Em 17 de julho de 2023, a Comissão decidiu não se opor à concentração notificada e declará-la compatível com o mercado interno. Esta decisão baseia-se no artigo 6.o, n.o 1, alínea b), do Regulamento (CE) n.o 139/2004 do Conselho (1). O texto integral da decisão apenas está disponível na língua inglesa e será tornado público após terem sido suprimidos quaisquer segredos comerciais que possa conter. Poderá ser consultado:

—

no sítio web Concorrência da Comissão, na secção consagrada à política da concorrência (https://competition-cases.ec.europa.eu/search). Este sítio permite aceder às decisões respeitantes às operações de concentração a partir da denominação da empresa, do número do processo, da data e do setor de atividade,

—	em formato eletrónico, no sítio Web EUR-Lex (http://eur-lex.europa.eu/homepage.html?locale=pt), que proporciona o acesso em linha ao direito da UE, através do número de documento 32023M11106.

---

(1)   JO L 24 de 29.1.2004, p. 1.

I.   INTRODUÇÃO

1.

Nos termos do artigo 4.o, n.o 3, da Diretiva (UE) 2022/2555 do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022, relativa a medidas destinadas a garantir um elevado nível comum de cibersegurança na União (Diretiva SRI 2) (1), a Comissão deve, até 17 de julho de 2023, fornecer orientações que clarifiquem a aplicação do artigo 4.o, n.os 1 e 2, da referida diretiva.

2.

As presentes orientações clarificam a aplicação dessas disposições, que dizem respeito à relação entre a Diretiva (UE) 2022/2555 e os atuais e futuros atos jurídicos setoriais da União que abordam as medidas de gestão dos riscos de cibersegurança ou os requisitos de notificação de incidentes. O apêndice das presentes orientações enumera os atos jurídicos setoriais da União que a Comissão considera abrangidos pelo âmbito de aplicação do artigo 4.o da Diretiva (UE) 2022/2555. O facto de um ato não constar do referido apêndice não significa necessariamente que não esteja abrangido pelo âmbito de aplicação desta disposição.

3.

Em aplicação do artigo 4.o, n.o 3, terceiro período, da Diretiva (UE) 2022/2555, a Comissão teve em conta as observações do grupo de cooperação SRI e da Agência da União Europeia para a Cibersegurança (ENISA) antes da adoção das presentes orientações.

4.

As presentes orientações não prejudicam a interpretação do direito da União pelo Tribunal de Justiça da União Europeia.

II.   EQUIVALÊNCIA DOS REQUISITOS DE CIBERSEGURANÇA DOS ATOS JURÍDICOS SETORIAIS DA UNIÃO

5.

O artigo 4.o, n.o 1, da Diretiva (UE) 2022/2555 prevê que, sempre que atos jurídicos setoriais da União exijam que entidades essenciais e importantes adotem medidas de gestão dos riscos de cibersegurança ou notifiquem incidentes significativos, e se tais requisitos forem, na prática, pelo menos equivalentes às obrigações estabelecidas nessa diretiva, não se apliquem a essas entidades as disposições pertinentes da Diretiva (UE) 2022/2555, nomeadamente as disposições em matéria de supervisão e execução estabelecidas no capítulo VII da referida diretiva. Prevê ainda que, caso os atos jurídicos setoriais da União não abranjam todas as entidades de um setor específico abrangidas pelo âmbito de aplicação da Diretiva (UE) 2022/2555, as disposições pertinentes dessa diretiva continuem a aplicar-se às entidades não abrangidas por esses atos jurídicos setoriais da União.

II.1.   Requisitos em matéria de gestão dos riscos de cibersegurança

6.

O artigo 4.o, n.o 2, alínea a), da Diretiva (UE) 2022/2555 estabelece que as medidas de gestão dos riscos de cibersegurança que as entidades essenciais ou importantes são obrigadas a adotar por força de atos jurídicos setoriais da União são consideradas de efeito equivalente às obrigações estabelecidas na Diretiva (UE) 2022/2555 se essas medidas forem pelo menos equivalentes às estabelecidas no artigo 21.o, n.os 1 e 2, dessa diretiva. Ao avaliar se os requisitos de um ato jurídico setorial da União em matéria de medidas de gestão dos riscos de cibersegurança são, pelo menos, de efeito equivalente aos estabelecidos no artigo 21.o, n.os 1 e 2, da Diretiva (UE) 2022/2555, os requisitos desse ato jurídico setorial da União devem, no mínimo, corresponder aos requisitos dessas disposições ou ser ainda mais exigentes, o que significa que as disposições setoriais podem ser mais pormenorizadas quanto às questões de fundo do que as disposições correspondentes da Diretiva (UE) 2022/2555.

7.

Nos termos do artigo 21.o, n.o 1, primeiro parágrafo, da Diretiva (UE) 2022/2555, os Estados-Membros devem assegurar que as entidades essenciais e importantes tomam medidas técnicas, operacionais e organizativas adequadas e proporcionadas para gerir os riscos que se colocam à segurança dos sistemas de rede e informação que utilizam nas suas operações ou na prestação dos seus serviços. Essas medidas devem basear-se no risco e ser capazes de impedir ou minimizar o impacto dos incidentes. O artigo 21.o, n.o 1, segundo parágrafo, da Diretiva (UE) 2022/2555 especifica a forma como deve ser avaliada a proporcionalidade dessas medidas (2). A obrigação estabelecida no artigo 21.o, n.o 1, da Diretiva (UE) 2022/2555, que exige que as entidades essenciais e importantes tomem medidas adequadas e proporcionadas de gestão dos riscos de cibersegurança refere-se a todas as operações e serviços da entidade em causa, e não apenas a ativos específicos de tecnologias da informação («TI») ou a serviços críticos que a entidade presta.

8.

Ao avaliar a equivalência de um ato jurídico setorial da União com as disposições pertinentes da Diretiva (UE) 2022/2555 em matéria de gestão dos riscos de cibersegurança, importa atribuir especial importância, nessa avaliação, à questão de saber se as obrigações de segurança previstas nesse ato jurídico incluem medidas destinadas a garantir a segurança dos sistemas de rede e informação. A definição de «segurança dos sistemas de rede e informação» prevista no artigo 6.o, ponto 2, da Diretiva (UE) 2022/2555, refere-se à capacidade dos sistemas de rede e informação para resistir, com um dado nível de confiança, a eventos suscetíveis de pôr em causa a disponibilidade, a autenticidade, a integridade ou a confidencialidade dos dados armazenados, transmitidos ou tratados, ou dos serviços oferecidos por esses sistemas de rede e informação, ou acessíveis por intermédio destes. A utilização dos termos «disponibilidade», «autenticidade», «integridade» e «confidencialidade» nessa definição refere-se aos quatro objetivos de proteção relacionados com a segurança dos sistemas de rede e informação. A expressão «sistemas de rede e informação», na aceção do artigo 6.o, ponto 1, da Diretiva (UE) 2022/2555, abrange as redes de comunicações eletrónicas (3); um dispositivo ou um grupo de dispositivos interligados ou associados, dos quais um ou vários efetuam o tratamento automático de dados digitais com base num programa; e os dados digitais armazenados, tratados, obtidos ou transmitidos por essas redes ou dispositivos de comunicações eletrónicas tendo em vista a sua exploração, utilização, proteção ou manutenção. Por conseguinte, as medidas de segurança exigidas por um ato jurídico setorial da União devem também abranger o hardware, o software permanente (firmware) e o software utilizados nas atividades de uma entidade.

9.

Outro aspeto importante ao avaliar a equivalência de um ato jurídico setorial da União com os requisitos do artigo 21.o, n.os 1 e 2, da Diretiva (UE) 2022/2555 é o facto de as medidas de gestão dos riscos de cibersegurança exigidas por esse ato deverem basear-se numa abordagem que abranja todos os riscos. Uma vez que as ameaças à segurança dos sistemas de rede e informação podem ter origens diferentes, qualquer tipo de evento pode ter um impacto negativo nos sistemas de rede e informação da entidade e conduzir potencialmente a um incidente. Por conseguinte, as medidas de gestão dos riscos de cibersegurança tomadas pela entidade devem proteger não só os sistemas de rede e informação da entidade, mas também o ambiente físico desses sistemas de qualquer evento, como sabotagem, roubo, incêndio, inundação, falhas nas telecomunicações ou falhas de energia, ou acesso físico não autorizado, que sejam suscetíveis de comprometer a disponibilidade, autenticidade, integridade ou confidencialidade dos dados armazenados, transmitidos ou tratados ou dos serviços oferecidos ou acessíveis através dos sistemas de rede e informação. Por conseguinte, as medidas de gestão dos riscos de cibersegurança exigidas por um ato jurídico setorial da União devem abordar especificamente a segurança física e ambiental dos sistemas de rede e informação contra falhas do sistema, erros humanos, ações maliciosas ou fenómenos naturais (4).

10.

O artigo 21.o, n.o 2, da Diretiva (UE) 2022/2555 exige ainda que as medidas de gestão dos riscos de cibersegurança incluam os requisitos de segurança específicos enumerados no n.o 2, alíneas a) a j), dessa disposição. Esses requisitos abrangem medidas como a política de análise dos riscos e de segurança dos sistemas de informação, o tratamento de incidentes, a continuidade das atividades, a gestão de crises, a segurança da cadeia de abastecimento e políticas e procedimentos relativos à utilização da criptografia e, se for caso disso, de cifragem. Nos termos do artigo 21.o, n.o 5, segundo parágrafo, da Diretiva (UE) 2022/2555, a Comissão fica habilitada a adotar atos de execução que estabeleçam os requisitos técnicos e metodológicos, bem como os requisitos setoriais, se necessário, das medidas de segurança a que se refere o artigo 21.o, n.o 2, da referida diretiva. No que diz respeito aos prestadores de serviços de sistemas de nomes de domínio («DNS»), aos registos de nomes de domínio de topo («TLD»), aos prestadores de serviços de computação em nuvem, aos prestadores de serviços de centro de dados, aos fornecedores de redes de distribuição de conteúdos, aos prestadores de serviços geridos, aos prestadores de serviços de segurança geridos, aos prestadores de serviços de mercados em linha, de motores de pesquisa em linha e de plataformas de serviços de redes sociais e aos prestadores de serviços de confiança, a Comissão deve adotar, até 17 de outubro de 2024, atos de execução relativos aos requisitos técnicos e metodológicos das medidas de segurança referidas no artigo 21.o, n.o 2, da Diretiva (UE) 2022/2555. Os atos de execução especificam mais pormenorizadamente as principais condições e critérios de execução estabelecidos no ato de base, sem afetar a substância desse ato (5).

II.2.   Requisitos de notificação

11.

O artigo 4.o, n.o 2, alínea b), da Diretiva (UE) 2022/2555 estabelece que os requisitos de comunicação relativos à notificação de incidentes significativos devem ser considerados de efeito equivalente às obrigações previstas nessa diretiva sempre que um ato jurídico setorial da União preveja o acesso imediato, se for caso disso automático e direto, às notificações de incidentes pelas equipas de resposta a incidentes de segurança informática («CSIRT»), pelas autoridades competentes ou pelos pontos de contacto únicos e se os requisitos aplicáveis à notificação de incidentes significativos forem, pelo menos, equivalentes aos estabelecidos no artigo 23.o, n.os 1 a 6, da Diretiva (UE) 2022/2555.

12.

Uma vez que os requisitos de um ato jurídico setorial da União relativos à notificação de incidentes significativos devem ter, pelo menos, efeitos equivalentes aos estabelecidos no artigo 23.o, n.os 1 a 6, da Diretiva (UE) 2022/2555 para que esse ato seja aplicável em vez das obrigações de notificação previstas nessa diretiva, os requisitos estabelecidos no artigo 23.o, n.os 1 a 6, da diretiva são particularmente importantes para a avaliação da equivalência. O artigo 23.o, n.os 1 a 6, da Diretiva (UE) 2022/2555 determina mais pormenorizadamente que tipo de incidentes devem ser notificados a quem, em que prazo e quais as informações a incluir. Estes aspetos são explicados de forma mais pormenorizada nas subsecções seguintes:

II.2.1.   Notificação de incidentes significativos às CSIRT, às autoridades competentes e aos destinatários

13.

O artigo 23.o, n.o 1, primeiro parágrafo, primeiro período, da Diretiva (UE) 2022/2555 exige que as entidades essenciais e importantes notifiquem, sem demora injustificada, a sua CSIRT ou, se for caso disso, a sua autoridade competente, de qualquer incidente significativo. O artigo 23.o, n.o 1, primeiro parágrafo, segundo período, da Diretiva (UE) 2022/2555 exige que as entidades essenciais e importantes notifiquem, se for caso disso, os destinatários dos seus serviços, sem demora injustificada, de incidentes significativos suscetíveis de afetar negativamente a prestação desses serviços.

14.

Embora o artigo 6.o, ponto 6, da Diretiva (UE) 2022/2555 defina «incidentes» de forma muito ampla, como qualquer evento que comprometa a disponibilidade, autenticidade, integridade ou confidencialidade dos dados armazenados, transmitidos ou tratados ou dos serviços oferecidos pelos sistemas de rede e informação ou acessíveis por intermédio destes, o artigo 23.o, n.o 1, da referida diretiva apenas sujeita à obrigação de notificação os incidentes significativos. Um incidente é significativo se tiver causado ou for suscetível de causar graves perturbações operacionais dos serviços ou perdas financeiras à entidade em causa [artigo 23.o, n.o 3, alínea a)] ou se tiver afetado ou for suscetível de afetar outras pessoas singulares ou coletivas, causando danos materiais ou imateriais consideráveis [artigo 23.o, n.o 3, alínea b)].

15.

O considerando 101 do preâmbulo da Diretiva (UE) 2022/2555 esclarece que a notificação de incidentes deve basear-se numa avaliação inicial efetuada pela entidade em causa. A referida avaliação inicial deve ter em conta, nomeadamente, os sistemas de rede e informação afetados e, em particular, a sua importância para a prestação dos serviços da entidade, a gravidade e as características técnicas da ciberameaça e quaisquer vulnerabilidades subjacentes alvo de exploração, bem como a experiência da entidade com incidentes semelhantes. Indicadores como a medida em que o funcionamento do serviço é afetado, a duração de um incidente ou o número de destinatários de serviços afetados podem desempenhar um papel importante para determinar se a perturbação operacional do serviço é grave.

16.

Nos termos do artigo 23.o, n.o 11, segundo parágrafo, da Diretiva (UE) 2022/2555, a Comissão fica habilitada a adotar atos de execução que especifiquem os casos em que um incidente deve ser considerado significativo. No que diz respeito aos prestadores de serviços de DNS, aos registos de nomes de TLD, aos prestadores de serviços de computação em nuvem, aos prestadores de serviços de centro de dados, aos fornecedores de redes de distribuição de conteúdos, aos prestadores de serviços geridos, aos prestadores de serviços de segurança geridos, aos prestadores de serviços de mercados em linha, de motores de pesquisa em linha e de plataformas de serviços de redes sociais, a Comissão adota esses atos de execução até 17 de outubro de 2024. Os atos de execução especificam mais pormenorizadamente as principais condições e critérios de execução estabelecidos no ato de base, sem afetar a substância desse ato (6).

II.2.2.   Abordagem em várias etapas e prazo para a notificação de incidentes significativos

17.

A Diretiva (UE) 2022/2555 estabelece uma abordagem em várias etapas para a notificação de incidentes significativos, que implica um alerta rápido, uma notificação de incidentes e um relatório final. Estes três elementos podem ser complementados por relatórios intercalares, na aceção do artigo 23.o, n.o 4, alínea c) ou alínea e), da diretiva.

18.

A abordagem em várias etapas procura estabelecer o equilíbrio adequado entre, por um lado, uma notificação célere que ajude a minimizar a potencial propagação de incidentes significativos e permita às entidades essenciais e importantes procurar assistência e, por outro lado, uma notificação exaustiva que retire ensinamentos valiosos de incidentes individuais e melhore gradualmente a ciber-resiliência de empresas individuais e setores inteiros (7).

19.

De acordo com a abordagem em várias etapas, as entidades essenciais e importantes devem primeiro enviar um alerta rápido, sem demora injustificada e, em qualquer caso, no prazo de 24 horas após terem tomado conhecimento do incidente significativo, à CSIRT ou à autoridade competente. Subsequentemente, essas entidades devem apresentar uma notificação de incidente, sem demora injustificada e, em qualquer caso, no prazo de 72 horas após terem tomado conhecimento do incidente significativo. Posteriormente, uma CSIRT ou autoridade competente pode solicitar um relatório intercalar. Por último, deve ser apresentado um relatório final à CSIRT ou à autoridade competente o mais tardar um mês após a apresentação da notificação do incidente, a menos que o incidente ainda esteja em curso nesse momento, caso em que deve ser apresentado um relatório intercalar e o relatório final deve ser apresentado no prazo de um mês a contar do tratamento do incidente.

20.

É aplicável um prazo diferente à notificação de incidentes prevista no artigo 23.o, n.o 4, segundo parágrafo, da Diretiva (UE) 2022/2555 em relação aos prestadores de serviços de confiança. Esses prestadores devem notificar os incidentes significativos que afetem a prestação dos seus serviços de confiança sem demora injustificada e, em qualquer caso, no prazo de 24 horas após terem tomado conhecimento do incidente significativo.

II.2.3.   Conteúdo da obrigação de notificação de incidentes significativos às CSIRT ou às autoridades competentes

21.

Regra geral, o artigo 23.o, n.o 1, primeiro parágrafo, terceiro período, da Diretiva (UE) 2022/2555 exige que os Estados-Membros garantam que as entidades essenciais e importantes comuniquem, nomeadamente, quaisquer informações que permitam à CSIRT competente ou, se aplicável, à autoridade competente determinar o eventual impacto transfronteiriço do incidente. Este requisito relativo ao conteúdo da obrigação de notificação é especificado mais pormenorizadamente no artigo 23.o, n.o 4, da Diretiva (UE) 2022/2555, que estabelece a abordagem em várias etapas.

22.

De acordo com o artigo 23.o, n.o 4, alínea a), o alerta rápido deve, se aplicável, indicar se há suspeitas de que o incidente significativo tenha sido causado por um ato ilícito ou malicioso ou se pode ter (em termos de ser ou não provável que tenha) um impacto transfronteiriço. De acordo com o considerando 102 do preâmbulo da Diretiva (UE) 2022/2555, o alerta rápido deve conter apenas as informações necessárias para dar conhecimento do incidente significativo à CSIRT ou à autoridade competente e para permitir que a entidade em causa procure assistência, caso tal seja necessário.

23.

A notificação de incidente deve incluir, se for caso disso, atualizações das informações apresentadas no âmbito do alerta rápido. Além disso, deve incluir uma avaliação inicial do incidente significativo, nomeadamente da sua gravidade e do seu impacto, bem como, se disponíveis, dos indicadores de exposição a riscos.

24.

Caso seja solicitado um relatório intercalar, este deve incluir informações atualizadas importantes sobre a situação. O relatório final deve incluir uma descrição pormenorizada do incidente, nomeadamente da sua gravidade e do seu impacto, o tipo de ameaça ou provável causa primária suscetível de ter desencadeado o incidente, as medidas de atenuação aplicadas e em curso e, se aplicável, o impacto transfronteiriço do incidente.

II.2.4.   Acesso imediato às notificações de incidentes

25.

O artigo 4.o, n.o 2, alínea b), da Diretiva (UE) 2022/2555 prevê que um ato jurídico setorial da União, aplicável aos requisitos de notificação em vez dessa diretiva, deve facultar às CSIRT, às autoridades competentes ou aos pontos de contacto únicos ao abrigo da Diretiva (UE) 2022/2555 o acesso imediato às notificações de incidentes apresentadas em conformidade com o ato jurídico setorial da União. Em conformidade com o considerando 24 do preâmbulo da Diretiva (UE) 2022/2555, esse acesso imediato pode ser assegurado, em especial, se as notificações de incidentes forem reencaminhadas sem demora injustificada à CSIRT, à autoridade competente ou ao ponto de contacto único.

26.

O acesso imediato pode ser facultado através de meios automáticos e diretos, que devem ser criados pelos Estados-Membros, se for caso disso. Os mecanismos de comunicação automática e direta asseguram a partilha sistemática e imediata de informações com as CSIRT, as autoridades competentes ou os pontos de contacto únicos sobre o tratamento das notificações de incidentes. Os Estados-Membros podem também utilizar um ponto de entrada único, que terá necessariamente de cumprir o ato jurídico setorial da União, a fim de simplificar a comunicação de informações e de aplicar o mecanismo de comunicação automática e direta.

27.

Ao avaliar se os requisitos de um ato jurídico setorial da União para notificar incidentes significativos têm, pelo menos, efeitos equivalentes aos estabelecidos no artigo 23.o, n.os 1 a 6, da Diretiva (UE) 2022/2555, os requisitos desse ato jurídico setorial da União devem, no mínimo, corresponder aos requisitos do artigo 23.o, n.os 1 a 6, ou ser mais pormenorizados do que essas disposições. Os requisitos devem estar relacionados com o tipo de incidentes que devem ser notificados nos termos da Diretiva (UE) 2022/2555, tendo em conta, em especial, os destinatários, o conteúdo e os prazos aplicáveis.

III.   CONSEQUÊNCIAS DA EQUIVALÊNCIA

III.1.   Supervisão e execução

28.

Nos casos em que os atos jurídicos setoriais da União tenham, pelo menos, efeitos equivalentes às obrigações estabelecidas na Diretiva (UE) 2022/2555, não são só as disposições pertinentes dessa diretiva relativas à obrigação de adotar medidas de gestão dos riscos de cibersegurança ou de notificar incidentes significativos que não são aplicáveis, mas também as disposições em matéria de supervisão e execução previstas no capítulo VII da Diretiva (UE) 2022/2555.

29.

O considerando 25 do preâmbulo da Diretiva (UE) 2022/2555 explica que os atos jurídicos setoriais da União que tenham, pelo menos, um efeito equivalente podem prever que as autoridades competentes ao abrigo desses atos exerçam os seus poderes de supervisão e execução no que diz respeito à gestão dos riscos de cibersegurança ou às obrigações de notificação, com a assistência das autoridades competentes nos termos da Diretiva (UE) 2022/2555. As autoridades competentes em causa podem estabelecer acordos de cooperação para o efeito, incluindo procedimentos relativos à coordenação das atividades de supervisão, procedimentos relativos às investigações e inspeções no local, em conformidade com o direito nacional, e um mecanismo de intercâmbio de informações relevantes em matéria de supervisão e execução entre as autoridades competentes. Esse mecanismo de intercâmbio de informações relevantes pode implicar o acesso a informações relacionadas com o ciberespaço solicitadas pelas autoridades competentes ao abrigo da Diretiva (UE) 2022/2555.

III.2.   Estratégia nacional de cibersegurança

30.

Cada Estado-Membro deve adotar uma estratégia nacional de cibersegurança nos termos do artigo 7.o, n.o 1, da Diretiva (UE) 2022/2555. Uma estratégia nacional de cibersegurança é um quadro coerente mediante o qual um Estado-Membro define prioridades e objetivos estratégicos no domínio da cibersegurança e define a governação com vista à consecução desses objetivos e prioridades nesse Estado-Membro [ver artigo 6.o, ponto 4, da Diretiva (UE) 2022/2555]. A estratégia de cibersegurança deve incluir, nomeadamente, objetivos e prioridades que abranjam, em especial, os setores referidos nos anexos I e II da Diretiva (UE) 2022/2555. Além disso, essa estratégia deve incluir um quadro de governação para alcançar esses objetivos e prioridades, incluindo as políticas referidas no artigo 7.o, n.o 2, da Diretiva (UE) 2022/2555.

31.

Acresce que o artigo 7.o, n.o 1, alínea c), da Diretiva (UE) 2022/2555 prevê que a estratégia nacional de cibersegurança deve incluir um quadro de governação que clarifique as funções e responsabilidades das partes interessadas pertinentes a nível nacional, que consolide a cooperação e coordenação a nível nacional entre as autoridades competentes, os pontos de contacto únicos e as CSIRT ao abrigo da Diretiva (UE) 2022/2555, bem como a coordenação e cooperação entre esses organismos e as autoridades competentes ao abrigo de atos jurídicos setoriais da União.

32.

Por conseguinte, o requisito de adoção de uma estratégia de cibersegurança nos termos do artigo 7.o da Diretiva (UE) 2022/2555 não diz respeito aos requisitos de cibersegurança impostos às entidades essenciais e importantes nos termos dos artigos 21.o e 23.o dessa diretiva, nem às disposições relacionadas com a sua supervisão e execução estabelecidas no capítulo VII, tal como exigido pelo artigo 4.o, n.os 1 e 2, da diretiva. A disposição pertinente do artigo 7.o deve continuar a aplicar-se no que diz respeito aos setores, subsetores e tipos de entidades relativamente aos quais existam atos jurídicos setoriais da União na aceção do artigo 4.o da Diretiva (UE) 2022/2555.

III.3.   Designação das CSIRT

33.

Nos termos do artigo 10.o, n.o 1, da Diretiva (UE) 2022/2555, os Estados-Membros devem designar ou criar uma ou várias CSIRT que abranjam, pelo menos, os setores, subsetores e tipos de entidades referidos nos anexos I e II da diretiva, incluindo assim os setores, subsetores e tipos de entidades para os quais existem atos jurídicos setoriais da União. Normalmente, as CSIRT também desempenharão as funções previstas no artigo 11.o, n.o 3, da Diretiva (UE) 2022/2555 a este respeito, a menos que determinadas funções sejam especificadas nos atos jurídicos setoriais da União.

III.4.   Quadros nacionais de gestão de cibercrises e UE-CyCLONe

34.

Nos termos do artigo 9.o, n.o 1, da Diretiva (UE) 2022/2555, os Estados-Membros devem designar ou criar uma ou várias autoridades de gestão de cibercrises responsáveis pela gestão de crises e de incidentes de cibersegurança em grande escala. De acordo com o artigo 6.o, ponto 7, da referida diretiva, um incidente de cibersegurança em grande escala é um incidente que cause um nível de perturbação superior à capacidade de resposta de um Estado-Membro ou que tenha um impacto significativo em, pelo menos, dois Estados-Membros. O artigo 9.o, n.o 4, da Diretiva (UE) 2022/2555 exige que os Estados-Membros adotem igualmente um plano nacional de resposta a crises e a incidentes de cibersegurança em grande escala que estabeleça os objetivos e as modalidades de gestão de crises e de incidentes de cibersegurança em grande escala. Este plano deve estabelecer, nomeadamente, os procedimentos de gestão de cibercrises, incluindo a sua integração no quadro nacional geral de gestão de crises e canais de intercâmbio de informações, bem como as partes interessadas pertinentes dos setores público e privado e as infraestruturas envolvidas. Esses procedimentos de gestão de cibercrises e as partes interessadas dos setores público e privado e infraestruturas pertinentes podem envolver procedimentos e partes interessadas setoriais específicos.

35.

O artigo 16.o da Diretiva (UE) 2022/2555 cria a Rede Europeia de Organizações de Coordenação de Cibercrises (UE-CyCLONe), cujo objetivo é apoiar a gestão coordenada de crises e incidentes de cibersegurança em grande escala a nível operacional e para assegurar o intercâmbio regular de informações pertinentes entre os Estados-Membros e as instituições, órgãos e organismos da União.

36.

Uma vez que o artigo 9.o, relativo aos quadros de gestão de cibercrises, e o artigo 16.o, sobre a UE-CyCLONe, não dizem respeito aos requisitos de cibersegurança impostos às entidades nos termos dos artigos 21.o e 23.o da Diretiva (UE) 2022/2555 nem à supervisão e execução previstas no capítulo VII, tal como exigido pelo artigo 4.o, n.os 1 e 2, dessa diretiva, os artigos 9.o e 16.o devem aplicar-se na íntegra aos setores, apesar da existência de atos jurídicos setoriais da União na aceção do artigo 4.o. Consequentemente, os Estados-Membros devem designar ou criar uma ou várias autoridades de gestão de cibercrises responsáveis pela gestão de crises e de incidentes de cibersegurança em grande escala que ocorram nos setores abrangidos por atos jurídicos setoriais da União. Além disso, os setores abrangidos por atos jurídicos setoriais da União não devem ser ignorados aquando da adoção do plano nacional de resposta a crises e incidentes de cibersegurança em grande escala. Por último, a UE-CyCLONe deve desempenhar as funções consagradas no artigo 16.o da Diretiva (UE) 2022/2555 no que diz respeito aos setores em que as entidades estão sujeitas a atos jurídicos setoriais da União.

III.5.   Exclusão da aplicação do artigo 3.o, n.os 3 e 4, do artigo 20.o e do artigo 27.o, n.os 2 e 3

37.

Nos termos do artigo 3.o, n.o 3, da Diretiva (UE) 2022/2555, os Estados-Membros devem estabelecer uma lista das entidades essenciais e importantes, bem como das entidades que prestam serviços de registo de nomes de domínio abrangidas pelo âmbito de aplicação da diretiva. Nos termos do artigo 27.o, n.o 2, os Estados-Membros devem exigir que as entidades a que se refere o artigo 27.o, n.o 1, da referida diretiva apresentem determinadas informações às autoridades competentes. Uma vez que o objetivo destas disposições é assegurar uma visão clara das entidades abrangidas pelo âmbito de aplicação da Diretiva (UE) 2022/2555, a fim de apoiar a supervisão das entidades essenciais e importantes abrangidas pelo seu âmbito de aplicação, essas disposições não devem pois ser aplicáveis às entidades às quais seja aplicável um ato jurídico setorial da União no que diz respeito aos requisitos de gestão dos riscos de cibersegurança e de notificação. Tal não impede os Estados-Membros de incluírem essas entidades na lista. Nos termos do artigo 20.o, n.o 1, da Diretiva (UE) 2022/2555, os órgãos de direção das entidades essenciais e importantes são obrigados a aprovar as medidas de gestão dos riscos de cibersegurança tomadas por essas entidades em cumprimento do disposto no artigo 21.o, bem como a supervisionar a sua aplicação, podendo ser responsabilizados por infrações cometidas pelas entidades referidas nesse artigo. Nos termos do artigo 20.o, n.o 2, da referida diretiva, compete igualmente aos Estados-Membros garantir que os membros do órgão de direção das entidades essenciais e importantes sejam obrigados a frequentar ações de formação e incentivar as entidades essenciais e importantes a oferecer regularmente ações de formação semelhantes aos seus trabalhadores, a fim de adquirirem conhecimentos e competências suficientes para identificarem riscos e avaliarem as práticas de gestão dos riscos de cibersegurança, bem como o seu impacto nos serviços prestados pela entidade. Uma vez que as obrigações decorrentes do artigo 20.o da Diretiva (UE) 2022/2555 estão intrinsecamente ligadas aos requisitos do artigo 21.o dessa diretiva, conclui-se que o artigo 20.o não deve ser aplicável caso os atos jurídicos setoriais da União na aceção do artigo 4.o da referida diretiva sejam aplicáveis no que diz respeito aos requisitos de gestão dos riscos de cibersegurança.

---

(1)   JO L 333 de 27.12.2022, p. 80.

(2)  Ver também os considerandos 78, 81 e 82 do preâmbulo da Diretiva (UE) 2022/2555.

(3)  Artigo 2.o, ponto 1, da Diretiva (UE) 2018/1972 do Parlamento Europeu e do Conselho, de 11 de dezembro de 2018, que estabelece o Código Europeu das Comunicações Eletrónicas (JO L 321 de 17.12.2018, p. 36).

(4)  Ver o considerando 79 do preâmbulo da Diretiva (UE) 2022/2555.

(5)  Ver o capítulo D — Disposições adicionais que executam o ato de base, Critérios não vinculativos para a aplicação dos artigos 290.o e 291.o do Tratado sobre o Funcionamento da União Europeia — 18 de junho de 2019 (JO C 223 de 3.7.2019, p. 1).

(6)  Ver o capítulo D — Disposições adicionais que executam o ato de base, Critérios não vinculativos para a aplicação dos artigos 290.o e 291.o do Tratado sobre o Funcionamento da União Europeia — 18 de junho de 2019 (JO C 223/1 de 3.7.2019, p. 1).

(7)  Ver o considerando 101 do preâmbulo da Diretiva (UE) 2022/2555.

Comunica-se a seguinte informação às pessoas e entidades cujos nomes constam do anexo da Decisão 2011/235/PESC do Conselho (1), executada pela Decisão de Execução (PESC) 2023/1780 do Conselho (2), e do anexo I do Regulamento (UE) n.o 359/2011 do Conselho (3), executado pelo Regulamento de Execução (UE) 2023/1779 do Conselho (4), que impõem medidas restritivas contra determinadas pessoas, entidades e organismos tendo em conta a situação no Irão.

O Conselho da União Europeia decidiu que essas pessoas e entidades fossem incluídas na lista de pessoas e entidades sujeitas às medidas restritivas previstas na Decisão 2011/235/PESC e no Regulamento (UE) n.o 359/2011.

Chama-se a atenção das pessoas e entidades em causa para a possibilidade de apresentarem às autoridades competentes do(s) Estado(s)-Membro(s) pertinente(s), indicadas nos sítios Web referidos no anexo II do Regulamento (UE) n.o 359/2011, um requerimento no sentido de serem autorizadas a utilizar fundos congelados para satisfazer necessidades básicas ou efetuar pagamentos específicos (cf. artigo 4.o do regulamento).

Essas pessoas e entidades podem enviar ao Conselho, até 1 de janeiro de 2024, para o endereço abaixo indicado, um requerimento, acompanhado de documentação justificativa, para que seja reapreciada a decisão de as incluir na lista acima referida:

Conselho da União Europeia

Secretariado-Geral

RELEX 1

Rue de la Loi/Wetstraat 175

1048 Bruxelles/ Brussel

BELGIQUE/BELGIË

Endereço de correio eletrónico: sanctions@consilium.europa.eu

Chama-se igualmente a atenção das pessoas e entidades em causa para a possibilidade de interporem recurso da decisão do Conselho junto do Tribunal Geral da União Europeia, nas condições estabelecidas no artigo 275.o, segundo parágrafo, e no artigo 263.o, quarto e sexto parágrafos, do Tratado sobre o Funcionamento da União Europeia.

---

(1)   JO L 100 de 14.4.2011, pp. 51.

(2)   JO L 228 I de 15.9.2023, p. 6.

(3)   JO L 100 de 14.4.2011, pp. 1.

(4)   JO L 228 I de 15.9.2023, p. 1.

Nos termos do artigo 16.o do Regulamento (UE) 2018/1725 do Parlamento Europeu e do Conselho (1), chama-se a atenção dos titulares dos dados para as seguintes informações:

As bases jurídicas do tratamento de dados são a Decisão 2011/235/PESC (2), executada pela Decisão de Execução (PESC) 2023/1780 do Conselho (3), e o Regulamento (UE) n.o 359/2011 do Conselho (4), executado pelo Regulamento de Execução (UE) 2023/1779 do Conselho (5).

O responsável pelo referido tratamento é o Conselho da União Europeia, representado pelo diretor-geral da Direção-Geral das Relações Externas (RELEX) do Secretariado-Geral do Conselho, e o serviço encarregado do tratamento é o RELEX.1, que pode ser contactado no seguinte endereço:

Conselho da União Europeia

Secretariado-Geral

RELEX 1

Rue de la Loi/Wetstraat 175

1048 Bruxelles/ Brussel

BELGIQUE/BELGIË

Endereço de correio eletrónico: sanctions@consilium.europa.eu

O encarregado da proteção de dados do Conselho pode ser contactado no seguinte endereço:

Encarregado da proteção de dados

data.protection@consilium.europa.eu

O tratamento dos dados tem por objetivo elaborar e atualizar a lista de pessoas sujeitas a medidas restritivas nos termos da Decisão 2011/235/PESC, executada pela Decisão de Execução (PESC) 2023/1780, e do Regulamento (UE) n.o 359/2011, executado pelo Regulamento de Execução (UE) 2023/1779.

Os titulares dos dados são as pessoas singulares que preenchem os critérios de inclusão na lista estabelecidos na Decisão 2011/235/PESC e no Regulamento (UE) n.o 359/2011.

Os dados pessoais recolhidos incluem os dados necessários para a identificação correta da pessoa em causa, a fundamentação e outros dados relativos aos motivos para a inclusão na lista.

As bases jurídicas para o tratamento de dados pessoais são as decisões do Conselho adotadas nos termos do artigo 29.o do TUE e os regulamentos do Conselho adotados nos termos do artigo 215.o do TFUE que designam as pessoas singulares (titulares dos dados) e impõem o congelamento de ativos e as restrições de viagem.

O tratamento é necessário para o exercício de funções de interesse público, em conformidade com o artigo 5.o, n.o 1, alínea a), e para o cumprimento das obrigações jurídicas estabelecidas nos atos jurídicos acima referidos a que o responsável pelo tratamento está sujeito, em conformidade com o artigo 5.o, n.o 1, alínea b), do Regulamento (UE) 2018/1725.

O tratamento é necessário por motivos de interesse público importante, em conformidade com o artigo 10.o, n.o 2, alínea g), do Regulamento (UE) 2018/1725.

O Conselho pode obter dados pessoais dos respetivos titulares junto dos Estados-Membros e/ou do Serviço Europeu para a Ação Externa. Os destinatários dos dados pessoais são os Estados-Membros, a Comissão Europeia e o Serviço Europeu para a Ação Externa.

Todos os dados pessoais tratados pelo Conselho no contexto das medidas restritivas autónomas da UE serão conservados por um período de cinco anos a contar do momento em que o titular dos dados tiver sido retirado da lista de pessoas sujeitas ao congelamento de ativos ou em que a validade da medida caducar ou, se tiver sido intentada ação judicial junto do Tribunal de Justiça, até ser proferida uma decisão definitiva. Os dados pessoais contidos em documentos registados pelo Conselho são por este conservados para fins de arquivo de interesse público, na aceção do artigo 4.o, n.o 1, alínea e), do Regulamento (UE) 2018/1725.

O Conselho pode ter necessidade de proceder ao intercâmbio de dados pessoais relativos a determinados titulares de dados com países terceiros ou organizações internacionais no contexto da transposição das designações das Nações Unidas pelo Conselho ou no contexto da cooperação internacional no que respeita à política da UE em matéria de medidas restritivas.

Na falta de uma decisão de adequação ou de garantias adequadas, a transferência de dados pessoais para um país terceiro ou para uma organização internacional baseia-se numa ou mais das seguintes condições, nos termos do artigo 50.o do Regulamento (UE) 2018/1725: a transferência é necessária por razões importantes de interesse público; a transferência é necessária para a declaração, o exercício ou a defesa de um direito num processo judicial.

Não se procede a decisões automatizadas no tratamento dos dados pessoais do titular dos dados.

Os titulares dos dados têm o direito de ser informados e o direito de aceder aos seus dados pessoais. Têm também o direito de corrigir e completar os seus dados. Em certas circunstâncias, os titulares dos dados podem ter o direito de obter o apagamento dos seus dados pessoais, ou o direito de se opor ao tratamento destes ou de exigir que esse tratamento seja limitado.

Os titulares dos dados podem exercer esses direitos enviando uma mensagem de correio eletrónico ao responsável pelo tratamento, com cópia para o encarregado da proteção de dados, tal como acima indicado.

Em anexo ao seu pedido, os titulares dos dados têm de fornecer uma cópia de um documento de identificação para confirmar a sua identidade (bilhete de identidade ou passaporte). Desse documento deverá constar um número de identificação, o país de emissão e a data de validade, bem como o nome, endereço e data de nascimento. Quaisquer outros dados constantes da cópia do documento de identificação, como a fotografia ou qualquer característica pessoal, podem ser ocultados.

Os titulares dos dados têm o direito de apresentar uma reclamação à Autoridade Europeia para a Proteção de Dados, em conformidade com o Regulamento (UE) 2018/1725 (edps@edps.europa.eu).

Antes de o fazerem, recomenda-se que os titulares dos dados procurem primeiro obter uma solução contactando o responsável pelo tratamento e/ou o encarregado da proteção de dados do Conselho.

---

(1)   JO L 295 de 21.11.2018, p. 39.

(2)   JO L 100 de 14.4.2011, pp. 51.

(3)   JO L 228 I de 15.9.2023, pp. 6.

(4)   JO L 100 de 14.4.2011, pp. 1.

(5)   JO L 228 I de 15.9.2023, pp. 1.

Decisão que retira uma autorização

Referência da decisão (2)	Data da decisão	Designação da substância	Destinatário da decisão	Utilização retirada	Decisão revogada	Fundamentos da decisão
C(2023) 6014	11 de setembro de 2023	Dicromato de sódio N.o CE 234-190-3; N.o CAS 10588-01-9 (anidro); N.o CAS 7789-12-0 (di-hidrato)	Gruppo Colle S.r.l., Via G. Di Vittorio 3/5, 59025 Usella, Cantagallo, Prato, Itália	Como mordente no tingimento de lã com cores escuras	C(2017) 8331	O relatório de revisão não demonstrou a ausência de alternativas adequadas para o requerente, nos termos do artigo 60.o, n.o 4, do Regulamento (CE) n.o 1907/2006.

---

(1)   JO L 396 de 30.12.2006, p. 1.

(2)  A decisão está disponível no sítio Web da Comissão Europeia: Authorisation (europa.eu).

1 euro =

	Moeda	Taxas de câmbio
USD	dólar dos Estados Unidos	1,0658
JPY	iene	157,50
DKK	coroa dinamarquesa	7,4573
GBP	libra esterlina	0,85878
SEK	coroa sueca	11,8730
CHF	franco suíço	0,9554
ISK	coroa islandesa	145,30
NOK	coroa norueguesa	11,4220
BGN	lev	1,9558
CZK	coroa checa	24,496
HUF	forint	383,75
PLN	zlóti	4,6308
RON	leu romeno	4,9698
TRY	lira turca	28,7513
AUD	dólar australiano	1,6498
CAD	dólar canadiano	1,4409
HKD	dólar de Hong Kong	8,3416
NZD	dólar neozelandês	1,8008
SGD	dólar singapurense	1,4524
KRW	won sul-coreano	1 415,78
ZAR	rand	20,2968
CNY	iuane	7,7561
IDR	rupia indonésia	16 379,21
MYR	ringgit	4,9922
PHP	peso filipino	60,612
RUB	rublo
THB	baht	38,145
BRL	real	5,1860
MXN	peso mexicano	18,2275
INR	rupia indiana	88,6150

---

(1)   Fonte: Taxas de câmbio de referência publicadas pelo Banco Central Europeu.

---

(1)   JO L 24 de 29.1.2004, p. 1 («Regulamento das Concentrações»).

(2)   JO C 366 de 14.12.2013, p. 5.