A Diretiva (UE) 2022/2555, conhecida como SRI 2, estabelece um quadro regulamentar comum no domínio da cibersegurança com o objetivo de aumentar o nível de cibersegurança na União Europeia (UE), exigindo que os Estados-Membros da UE reforcem as capacidades de cibersegurança e introduzam medidas de gestão dos riscos de cibersegurança e de notificação de informações em setores críticos, juntamente com regras relativas à cooperação, à partilha de informações, à supervisão e à execução.
PONTOS-CHAVE
A cibersegurança: diz respeito às atividades necessárias para proteger de ciberameaças as redes e os sistemas de informação, os seus utilizadores e outras pessoas afetadas.
Setores críticos
A diretiva aplica-se principalmente a entidades de média e grande dimensão que atuam nos setores de importância crítica seguidamente apresentados, conforme definido no seu anexo I:
energia:
eletricidade, incluindo sistemas de produção, distribuição e transporte e pontos de recarga,
sistemas de aquecimento e arrefecimento urbano,
petróleo, incluindo oleodutos e instalações de produção, armazenamento e transporte,
gás, incluindo sistemas de comercialização, distribuição e transporte, bem como de armazenamento e
hidrogénio;
transporte aéreo, ferroviário, aquático e rodoviário;
setor bancário e infraestruturas do mercado financeiro, tais como instituições de crédito, operadores de plataformas de negociação e contrapartes centrais;
saúde, incluindo prestadores de cuidados de saúde, fabricantes de produtos farmacêuticos de base e dispositivos médicos considerados críticos, bem como laboratórios de referência da UE;
água potável;
Águas residuais;
infraestruturas digitais, incluindo os prestadores de serviços do centro de dados, serviços de computação em nuvem, redes públicas de comunicações eletrónicas e serviços de comunicações eletrónicas publicamente disponíveis;
gestão de serviços TIC (entre empresas);
espaço;
administração pública a nível central e regional, excluindo o poder judicial, os parlamentos e os bancos centrais. A diretiva não se aplica a entidades de administração pública que desenvolvam atividades nos domínios da segurança nacional, da segurança pública, da defesa ou da aplicação da lei.
Também se aplica a outros setores críticos, conforme definido no anexo II:
serviços postais e de estafeta;
gestão de resíduos;
produção, fabrico e distribuição de produtos químicos;
produção, transformação e distribuição de produtos alimentares;
indústria transformadora, especificamente dispositivos médicos, produtos informáticos, eletrónicos e óticos, certos tipos de equipamentos elétricos e máquinas, veículos automóveis e outros equipamentos de transporte;
prestadores de serviços digitais de mercados em linha, de motores de pesquisa e de redes sociais; e
organismos de investigação.
Estratégia nacional de cibersegurança
Cada Estado-Membro deve adotar uma estratégia nacional com vista a alcançar e a manter um elevado nível de cibersegurança nos setores críticos, incluindo:
um quadro de governação que clarifique as funções e responsabilidades das partes interessadas pertinentes a nível nacional;
políticas que abordem a segurança das cadeias de abastecimento;
políticas que assegurem a gestão das vulnerabilidades;
políticas que promovam e desenvolvam a educação e a formação em cibersegurança; e
medidas destinadas a reforçar o nível de sensibilização dos cidadãos para a cibersegurança.
Os Estados-Membros devem estabelecer uma lista de entidades essenciais e importantes, juntamente com entidades que prestem serviços de registo de nomes de domínio, até . Devem rever e, se for caso disso, atualizar essa lista regularmente e, posteriormente, de dois em dois anos. A Comissão Europeia adotou orientações relativas às informações a recolher aquando da elaboração destas listas, juntamente com um modelo para o fazer.
A Comissão também emitiu orientações que clarificam as regras relativas à relação entre a Diretiva (UE) 2022/2555 e os atos jurídicos da UE, atuais e futuros, específicos dos setores, que abordam as medidas de gestão dos riscos de cibersegurança ou os requisitos de comunicação de incidentes. O apêndice às orientações apresenta uma lista não exaustiva dos atos jurídicos setoriais que a Comissão considera abrangidos pelo âmbito de aplicação do artigo 4.o da Diretiva (UE) 2022/2555.
As equipas de resposta a incidentes de segurança informática (CSIRT) prestam assistência técnica a entidades, nomeadamente através das seguintes ações:
monitorizar e analisar ciberameaças, vulnerabilidades e incidentes a nível nacional;
ativar os mecanismos de alerta rápido, enviar mensagens de alerta, fazer comunicações e divulgar informações às autoridades competentes e a outras partes interessadas, sobre ciberameaças, vulnerabilidades e incidentes, se possível em tempo quase real;
intervir em caso de incidentes e prestar assistência, se aplicável;
recolher e analisar dados forenses, proceder à análise dinâmica dos riscos e dos incidentes e desenvolver o conhecimento situacional em matéria de cibersegurança; e
realizar, a pedido, uma análise proativa dos sistemas de rede e informação, a fim de detetar vulnerabilidades com um potencial impacto significativo.
Rede de CSIRT
A diretiva estabelece uma rede de CSIRT nacionais para promover uma cooperação operacional rápida e eficaz.
A diretiva cria um grupo de cooperação para apoiar e facilitar a cooperação estratégica e o intercâmbio de informações. É composta por representantes dos Estados-Membros, da Comissão Europeia e da ENISA. Se for caso disso, o grupo de cooperação pode convidar o Parlamento Europeu e representantes de partes interessadas relevantes para participar nos seus trabalhos.
A Rede Europeia de Organizações de Coordenação de Cibercrises (EU-CyCLONe) é constituída pelos representantes das autoridades de gestão de cibercrises dos Estados-Membros, bem como, nos casos em que um incidente de cibersegurança em grande escala, potencial ou em curso, tenha ou seja suscetível de ter um impacto significativo nos serviços e atividades abrangidos pelo âmbito de aplicação da diretiva, pela Comissão. Noutros casos, a Comissão participa nas atividades da rede na qualidade de observadora.
A rede apoia a gestão coordenada de crises e incidentes de cibersegurança em grande escala a nível operacional e para assegurar o intercâmbio regular de informações entre os Estados-Membros e as instituições, órgãos e agências da UE.
A rede tem como funções, nomeadamente:
coordenar a gestão de crises e de incidentes de cibersegurança em grande escala e apoiar a tomada de decisões a nível político;
aumentar o nível de preparação;
desenvolver um conhecimento situacional comum; e
avaliar as consequências e o impacto de crises e incidentes de cibersegurança em grande escala e propor eventuais medidas de atenuação.
Medidas de gestão dos riscos em cibersegurança
As entidades devem tomar medidas técnicas, operacionais e organizativas adequadas e proporcionadas para gerir os riscos em matéria de cibersegurança. O catálogo de medidas inclui, entre outras, a análise de riscos e as políticas de segurança dos sistemas de informação, o tratamento de incidentes, a continuidade das atividades, a recuperação em caso de catástrofe e a gestão de crises, a segurança da cadeia de abastecimento, o tratamento e a divulgação de vulnerabilidades, as práticas básicas de higiene, as políticas e os procedimentos relativos à utilização da criptografia (e da encriptação, quando adequado), a segurança dos recursos humanos e a utilização de soluções de autenticação multifatores ou de autenticação contínua. Estas medidas devem basear-se numa abordagem que contemple todos os riscos.
Os órgãos de gestão devem aprovar essas medidas e supervisionar a sua aplicação, podendo ser responsabilizados por eventuais infrações.
Obrigações de notificação
As entidades devem notificar a sua CSIRT ou a autoridade competente de qualquer incidente que:
tenha sido causado ou seja suscetível de causar graves perturbações operacionais dos serviços ou perdas financeiras à entidade;
tenha afetado ou seja suscetível de afetar outras pessoas, causando danos materiais ou imateriais consideráveis.
Além disso, a ENISA elaborará, em cooperação com a Comissão e com o grupo de cooperação, um relatório bienal sobre o estado da cibersegurança na UE e deve apresentar esse relatório ao -Parlamento.
Supervisão e execução
A diretiva prevê medidas corretivas e sanções para garantir a execução.
Avaliações pelos pares
As avaliações pelos pares são estabelecidas com vista a retirar ensinamentos das experiências partilhadas, reforçar a confiança mútua, alcançar um elevado nível comum de cibersegurança e reforçar as capacidades e políticas de cibersegurança dos Estados-Membros necessárias à aplicação da diretiva. Estas avaliações incluem visitas virtuais ou físicas aos locais e intercâmbios de informação fora do local. A participação nestas avaliações pelos pares é voluntária.
O Regulamento de Execução (UE) 2024/2690 estabelece regras para a aplicação da Diretiva (UE) 2022/2555 no que diz respeito aos requisitos técnicos e metodológicos das medidas de gestão de riscos de cibersegurança, e especifica mais pormenorizadamente os casos em que se considera que um incidente é significativo no que respeita:
aos prestadores de serviços do sistema de nomes de domínio,
aos registos de nomes de domínio de topo,
os prestadores de serviços de computação em nuvem,
aos prestadores de serviços de centro de dados,
aos fornecedores de redes de distribuição de conteúdos,
aos prestadores de serviços geridos,
aos prestadores de serviços de segurança geridos,
aos prestadores de serviços de mercados em linha, de motores de pesquisa em linha e de plataformas de serviços de redes sociais e
aos prestadores de serviços de confiança.
Revogação
A Diretiva (UE) 2022/2555 revogou a Diretiva (UE) 2016/1148 (ver síntese) com efeitos a partir de , e o Regulamento de Execução (UE) 2024/2690 revogou o Regulamento de Execução (UE) 2018/151, que estabelecia regras para a aplicação da Diretiva (UE) 2016/1148.
A PARTIR DE QUANDO SÃO APLICÁVEIS AS REGRAS?
A diretiva teve de ser transposta para o direito nacional até . O regulamento entrou em vigor em .
Diretiva (UE) 2022/2555 do Parlamento Europeu e do Conselho, de , relativa a medidas destinadas a garantir um elevado nível comum de cibersegurança na União que altera o Regulamento (UE) n.o 910/2014 e a Diretiva (UE) 2018/1972 e revoga a Diretiva (UE) 2016/1148 (Diretiva SRI 2) (JO L 333 de , p. 80-152).
As sucessivas alterações da Diretiva (UE) 2022/2555 foram integradas na versão de base. A versão consolidada tem apenas valor documental.
DOCUMENTOS RELACIONADOS
Regulamento de Execução (UE) 2024/2690 da Comissão, de , que estabelece regras de execução da Diretiva (UE) 2022/2555 relativamente aos requisitos técnicos e metodológicos das medidas de gestão dos riscos de cibersegurança e especifica mais pormenorizadamente os casos em que se considera que um incidente é significativo no que respeita aos prestadores de serviços de DNS, aos registos de nomes de TLD, aos prestadores de serviços de computação em nuvem, aos prestadores de serviços de centro de dados, aos fornecedores de redes de distribuição de conteúdos, aos prestadores de serviços geridos, aos prestadores de serviços de segurança geridos, aos prestadores de serviços de mercados em linha, de motores de pesquisa em linha e de plataformas de serviços de redes sociais e aos prestadores de serviços de confiança (JO L, 2024/2690, ).
Comunicação da Comissão Orientações da Comissão sobre a aplicação do artigo 3.o, n.o 4, da Diretiva (UE) 2022/2555 (Diretiva SRI 2) 2023/C 324/02 (JO L 324 de , p. 2-7).
Comunicação da Comissão — Orientações da Comissão sobre a aplicação dos n.o 1 e 2 do artigo 4.o da Diretiva (UE) 2022/2555 (Diretiva NEI 2) 2023/C 328/02 (JO C 328 de , p. 2-10).
Regulamento (UE) 2022/2554 do Parlamento Europeu e do Conselho, de , relativo à resiliência operacional digital do setor financeiro e que altera os Regulamentos (CE) n.o 1060/2009, (UE) n.o 648/2012, (UE) n.o 600/2014, (UE) n.o 909/2014 e (UE) 2016/1011 (JO L 333 de , p. 1-79).
Diretiva (UE) 2022/2557 do Parlamento Europeu e do Conselho, de , relativa à resiliência das entidades críticas e que revoga a Diretiva 2008/114/CE do Conselho (JO L 333 de , p. 164-198).
Regulamento (UE) 2021/696 do Parlamento Europeu e do Conselho, de , que cria o Programa Espacial da União e a Agência da União Europeia para o Programa Espacial e que revoga os Regulamentos (UE) n.o 912/2010, (UE) n.o 1285/2013 e (UE) n.o 377/2014 e a Decisão n.o 541/2014/UE (JO L 170 de , p. 69-148).
Regulamento (UE) 2021/694 do Parlamento Europeu e do Conselho, de , que cria o Programa Europa Digital e revoga a Decisão (UE) 2015/2240 (JO L 166 de , p. 1-34).
Regulamento (UE) 2019/881 do Parlamento Europeu e do Conselho, de , relativo à ENISA (Agência da União Europeia para a Cibersegurança) e à certificação da cibersegurança das tecnologias da informação e comunicação e que revoga o Regulamento (UE) n.o 526/2013 (Regulamento Cibersegurança) (JO L 151 de , p. 15-69).
Recomendação (UE) 2019/534 da Comissão, de — Cibersegurança das redes 5G (JO L 88 de , p. 42-47).
Regulamento (UE) 2018/1139 do Parlamento Europeu e do Conselho, de , relativo a regras comuns no domínio da aviação civil que cria a Agência da União Europeia para a Segurança da Aviação, altera os Regulamentos (CE) n.o 2111/2005, (CE) n.o 1008/2008, (UE) n.o 996/2010 e (UE) n.o 376/2014 e as Diretivas 2014/30/UE e 2014/53/UE do Parlamento Europeu e do Conselho, e revoga os Regulamentos (CE) n.o 552/2004 e (CE) n.o 216/2008 do Parlamento Europeu e do Conselho e o Regulamento (CEE) n.o 3922/91 do Conselho (JO L 212 de , p. 1-122).
Diretiva (UE) 2018/1972 do Parlamento Europeu e do Conselho, de , que estabelece o Código Europeu das Comunicações Eletrónicas (reformulação) (JO L 321 de , p. 36-214).
Decisão de Execução (UE) 2018/1993 do Conselho, de , relativa ao Mecanismo Integrado da UE de Resposta Política a Situações de Crise (JO L 320 de , p. 28-34).
Recomendação (UE) 2017/1584 da Comissão, de , sobre a resposta coordenada a incidentes e crises de cibersegurança em grande escala (JO L 239 de , p. 36-58).
Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de , relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) (JO L 119 de , p. 1-88).
Regulamento (UE) n.o910/2014 do Parlamento Europeu e do Conselho, de , relativo à identificação eletrónica e aos serviços de confiança para as transações eletrónicas no mercado interno e que revoga a Diretiva 1999/93/CE (JO L 257 de , p. 73-114).
Diretiva 2013/40/UE do Parlamento Europeu e do Conselho, de , relativa a ataques contra os sistemas de informação e que substitui a Decisão-Quadro 2005/222/JAI do Conselho (JO L 218 de , p. 8-14).
Decisão n.o1313/2013/UE do Parlamento Europeu e do Conselho, de , relativa a um Mecanismo de Proteção Civil da União Europeia (JO L 347 de , p. 924-947).
Diretiva 2011/93/UE do Parlamento Europeu e do Conselho, de , relativa à luta contra o abuso sexual e a exploração sexual de crianças e a pornografia infantil, e que substitui a Decisão-Quadro 2004/68/JAI do Conselho (JO L 335 de , p. 1-14).
Regulamento (CE) n.o300/2008 do Parlamento Europeu e do Conselho, de , relativo ao estabelecimento de regras comuns no domínio da segurança da aviação civil e que revoga o Regulamento (CE) n.o 2320/2002 (JO L 97 de , p. 72-84).
Diretiva 2002/58/CE do Parlamento Europeu e do Conselho, de , relativa ao tratamento de dados pessoais e à proteção da privacidade no setor das comunicações eletrónicas (Diretiva relativa à privacidade e às comunicações eletrónicas) (JO L 201 de , p. 37-47).