no ciberespaço.

7.   Os Estados-Membros podem também conceder isenções às medidas impostas nos termos do n.o 1, caso a entrada ou o trânsito se justifiquem para efeitos de processo judicial.

8.   Os Estados-Membros que desejem conceder as isenções previstas no n.o 6 ou 7 informam o Conselho por escrito. Considera-se concedida a isenção se um ou mais membros do Conselho não levantarem objeções por escrito no prazo de dois dias úteis a contar da receção da notificação da isenção proposta. Caso um ou mais membros do Conselho levantem objeções, o Conselho, deliberando por maioria qualificada, pode decidir conceder a isenção proposta.

9.   Caso, nos termos do n.o 3, 4, 6, 7 ou 8, um Estado-Membro autorize a entrada ou o trânsito no seu território de pessoas incluídas na lista do anexo, a autorização fica estritamente limitada à finalidade para que foi concedida e às pessoas a que diga diretamente respeito.

Artigo 5.o

1.   São congelados todos os fundos e recursos económicos que sejam propriedade, estejam na posse ou se encontrem à disposição ou sob controlo:

a)

das pessoas singulares ou coletivas, entidades ou organismos que são responsáveis por ciberataques ou tentativa de ciberataques;

b)

das pessoas singulares ou coletivas, entidades ou organismos que prestem apoio financeiro, técnico ou material ou estejam de qualquer outro modo envolvidos em ciberataques ou em tentativas de ciberataques, nomeadamente planeando tais ataques, preparando-os, participando neles, dirigindo-os, prestando assistência na execução ou incentivando-os [ou tornando-os possíveis, por ação ou omissão];

c)

das pessoas singulares ou coletivas, entidades ou organismos associados às pessoas singulares ou coletivas, entidades ou organismos abrangidos pelas alíneas a) e b),

cujos nomes figuram na lista reproduzida em anexo.

2.   É proibido colocar, direta ou indiretamente, fundos ou recursos económicos à disposição das pessoas singulares ou coletivas, entidades ou organismos incluídos na lista do anexo, ou disponibilizá-los em seu benefício.

3.   Em derrogação do disposto nos n.os 1 e 2, as autoridades competentes de um Estado-Membro podem autorizar o desbloqueamento de determinados fundos ou recursos económicos congelados ou a disponibilização de determinados fundos ou recursos económicos, nas condições que considerem adequadas, após terem determinado que os fundos ou recursos económicos em causa:

a)

são necessários para satisfazer as necessidades básicas das pessoas singulares incluídas na lista do anexo e dos familiares dependentes das pessoas singulares em causa, incluindo os pagamentos de géneros alimentícios, rendas ou empréstimos hipotecários, medicamentos e tratamentos médicos, impostos, apólices de seguro e serviços públicos;

b)

se destinam exclusivamente ao pagamento de honorários profissionais razoáveis ou ao reembolso de despesas associadas à prestação de serviços jurídicos;

c)

se destinam exclusivamente ao pagamento de encargos ou taxas de serviço correspondentes à manutenção ou gestão normal de fundos ou recursos económicos congelados;

d)

são necessários para cobrir despesas extraordinárias, desde que a autoridade competente pertinente tenha comunicado às autoridades competentes dos outros Estados-Membros e à Comissão, pelo menos duas semanas antes da concessão da autorização, os motivos por que considera que deve ser concedida uma autorização específica; ou

e)

Devem ser creditados ou debitados numa conta de uma missão diplomática ou consular ou de uma organização internacional que goze de imunidades de acordo com o direito internacional, desde que esses pagamentos se destinem a ser utilizados para fins oficiais da missão diplomática ou consular ou da organização internacional.

O Estado-Membro em causa informa os restantes Estados-Membros e a Comissão sobre as autorizações concedidas nos termos do presente número.

4.   Em derrogação do n.o 1, as autoridades competentes dos Estados-Membros podem autorizar o desbloqueamento de determinados fundos ou recursos económicos congelados, se estiverem preenchidas as seguintes condições:

a)

os fundos ou recursos económicos são objeto de uma decisão arbitral proferida antes da data em que a pessoa singular ou coletiva, entidade ou organismo a que se refere o n.o 1 foram incluídos na lista do anexo, ou de uma decisão judicial ou administrativa proferida na União ou de uma decisão judicial executória no Estado-Membro em causa, anterior ou posterior a essa data;

b)

os fundos ou recursos económicos serão exclusivamente utilizados para satisfazer créditos garantidos por tal decisão ou por ela reconhecidos como válidos, nos limites fixados pelas disposições legislativas e regulamentares que regem os direitos dos titulares desses créditos;

c)

o beneficiário da decisão não é uma das pessoas singulares ou coletivas, entidades ou organismos incluídos na lista do anexo; e

d)

o reconhecimento da decisão não é contrário à ordem pública no Estado-Membro em causa.

O Estado-Membro em causa informa os restantes Estados-Membros e a Comissão sobre as autorizações concedidas nos termos do presente número.

5.   O n.o 1 não impede que as pessoas singulares ou coletivas, entidades ou organismos incluídos na lista constante do anexo efetuem pagamentos devidos por força de contratos celebrados antes da data em que nela foram incluídos, desde que o Estado-Membro em causa tenha determinado que o pagamento não é recebido, direta ou indiretamente, por uma das pessoas singulares ou coletivas, entidades ou organismos referidos no n.o 1.

6.   O n.o 2 não é aplicável ao crédito em contas congeladas de:

a)

juros ou outros rendimentos dessas contas;

b)

pagamentos devidos nos termos de contratos ou acordos celebrados ou de obrigações contraídas antes da data em que essas contas ficaram sujeitas às medidas previstas nos n.os 1 e 2; ou

c)

pagamentos devidos por força de decisões judiciais, administrativas ou arbitrais proferidas na União ou executórias no Estado-Membro em causa;

desde que os referidos juros, outros rendimentos e pagamentos continuem sujeitos às medidas previstas no n.o 1.

Artigo 6.o

1.   O Conselho, deliberando por unanimidade sob proposta de um Estado-Membro ou do alto representante da União para os Negócios Estrangeiros e a Política de Segurança, elabora a lista constante do anexo e altera-a.

2.   O Conselho comunica a decisão referida no n.o 1, incluindo os motivos que fundamentam a sua inclusão na lista, à pessoa singular ou coletiva, entidade ou organismo em causa, quer diretamente, se o seu endereço for conhecido, quer através da publicação de um aviso, dando-lhe a oportunidade de apresentar as suas observações.

3.   Caso sejam apresentadas observações ou novos elementos de prova substanciais, o Conselho reaprecia a decisão referida no n.o 1 e informa do facto a pessoa singular ou coletiva, entidade ou organismo em causa.

Artigo 7.o

1.   O anexo contém os motivos para a inclusão na lista das pessoas singulares e coletivas, entidades e organismos referidos nos artigos 4.o e 5.o.

2.   O anexo contém, sempre que estejam disponíveis, as informações necessárias para identificar as pessoas singulares ou coletivas, as entidades e os organismos em causa. Essas informações podem compreender, no que se refere às pessoas singulares, o nome e os pseudónimos, a data e o local de nascimento, a nacionalidade, os números do passaporte e do bilhete de identidade, o sexo, o endereço, se for conhecido, e as funções ou a profissão exercidas. Tratando-se de pessoas coletivas, entidades ou organismos, essas informações podem incluir o nome, o local e a data de registo, o número de registo e o local da atividade.

Artigo 8.o

Não é satisfeito qualquer pedido relacionado com contratos ou transações cuja execução tenha sido afetada, direta ou indiretamente, total ou parcialmente, pelas medidas impostas ao abrigo da presente decisão, incluindo pedidos de indemnização ou qualquer outro pedido desse tipo, tais como um pedido de compensação ou um pedido ao abrigo de uma garantia, em especial um pedido de prorrogação ou de pagamento de uma garantia ou contragarantia, nomeadamente financeira, independentemente da forma que assuma, se for apresentado por:

a)

pessoas singulares ou coletivas, entidades ou organismos designados incluídos na lista do anexo;

b)

pessoas singulares ou coletivas, entidades ou organismos que atuem por intermédio ou em nome das pessoas singulares ou coletivas, entidades ou organismos referidos na alínea a).

Artigo 9.o

Para que o impacto das medidas estabelecidas na presente decisão seja o maior possível, a União incentiva os Estados terceiros a adotarem medidas restritivas semelhantes às previstas na presente decisão.

Artigo 10.o

A presente decisão é aplicável até 18 de maio de 2020 e fica sujeita a reapreciação permanente. É prorrogada ou alterada, consoante necessário, se o Conselho considerar que os seus objetivos não foram atingidos.

Artigo 11.o

A presente decisão entra em vigor no dia seguinte ao da sua publicação no Jornal Oficial da União Europeia.

Feito em Bruxelas, em 17 de maio de 2019.

Pelo Conselho

O Presidente

E.O. TEODOROVICI


ANEXO

Lista de pessoas singulares e coletivas, entidades e organismos referidos nos artigos 4.o e 5.o

[…]