Choose the experimental features you want to try

This document is an excerpt from the EUR-Lex website

Document 32022L2557

Diretiva (UE) 2022/2557 do Parlamento Europeu e do Conselho de 14 de dezembro de 2022 relativa à resiliência das entidades críticas e que revoga a Diretiva 2008/114/CE do Conselho (Texto relevante para efeitos do EEE)

PE/51/2022/REV/1

JO L 333 de 27/12/2022, p. 164–198 (BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

Legal status of the document In force

ELI: http://data.europa.eu/eli/dir/2022/2557/oj

27.12.2022   

PT

Jornal Oficial da União Europeia

L 333/164


DIRETIVA (UE) 2022/2557 DO PARLAMENTO EUROPEU E DO CONSELHO

de 14 de dezembro de 2022

relativa à resiliência das entidades críticas e que revoga a Diretiva 2008/114/CE do Conselho

(Texto relevante para efeitos do EEE)

O PARLAMENTO EUROPEU E O CONSELHO DA UNIÃO EUROPEIA,

Tendo em conta o Tratado sobre o Funcionamento da União Europeia, nomeadamente o artigo 114.o,

Tendo em conta a proposta da Comissão Europeia,

Após transmissão do projeto de ato legislativo aos parlamentos nacionais,

Tendo em conta o parecer do Comité Económico e Social Europeu (1),

Tendo em conta o parecer do Comité das Regiões (2),

Deliberando de acordo com o processo legislativo ordinário (3),

Considerando o seguinte:

(1)

As entidades críticas, enquanto prestadoras de serviços essenciais, desempenham um papel indispensável na manutenção de funções societais ou atividades económicas vitais no mercado interno, numa economia cada vez mais interdependente como a da União. Por conseguinte, é essencial estabelecer um quadro da União destinado a reforçar a resiliência das entidades críticas no mercado interno, estabelecendo regras mínimas harmonizadas, e a prestar-lhes assistência através de medidas coerentes e específicas de apoio e de supervisão.

(2)

A Diretiva 2008/114/CE do Conselho (4) prevê um procedimento de designação de infraestruturas críticas europeias nos setores da energia e dos transportes cuja perturbação ou destruição teria um impacto transfronteiriço significativo em pelo menos dois Estados Membros. Essa diretiva centra-se exclusivamente na proteção de tais infraestruturas. No entanto, a avaliação da Diretiva 2008/114/CE realizada em 2019 concluiu que, devido à natureza cada vez mais interligada e transfronteiriça das operações que utilizam infraestruturas críticas, as medidas de proteção relativas apenas a ativos individuais são insuficientes para evitar a ocorrência de todas as perturbações. Por conseguinte, é necessário alterar a abordagem no sentido de assegurar que se atende melhor aos riscos, que as funções e as obrigações das entidades críticas enquanto prestadoras de serviços essenciais ao funcionamento do mercado interno sejam mais bem definidas e coerentes e que sejam adotadas regras da União, a fim de reforçar a resiliência das entidades críticas. As entidades críticas deverão estar em condições de poder reforçar a sua capacidade para prevenir incidentes com potencial para perturbar a prestação de serviços essenciais, para se protegerem desses incidentes, lhes dar resposta, lhes resistirem, os atenuarem, os absorverem, se adaptarem a eles e recuperarem deles.

(3)

Embora uma série de medidas em vigor a nível da União, como o Programa Europeu para a Proteção das Infraestruturas Críticas, e a nível nacional se destinem a apoiar a proteção de infraestruturas críticas na União, importa envidar mais esforços no sentido de equipar melhor as entidades que exploram essas infraestruturas para fazer face aos riscos para as suas operações que possam resultar em perturbações na prestação de serviços essenciais. Também deverá ser feito mais para equipar melhor essas entidades, porque existe um cenário de ameaças dinâmico, que inclui ameaças híbridas e terroristas em evolução e interdependências crescentes entre as infraestruturas e os setores. Além disso, verifica-se um aumento do risco físico devido a catástrofes naturais e a alterações climáticas, o que aumenta a frequência e a dimensão de eventos meteorológicos extremos e origina alterações a longo prazo nas condições climáticas médias que podem reduzir a capacidade, a eficiência e o tempo de vida útil de determinados tipos de infraestruturas se não forem adotadas medidas de adaptação às alterações climáticas. Adicionalmente, o mercado interno caracteriza-se por uma fragmentação no que diz respeito à identificação de entidades críticas, uma vez que alguns setores e categorias de entidades pertinentes não são reconhecidos de forma coerente como críticos em todos os Estados-Membros. Por conseguinte, a presente diretiva deverá alcançar um nível sólido de harmonização em termos dos setores e categorias de entidades abrangidos pelo seu âmbito de aplicação.

(4)

Embora certos setores da economia, como os da energia e transportes, já sejam regulamentados por atos jurídicos setoriais específicos da União, esses atos jurídicos contêm disposições exclusivamente relacionadas com determinados aspetos da resiliência das entidades que operam nesses setores. A fim de abordar, de forma aprofundada, a resiliência das entidades críticas para o bom funcionamento do mercado interno, a presente diretiva cria um quadro global que aborda a resiliência das entidades críticas relativamente a todos os riscos, independentemente de serem naturais ou de origem humana, acidentais ou intencionais.

(5)

As crescentes interdependências entre infraestruturas e setores resultam de uma rede de prestação de serviços com um caráter cada vez mais transfronteiriço e interdependente utilizar infraestruturas essenciais em toda a União nos setores da energia, dos transportes, dos serviços bancários, da água potável, das águas residuais, da produção, transformação e distribuição de produtos alimentares, da saúde, espacial, das infraestruturas do mercado financeiro e das infraestruturas digitais, e em determinados aspetos do setor da administração pública. O setor espacial é abrangido pelo âmbito de aplicação da presente diretiva no que se refere à prestação de determinados serviços que dependem de infraestruturas terrestres detidas, geridas e operadas por Estados-Membros ou por entidades privadas, pelo que as infraestruturas detidas, geridas ou operadas pela União ou em seu nome no âmbito do seu programa espacial não são abrangidas pelo âmbito de aplicação da presente diretiva.

No que respeita ao setor da energia e, em particular, aos métodos de produção e transporte de eletricidade (em termos de abastecimento), entende-se que, se assim se considerar adequado, a produção de eletricidade pode incluir elementos das centrais nucleares que sirvam para o transporte de eletricidade, excluindo contudo os elementos especificamente nucleares abrangidos pelos tratados e o direito da União, incluindo os atos jurídicos pertinentes da União relativos à energia nuclear. O processo de identificação das entidades críticas no setor alimentar deverá refletir adequadamente a natureza do mercado interno nesse setor e as regras exaustivas da União relacionadas com os princípios e requisitos gerais do direito alimentar e da segurança dos alimentos. Por conseguinte, a fim de assegurar que existe uma abordagem proporcionada e de refletir adequadamente o papel e a importância dessas entidades a nível nacional, só deverão ser identificadas entidades críticas entre as empresas do setor alimentar, com ou sem fins lucrativos e quer públicas, quer privadas, que estejam envolvidas exclusivamente na logística e distribuição por grosso e na produção e transformação industriais em grande escala e cuja quota de mercado seja significativa a nível nacional. Em virtude dessas interdependências, qualquer perturbação dos serviços essenciais, mesmo que esteja inicialmente confinada a uma entidade ou a um setor, pode ter repercussões mais vastas e resultar em impactos negativos generalizados e a longo prazo na prestação de serviços em todo o mercado interno. As crises graves, como a pandemia de COVID-19, revelaram a vulnerabilidade das nossas sociedades, cada vez mais interdependentes, perante riscos com baixa probabilidade de ocorrência, mas de elevado impacto.

(6)

As entidades envolvidas na prestação de serviços essenciais estão cada vez mais sujeitas a requisitos divergentes impostos ao abrigo do direito nacional. O facto de alguns Estados-Membros imporem requisitos de segurança menos rigorosos a essas entidades não só conduz a vários níveis de resiliência, como corre também o risco de ter um impacto negativo na manutenção de funções societais ou atividades económicas vitais em toda a União, conduzindo ainda a obstáculos ao bom funcionamento do mercado interno. Os investidores e as empresas podem fiar-se e confiar em entidades críticas resilientes, sendo a fiabilidade e a confiança pedras angulares do bom funcionamento de um mercado interno. Tipos semelhantes de entidades são considerados críticos em alguns Estados-Membros mas não noutros, e as entidades que são identificadas como críticas estão sujeitas a requisitos divergentes em diferentes Estados-Membros. Tal resulta em encargos administrativos adicionais e desnecessários para as empresas que operam além-fronteiras, nomeadamente para as empresas ativas em Estados-Membros com requisitos mais rigorosos. Por conseguinte, um quadro da União irá também ter o efeito de nivelar as condições de concorrência para as entidades críticas em toda a União.

(7)

É necessário estabelecer regras mínimas harmonizadas para assegurar a prestação de serviços essenciais no mercado interno, reforçar a resiliência das entidades críticas e melhorar a cooperação transfronteiriça entre autoridades competentes. É importante que a conceção e aplicação dessas regras sejam orientadas para o futuro, permitindo simultaneamente a flexibilidade necessária. É igualmente crucial melhorar a capacidade das entidades críticas para prestar serviços essenciais face a um conjunto diversificado de riscos.

(8)

A fim de alcançar um elevado nível de resiliência, os Estados-Membros deverão identificar as entidades críticas que ficarão sujeitas a requisitos específicos e a uma supervisão determinada e que receberão apoio e orientações face a todos os riscos pertinentes.

(9)

Dada a importância da cibersegurança para a resiliência das entidades críticas, e por uma questão de coerência, deverá assegurar-se uma abordagem, sempre que possível, coerente entre a presente diretiva e a Diretiva (UE) 2022/2555 do Parlamento Europeu e do Conselho (5). À luz da maior frequência e das características particulares dos riscos relacionados com a cibersegurança, a Diretiva (UE) 2022/2555 impõe requisitos abrangentes a um vasto conjunto de entidades para assegurar a sua cibersegurança. Dado que a cibersegurança é suficientemente abordada na Diretiva (UE) 2022/2555, as matérias por esta abrangidas deverão ser excluídas do âmbito de aplicação da presente diretiva, sem prejuízo do regime específico aplicável às entidades do setor das infraestruturas digitais.

(10)

Caso as disposições de atos jurídicos setoriais específicos da União exijam que as entidades críticas tomem medidas para reforçar a sua resiliência, e caso esses requisitos sejam reconhecidos pelos Estados-Membros como sendo pelo menos equivalentes às obrigações correspondentes estabelecidas na presente diretiva, as disposições pertinentes da presente diretiva não deverão ser aplicáveis, a fim de evitar duplicações e encargos desnecessários. Nesse caso, deverão aplicar-se as disposições pertinentes desses atos jurídicos da União. Caso as disposições pertinentes da presente diretiva não sejam aplicáveis, as disposições em matéria de supervisão e de execução coerciva previstas na presente diretiva também não deverão ser aplicáveis.

(11)

A presente diretiva não afeta as competências dos Estados-Membros e das suas autoridades em termos de autonomia administrativa ou a sua responsabilidade na salvaguarda da segurança ou defesa nacionais, nem a sua competência para salvaguardar outras funções essenciais do Estado, em especial no que se refere à segurança pública, à integridade territorial e à manutenção da ordem pública. A exclusão das entidades da administração pública do âmbito de aplicação da presente diretiva deverá aplicar-se às entidades cujas atividades sejam exercidas predominantemente nos domínios da segurança nacional, da segurança pública, da defesa ou da aplicação da lei, incluindo a investigação, deteção e repressão de infrações penais. No entanto, as entidades da administração pública cujas atividades estejam apenas marginalmente relacionadas com esses domínios deverão ser abrangidas pelo âmbito de aplicação da presente diretiva. Para os efeitos da presente diretiva, não se considera que as entidades com competências regulamentares exercem atividades no domínio da aplicação da lei, pelo que não ficam por esse motivo excluídas do âmbito de aplicação da presente diretiva. As entidades da administração pública que sejam estabelecidas conjuntamente com um país terceiro em conformidade com um acordo internacional estão excluídas do âmbito de aplicação da presente diretiva. A presente diretiva não se aplica às missões diplomáticas e consulares dos Estados-Membros em países terceiros.

Determinadas entidades críticas exercem atividades nos domínios da segurança nacional, da segurança pública, da defesa ou da aplicação da lei, incluindo a investigação, deteção e repressão de infrações penais, ou prestam serviços exclusivamente a entidades da administração pública que exercem atividades predominantemente nesses domínios. À luz da sua responsabilidade na salvaguarda da segurança e defesa nacionais, os Estados-Membros deverão poder decidir que as obrigações impostas às entidades críticas por força da presente diretiva não se aplicam, total ou parcialmente, a essas entidades críticas se os serviços que estas prestam ou as atividades que estas exercem estiverem predominantemente relacionados com os domínios da segurança nacional, da segurança pública, da defesa ou da aplicação da lei, incluindo a investigação, deteção e repressão de infrações penais. As entidades críticas cujos serviços ou atividades estejam apenas marginalmente relacionados com esses domínios deverão ser abrangidas pelo âmbito de aplicação da presente diretiva. Nenhum Estado-Membro deverá ser obrigado a fornecer informações cuja divulgação possa ser contrária aos interesses essenciais da sua segurança nacional. São pertinentes neste contexto as regras nacionais ou da União relativas à proteção de informações classificadas e os acordos de confidencialidade.

(12)

A fim de não comprometer a segurança nacional nem os interesses comerciais e em matéria de segurança das entidades críticas, o acesso a informações sensíveis, bem como o seu intercâmbio e tratamento, deverão ser efetuados com prudência e com especial atenção aos canais de transmissão e às capacidades de armazenamento utilizadas.

(13)

A fim de assegurar uma abordagem abrangente da resiliência das entidades críticas, cada Estado-Membro deverá dispor de uma estratégia para reforçar a resiliência das entidades críticas («estratégia»). A estratégia deverá estabelecer objetivos estratégicos e medidas políticas a aplicar. Por razões de coerência e eficiência, a estratégia deverá ser concebida de modo a integrar sem descontinuidades as políticas existentes, com base, sempre que possível, nas estratégias nacionais e setoriais, planos ou documentos similares pertinentes existentes. A fim de estabelecer uma abordagem abrangente, os Estados-Membros deverão assegurar que as suas estratégias prevejam um quadro político para o reforço da cooperação entre as autoridades competentes ao abrigo da presente diretiva e as autoridades competentes ao abrigo da Diretiva (UE) 2022/2555 no contexto da partilha de informações sobre os riscos de cibersegurança, as ciberameaças e os ciberincidentes, bem como sobre os riscos, ameaças e incidentes não relacionados com a cibersegurança, e no contexto do exercício de funções de supervisão. Ao aplicar as suas estratégias, os Estados-Membros deverão ter devidamente em conta a natureza híbrida das ameaças às entidades críticas.

(14)

Os Estados-Membros deverão comunicar à Comissão as suas estratégias e as suas atualizações substanciais, nomeadamente para permitir que a Comissão avalie a correta aplicação da presente diretiva no que se refere a abordagens estratégicas para a resiliência das entidades críticas a nível nacional. Sempre que necessário, as estratégias poderão ser comunicadas como informações classificadas. A Comissão deverá elaborar um relatório de síntese sobre as estratégias comunicadas pelos Estados-Membros que sirva de base para os intercâmbios com vista a identificar boas práticas e questões de interesse comum no âmbito de um Grupo para a Resiliência das Entidades Críticas. Devido à natureza sensível das informações agregadas incluídas no relatório de síntese, quer se tratem ou não de informações classificadas, a Comissão deverá gerir o relatório de síntese com o nível de sensibilização adequado no que se refere à segurança das entidades críticas, dos Estados-Membros e da União. O relatório de síntese e as estratégias deverão ser protegidos contra ações ilícitas ou maliciosas e só deverão ser acessíveis a pessoas autorizadas, a fim de cumprir os objetivos da presente diretiva. A comunicação das estratégias e das respetivas atualizações substanciais deverá também ajudar a Comissão a compreender a evolução das abordagens em matéria de resiliência das entidades críticas e contribuir para o acompanhamento do impacto e do valor acrescentado da presente diretiva, que a Comissão deverá rever periodicamente.

(15)

As ações dos Estados-Membros para identificar as entidades críticas e ajudar a assegurar a sua resiliência deverão seguir uma abordagem baseada no risco que se centre nas entidades mais pertinentes para o desempenho de funções societais ou atividades económicas vitais. A fim de assegurar essa abordagem direcionada, cada Estado-Membro deverá realizar, num quadro harmonizado, uma avaliação dos riscos naturais e de origem humana pertinentes, incluindo os de natureza intersetorial ou transfronteiriça, que possam afetar a prestação de serviços essenciais, nomeadamente acidentes, catástrofes naturais, emergências de saúde pública como as pandemias e as ameaças híbridas ou outras ameaças antagónicas, incluindo infrações terroristas, infiltrações criminosas e sabotagens («avaliação dos riscos do Estado-Membro»). Ao efetuarem avaliações dos riscos do Estado-Membro, os Estados-Membros deverão ter em conta outras avaliações de riscos gerais ou específicas do setor efetuadas nos termos de outros atos jurídicos da União, e deverão ter em consideração em que medida os setores dependem uns dos outros, inclusive setores noutros Estados-Membros e em países terceiros. Os resultados da avaliação dos riscos do Estado-Membro deverão ser utilizados para efeitos da identificação de entidades críticas e para ajudar essas entidades a cumprir os seus requisitos em matéria de resiliência. A presente diretiva só se aplica aos Estados-Membros e às entidades críticas que operam na União. No entanto, as competências especializadas e os conhecimentos gerados pelas autoridades competentes, nomeadamente através de avaliações dos riscos, e pela Comissão, nomeadamente através de várias formas de apoio e cooperação, poderão ser utilizados, se for caso disso e em conformidade com os instrumentos jurídicos aplicáveis, em benefício de países terceiros, designadamente na vizinhança direta da União, contribuindo para a cooperação já existente em matéria de resiliência.

(16)

A fim de assegurar que todas as entidades pertinentes estão sujeitas aos requisitos em matéria de resiliência previstos na presente diretiva e de reduzir as divergências a esse respeito, é importante estabelecer regras harmonizadas que permitam uma identificação coerente das entidades críticas em toda a União, permitindo simultaneamente aos Estados-Membros refletir de forma adequada o papel e a importância dessas entidades a nível nacional. Ao aplicar os critérios previstos na presente diretiva, cada Estado-Membro deverá identificar as entidades que prestem um ou mais serviços essenciais num Estado-Membro e que operem e possuam infraestruturas críticas localizadas no seu território. Deverá considerar-se que uma entidade opera no território de um Estado-Membro no qual exerce as atividades necessárias para o serviço essencial ou serviços essenciais em causa e no qual está localizada a infraestrutura crítica dessa entidade que é utilizada para prestar esse serviço ou esses serviços. Se não existir nenhuma entidade que cumpra esses critérios num Estado-Membro, esse Estado-Membro não deverá ter a obrigação de identificar nenhuma entidade crítica no setor ou subsetor correspondente. Por razões de eficácia, eficiência, coerência e segurança jurídica, deverão igualmente ser estabelecidas regras adequadas relativamente à notificação de entidades que tenham sido identificadas como entidades críticas.

(17)

Os Estados-Membros deverão apresentar à Comissão, de uma forma que cumpra os objetivos da presente diretiva, uma lista de serviços essenciais, o número de entidades críticas identificadas para cada um dos setores e subsetores enumerados no anexo e para o serviço essencial ou os serviços essenciais que cada entidade presta e, se forem aplicados, os limiares. Deverá ser possível apresentar limiares separadamente ou de forma agregada, o que significa que a informação pode ser calculada como a média por zona geográfica, por ano, por setor, por subsetor ou por outra forma, e pode incluir dados sobre o conjunto de indicadores facultados.

(18)

Deverão ser estabelecidos critérios para determinar a importância de um efeito perturbador produzido por um incidente. Esses critérios deverão basear-se nos critérios previstos na Diretiva (UE) 2016/1148 do Parlamento Europeu e do Conselho (6), a fim de tirar partido dos esforços envidados pelos Estados-Membros para identificar os operadores dos serviços essenciais definidos na referida diretiva e a experiência adquirida neste contexto. As crises graves, como a pandemia de COVID-19, revelaram a importância de garantir a segurança da cadeia de abastecimento e têm demonstrado de que forma as perturbações nessa cadeia podem ter um impacto económico e societal negativo num grande número de setores e além-fronteiras. Por conseguinte, os Estados-Membros deverão também, tanto quanto possível, ter em conta os efeitos na cadeia de abastecimento ao determinar em que medida outros setores e subsetores dependem do serviço essencial prestado por uma entidade crítica.

(19)

Em conformidade com o direito da União e nacional aplicáveis, incluindo o Regulamento (UE) 2019/452 do Parlamento Europeu e do Conselho (7), que estabelece um regime de análise dos investimentos diretos estrangeiros na União, deverá reconhecer-se que a propriedade estrangeira de infraestruturas críticas na União representa uma potencial ameaça, pois os serviços, a economia, a livre circulação e a segurança dos cidadãos da União dependem do bom funcionamento das infraestruturas críticas.

(20)

A Diretiva (UE) 2022/2555 exige que as entidades pertencentes ao setor das infraestruturas digitais, que possam ser identificadas como entidades críticas nos termos da presente diretiva, tomem medidas técnicas, operacionais e organizativas adequadas e proporcionadas para gerir os riscos para a segurança das redes e da informação, bem como para notificar incidentes e ciberameaças significativos. Uma vez que as ameaças à segurança das redes e da informação podem ter diferentes origens, a Diretiva (UE) 2022/2555 aplica uma abordagem que abrange todos os perigos e que inclui a resiliência dos sistemas de rede e informação, bem como dos componentes físicos e ambiente desses sistemas.

Uma vez que os requisitos estabelecidos na Diretiva (UE) 2022/2555 a esse respeito são pelo menos equivalentes às obrigações correspondentes estabelecidas na presente diretiva, as obrigações estabelecidas no artigo 11.o e nos capítulos III, IV e VI da presente diretiva não deverão aplicar-se a entidades pertencentes ao setor das infraestruturas digitais, a fim de evitar duplicações e encargos desnecessários. Todavia, tendo em consideração a importância dos serviços prestados por entidades pertencentes ao setor das infraestruturas digitais a entidades críticas pertencentes a todos os outros setores, os Estados-Membros deverão identificar, com base nos critérios e recorrendo ao procedimento previsto na presente diretiva, as entidades pertencentes ao setor das infraestruturas digitais como entidades críticas. Por conseguinte, as estratégias, a avaliação dos riscos do Estado-Membro e as medidas de apoio previstas no capítulo II da presente diretiva deverão ser aplicáveis. Os Estados-Membros deverão poder adotar ou manter disposições de direito nacional destinadas a atingir um nível mais elevado de resiliência dessas entidades críticas, desde que essas disposições sejam coerentes com o direito da União aplicável.

(21)

O direito da União em matéria de serviços financeiros estabelece requisitos abrangentes aplicáveis às entidades financeiras no sentido de gerirem todos os riscos que enfrentam, incluindo os riscos operacionais, e de assegurarem a continuidade das atividades. Esse direito inclui os Regulamentos (UE) n.o 648/2012 (8), (UE) n.o 575/2013 (9) e (UE) n.o 600/2014 do Parlamento Europeu e do Conselho (10) e as Diretivas 2013/36/UE (11) e 2014/65/UE do Parlamento Europeu e do Conselho (12). Esse quadro jurídico é complementado pelo Regulamento (UE) 2022/2554 do Parlamento Europeu e do Conselho (13), que estabelece requisitos aplicáveis às entidades financeiras no sentido de gerirem os riscos no domínio das tecnologias da informação e comunicação (TIC), incluindo no que se refere à proteção das infraestruturas físicas de TIC. Por conseguinte, uma vez que a resiliência dessas entidades é amplamente abrangida, o disposto no artigo 11.o e nos capítulos III, IV e VI da presente diretiva não deverá aplicar-se a essas entidades, a fim de evitar duplicações e encargos desnecessários.

Todavia, tendo em consideração a importância dos serviços prestados por entidades do setor financeiro a entidades críticas pertencentes a todos os outros setores, os Estados-Membros deverão identificar, com base nos critérios e recorrendo ao procedimento previsto na presente diretiva, as entidades do setor financeiro como entidades críticas. Por conseguinte, as estratégias, as avaliações dos riscos do Estado-Membro e as medidas de apoio previstas no capítulo II da presente diretiva deverão ser aplicáveis. Os Estados-Membros deverão poder adotar ou manter disposições de direito nacional destinadas a atingir um nível mais elevado de resiliência dessas entidades críticas, desde que essas disposições sejam coerentes com o direito da União aplicável.

(22)

Os Estados-Membros deverão designar ou estabelecer autoridades competentes para supervisionar a aplicação das regras da presente diretiva e, sempre que necessário, fazê-las cumprir, e assegurar que essas autoridades dispõem dos poderes e recursos adequados. Dadas as diferenças nas estruturas de governação nacionais, a fim de salvaguardar as disposições setoriais ou os organismos de supervisão e de regulamentação da União existentes, e a fim de evitar duplicações, os Estados-Membros deverão poder designar ou estabelecer mais do que uma autoridade competente. Caso os Estados-Membros designem ou estabeleçam mais do que uma autoridade competente, deverão delinear claramente as respetivas funções das autoridades em causa e assegurar a cooperação harmoniosa e eficaz entre as mesmas. Todas as autoridades competentes deverão igualmente cooperar, de um modo mais geral, com outras autoridades pertinentes, tanto a nível da União como nacional.

(23)

A fim de facilitar a cooperação e a comunicação transfronteiriça e permitir a aplicação efetiva da presente diretiva, cada Estado-Membro deverá, sem prejuízo dos requisitos dos atos jurídicos setoriais específicos da União, designar um ponto de contacto único, responsável pela coordenação das questões relacionadas com a resiliência das entidades críticas e a cooperação transfronteiriça a nível da União («ponto de contacto único»), se for caso disso no seio de uma autoridade competente. Cada ponto de contacto único deverá estabelecer ligações e coordenar as comunicações, se for caso disso, com as autoridades competentes do seu Estado-Membro, com os pontos de contacto únicos de outros Estados-Membros e com o Grupo para a Resiliência das Entidades Críticas.

(24)

As autoridades competentes nos termos da presente diretiva e as autoridades competentes nos termos da Diretiva (UE) 2022/2555 deverão cooperar e trocar informações no que diz respeito aos riscos de cibersegurança, às ciberameaças e aos ciberincidentes, bem como aos riscos, ameaças e incidentes não relacionados com a cibersegurança, que afetam entidades críticas, assim como em relação a medidas pertinentes tomadas por autoridades competentes nos termos da presente diretiva e autoridades competentes nos termos da Diretiva (UE) 2022/2555. É importante que os Estados-Membros assegurem que os requisitos previstos na presente diretiva e na Diretiva (UE) 2022/2555 sejam aplicados de forma complementar e que as entidades críticas não sejam sujeitas a encargos administrativos que excedam o necessário para alcançar os objetivos da presente diretiva e dessa diretiva.

(25)

Os Estados-Membros deverão apoiar as entidades críticas, incluindo as que se qualificam como pequenas ou médias empresas, no reforço da sua resiliência, no cumprimento das obrigações que incumbem aos Estados-Membros nos termos da presente diretiva, sem prejuízo da responsabilidade jurídica própria das entidades críticas para assegurar esse cumprimento, prevenindo, deste modo, encargos administrativos excessivos. Os Estados-Membros poderão, nomeadamente, desenvolver documentação e metodologias de orientação, apoiar a organização de exercícios para testar a resiliência das entidades críticas e proporcionar aconselhamento e formação ao pessoal das entidades críticas. Sempre que necessário e justificado por objetivos de interesse público, os Estados-Membros poderão disponibilizar recursos financeiros e deverão facilitar a partilha voluntária de informações e o intercâmbio de boas práticas entre entidades críticas, sem prejuízo da aplicação das regras em matéria de concorrência estabelecidas no Tratado sobre o Funcionamento da União Europeia (TFUE).

(26)

Com o objetivo de reforçar a resiliência das entidades críticas identificadas pelos Estados-Membros e de reduzir os encargos administrativos que impendem sobre essas entidades críticas, as autoridades competentes deverão proceder a consultas recíprocas, sempre que tal for adequado, para assegurar que a presente diretiva seja aplicada de forma coerente. Tais consultas deverão ser iniciadas a pedido de qualquer autoridade competente interessada e deverão visar principalmente assegurar uma abordagem convergente no que diz respeito às entidades críticas interligadas que utilizam infraestruturas críticas fisicamente ligadas entre dois ou mais Estados-Membros, pertencentes aos mesmos grupos ou estruturas empresariais ou que tenham sido identificadas num Estado-Membro e que prestem serviços essenciais a outros ou noutros Estados-Membros.

(27)

Sempre que as disposições do direito da União ou do direito nacional exijam que as entidades críticas avaliem os riscos pertinentes para efeitos da presente diretiva e tomem medidas para assegurar a sua própria resiliência, tais exigências deverão ser devidamente tidas em conta para efeitos de supervisão do cumprimento da presente diretiva por parte das entidades críticas.

(28)

As entidades críticas deverão ter um conhecimento abrangente dos riscos pertinentes a que estão expostas e o dever de analisar esses riscos. Para o efeito, deverão efetuar avaliações dos riscos sempre que necessário, tendo em conta as suas circunstâncias particulares e a evolução desses riscos, e, em todo o caso, de quatro em quatro anos, a fim de avaliar todos os riscos pertinentes que possam perturbar a prestação dos seus serviços essenciais («avaliação dos riscos de entidade crítica»). Sempre que as entidades críticas tenham efetuado outras avaliações dos riscos ou elaborado documentos em conformidade com as obrigações estabelecidas noutros atos jurídicos que sejam pertinentes para a sua avaliação dos riscos de entidade crítica, deverão poder utilizar essas avaliações e documentos para efeitos do cumprimento dos requisitos previstos na presente diretiva relativamente às avaliações dos riscos de entidade crítica. Uma autoridade competente deverá poder declarar que uma avaliação dos riscos existente efetuada por uma entidade crítica que incida sobre os riscos pertinentes e a medida pertinente de dependência, cumpre, total ou parcialmente, as obrigações estabelecidas na presente diretiva.

(29)

As entidades críticas deverão tomar medidas técnicas, de segurança e organizacionais adequadas e proporcionais aos riscos que enfrentam, de modo a prevenirem incidentes, protegerem-se deles, lhes darem resposta, lhes resistirem, os atenuarem, os absorverem, adaptarem-se a eles e recuperarem deles. Embora as entidades críticas devam tomar as referidas medidas em conformidade com a presente diretiva, as particularidades e o alcance dessas medidas deverão refletir os diferentes riscos que cada entidade crítica tenha identificado como parte da sua avaliação dos riscos de entidade crítica e as especificidades dessa entidade de forma adequada e proporcionada. A fim de promover uma abordagem coerente à escala da União, a Comissão deverá, após consulta ao Grupo para a Resiliência das Entidades Críticas, adotar orientações não vinculativas para especificar essas medidas técnicas, de segurança e organizacionais. Os Estados-Membros deverão assegurar que cada entidade crítica designe um agente de ligação ou equivalente como ponto de contacto com as autoridades competentes.

(30)

Por razões de eficácia e de responsabilização, as entidades críticas deverão descrever as medidas que tomem, com um nível de pormenor suficiente para alcançar os objetivos de eficácia e responsabilização, tendo em conta os riscos identificados, num plano de resiliência ou documento(s) equivalente(s) a um plano de resiliência, e aplicar esse plano na prática. Se uma entidade crítica já tiver tomado medidas técnicas, de segurança e organizativas e já tiver elaborado documentos nos termos de outros atos jurídicos que sejam pertinentes para as medidas de reforço da resiliência nos termos da presente diretiva, deverá poder, a fim de evitar duplicações desnecessárias, utilizar essas medidas e documentos para efeitos do cumprimento das suas obrigações em relação às medidas de resiliência nos termos da presente diretiva. A fim de evitar duplicações, uma autoridade competente deverá poder declarar que as medidas de resiliência existentes tomadas por uma entidade critica que atendam à obrigação que a esta incumbe de tomar medidas técnicas, de segurança e organizacionais nos termos da presente diretiva, cumprem, total ou parcialmente, os requisitos da presente diretiva.

(31)

Os Regulamentos (CE) n.o 725/2004 (14) e (CE) n.o 300/2008 do Parlamento Europeu e do Conselho (15) e a Diretiva 2005/65/CE do Parlamento Europeu e do Conselho (16) estabelecem requisitos aplicáveis às entidades dos setores da aviação e dos transportes marítimos para prevenir incidentes causados por atos ilícitos e resistir a tais incidentes e atenuar as consequências dos mesmos. Embora as medidas exigidas por força da presente diretiva sejam mais amplas em termos de riscos abordados e de tipos de medidas a tomar, as entidades críticas nesses setores deverão refletir no seu plano de resiliência ou documentos equivalentes as medidas tomadas em conformidade com esses atos jurídicos da União. As entidades críticas deverão também ter em conta a Diretiva 2008/96/CE do Parlamento Europeu e do Conselho (17), que introduz uma avaliação da totalidade da rede rodoviária para mapear os riscos de acidentes e uma inspeção específica da segurança rodoviária para identificar condições perigosas, defeitos e problemas que aumentem o risco de acidentes e lesões, com base em visitas no local de vias rodoviárias ou de troços existentes. É da maior importância para o setor ferroviário garantir a proteção e a resiliência das entidades críticas e, na aplicação de medidas de resiliência nos termos da presente diretiva, as entidades críticas são incentivadas a fazer referência a orientações não vinculativas e a documentos de boas práticas desenvolvidos no âmbito de fluxos de trabalho setoriais, como a plataforma de segurança dos passageiros ferroviários da UE criada pela Decisão 2018/C 232/03 da Comissão (18).

(32)

O risco de trabalhadores de entidades críticas ou dos contratantes externos destas últimas fazerem uma utilização abusiva, por exemplo, dos seus direitos de acesso no seio da organização da entidade crítica para prejudicar e causar danos é cada vez mais preocupante. Por conseguinte, os Estados-Membros deverão especificar as condições em que as entidades críticas estão autorizadas, em casos devidamente justificados e tendo em conta a avaliação dos riscos do Estado-Membro, a apresentar pedidos de verificação de antecedentes relativos a pessoas pertencentes a categorias específicas do seu pessoal. Deverá garantir-se que as autoridades pertinentes avaliam esses pedidos num prazo razoável e os tratam em conformidade com o direito e procedimentos nacionais, bem como com o direito da União pertinente e aplicável, inclusive em matéria de proteção de dados pessoais. A fim de corroborar a identidade de uma pessoa sujeita a uma verificação de antecedentes, é conveniente que os Estados-Membros exijam uma prova de identidade, como um passaporte, um documento de identificação nacional ou uma forma de identificação digital, em conformidade com o direito aplicável.

As verificações de antecedentes deverão incluir uma verificação do registo criminal da pessoa em questão. Os Estados-Membros deverão recorrer ao Sistema Europeu de Informação sobre Registos Criminais, de acordo com os procedimentos estabelecidos na Decisão-Quadro 2009/315/JAI do Conselho (19) e, se for caso disso e aplicável, no Regulamento (UE) 2019/816 do Parlamento Europeu e do Conselho (20), para efeitos de obtenção de informações de registos criminais detidos por outros Estados-Membros. Os Estados-Membros poderão também, se for caso disso e aplicável, recorrer ao Sistema de Informação de Schengen de Segunda Geração (SIS II) criado pelo Regulamento (UE) 2018/1862 do Parlamento Europeu e do Conselho (21), a informações provenientes dos serviços de informação e de segurança, bem como a quaisquer outras informações objetivas disponíveis que possam ser necessárias para determinar a adequação da pessoa em causa para ocupar o cargo em relação ao qual a entidade crítica solicitou a realização de uma verificação de antecedentes.

(33)

Deverá ser criado um mecanismo para a notificação de determinados incidentes que permita às autoridades competentes responderem de forma rápida e adequada aos incidentes e ter uma visão abrangente do impacto, da natureza, da causa e das eventuais consequências de um incidente com o qual as entidades críticas tenham de lidar. As entidades críticas deverão notificar, sem demora injustificada, as autoridades competentes de incidentes que perturbem significativamente ou que sejam suscetíveis de perturbar significativamente a prestação de serviços essenciais. Exceto se tal não for possível por razões operacionais, as entidades críticas deverão apresentar uma notificação inicial, o mais tardar, 24 horas após terem tido conhecimento de um incidente. A notificação inicial deverá conter apenas as informações estritamente necessárias para dar conhecimento do incidente à autoridade competente e dar à entidade crítica a possibilidade de procurar assistência, caso tal seja necessário. Essa notificação deverá indicar, sempre que possível, a causa presumida do incidente. Os Estados-Membros deverão garantir que a obrigação de apresentar esta notificação inicial não desvia os recursos da entidade crítica das atividades relacionadas com o tratamento de incidentes, às quais deverá ser atribuída prioridade. A notificação inicial deverá ser seguida, se for caso disso, de um relatório pormenorizado, o mais tardar um mês após o incidente. O relatório pormenorizado deverá complementar a notificação inicial e fornecer uma visão mais completa do incidente.

(34)

A normalização deverá continuar a ser essencialmente um processo impulsionado pelo mercado. No entanto, podem ainda existir situações em que seja adequado exigir o cumprimento de normas específicas. Os Estados-Membros deverão, sempre que seja útil, incentivar a utilização de normas e de especificações técnicas europeias e internacionais que sejam pertinentes para as medidas de segurança e de resiliência aplicáveis às entidades críticas.

(35)

Embora as entidades críticas operem geralmente como parte de uma rede cada vez mais interligada de prestação de serviços e infraestruturas e prestem, frequentemente, serviços essenciais em mais do que um Estado-Membro, algumas dessas entidades críticas revestem-se de especial relevância para a União e o seu mercado interno, uma vez que prestam serviços essenciais a, ou em, seis ou mais Estados-Membros e, por conseguinte, poderão beneficiar de apoio específico a nível da União. Deverão, pois, ser estabelecidas regras sobre missões consultivas destinadas a essas entidades críticas de especial relevância europeia. Essas regras não prejudicam as regras em matéria de supervisão e de execução coerciva estabelecidas na presente diretiva.

(36)

Mediante pedido fundamentado da Comissão de um ou mais Estados-Membros aos quais ou nos quais seja prestado o serviço essencial, sempre que forem necessárias informações adicionais para poder aconselhar uma entidade crítica no cumprimento das obrigações que lhe incumbem por força da presente diretiva ou para avaliar o cumprimento dessas obrigações por parte de uma entidade crítica de especial relevância europeia, o Estado-Membro que tenha identificado uma entidade crítica de especial relevância europeia como sendo uma entidade crítica deverá facultar à Comissão determinadas informações estabelecidas na presente diretiva. De acordo com o Estado-Membro que tenha identificado a entidade crítica de especial relevância europeia como sendo uma entidade crítica, a Comissão deverá poder organizar uma missão consultiva para avaliar as medidas adotadas por essa entidade. A fim de garantir que tais missões consultivas sejam devidamente realizadas, deverão ser estabelecidas regras complementares, nomeadamente no que se refere à organização e realização das missões consultivas, às medidas de seguimento a tomar e às obrigações que incumbem às entidades críticas de especial relevância europeia em causa. Sem prejuízo da necessidade de o Estado-Membro em que a missão consultiva é realizada e de a entidade crítica em causa cumprirem as regras estabelecidas na presente diretiva, as missões consultivas deverão ser realizadas sob reserva das regras de execução do direito desse Estado-Membro, por exemplo, sobre as condições exatas a preencher para obter acesso a instalações ou documentos pertinentes e sobre as vias de recurso judicial. Os conhecimentos específicos necessários para a realização de tais missões consultivas podem, se for caso disso, ser solicitados através do Centro de Coordenação de Resposta de Emergência criado pela Decisão n.o 1313/2013/UE do Parlamento Europeu e do Conselho (22).

(37)

A fim de apoiar a Comissão e facilitar a cooperação entre os Estados-Membros e o intercâmbio de informações, incluindo boas práticas, sobre questões relacionadas com a presente diretiva, deverá ser criado um Grupo para a Resiliência das Entidades Críticas, enquanto grupo de peritos da Comissão. Os Estados-Membros deverão esforçar-se por assegurar que os representantes designados das suas autoridades competentes no Grupo para a Resiliência das Entidades Críticas cooperam eficaz e eficientemente, nomeadamente mediante a designação de representantes com credenciação de segurança, se for caso disso. O Grupo para a Resiliência das Entidades Críticas deverá começar a desempenhar as suas funções logo que possível, a fim de proporcionar meios adicionais para uma cooperação adequada durante o período de transposição da presente diretiva. O Grupo para a Resiliência das Entidades Críticas deverá interagir com outros grupos de peritos setoriais pertinentes.

(38)

O Grupo para a Resiliência das Entidades Críticas deverá colaborar com o grupo de cooperação criado ao abrigo da Diretiva (UE) 2022/2555, com vista a apoiar um quadro abrangente para a ciber-resiliência e a resiliência não relacionada com a cibersegurança das entidades críticas. O Grupo para a Resiliência das Entidades Críticas e o grupo de cooperação criado ao abrigo da Diretiva (UE) 2022/2555 deverão manter um diálogo regular, a fim de promover a cooperação entre as autoridades competentes nos termos da presente diretiva e da Diretiva (UE) 2022/2555 e facilitar o intercâmbio de informações, nomeadamente sobre temas pertinentes para ambos os grupos.

(39)

A fim de alcançar os objetivos da presente diretiva, e sem prejuízo da responsabilidade jurídica dos Estados-Membros e das entidades críticas de assegurarem o cumprimento das respetivas obrigações nela estabelecidas, a Comissão deverá, sempre que considerar adequado, apoiar as autoridades competentes e as entidades críticas a fim de facilitar o cumprimento por parte destas das respetivas obrigações. Aquando da prestação de apoio aos Estados-Membros e às entidades críticas no cumprimento das obrigações decorrentes da presente diretiva, a Comissão deverá basear-se nas estruturas e instrumentos existentes, como os do Mecanismo de Proteção Civil da União Europeia, criado pela Decisão n.o 1313/2013/UE, e da rede europeia de referência para a proteção das infraestruturas críticas. Além disso, deverá informar os Estados-Membros dos recursos disponíveis a nível da União, nomeadamente no âmbito do Fundo para a Segurança Interna, criado pelo Regulamento (UE) 2021/1149 do Parlamento Europeu e do Conselho (23), do Horizonte Europa, criado pelo Regulamento (UE) 2021/695 do Parlamento Europeu e do Conselho (24), ou de outros instrumentos pertinentes para a resiliência das entidades críticas.

(40)

Os Estados-Membros deverão assegurar que as suas autoridades competentes dispõem de determinados poderes específicos para assegurar a correta aplicação e execução da presente diretiva em relação a entidades críticas, sempre que essas entidades se encontrem sob a sua jurisdição, tal como especificado na presente diretiva. Esses poderes deverão incluir, nomeadamente, o poder de realizar inspeções e auditorias, o poder de exercer a supervisão, de exigir que as entidades críticas forneçam informações e elementos de prova relativos às medidas por si tomadas para cumprir as obrigações que lhes incumbem e, sempre que necessário, o poder de emitir ordens para corrigir as infrações identificadas. Ao emitir tais ordens, os Estados-Membros não deverão exigir medidas que vão além do necessário e proporcionado para assegurar a conformidade da entidade crítica em causa, tendo especialmente em conta a gravidade da infração e a capacidade económica da entidade crítica em questão. De um modo mais geral, esses poderes deverão ser acompanhados de garantias adequadas e eficazes a especificar no direito nacional em conformidade com a Carta dos Direitos Fundamentais da União Europeia. Ao avaliar o cumprimento, por uma entidade crítica, das obrigações que lhe incumbem nos termos da presente diretiva, as autoridades competentes nos termos da presente diretiva deverão poder solicitar às autoridades competentes nos termos da Diretiva (UE) 2022/2555 que exerçam os seus poderes de supervisão e de execução coerciva em relação a uma entidade nos termos dessa diretiva que tenha sido identificada como sendo uma entidade crítica nos termos da presente diretiva. As autoridades competentes nos termos da presente diretiva e as autoridades competentes nos termos da Diretiva (UE) 2022/2555 deverão colaborar e trocar informações para o efeito.

(41)

A fim de assegurar que a presente diretiva é aplicada de forma efetiva e coerente, o poder de adotar atos nos termos do artigo 290.o do TFUE deverá ser delegado na Comissão para completar a presente diretiva através da elaboração de uma lista de serviços essenciais. Essa lista deverá ser utilizada pelas autoridades competentes para efeitos da realização de avaliações dos riscos do Estado-Membro e da identificação de entidades críticas nos termos da presente diretiva. À luz da abordagem de harmonização mínima na presente diretiva, essa lista não é exaustiva e os Estados-Membros poderão completá-la com serviços essenciais adicionais a nível nacional, a fim de ter em conta as especificidades nacionais na prestação de serviços essenciais. É particularmente importante que a Comissão proceda às consultas adequadas durante os trabalhos preparatórios, inclusive ao nível de peritos, e que essas consultas sejam conduzidas de acordo com os princípios estabelecidos no Acordo Interinstitucional, de 13 de abril de 2016, sobre legislar melhor (25). Em particular, a fim de assegurar a igualdade de participação na preparação dos atos delegados, o Parlamento Europeu e o Conselho recebem todos os documentos ao mesmo tempo que os peritos dos Estados-Membros, e os respetivos peritos têm sistematicamente acesso às reuniões dos grupos de peritos da Comissão que tratem da preparação dos atos delegados.

(42)

A fim de assegurar condições uniformes para a execução da presente diretiva, deverão ser atribuídas competências de execução à Comissão. Essas competências deverão ser exercidas nos termos do Regulamento (UE) n.o 182/2011 do Parlamento Europeu e do Conselho (26).

(43)

Atendendo a que os objetivos da presente diretiva, a saber, assegurar que os serviços essenciais para a manutenção de funções societais ou atividades económicas vitais sejam prestados sem entraves no mercado interno e reforçar a resiliência das entidades críticas que prestam tais serviços, não podem ser suficientemente alcançados pelos Estados-Membros, mas podem, devido aos efeitos da ação considerada, ser mais bem alcançados ao nível da União, a União pode tomar medidas, em conformidade com o princípio da subsidiariedade consagrado no artigo 5.o do Tratado da União Europeia. Em conformidade com o princípio da proporcionalidade consagrado no mesmo artigo, a presente diretiva não excede o necessário para alcançar esses objetivos.

(44)

A Autoridade Europeia para a Proteção de Dados foi consultada nos termos do 42.o, n.o 1, do Regulamento (UE) 2018/1725 do Parlamento Europeu e do Conselho (27) e emitiu parecer em 11 de agosto de 2021.

(45)

Por conseguinte, a Diretiva 2008/114/CE deverá ser revogada,

ADOTARAM A PRESENTE DIRETIVA:

CAPÍTULO I

DISPOSIÇÕES GERAIS

Artigo 1.o

Objeto e âmbito de aplicação

1.   A presente diretiva:

a)

Estabelece a obrigação de os Estados-Membros tomarem medidas específicas destinadas a assegurar que os serviços que são essenciais para a manutenção de funções societais ou atividades económicas vitais, no âmbito do artigo 114.o do TFUE, sejam prestados sem entraves no mercado interno, em especial a obrigação de identificarem as entidades críticas e de apoiarem as entidades críticas no cumprimento das obrigações que a estas sejam impostas;

b)

Estabelece obrigações para as entidades críticas destinadas a reforçar a sua resiliência e a sua capacidade de prestar os serviços referidos na alínea a) no mercado interno;

c)

Estabelece regras:

i)

em matéria de supervisão das entidades críticas,

ii)

em matéria de execução coerciva,

iii)

para a identificação das entidades críticas de especial relevância europeia e em matéria de missões consultivas destinadas a avaliar as medidas aplicadas por essas entidades para cumprirem as suas obrigações nos termos do capítulo III;

d)

Estabelece procedimentos comuns de cooperação e de elaboração de relatórios relativos à aplicação da presente diretiva;

e)

Estabelece medidas destinadas a alcançar um elevado nível de resiliência das entidades críticas para assegurar a prestação de serviços essenciais no território da União e melhorar o funcionamento do mercado interno.

2.   A presente diretiva não é aplicável às matérias abrangidas pela Diretiva (UE) 2022/2555, sem prejuízo do artigo 8.o da presente diretiva. À luz da relação entre a segurança física e cibersegurança das entidades críticas, os Estados-Membros asseguram que a presente diretiva e a Diretiva (UE) 2022/2555 são aplicadas de forma coordenada.

3.   Nos casos em que disposições de atos jurídicos setoriais específicos da União exijam que as entidades críticas tomem medidas destinadas a aumentar a sua resiliência, e se tais exigências forem reconhecidas pelos Estados-Membros como sendo pelo menos equivalentes às obrigações correspondentes estabelecidas na presente diretiva, as disposições pertinentes desta última, incluindo as disposições em matéria de supervisão e execução coerciva estabelecidas no capítulo VI, não são aplicáveis.

4.   Sem prejuízo do artigo 346.o do TFUE, as informações classificadas como confidenciais nos termos de regras da União ou de regras nacionais, tais como as regras em matéria de sigilo comercial, só podem ser trocadas com a Comissão e com outras autoridades pertinentes em conformidade com a presente diretiva nos casos em que esse intercâmbio seja necessário para efeitos de aplicação da presente diretiva. As informações trocadas limitam-se ao que for pertinente e proporcionado em relação ao objetivo desse intercâmbio. O intercâmbio de informações preserva a confidencialidade dessas informações e a segurança e os interesses comerciais das entidades críticas, respeitando simultaneamente a segurança dos Estados-Membros.

5.   A presente diretiva não prejudica a responsabilidade de os Estados-Membros salvaguardarem a segurança e defesa nacionais e a sua competência para salvaguardar outras funções essenciais do Estado, incluindo a garantia da integridade territorial do Estado e a manutenção da ordem pública.

6.   A presente diretiva não se aplica às entidades da administração pública que exerçam as suas atividades nos domínios da segurança nacional, da segurança pública, da defesa ou da aplicação da lei, incluindo a investigação, deteção e repressão de infrações penais.

7.   Os Estados-Membros podem decidir que o disposto no artigo 11.o e nos capítulos III, IV e VI não é aplicável, total ou parcialmente, às entidades críticas específicas que exerçam atividades nos domínios da segurança nacional, da segurança pública, da defesa ou da aplicação da lei, incluindo a investigação, deteção e repressão de infrações penais, ou que prestem serviços exclusivamente às entidades da administração pública referidas no n.o 6 do presente artigo.

8.   As obrigações previstas na presente diretiva não implicam o fornecimento de informações cuja divulgação seja contrária aos interesses essenciais dos Estados-Membros em matéria de segurança nacional, segurança pública ou defesa.

9.   A presente diretiva não prejudica o direito da União em matéria de proteção de dados pessoais, nomeadamente o Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho (28) e a Diretiva 2002/58/CE do Parlamento Europeu e do Conselho (29).

Artigo 2.o

Definições

Para efeitos da presente diretiva, entende-se por:

1)

«Entidade crítica», uma entidade pública ou privada que tenha sido identificada por um Estado-Membro, nos termos do artigo 6.o, como pertencente a uma das categorias estabelecidas na terceira coluna do quadro constante do anexo;

2)

«Resiliência», a capacidade de uma entidade crítica para prevenir incidentes, se proteger deles, lhes dar resposta, lhes resistir, os atenuar, os absorver, se adaptar a eles e recuperar deles;

3)

«Incidente», um evento que perturbe ou tenha potencial para perturbar significativamente a prestação de um serviço essencial, inclusive quando afetar os sistemas nacionais que salvaguardam o Estado de direito;

4)

«Infraestrutura crítica», um ativo, uma instalação, um equipamento, uma rede ou um sistema, no seu todo ou uma parte de um ativo, uma instalação, um equipamento, uma rede ou um sistema, que seja necessário para a prestação de um serviço essencial;

5)

«Serviço essencial», um serviço que é indispensável à manutenção de funções societais ou atividades económicas vitais, da saúde e segurança pública ou do ambiente;

6)

«Risco», o potencial de perda ou perturbação causada por um incidente, expresso como uma combinação da magnitude de tal perda ou perturbação e da probabilidade de ocorrência do incidente;

7)

«Avaliação dos riscos», o processo geral levado a cabo para determinar a natureza e o alcance um risco, através da identificação e análise de potenciais ameaças, vulnerabilidades e perigos pertinentes suscetíveis de provocar um incidente, bem como através da avaliação da potencial perda ou perturbação da prestação de um serviço essencial causada por esse incidente;

8)

«Norma», uma norma na aceção do artigo 2.o, ponto 1, do Regulamento (UE) n.o 1025/2012 do Parlamento Europeu e do Conselho (30);

9)

«Especificação técnica», uma especificação técnica na aceção do artigo 2.o, ponto 4, do Regulamento (UE) n.o 1025/2012;

10)

«Entidade da administração pública», uma entidade reconhecida como tal num Estado-Membro nos termos do direito nacional, excluindo os tribunais, os parlamentos ou os bancos centrais, que cumpra os seguintes critérios:

a)

Ter sido criada para satisfazer necessidades de interesse geral e não ter caráter industrial ou comercial;

b)

Ser dotada de personalidade jurídica ou estar habilitada por lei a agir em nome de outra entidade dotada de personalidade jurídica;

c)

Ser financiada maioritariamente pelas autoridades do Estado ou por outros organismos centrais de direito público, a sua gestão estar sujeita a supervisão por parte dessas autoridades ou organismos, mais de metade dos membros dos seus órgãos de administração, direção ou fiscalização serem nomeados pelas autoridades do Estado ou por outros organismos centrais de direito público;

d)

Ter competência para tomar decisões de natureza administrativa ou regulamentar que afetem os direitos de pessoas singulares ou coletivas no contexto da circulação transfronteiriça de pessoas, mercadorias, serviços ou capitais.

Artigo 3.o

Harmonização mínima

A presente diretiva não obsta a que os Estados-Membros adotem ou mantenham disposições de direito nacional destinadas a atingir um nível mais elevado de resiliência das entidades críticas, desde que essas disposições sejam compatíveis com as obrigações dos Estados-Membros estabelecidas no direito da União.

CAPÍTULO II

QUADROS NACIONAIS PARA A RESILIÊNCIA DAS ENTIDADES CRÍTICAS

Artigo 4.o

Estratégia para a resiliência das entidades críticas

1.   Na sequência de uma consulta que seja, na medida do praticável, aberta às partes interessadas pertinentes, cada Estado-Membro adota, até 17 de janeiro de 2026, uma estratégia para reforçar a resiliência das entidades críticas («estratégia»). A estratégia deve estabelecer objetivos estratégicos e medidas políticas, com base nas estratégias nacionais e setoriais, planos ou documentos similares pertinentes existentes, com vista a alcançar e manter um elevado nível de resiliência dessas entidades críticas e abranger, pelo menos, os setores estabelecidos no anexo.

2.   Cada estratégia contempla, pelo menos, os seguintes elementos:

a)

Objetivos estratégicos e prioridades no intuito de reforçar a resiliência global das entidades críticas, tendo em conta as dependências e interdependências transfronteiriças e intersetoriais;

b)

Um quadro de governação para alcançar os objetivos estratégicos e as prioridades, incluindo uma descrição das funções e responsabilidades das diferentes autoridades, entidades críticas e outras partes envolvidas na execução da estratégia;

c)

Uma descrição das medidas necessárias para reforçar a resiliência global das entidades críticas, incluindo uma descrição da avaliação dos riscos a que se refere o artigo 5.o;

d)

Uma descrição do processo de identificação das entidades críticas;

e)

Uma descrição do processo de apoio às entidades críticas em conformidade com o presente capítulo, nomeadamente das medidas destinadas a reforçar a cooperação entre o setor público, por um lado, e o setor privado e as entidades públicas e privadas, por outro;

f)

Uma lista das principais autoridades e partes interessadas, com exceção das entidades críticas, envolvidas na execução da estratégia;

g)

Um quadro político para a coordenação entre as autoridades competentes nos termos da presente diretiva («autoridades competentes») e as autoridades competentes nos termos da Diretiva (UE) 2022/2555 para efeitos de partilha de informações sobre riscos de cibersegurança, ciberameaças e ciberincidentes, bem como riscos, ameaças e incidentes não relacionados com a cibersegurança, e do exercício de funções de supervisão;

h)

Uma descrição das medidas já em vigor destinadas a facilitar o cumprimento das obrigações nos termos do capítulo III da presente diretiva pelas pequenas e médias empresas, na aceção do anexo da Recomendação 2003/361/CE da Comissão (31), que tenham sido identificadas como entidades críticas pelos Estados-Membros em questão.

Na sequência de uma consulta aberta, na medida do praticável, às partes interessadas pertinentes, os Estados-Membros atualizam as suas estratégias, pelo menos, de quatro em quatro anos.

3.   Os Estados-Membros comunicam à Comissão as suas estratégias, e as atualizações substanciais das mesmas, no prazo de três meses a contar da sua adoção.

Artigo 5.o

Avaliação dos riscos pelos Estados-Membros

1.   A Comissão fica habilitada a adotar um ato delegado, nos termos do artigo 23.o, até 17 de novembro de 2023, para completar a presente diretiva estabelecendo uma lista não exaustiva de serviços essenciais nos setores e subsetores estabelecidos no anexo. As autoridades competentes utilizam essa lista de serviços essenciais com vista a efetuar uma avaliação dos riscos («avaliação dos riscos do Estado-Membro») até 17 de janeiro de 2026, posteriormente sempre que necessário, e pelo menos de quatro em quatro anos. As autoridades competentes utilizam as avaliações dos riscos do Estado-Membro com vista a identificar as entidades críticas nos termos do artigo 6.o, bem como a ajudar essas entidades críticas a tomar medidas nos termos do artigo 13.o.

As avaliações dos riscos do Estado-Membro devem ter em conta os riscos naturais e de origem humana pertinentes, incluindo os de natureza intersetorial ou transfronteiriça, acidentes, catástrofes naturais, emergências de saúde pública e ameaças híbridas ou outras ameaças antagonistas, incluindo infrações terroristas, como previsto na Diretiva (UE) 2017/541 do Parlamento Europeu e do Conselho (32).

2.   Ao efetuar as avaliações dos riscos do Estado-Membro, os Estados-Membros devem ter em conta, pelo menos, os seguintes elementos:

a)

A avaliação geral dos riscos realizada nos termos do artigo 6.o, n.o 1, da Decisão n.o 1313/2013/UE;

b)

Outras avaliações dos riscos pertinentes, realizadas em conformidade com os requisitos dos atos jurídicos setoriais específicos pertinentes da União, nomeadamente os Regulamentos (UE) 2017/1938 (33) e (UE) 2019/941 (34) do Parlamento Europeu e do Conselho e as Diretivas 2007/60/CE (35) e 2012/18/UE (36) do Parlamento Europeu e do Conselho;

c)

Os riscos pertinentes decorrentes da medida em que os setores estabelecidos no anexo dependem uns dos outros, inclusive da medida em que dependem de entidades localizadas noutros Estados-Membros e em países terceiros, e o impacto que uma perturbação significativa num setor pode ter noutros setores, incluindo quaisquer riscos significativos para os cidadãos e o mercado interno;

d)

As informações sobre incidentes notificados nos termos do artigo 15.o.

Para efeitos do primeiro parágrafo, alínea c), os Estados-Membros cooperam com as autoridades competentes de outros Estados-Membros e as autoridades competentes de países terceiros, consoante o caso.

3.   Os Estados-Membros disponibilizam os elementos pertinentes das avaliações dos riscos do Estado-Membro, se for caso disso através dos seus pontos de contacto únicos, às entidades críticas que tiverem identificado nos termos do artigo 6.o. Os Estados-Membros asseguram que as informações facultadas às entidades críticas as ajudam a efetuar as suas avaliações dos riscos, nos termos do artigo 12.o, e a tomar medidas para assegurar a sua resiliência, nos termos do artigo 13.o.

4.   No prazo de três meses a contar da realização da avaliação dos riscos do Estado-Membro, um Estado-Membro fornece à Comissão as informações pertinentes sobre os tipos de riscos identificados nas avaliações dos riscos dos Estados-Membros, e os resultados dessas avaliações, discriminados por setor e subsetor estabelecidos no anexo.

5.   A Comissão elabora, em cooperação com os Estados-Membros, um modelo comum de comunicação voluntária para efeitos do cumprimento do disposto no n.o 4.

Artigo 6.o

Identificação das entidades críticas

1.   Até 17 de julho de 2026, cada Estado-Membro identifica as entidades críticas para os setores e subsetores estabelecidos no anexo.

2.   Ao identificar as entidades críticas nos termos do n.o 1, o Estado-Membro tem em conta os resultados da avaliação dos riscos do Estado-Membro e a sua estratégia, e aplica todos os seguintes critérios:

a)

A entidade presta um ou mais serviços essenciais;

b)

A entidade opera e as suas infraestruturas críticas estão localizadas no território deste Estado-Membro; e

c)

Um incidente teria efeitos perturbadores significativos, conforme determinados nos termos do artigo 7.o, n.o 1, sobre a prestação pela entidade de um ou mais serviços essenciais ou sobre a prestação de outros serviços essenciais nos setores estabelecidos no anexo que dependam desse serviço essencial ou desses serviços essenciais.

3.   Cada Estado-Membro elabora uma lista das entidades críticas identificadas nos termos do n.o 2 e assegura que essas entidades críticas são notificadas da sua identificação como entidades críticas no prazo de um mês a contar dessa identificação. Os Estados-Membros informam essas entidades críticas das suas obrigações nos termos dos capítulos III e IV e da data a partir da qual essas obrigações lhes são aplicáveis, sem prejuízo do artigo 8.o. Os Estados-Membros informam as entidades críticas dos setores estabelecidos nos n.os 3, 4 e 8 do quadro constante do anexo de que elas não têm obrigações nos termos dos capítulos III e IV, salvo se as disposições nacionais estabelecerem o contrário.

O capítulo III é aplicável às entidades críticas em causa dez meses a contar da data da notificação referida no primeiro parágrafo do presente número.

4.   Os Estados-Membros asseguram que as suas autoridades competentes nos termos da presente diretiva notificam às autoridades competentes nos termos da Diretiva (UE) 2022/2555 a identidade das entidades críticas que tiverem identificado nos termos do presente artigo no prazo de um mês a contar da referida identificação. Essa notificação especifica, se for caso disso, que as entidades críticas em causa são entidades críticas dos setores estabelecidos nos n.os 3, 4 e 8 do quadro constante do anexo da presente diretiva e que não têm obrigações nos termos dos capítulos III e IV da mesma.

5.   Os Estados-Membros, sempre que necessário e, em qualquer caso, pelo menos de quatro em quatro anos, reexaminam e, se for caso disso, atualizam a lista das entidades críticas identificadas a que se refere o n.o 3. Caso essas atualizações conduzam à identificação de outras entidades críticas, os n.os 3 e 4 são aplicáveis a essas outras entidades críticas. Além disso, os Estados-Membros asseguram que as entidades que, em resultado dessas atualizações, deixarem de ser identificadas como entidades críticas são notificadas atempadamente desse facto e do facto de que deixam de estar sujeitas às obrigações previstas no capítulo III a partir da data de receção dessa notificação.

6.   A Comissão elabora, em cooperação com os Estados-Membros, recomendações e orientações não vinculativas para apoiar os Estados-Membros na identificação de entidades críticas.

Artigo 7.o

Efeito perturbador significativo

1.   Ao determinar a importância de um efeito perturbador tal como referido no artigo 6.o, n.o 2, alínea c), os Estados-Membros têm em conta os seguintes critérios:

a)

O número de utilizadores que dependem do serviço essencial prestado pela entidade em questão;

b)

O grau em que outros setores e subsetores estabelecidos no anexo dependem do serviço essencial em questão;

c)

O possível impacto dos incidentes, em termos de intensidade e duração, sobre as atividades económicas e societais, o ambiente, a proteção e segurança públicas ou a saúde da população;

d)

A quota de mercado da entidade no mercado do serviço essencial ou serviços essenciais em questão;

e)

A zona geográfica suscetível de ser afetada por um incidente, incluindo um eventual impacto transfronteiriço, tendo em conta a vulnerabilidade associada ao grau de isolamento de determinados tipos de zonas geográficas, como sejam as regiões insulares, as regiões remotas ou as zonas montanhosas;

f)

A importância da entidade na manutenção de um nível de serviço essencial suficiente, tendo em conta a disponibilidade de meios alternativos para a prestação desse serviço essencial.

2.   Após a identificação das entidades críticas nos termos do artigo 6.o, n.o 1, cada Estado-Membro apresenta à Comissão, sem demora injustificada, as seguintes informações:

a)

Uma lista de serviços essenciais nesse Estado-Membro caso haja outros serviços essenciais em comparação com a lista de serviços essenciais a que se refere o artigo 5.o, n.o 1;

b)

O número de entidades críticas identificadas para cada setor e subsetor estabelecidos no anexo e para cada serviço essencial;

c)

Quaisquer limiares aplicados para especificar um ou mais dos critérios referidos no n.o 1.

Os limiares referidos no primeiro parágrafo, alínea c), podem ser apresentados separadamente ou de forma agregada.

Os Estados-Membros transmitem subsequentemente as informações a que se refere o primeiro parágrafo sempre que necessário e, pelo menos, de quatro em quatro anos.

3.   A Comissão, após consulta ao Grupo para a Resiliência das Entidades Críticas a que se refere o artigo 19.o, adota orientações não vinculativas com vista a facilitar a aplicação dos critérios referidos no n.o 1 do presente artigo, tendo em conta as informações referidas no n.o 2 do presente artigo.

Artigo 8.o

Entidades críticas nos setores dos serviços bancários, das infraestruturas do mercado financeiro e das infraestruturas digitais

Os Estados-Membros asseguram que o disposto no artigo 11.o e nos capítulos III, IV e VI não é aplicável às entidades críticas que tiverem identificado nos setores estabelecidos nos n.os 3, 4 e 8 do quadro constante do anexo. Os Estados-Membros podem adotar ou manter disposições de direito nacional destinadas a atingir um nível mais elevado de resiliência das entidades críticas, desde que essas disposições sejam compatíveis com o direito da União aplicável.

Artigo 9.o

Autoridades competentes e ponto de contacto único

1.   Cada Estado-Membro designa ou estabelece uma ou mais autoridades competentes responsáveis pela correta aplicação e, sempre que necessário, pela execução coerciva do disposto na presente diretiva a nível nacional.

No que respeita às entidades críticas nos setores estabelecidos nos n.os 3 e 4 do quadro constante do anexo da presente diretiva, as autoridades competentes são, em princípio, as autoridades competentes referidas no artigo 46.o do Regulamento (UE) 2022/2554. No que respeita às entidades críticas no setor estabelecido no n.o 8 do quadro constante do anexo da presente diretiva, as autoridades competentes são, em princípio, as autoridades competentes nos termos da Diretiva (UE) 2022/2555. Os Estados-Membros podem designar uma autoridade competente diferente para os setores estabelecidos nos n.os 3, 4 e 8 do quadro constante do anexo da presente diretiva, em conformidade com os quadros nacionais existentes.

Sempre que os Estados-Membros designarem ou estabelecerem mais do que uma autoridade competente, devem definir claramente as funções de cada uma das autoridades em causa e assegurar que estas cooperam eficazmente no desempenho das suas funções ao abrigo da presente diretiva, nomeadamente no que diz respeito à designação e às atividades do ponto de contacto único a que se refere o n.o 2.

2.   Cada Estado-Membro designa ou estabelece um ponto de contacto único, para exercer uma função de ligação com vista a assegurar a cooperação transfronteiriça com os pontos de contacto únicos de outros Estados-Membros e com o Grupo para a Resiliência das Entidades Críticas a que se refere o artigo 19.o («ponto de contacto único»). Se for caso disso, um Estado-Membro designa o seu ponto de contacto único no âmbito de uma autoridade competente. Se for caso disso, um Estado-Membro pode dispor que o seu ponto de contacto único também exerce uma função de ligação com a Comissão e assegura a cooperação com países terceiros.

3.   Até 17 de julho de 2028 e, posteriormente, de dois em dois anos, os pontos de contacto únicos devem apresentar um relatório de síntese à Comissão e ao Grupo para a Resiliência das Entidades Críticas a que se refere o artigo 19.o sobre as notificações que eles tiverem recebido, incluindo o número de notificações, a natureza dos incidentes notificados e as medidas tomadas nos termos do artigo 15.o, n.o 3.

A Comissão, em cooperação com o Grupo para a Resiliência das Entidades Críticas, elabora um modelo comum de relatório. As autoridades competentes podem utilizar, a título voluntário, o modelo comum de relatório para efeitos da apresentação dos relatórios de síntese referidos no primeiro parágrafo.

4.   Cada Estado-Membro assegura que a sua autoridade competente e o seu ponto de contacto único dispõem dos poderes e dos recursos financeiros, humanos e técnicos adequados para desempenhar, de forma eficaz e eficiente, as funções que lhes são atribuídas.

5.   Cada Estado-Membro assegura que a sua autoridade competente, sempre que adequado e em conformidade com o direito da União e o direito nacional, consulta e coopera com outras autoridades nacionais pertinentes, incluindo as autoridades responsáveis pela proteção civil, pela aplicação da lei e pela proteção dos dados pessoais, bem como com as entidades críticas e as partes interessadas pertinentes.

6.   Cada Estado-Membro assegura que a sua autoridade competente nos termos da presente diretiva coopera e partilha informações com as autoridades competentes nos termos da Diretiva (UE) 2022/2555 no que diz respeito aos riscos de cibersegurança, ciberameaças e ciberincidentes, bem como riscos, ameaças e incidentes não relacionados com a cibersegurança, que afetam as entidades críticas, inclusive no que diz respeito às medidas pertinentes que tiverem sido tomadas pela sua autoridade competente e pelas autoridades competentes nos termos da Diretiva (UE) 2022/2555.

7.   No prazo de três meses a contar da designação ou do estabelecimento da autoridade competente e do ponto de contacto único, cada Estado-Membro notifica à Comissão a sua identidade e as suas funções e responsabilidades ao abrigo da presente diretiva, os seus dados e as eventuais alterações subsequentes. Os Estados-Membros informam a Comissão sempre que decidirem designar uma autoridade diferente das autoridades competentes referidas no n.o 1, segundo parágrafo, como autoridades competentes em relação às entidades críticas dos setores estabelecidos nos n.os 3, 4 e 8 do quadro constante do anexo. Cada Estado-Membro torna pública a identidade da sua autoridade competente e seu do ponto de contacto único.

8.   A Comissão disponibiliza ao público uma lista dos pontos de contacto únicos.

Artigo 10.o

Apoio dos Estados-Membros às entidades críticas

1.   Os Estados-Membros apoiam as entidades críticas no reforço da sua resiliência. Esse apoio pode incluir o desenvolvimento de documentação e metodologias de orientação, ajuda à organização de exercícios para testar a sua resiliência e a prestação de aconselhamento e formação ao pessoal das entidades críticas. Sem prejuízo das regras aplicáveis em matéria de auxílios estatais, os Estados-Membros podem proporcionar recursos financeiros às entidades críticas, sempre que necessário e justificado por objetivos de interesse público.

2.   Cada Estado-Membro assegura que a sua autoridade competente coopera e troca informações e boas práticas com as entidades críticas dos setores estabelecidas no anexo.

3.   Os Estados-Membros facilitam a partilha voluntária de informações entre entidades críticas sobre as matérias abrangidas pela presente diretiva, em conformidade com o direito da União e o direito nacional, em especial sobre informações classificadas e sensíveis, a concorrência e a proteção de dados pessoais.

Artigo 11.o

Cooperação entre os Estados-Membros

1.   Sempre que for caso disso, os Estados-Membros consultam-se mutuamente sobre as entidades críticas, a fim de assegurar uma aplicação coerente da presente diretiva. As referidas consultas incidem, em especial, sobre as entidades críticas que:

a)

Utilizem infraestruturas críticas fisicamente ligadas entre dois ou mais Estados-Membros;

b)

Façam parte de estruturas empresariais ligadas a entidades críticas noutros Estados-Membros, ou associadas a estas;

c)

Tenham sido identificadas como entidades críticas num Estado-Membro e prestem serviços essenciais a outros ou noutros Estados-Membros.

2.   As consultas referidas no n.o 1 devem ter por objetivo reforçar a resiliência das entidades críticas e, sempre que possível, reduzir os encargos administrativos das mesmas.

CAPÍTULO III

RESILIÊNCIA DAS ENTIDADES CRÍTICAS

Artigo 12.o

Avaliação dos riscos pelas entidades críticas

1.   Não obstante o prazo fixado no artigo 6.o, n.o 3, segundo parágrafo, os Estados-Membros asseguram que as entidades críticas efetuam uma avaliação dos riscos, no prazo de nove meses a contar da receção da notificação a que se refere o artigo 6.o, n.o 3, posteriormente sempre que necessário, e pelo menos de quatro em quatro anos, com base nas avaliações dos riscos do Estado-Membro e noutras fontes de informação pertinentes, a fim de avaliar todos os riscos pertinentes suscetíveis de perturbar a prestação dos seus serviços essenciais («avaliação dos riscos de entidade crítica»).

2.   As avaliações dos riscos de entidade crítica devem ter em conta todos os riscos naturais e de origem humana pertinentes, suscetíveis de provocar um incidente, incluindo os de natureza intersetorial ou transfronteiriça, acidentes, catástrofes naturais, emergências de saúde pública e ameaças híbridas e outras ameaças antagónicas, incluindo infrações terroristas, como previsto na Diretiva (UE) 2017/541. Uma avaliação dos riscos de entidade crítica tem em conta o grau em que outros setores estabelecidos no anexo dependem do serviço essencial prestado pela entidade crítica e o grau em que essa entidade crítica depende dos serviços essenciais prestados por outras entidades nesses outros setores, inclusive, se for caso disso, nos Estados-Membros vizinhos e países terceiros.

Sempre que uma entidade crítica tiver efetuado outras avaliações dos riscos ou elaborado documentos em conformidade com as obrigações estabelecidas noutros atos jurídicos que sejam pertinentes para a sua avaliação dos riscos de entidade crítica, pode utilizar essas avaliações e documentos para efeitos do cumprimento dos requisitos previstos no presente artigo. No exercício das suas funções de supervisão, a autoridade competente pode declarar que uma avaliação dos riscos existente efetuada por uma entidade crítica que aborde os riscos e o grau de dependência a que se refere o primeiro parágrafo do presente número cumpre, parcial ou totalmente, as obrigações por força do presente artigo.

Artigo 13.o

Medidas de resiliência das entidades críticas

1.   Os Estados-Membros asseguram que as entidades críticas tomam medidas técnicas, de segurança e organizativas adequadas e proporcionadas para garantir a sua resiliência, com base em informações pertinentes prestadas pelos Estados-Membros sobre a avaliação dos riscos do Estado-Membro e sobre os resultados da avaliação dos riscos de entidade crítica, incluindo as medidas necessárias para:

a)

Prevenir a ocorrência de incidentes, tendo devidamente em conta a redução do risco de catástrofes e as medidas de adaptação às alterações climáticas;

b)

Assegurar uma proteção física adequada das suas instalações e infraestruturas críticas, tendo devidamente em conta, por exemplo, vedações, barreiras, ferramentas e rotinas de vigilância do perímetro, equipamento de deteção e controlos do acesso;

c)

Dar resposta e resistir às consequências dos incidentes, bem como para as atenuar, tendo devidamente em conta a aplicação de procedimentos e protocolos de gestão de riscos e crises e de rotinas de alerta;

d)

Recuperar de incidentes, tendo devidamente em conta a adoção de medidas de continuidade das atividades e a identificação de cadeias de abastecimento alternativas, a fim de retomar a prestação do serviço essencial;

e)

Assegurar uma gestão adequada das questões de segurança relacionadas com o pessoal, tendo devidamente em conta medidas como a definição das categorias de pessoal que exercem funções críticas, o estabelecimento de direitos de acesso a instalações, infraestruturas críticas e informações sensíveis, o estabelecimento de procedimentos para a realização de verificações de antecedentes nos termos do artigo 14.o e a designação das categorias de pessoas obrigatoriamente sujeitas a tais verificações de antecedentes, e a fixação de requisitos de formação e de qualificação adequados.

f)

Sensibilizar o pessoal competente para as medidas referidas nas alíneas a) a e), tendo devidamente em conta formações, documentação informativa e exercícios.

Para efeitos do primeiro parágrafo, alínea e), os Estados-Membros asseguram que as entidades críticas têm em conta o pessoal dos prestadores de serviços externos ao definir as categorias de pessoal que exercem funções críticas.

2.   Os Estados-Membros asseguram que as entidades críticas adotam e aplicam um plano de resiliência ou um documento ou documentos equivalentes, que descreva as medidas tomadas nos termos do n.o 1. Caso as entidades críticas tenham elaborado documentos ou tomado medidas em conformidade com as obrigações previstas noutros atos jurídicos da União que sejam pertinentes para as medidas a que se refere o n.o 1, podem utilizar essas medidas e documentos para efeitos do cumprimento dos requisitos estabelecidos no presente artigo. No exercício das suas funções de supervisão, a autoridade competente pode declarar que as medidas de reforço da resiliência existentes, tomadas por uma entidade crítica, que abordem, de forma adequada e proporcionada, as medidas técnicas, de segurança e organizativas a que se refere o n.o 1 cumprem, parcial ou totalmente, as obrigações previstas no presente artigo.

3.   Os Estados-Membros asseguram que cada entidade crítica designa um agente de ligação ou equivalente como ponto de contacto com as autoridades competentes.

4.   A pedido do Estado-Membro que identificou a entidade crítica em causa, e com o acordo desta, a Comissão organiza missões consultivas, nos termos do artigo 18.o, n.os 6, 8 e 9, com vista a prestar conselho à referida entidade crítica para o cumprimento das obrigações que a esta incumbem ao abrigo do capítulo III. A missão consultiva comunica as suas conclusões à Comissão, ao Estado-Membro e à entidade crítica em causa.

5.   A Comissão, após consulta ao Grupo para a Resiliência das Entidades Críticas referido no artigo 19.o, adota orientações não vinculativas com vista a especificar mais pormenorizadamente as medidas técnicas, de segurança e organizativas que podem ser tomadas nos termos do n.o 1 do presente artigo.

6.   A Comissão adota atos de execução a fim de estabelecer as especificações técnicas e metodológicas necessárias para a aplicação das medidas a que se refere o n.o 1 do presente artigo. Os referidos atos de execução são adotados pelo procedimento de exame a que se refere o artigo 24.o, n.o 2.

Artigo 14.o

Verificação de antecedentes

1.   Os Estados-Membros especificam as condições em que uma entidade crítica, em casos devidamente justificados e tendo em conta a avaliação dos riscos do Estado-Membro, está autorizada a apresentar pedidos de verificação de antecedentes relativos a pessoas que:

a)

Exercem funções sensíveis na entidade crítica ou em proveito desta, nomeadamente funções relacionadas com a resiliência da entidade crítica;

b)

Estejam autorizadas a ter acesso, direto ou remoto, às suas instalações, informações ou sistemas de controlo, incluindo no contexto da segurança da entidade crítica;

c)

Sejam suscetíveis de serem recrutadas para cargos abrangidos pelos critérios estabelecidos na alínea a) ou alínea b).

2.   Os pedidos referidos no n.o 1 do presente artigo devem ser avaliados num prazo razoável e tratados em conformidade com o direito e procedimentos nacionais, bem como com o direito da União pertinente e aplicável, nomeadamente o Regulamento (UE) 2016/679 e a Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho (37). As verificações de antecedentes devem ser proporcionadas e estritamente limitadas ao necessário. Devem ser realizadas exclusivamente para avaliar um potencial risco de segurança para a entidade crítica em questão.

3.   As verificações de antecedentes a que se refere o n.o 1 devem, pelo menos:

a)

Corroborar a identidade da pessoa que sujeita a verificação de antecedentes;

b)

Verificar os registos criminais dessa pessoa no que respeita a infrações que sejam pertinentes para determinado cargo.

Sempre que efetuarem a verificação de antecedentes, os Estados-Membros devem utilizar o Sistema Europeu de Informação sobre Registos Criminais, de acordo com os procedimentos estabelecidos na Decisão-Quadro 2009/315/JAI e, se for caso disso e aplicável, no Regulamento (UE) 2019/816 para efeitos de obtenção de informações de registos criminais detidos por outros Estados-Membros. As autoridades centrais mencionadas no artigo 3.o, n.o 1, da Decisão-Quadro 2009/315/JAI e no artigo 3.o, n.o 5, do Regulamento (UE) 2019/816 devem responder aos pedidos de informações no prazo de 10 dias úteis a contar da data de receção do pedido nos termos do artigo 8.o, n.o 1, da Decisão-Quadro 2009/315/JAI.

Artigo 15.o

Notificação de incidentes

1.   Os Estados-Membros asseguram que as entidades críticas notificam, sem demora injustificada, à autoridade competente os incidentes que perturbam significativamente ou sejam suscetíveis de perturbar significativamente a prestação de serviços essenciais. Os Estados-Membros asseguram que, salvo impossibilidade operacional de o fazer, as entidades críticas apresentam uma notificação inicial no prazo de 24 horas após terem tido conhecimento de um incidente, seguida, se for caso disso, de um relatório pormenorizado apresentado no prazo de um mês após essa data. A fim de determinar a importância da perturbação, devem ser tidos em conta, em particular, os seguintes parâmetros:

a)

O número e a percentagem de utilizadores afetados pela perturbação;

b)

A duração da perturbação;

c)

A zona geográfica afetada pela perturbação, tendo em conta o seu eventual isolamento geográfico.

Se um incidente tiver ou puder ter um impacto significativo na continuidade da prestação de serviços essenciais a, ou em, seis ou mais Estados-Membros, as autoridades competentes dos Estados-Membros afetados pelo incidente notificam-no à Comissão.

2.   As notificações referidas no n.o 1, primeiro parágrafo, devem incluir todas as informações disponíveis necessárias para permitir à autoridade competente compreender a natureza, a causa presumida e as possíveis consequências do incidente, nomeadamente todas as informações disponíveis necessárias para determinar o seu impacto transfronteiriço. As referidas notificações não acarretam responsabilidades acrescidas para as entidades críticas.

3.   Com base nas informações prestadas por uma entidade crítica numa notificação referida no n.o 1, a autoridade competente pertinente, através do ponto de contacto único, informa o ponto de contacto único de outros Estados-Membros afetados se o incidente tiver ou puder ter um impacto significativo nas entidades críticas e na continuidade da prestação de serviços essenciais a um ou a mais Estados-Membros, ou num ou em mais Estados-Membros.

Os pontos de contacto únicos que transmitam e recebam informações nos termos do primeiro parágrafo devem, em conformidade com o direito da União ou com o direito nacional, tratar essas informações de forma a respeitar a sua confidencialidade e a proteger a segurança e os interesses comerciais da entidade crítica em causa.

4.   Logo que possível, após uma notificação referida no n.o 1, a autoridade competente em questão faculta à entidade crítica em causa informações pertinentes sobre o seguimento dado, incluindo informações que possam apoiar a resposta eficaz da entidade crítica ao incidente em questão. Os Estados-Membros informam o público caso concluam que tal é do interesse público.

Artigo 16.o

Normas

A fim de promover a aplicação convergente da presente diretiva, os Estados-Membros devem, sempre que seja útil e sem impor nem discriminar a favor da utilização de um determinado tipo de tecnologia, incentivar a utilização de normas ou especificações técnicas europeias e internacionais pertinentes para as medidas de segurança e de resiliência aplicáveis às entidades críticas.

CAPÍTULO IV

ENTIDADES CRÍTICAS DE ESPECIAL RELEVÂNCIA EUROPEIA

Artigo 17.o

Identificação das entidades críticas de especial relevância europeia

1.   Uma entidade é considerada uma entidade crítica de especial relevância europeia se:

a)

Tiver sido identificada como entidade crítica nos termos do artigo 6.o, n.o 1;

b)

Prestar serviços essenciais iguais ou semelhantes a, ou em, seis ou mais Estados-Membros; e

c)

Tiver sido notificada nos termos do n.o 3 do presente artigo.

2.   Os Estados-Membros asseguram que, após a notificação a que se refere o artigo 6.o, n.o 3, a entidade crítica informe a sua autoridade competente se prestar serviços essenciais a, ou em, seis ou mais Estados-Membros. Nesse caso, os Estados-Membros asseguram que a entidade crítica informe a sua autoridade competente de quais são os serviços essenciais que presta aos ou nos Estados-Membros referidos e de quais são os Estados-Membros aos quais ou nos quais presta esses serviços essenciais. Os Estados-Membros notificam, sem demora injustificada, à Comissão a identidade das referidas entidades críticas e as informações que facultam nos termos do presente número.

A Comissão consulta a autoridade competente do Estado-Membro que tiver identificado uma entidade crítica referida no primeiro parágrafo, a autoridade competente de outros Estados-Membros em causa e a entidade crítica em questão. No âmbito dessas consultas, cada Estado-Membro informa a Comissão caso considere que os serviços que lhe são prestados pela entidade crítica são serviços essenciais.

3.   Se a Comissão determinar, com base nas consultas referidas no n.o 2 do presente artigo, que a entidade crítica em causa presta serviços essenciais a, ou em, seis ou mais Estados-Membros, notifica essa entidade crítica, por intermédio da respetiva autoridade competente, de que é considerada uma entidade crítica de especial relevância europeia e informa-a das suas obrigações nos termos do presente capítulo e da data a partir da qual essas obrigações lhe são aplicadas. Assim que a Comissão informar a autoridade competente da sua decisão de considerar uma entidade crítica como sendo uma entidade crítica de especial relevância europeia, a autoridade competente reencaminha, sem demora injustificada, essa notificação para a entidade crítica.

4.   O presente capítulo é aplicável à entidade crítica de especial relevância europeia em causa a partir da data de receção da notificação a que se refere o n.o 3 do presente artigo.

Artigo 18.o

Missões consultivas

1.   A pedido do Estado-Membro que tiver identificado uma entidade crítica de especial relevância europeia como sendo uma entidade crítica nos termos do artigo 6.o, n.o 1, a Comissão organiza uma missão consultiva destinada a avaliar as medidas aplicadas por essa entidade crítica para cumprir as suas obrigações nos termos do capítulo III.

2.   Por sua iniciativa própria ou a pedido de um ou mais Estados-Membros aos quais ou nos quais é prestado o serviço essencial, e desde que o Estado-Membro que tiver identificado uma entidade crítica de especial relevância europeia como sendo uma entidade crítica nos termos do artigo 6.o, n.o 1, dê o seu acordo, a Comissão organiza a missão consultiva a que se refere o n.o 1 do presente artigo.

3.   A pedido fundamentado da Comissão ou de um ou mais Estados-Membros aos quais ou nos quais é prestado o serviço essencial, o Estado-Membro que tiver identificado uma entidade crítica de especial relevância europeia como sendo uma entidade crítica nos termos do artigo 6.o, n.o 1, fornece à Comissão os seguintes elementos:

a)

As partes pertinentes da avaliação dos riscos de entidade crítica;

b)

Uma lista das medidas pertinentes tomadas nos termos do artigo 13.o;

c)

As medidas de supervisão ou de execução coerciva, incluindo as avaliações de conformidade ou as ordens emitidas, que a sua autoridade competente tiver tomado nos termos dos artigos 21.o e 22.o em relação à entidade crítica em questão.

4.   A missão consultiva comunica as suas conclusões à Comissão, ao Estado-Membro que tiver identificado uma entidade crítica de especial relevância europeia como sendo uma entidade crítica nos termos do artigo 6.o, n.o 1, aos Estados-Membros aos quais ou nos quais o serviço essencial é prestado e à entidade crítica em causa no prazo de três meses a contar da conclusão da missão.

Os Estados-Membros aos quais ou nos quais é prestado o serviço essencial analisam o relatório referido no primeiro parágrafo e, sempre que necessário, aconselham a Comissão dando-lhe indicações sobre o cumprimento pela entidade crítica de especial relevância europeia em causa das suas obrigações nos termos do capítulo III e, se for caso disso, sobre as medidas que poderão ser tomadas para melhorar a resiliência dessa entidade crítica.

Com base no aconselhamento referido no segundo parágrafo do presente número, a Comissão comunica ao Estado-Membro que tiver identificado uma entidade crítica de especial relevância europeia como sendo uma entidade crítica nos termos do artigo 6.o, n.o 1, aos Estados-Membros aos quais ou nos quais é prestado o serviço essencial e à própria entidade crítica o seu parecer sobre se esta última cumpre as suas obrigações nos termos do capítulo III e, se for caso disso, quais as medidas que poderão ser tomadas para melhorar a resiliência dessa entidade crítica.

O Estado-Membro que tiver identificado uma entidade crítica de especial relevância europeia como sendo uma entidade crítica nos termos do artigo 6.o, n.o 1, assegura que a sua autoridade competente e a entidade crítica em causa têm devidamente em conta o parecer referido no terceiro parágrafo do presente número e faculta informações à Comissão e aos Estados-Membros aos quais ou nos quais é prestado o serviço essencial sobre as medidas que tiver tomado em conformidade com o referido parecer.

5.   Cada missão consultiva é composta por peritos do Estado-Membro em que está localizada a entidade crítica de especial relevância europeia, por peritos dos Estados-Membros aos quais ou nos quais é prestado o serviço essencial e por representantes da Comissão. Esses Estados-Membros podem propor candidatos para fazerem parte das missões consultivas. A Comissão, após consulta ao Estado-Membro que tiver identificado uma entidade crítica de especial relevância europeia como sendo uma entidade crítica nos termos do artigo 6.o, n.o 1, seleciona e nomeia os membros de cada missão consultiva em função da sua capacidade profissional, assegurando, sempre que possível, uma representação geograficamente equilibrada de todos esses Estados-Membros. Sempre que necessário, os membros da missão consultiva devem dispor de uma credenciação de segurança válida e adequada. A Comissão suporta os custos relacionados com a participação na missão consultiva.

A Comissão organiza o programa de cada missão consultiva, em consulta com os membros da missão consultiva em questão e em concertação com o Estado-Membro que tiver identificado uma entidade crítica de especial relevância europeia como sendo uma entidade crítica nos termos do artigo 6.o, n.o 1.

6.   A Comissão adota um ato de execução que estabeleça as regras processuais relativas aos pedidos para organizar missões consultivas, ao tratamento desses pedidos, à realização das missões consultivas e aos seus relatórios, bem como ao tratamento da comunicação do parecer da Comissão referido no n.o 4, terceiro parágrafo, do presente artigo e das medidas tomadas, tendo devidamente em conta a confidencialidade e a sensibilidade comercial das informações em causa. O referido ato de execução é adotado pelo procedimento de exame a que se refere o artigo 24.o, n.o 2.

7.   Os Estados-Membros asseguram que as entidades críticas de especial relevância europeia em causa facultem às missões consultivas acesso a informações, sistemas e instalações relacionados com a prestação dos seus serviços essenciais necessários à realização da missão consultiva em questão.

8.   As missões consultivas devem ser realizadas em conformidade com o direito nacional aplicável do Estado-Membro em que são efetuadas, no respeito pela responsabilidade desse Estado-Membro pela segurança nacional e pela defesa dos seus interesses em matéria de segurança.

9.   Ao organizar as missões consultivas, a Comissão tem em conta os relatórios das inspeções efetuadas pela Comissão ao abrigo dos Regulamentos (CE) n.o 725/2004 e (CE) n.o 300/2008, bem como os relatórios de qualquer controlo efetuado pela Comissão ao abrigo da Diretiva 2005/65/CE relativamente à entidade crítica em questão.

10.   A Comissão informa o Grupo para a Resiliência das Entidades Críticas referido no artigo 19.o sempre que for organizada uma missão consultiva. O Estado-Membro em que se realizou a missão consultiva e a Comissão informam igualmente o Grupo para a Resiliência das Entidades Críticas das principais conclusões da missão consultiva e dos ensinamentos daí retirados, com vista a promover a aprendizagem mútua.

CAPÍTULO V

COOPERAÇÃO E APRESENTAÇÃO DE RELATÓRIOS

Artigo 19.o

Grupo para a Resiliência das Entidades Críticas

1.   É criado um Grupo para a Resiliência das Entidades Críticas. O Grupo para a Resiliência das Entidades Críticas apoia a Comissão e facilita a cooperação entre os Estados-Membros e o intercâmbio de informações sobre questões relacionadas com a presente diretiva.

2.   O Grupo para a Resiliência das Entidades Críticas é composto por representantes dos Estados-Membros e da Comissão com credenciação de segurança, se for caso disso. Se tal for pertinente para o desempenho das suas atribuições, o Grupo para a Resiliência das Entidades Críticas pode convidar partes interessadas pertinentes a participar nos seus trabalhos. A pedido do Parlamento Europeu, a Comissão pode convidar peritos do Parlamento Europeu a participarem nas reuniões do Grupo para a Resiliência das Entidades Críticas.

O representante da Comissão preside ao Grupo para a Resiliência das Entidades Críticas.

3.   O Grupo para a Resiliência das Entidades Críticas tem as seguintes atribuições:

a)

Ajudar a Comissão a prestar assistência aos Estados-Membros no reforço da sua capacidade para assegurar a resiliência das entidades críticas em conformidade com a presente diretiva;

b)

Analisar as estratégias a fim de identificar as boas práticas no que respeita às estratégias;

c)

Facilitar o intercâmbio de boas práticas relativamente à identificação de entidades críticas pelos Estados-Membros, nos termos do artigo 6.o, n.o 1, nomeadamente no que diz respeito às dependências transfronteiriças e intersetoriais, bem como aos riscos e incidentes;

d)

Se for caso disso, dar contributos sobre questões relacionadas com a presente diretiva para os documentos relativos à resiliência a nível da União;

e)

Contribuir para a elaboração das orientações a que se referem o artigo 7.o, n.o 3, e o artigo 13.o, n.o 5, e, mediante pedido, dos atos delegados ou atos de execução adotados por força da presente diretiva;

f)

Analisar os relatórios de síntese a que se refere o artigo 9.o, n.o 3, com vista a promover a partilha de boas práticas sobre as medidas tomadas nos termos do artigo 15.o, n.o 3;

g)

Proceder à troca de boas práticas relacionadas com a notificação de incidentes referida no artigo 15.o;

h)

Debater os relatórios de síntese das missões consultivas e os ensinamentos retirados, nos termos do artigo 18.o, n.o 10;

i)

Proceder ao intercâmbio de informações e de boas práticas em matéria de inovação, investigação e desenvolvimento relacionadas com a resiliência das entidades críticas, em conformidade com a presente diretiva;

j)

Se for caso disso, proceder ao intercâmbio de informações com as instituições, órgãos e organismos competentes da União sobre questões relacionadas com a resiliência das entidades críticas.

4.   Até 17 de janeiro de 2025, e, posteriormente, de dois em dois anos, o Grupo para a Resiliência das Entidades Críticas define um programa de trabalho relativo às ações a empreender para cumprir os seus objetivos e as suas atribuições. Esse programa de trabalho deve ser coerente com os requisitos e objetivos da presente diretiva.

5.   O Grupo para a Resiliência das Entidades Críticas reúne-se periodicamente e, em todo o caso, pelo menos, uma vez por ano com o grupo de cooperação criado ao abrigo da Diretiva (UE) 2022/2555 para promover e facilitar a cooperação e o intercâmbio de informações.

6.   A Comissão pode adotar atos de execução que estabeleçam as disposições processuais necessárias ao funcionamento do Grupo para a Resiliência das Entidades Críticas, no respeito do artigo 1.o, n.o 4. Os referidos atos de execução são adotados pelo procedimento de exame a que se refere o artigo 24.o, n.o 2.

7.   A Comissão apresenta ao Grupo para a Resiliência das Entidades Críticas um relatório de síntese das informações prestadas pelos Estados-Membros nos termos do artigo 4.o, n.o 3, e do artigo 5.o, n.o 4, até 17 de janeiro de 2027, posteriormente sempre que necessário e, pelo menos, de quatro em quatro anos.

Artigo 20.o

Apoio da Comissão às autoridades competentes e às entidades críticas

1.   A Comissão apoia, se for caso disso, os Estados-Membros e as entidades críticas no cumprimento das obrigações que lhes incumbem por força da presente diretiva. A Comissão elabora uma panorâmica a nível da União dos riscos transfronteiriços e intersetoriais para a prestação de serviços essenciais, organiza as missões consultivas a que se referem o artigo 13.o, n.o 4, e o artigo 18.o, e facilita o intercâmbio de informações entre Estados-Membros e peritos de toda a União.

2.   A Comissão complementa as atividades dos Estados-Membros referidas no artigo 10.o desenvolvendo boas práticas, documentação e metodologias de orientação, bem como atividades de formação e exercícios transfronteiriços para testar a resiliência das entidades críticas.

3.   A Comissão informa os Estados-Membros dos recursos financeiros a nível da União que lhes são disponibilizados para reforçarem a resiliência das entidades críticas.

CAPÍTULO VI

SUPERVISÃO E EXECUÇÃO COERCIVA

Artigo 21.o

Supervisão e execução coerciva

1.   A fim de avaliar o cumprimento das entidades identificadas pelos Estados-Membros como sendo entidades críticas nos termos do artigo 6.o, n.o 1, das obrigações previstas na presente diretiva, os Estados-Membros asseguram que as autoridades competentes dispõem dos poderes e dos meios necessários para:

a)

Realizar inspeções no local das infraestruturas críticas e das instalações que a entidade crítica utiliza para prestar os seus serviços essenciais, e supervisionar fora do local as medidas tomadas pelas entidades críticas nos termos do artigo 13.o;

b)

Realizar ou encomendar auditorias a entidades críticas.

2.   Os Estados-Membros asseguram que as autoridades competentes dispõem dos poderes e dos meios para exigir, sempre que tal for necessário para o exercício das suas atribuições nos termos da presente diretiva, que as entidades nos termos da Diretiva (UE) 2022/2555 que os Estados-Membros tiverem identificado como sendo entidades críticas nos termos da presente diretiva facultem, num prazo razoável fixado pelas referidas autoridades:

a)

As informações necessárias para avaliar se as medidas tomadas por essas entidades para assegurar a sua resiliência cumprem os requisitos do artigo 13.o;

b)

Elementos comprovativos da aplicação efetiva dessas medidas, incluindo os resultados de uma auditoria realizada por um auditor independente e qualificado selecionado por essa entidade a expensas desta.

Ao requererem essas informações, as autoridades competentes devem declarar a finalidade do seu pedido e especificar as informações requeridas.

3.   Sem prejuízo da possibilidade de impor sanções por força do artigo 22.o, as autoridades competentes podem, na sequência das medidas de supervisão a que se refere o n.o 1 do presente artigo ou da avaliação das informações a que se refere o n.o 2 do presente artigo, ordenar às entidades críticas em causa que tomem as medidas necessárias e proporcionadas para corrigir as infrações identificadas à presente diretiva, num prazo razoável fixado pelas referidas autoridades, e que as informem das medidas tomadas. Tais ordens devem ter em conta, nomeadamente, a gravidade da infração.

4.   Os Estados-Membros asseguram que os poderes previstos nos n.os 1, 2 e 3 só podem ser exercidos com as garantias adequadas. Tais garantias asseguram, em especial, que esses poderes são exercidos de forma objetiva, transparente e proporcionada e que os direitos e interesses legítimos das entidades críticas afetadas, como a proteção dos segredos comerciais, são devidamente salvaguardados, incluindo o direito de serem ouvidas, o direito de defesa e o direito de um recurso efetivo perante um tribunal independente.

5.   Os Estados-Membros asseguram que, caso uma autoridade competente nos termos da presente diretiva avalie a cumprimento de uma entidade crítica ao abrigo do presente artigo, essa autoridade competente informa as autoridades competentes dos Estados-Membros em causa ao abrigo da Diretiva (UE) 2022/2555. Para o efeito, os Estados-Membros asseguram que as autoridades competentes nos termos da presente diretiva podem solicitar às autoridades competentes nos termos da Diretiva (UE) 2022/2555 que exerçam os seus poderes de supervisão e execução coerciva em relação a uma entidade ao abrigo dessa diretiva que tenha sido identificada como sendo uma entidade crítica nos termos da presente diretiva. Para o efeito, os Estados-Membros asseguram que as autoridades competentes nos termos da presente diretiva cooperam e trocam informações com as autoridades competentes nos termos da Diretiva (UE) 2022/2555.

Artigo 22.o

Sanções

Os Estados-Membros estabelecem as regras relativas às sanções aplicáveis em caso de violação das disposições nacionais adotadas nos termos da presente diretiva e tomam todas as medidas necessárias para garantir a sua aplicação. As sanções previstas devem ser efetivas, proporcionadas e dissuasivas. Os Estados-Membros notificam a Comissão, até 17 de outubro de 2024, dessas regras e dessas medidas e também, sem demora, de qualquer alteração ulterior.

CAPÍTULO VII

ATOS DELEGADOS E ATOS DE EXECUÇÃO

Artigo 23.o

Exercício da delegação

1.   O poder de adotar atos delegados é conferido à Comissão nas condições estabelecidas no presente artigo.

2.   O poder de adotar atos delegados a que se refere o artigo 5.o, n.o 1, é conferido à Comissão por um prazo de cinco anos a contar de 16 de janeiro de 2023.

3.   A delegação de poderes referida no artigo 5.o, n.o 1, pode ser revogada em qualquer momento pelo Parlamento Europeu ou pelo Conselho. A decisão de revogação põe termo à delegação dos poderes nela especificados. A decisão de revogação produz efeitos a partir do dia seguinte ao da sua publicação no Jornal Oficial da União Europeia ou de uma data posterior nela especificada. A decisão de revogação não afeta os atos delegados já em vigor.

4.   Antes de adotar um ato delegado, a Comissão consulta os peritos designados por cada Estado-Membro de acordo com os princípios estabelecidos no Acordo Interinstitucional, de 13 de abril de 2016, sobre legislar melhor.

5.   Assim que adotar um ato delegado, a Comissão notifica-o simultaneamente ao Parlamento Europeu e ao Conselho.

6.   Os atos delegados adotados nos termos do artigo 5.o, n.o 1, só entram em vigor se não tiverem sido formuladas objeções pelo Parlamento Europeu ou pelo Conselho no prazo de dois meses a contar da notificação do ato ao Parlamento Europeu e ao Conselho, ou se, antes do termo desse prazo, o Parlamento Europeu e o Conselho tiverem informado a Comissão de que não têm objeções a formular. O referido prazo é prorrogável por dois meses por iniciativa do Parlamento Europeu ou do Conselho.

Artigo 24.o

Procedimento de comité

1.   A Comissão é assistida por um comité. Este comité é um comité na aceção do Regulamento (UE) n.o 182/2011.

2.   Caso se remeta para o presente número, aplica-se o artigo 5.o do Regulamento (UE) n.o 182/2011.

CAPÍTULO VIII

DISPOSIÇÕES FINAIS

Artigo 25.o

Apresentação de relatórios e revisão

A Comissão apresenta, até 17 de julho de 2027, um relatório ao Parlamento Europeu e ao Conselho, no qual avalie em que medida cada Estado-Membro tomou as medidas necessárias para dar cumprimento à presente diretiva.

A Comissão avalia periodicamente a aplicação da presente diretiva e apresenta um relatório ao Parlamento Europeu e ao Conselho. O relatório avalia, em especial, o valor acrescentado da presente diretiva, o impacto desta última na efetivação da resiliência das entidades críticas e se o anexo da presente diretiva deve ser alterado. A Comissão apresenta o primeiro relatório até 17 de junho de 2029. Para efeitos da apresentação de relatórios nos termos do presente artigo, a Comissão tem em conta os documentos pertinentes do Grupo para a Resiliência das Entidades Críticas.

Artigo 26.o

Transposição

1.   Os Estados-Membros adotam e publicam, até 17 de outubro de 2024, as disposições necessárias para dar cumprimento à presente diretiva. Do facto informam imediatamente a Comissão.

Os Estados-Membros aplicam essas disposições a partir de 18 de outubro de 2024.

2.   As disposições referidas no n.o 1 adotadas pelos Estados-Membros fazem referência à presente diretiva ou são acompanhadas dessa referência aquando da sua publicação oficial. Os Estados-Membros estabelecem o modo como é feita a referência.

Artigo 27.o

Revogação da Diretiva 2008/114/CE

A Diretiva 2008/114/CE é revogada com efeitos a partir de 18 de outubro de 2024].

As remissões para a diretiva revogada entendem-se como remissões para a presente diretiva.

Artigo 28.o

Entrada em vigor

A presente diretiva entra em vigor no vigésimo dia seguinte ao da sua publicação no Jornal Oficial da União Europeia.

Artigo 29.o

Destinatários

Os destinatários da presente diretiva são os Estados-Membros.

Feito em Estrasburgo, em 14 de dezembro de 2022.

Pelo Parlamento Europeu

A Presidente

R. METSOLA

Pelo Conselho

O Presidente

M. BEK


(1)   JO C 286 de 16.7.2021, p. 170.

(2)   JO C 440 de 29.10.2021, p. 99.

(3)  Posição do Parlamento Europeu de 22 de novembro de 2022 (ainda não publicado no Jornal Oficial) e decisão do Conselho de 8 de dezembro de 2022.

(4)  Diretiva 2008/114/CE do Conselho, de 8 de dezembro de 2008, relativa à identificação e designação das infraestruturas críticas europeias e à avaliação da necessidade de melhorar a sua proteção (JO L 345 de 23.12.2008, p. 75).

(5)  Diretiva (UE) 2022/2555 do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022, relativa a medidas destinadas a garantir um elevado nível comum de cibersegurança na União, que altera o Regulamento (UE) n.o 910/2014 e a Diretiva (UE) 2018/1972 e revoga a Diretiva (UE) 2016/1148 (Diretiva SRI 2) (ver página 80 do presente Jornal Oficial).

(6)  Diretiva (UE) 2016/1148 do Parlamento Europeu e do Conselho, de 6 de julho de 2016, relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação em toda a União (JO L 194 de 19.7.2016, p. 1).

(7)  Regulamento (UE) 2019/452 do Parlamento Europeu e do Conselho, de 19 de março de 2019, que estabelece um regime de análise dos investimentos diretos estrangeiros na União (JO L 79I de 21.3.2019, p. 1).

(8)  Regulamento (UE) n.o 648/2012 do Parlamento Europeu e do Conselho, de 4 de julho de 2012, relativo aos derivados do mercado de balcão, às contrapartes centrais e aos repositórios de transações (JO L 201 de 27.7.2012, p. 1).

(9)  Regulamento (UE) n.o 575/2013 do Parlamento Europeu e do Conselho, de 26 de junho de 2013, relativo aos requisitos prudenciais para as instituições de crédito e que altera o Regulamento (UE) n.o 648/2012 (JO L 176 de 27.6.2013, p. 1).

(10)  Regulamento (UE) n.o 600/2014 do Parlamento Europeu e do Conselho, de 15 de maio de 2014, relativo aos mercados de instrumentos financeiros e que altera o Regulamento (UE) n.o 648/2012 (JO L 173 de 12.6.2014, p. 84).

(11)  Diretiva 2013/36/UE do Parlamento Europeu e do Conselho, de 26 de junho de 2013, relativa ao acesso à atividade das instituições de crédito e à supervisão prudencial das instituições de crédito e empresas de investimento, que altera a Diretiva 2002/87/CE e revoga as Diretivas 2006/48/CE e 2006/49/CE (JO L 176 de 27.6.2013, p. 338).

(12)  Diretiva 2014/65/UE do Parlamento Europeu e do Conselho, de 15 de maio de 2014, relativa aos mercados de instrumentos financeiros e que altera a Diretiva 2002/92/CE e a Diretiva 2011/61/UE (JO L 173 de 12.6.2014, p. 349).

(13)  Regulamento (UE) 2022/2554 do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022, relativo à resiliência operacional digital do setor financeiro e que altera os regulamentos (CE) n.o 1060/2009, (UE) n.o 648/2012, (UE) n.o 600/2014, (UE) n.o 909/2014 e (UE) 2016/1011 (ver página 1 do presente Jornal Oficial)).

(14)  Regulamento (CE) n.o 725/2004 do Parlamento Europeu e do Conselho, de 31 de março de 2004, relativo ao reforço da proteção dos navios e das instalações portuárias (JO L 129 de 29.4.2004, p. 6).

(15)  Regulamento (CE) n.o 300/2008 do Parlamento Europeu e do Conselho, de 11 de março de 2008, relativo ao estabelecimento de regras comuns no domínio da segurança da aviação civil e que revoga o Regulamento (CE) n.o 2320/2002 (JO L 97 de 9.4.2008, p. 72).

(16)  Diretiva 2005/65/CE do Parlamento Europeu e do Conselho, de 26 de outubro de 2005, relativa ao reforço da segurança nos portos (JO L 310 de 25.11.2005, p. 28).

(17)  Diretiva 2008/96/CE do Parlamento Europeu e do Conselho, de 19 de novembro de 2008, relativa à gestão da segurança da infraestrutura rodoviária (JO L 319 de 29.11.2008, p. 59).

(18)  Decisão da Comissão de 29 de junho de 2018, que cria a plataforma de segurança dos passageiros ferroviários da UE (2018/C 232/03) (JO C 232 de 3.7.2018, p. 10).

(19)  Decisão-Quadro 2009/315/JAI do Conselho, de 26 de fevereiro de 2009, relativa à organização e ao conteúdo do intercâmbio de informações extraídas do registo criminal entre os Estados-Membros (JO L 93 de 7.4.2009, p. 23).

(20)  Regulamento (UE) 2019/816 do Parlamento Europeu e do Conselho, de 17 de abril de 2019, que cria um sistema centralizado para a determinação dos Estados-Membros que possuem informações sobre condenações de nacionais de países terceiros e de apátridas (ECRIS-TCN) tendo em vista completar o Sistema Europeu de Informação sobre Registos Criminais e que altera o Regulamento (UE) 2018/1726 (JO L 135 de 22.5.2019, p. 1).

(21)  Regulamento (UE) 2018/1862 do Parlamento Europeu e do Conselho, de 28 de novembro de 2018, relativo ao estabelecimento, ao funcionamento e à utilização do Sistema de Informação de Schengen (SIS) no domínio da cooperação policial e da cooperação judiciária em matéria penal, e que altera e revoga a Decisão 2007/533/JAI do Conselho e revoga o Regulamento (CE) n.o 1986/2006 do Parlamento Europeu e do Conselho e a Decisão 2010/261/UE da Comissão (JO L 312 de 7.12.2018, p. 56).

(22)  Decisão n.o 1313/2013/UE do Parlamento Europeu e do Conselho, de 17 de dezembro de 2013, relativa a um Mecanismo de Proteção Civil da União Europeia (JO L 347 de 20.12.2013, p. 924).

(23)  Regulamento (UE) 2021/1149 do Parlamento Europeu e do Conselho, de 7 de julho de 2021, que cria o Fundo para a Segurança Interna (JO L 251 de 15.7.2021, p. 94).

(24)  Regulamento (UE) 2021/695 do Parlamento Europeu e do Conselho, de 28 de abril de 2021, que estabelece o Horizonte Europa – Programa-Quadro de Investigação e Inovação, que define as suas regras de participação e difusão, e que revoga os Regulamentos (UE) n.o 1290/2013 e (UE) n.o 1291/2013 (JO L 170 de 12.5.2021, p. 1).

(25)   JO L 123 de 12.5.2016, p. 1.

(26)  Regulamento (UE) n.o 182/2011 do Parlamento Europeu e do Conselho, de 16 de fevereiro de 2011, que estabelece as regras e os princípios gerais relativos aos mecanismos de controlo pelos Estados-Membros do exercício das competências de execução pela Comissão (JO L 55 de 28.2.2011, p. 13).

(27)  Regulamento (UE) 2018/1725 do Parlamento Europeu e do Conselho, de 23 de outubro de 2018, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições e pelos órgãos e organismos da União e à livre circulação desses dados, e que revoga o Regulamento (CE) n.o 45/2001 e a Decisão n.o 1247/2002/CE (JO L 295 de 21.11.2018, p. 39).

(28)  Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) (JO L 119 de 4.5.2016, p. 1).

(29)  Diretiva 2002/58/CE do Parlamento Europeu e do Conselho, de 12 de julho de 2002, relativa ao tratamento de dados pessoais e à proteção da privacidade no setor das comunicações eletrónicas (Diretiva relativa à privacidade e às comunicações eletrónicas) (JO L 201 de 31.7.2002, p. 37).

(30)  Regulamento (UE) n.o 1025/2012 do Parlamento Europeu e do Conselho, de 25 de outubro de 2012, relativo à normalização europeia, que altera as Diretivas 89/686/CEE e 93/15/CEE do Conselho e as Diretivas 94/9/CE, 94/25/CE, 95/16/CE, 97/23/CE, 98/34/CE, 2004/22/CE, 2007/23/CE, 2009/23/CE e 2009/105/CE do Parlamento Europeu e do Conselho e revoga a Decisão 87/95/CEE do Conselho e a Decisão n.o 1673/2006/CE do Parlamento Europeu e do Conselho (JO L 316 de 14.11.2012, p. 12).

(31)  Recomendação 2003/361/CE da Comissão, de 6 de maio de 2003, relativa à definição de micro, pequenas e médias empresas (JO L 124 de 20.5.2003, p. 36).

(32)  Diretiva (UE) 2017/541 do Parlamento Europeu e do Conselho, de 15 de março de 2017, relativa à luta contra o terrorismo e que substitui a Decisão-Quadro 2002/475/JAI do Conselho e altera a Decisão 2005/671/JAI do Conselho (JO L 88 de 31.3.2017, p. 6).

(33)  Regulamento (UE) 2017/1938 do Parlamento Europeu e do Conselho, de 25 de outubro de 2017, relativo a medidas destinadas a garantir a segurança do aprovisionamento de gás e que revoga o Regulamento (UE) n.o 994/2010 (JO L 280 de 28.10.2017, p. 1).

(34)  Regulamento (UE) 2019/941 do Parlamento Europeu e do Conselho, de 5 de junho de 2019, relativo à preparação para riscos no setor da eletricidade e que revoga a Diretiva 2005/89/CE (JO L 158 de 14.6.2019, p. 1).

(35)  Diretiva 2007/60/CE, do Parlamento Europeu e do Conselho, de 23 de outubro de 2007, relativa à avaliação e gestão dos riscos de inundações (JO L 288 de 6.11.2007, p. 27).

(36)  Diretiva 2012/18/UE do Parlamento Europeu e do Conselho, de 4 de julho de 2012, relativa ao controlo dos perigos associados a acidentes graves que envolvem substâncias perigosas, que altera e subsequentemente revoga a Diretiva 96/82/CE do Conselho (JO L 197 de 24.7.2012, p. 1).

(37)  Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção ou repressão de infrações penais ou execução de sanções penais, e à livre circulação desses dados, e que revoga a Decisão-Quadro 2008/977/JAI do Conselho (JO L 119 de 4.5.2016, p. 89).


ANEXO

SETORES, SUBSETORES E CATEGORIAS DE ENTIDADES

Setores

Subsetores

Categorias de entidades

1.

Energia

a)

Eletricidade

Empresas de eletricidade na aceção do artigo 2.o, ponto 57, da Diretiva (UE) 2019/944 do Parlamento Europeu e do Conselho (1), que exerce a atividade de «comercialização» na aceção do artigo 2.o, ponto 12, dessa diretiva

Operadores da rede de distribuição na aceção do artigo 2.o, ponto 29, da Diretiva (UE) 2019/944

Operadores da rede de transporte na aceção do artigo 2.o, ponto 35, da Diretiva (UE) 2019/944

Produtores na aceção do artigo 2.o, ponto 38, da Diretiva (UE) 2019/944

Operadores nomeados do mercado da eletricidade na aceção do artigo 2.o, ponto 8, do Regulamento (UE) 2019/943 do Parlamento Europeu e do Conselho (2)

 

 

Participantes no mercado na aceção do artigo 2.o, ponto 25, do Regulamento (UE) 2019/943, que prestam serviços de agregação, resposta da procura ou armazenamento de energia na aceção do artigo 2.o, pontos 18, 20 e 59, da Diretiva (UE) 2019/944

b)

Aquecimento e arrefecimento urbano

Operadores de aquecimento urbano ou de arrefecimento urbano na aceção do artigo 2.o, ponto 19, da Diretiva (UE) 2018/2001 do Parlamento Europeu e do Conselho (3)

c)

Petróleo

Operadores de oleodutos de petróleo

Operadores de instalações de produção, refinamento e tratamento, armazenamento e transporte de petróleo

Entidades centrais de armazenagem de petróleo na aceção do artigo 2.o, alínea f), da Diretiva 2009/119/CE do Conselho (4)

 

d)

Gás

Empresa de comercialização na aceção do artigo 2.o, ponto 8, da Diretiva n.o 2009/73/CE do Parlamento Europeu e do Conselho (5)

Operadores da rede de distribuição na aceção do artigo 2.o, ponto 6, da Diretiva 2009/73/CE

Operadores da rede de transporte na aceção do artigo 2.o, ponto 4, da Diretiva 2009/73/CE

Operadores do sistema de armazenamento na aceção do artigo 2.o, ponto 10, da Diretiva 2009/73/CE

Operadores da rede de GNL na aceção do artigo 2.o, ponto 12, da Diretiva 2009/73/CE

Empresas de gás natural na aceção do artigo 2.o, ponto 1, da Diretiva 2009/73/CE

Operadores de instalações de refinamento e tratamento de gás natural

e)

Hidrogénio

Operadores de produção, armazenamento e transporte de hidrogénio

2.

Transportes

a)

Transporte aéreo

Transportadoras aéreas na aceção do artigo 3.o, ponto 4, do Regulamento (CE) n.o 300/2008 utilizadas para fins comerciais

Entidades gestoras aeroportuárias na aceção do artigo 2.o, ponto 2, da Diretiva 2009/12/CE do Parlamento Europeu e do Conselho (6), aeroportos na aceção do artigo 2.o, ponto 1, dessa diretiva, incluindo os aeroportos principais constantes da lista do anexo II, secção 2, do Regulamento (UE) n.o 1315/2013 do Parlamento Europeu e do Conselho (7), e as entidades que exploram instalações anexas existentes dentro dos aeroportos

Operadores de controlo da gestão do tráfego aéreo que prestam serviços de controlo de tráfego aéreo (CTA) na aceção do artigo 2.o, ponto 1, do Regulamento (CE) n.o 549/2004 do Parlamento Europeu e do Conselho (8)

 

b)

Transporte ferroviário

Gestores de infraestrutura na aceção do artigo 3.o, ponto 2, da Diretiva 2012/34/UE do Parlamento Europeu e do Conselho (9)

Empresas ferroviárias na aceção do artigo 3.o, ponto 1, da Diretiva 2012/34/UE, e operadores das instalações de serviço na aceção do artigo 3.o, ponto 12, dessa diretiva

 

c)

Transporte por vias navegáveis

Companhias de transporte marítimo, costeiro e por vias navegáveis interiores de passageiros e de mercadorias, na aceção, para o transporte marítimo, do anexo I do Regulamento (CE) n.o 725/2004, não incluindo os navios explorados por essas companhias

 

 

Entidades gestoras dos portos na aceção do artigo 3.o, ponto 1, da Diretiva 2005/65/CE, incluindo as respetivas instalações portuárias na aceção do artigo 2.o, ponto 11, do Regulamento (CE) n.o 725/2004, e as entidades que gerem as obras e o equipamento existentes dentro dos portos

Operadores de serviços de tráfego marítimo (VTS) na aceção do artigo 3.o, alínea o), da Diretiva 2002/59/CE do Parlamento Europeu e do Conselho (10)

 

d)

Transporte rodoviário

Autoridades rodoviárias na aceção do artigo 2.o, ponto 12, do Regulamento Delegado (UE) 2015/962 da Comissão (11), responsáveis pelo controlo da gestão do tráfego, com exceção das entidades públicas nas quais a gestão do tráfego ou a exploração de sistemas de transporte inteligentes constituem apenas uma parte não essencial da sua atividade geral

Operadores de sistemas de transporte inteligentes na aceção do artigo 4.o, ponto 1, da Diretiva 2010/40/UE do Parlamento Europeu e do Conselho (12)

 

e)

Transportes públicos

Operadores de serviços públicos na aceção do artigo 2.o, alínea d), do Regulamento (CE) n.o 1370/2007 do Parlamento Europeu e do Conselho (13)

3.

Setor bancário

 

Instituições de crédito na aceção do artigo 4.o, ponto 1, do Regulamento (UE) n.o 575/2013

4.

Infraestruturas do mercado financeiro

 

Operadores de plataformas de negociação na aceção do artigo 4.o, ponto 24, da Diretiva 2014/65/UE

Contrapartes centrais (CCP) na aceção do artigo 2.o, ponto 1, do Regulamento (UE) n.o 648/2012

5.

Saúde

 

Prestadores de cuidados de saúde na aceção do artigo 3.o, alínea g), da Diretiva (UE) n.o 2011/24/UE do Parlamento Europeu e do Conselho (14)

Laboratórios de referência da UE na aceção do artigo 15.o do Regulamento (UE) 2022/2371 do Parlamento Europeu e do Conselho (15)

Entidades que realizam atividades de investigação e desenvolvimento de medicamentos na aceção do artigo 1.o, ponto 2, da Diretiva 2001/83/CE do Parlamento Europeu e do Conselho (16)

 

 

Entidades que fabricam produtos farmacêuticos de base e preparações farmacêuticas a que se refere a secção C, divisão 21, da NACE Rev. 2

Entidades que fabricam dispositivos médicos considerados críticos durante uma emergência de saúde pública («lista de dispositivos críticos para a emergência de saúde pública») na aceção do artigo 22.o do Regulamento (UE) 2022/123 do Parlamento Europeu e do Conselho (17)

Entidades titulares de uma autorização de distribuição a que se refere o artigo 79.o da Diretiva 2001/83/CE

6.

Água potável

 

Fornecedores e distribuidores de água destinada ao consumo humano na aceção do artigo 2.o, ponto 1, alínea a), da Diretiva (UE) 2020/2184 do Parlamento Europeu e do Conselho (18), com exceção dos distribuidores para os quais a distribuição de água para consumo humano constitui uma parte não-essencial da sua atividade geral de distribuição de outros produtos de base e mercadorias

7.

Águas residuais

 

Empresas que recolhem, eliminam ou tratam águas residuais urbanas, águas residuais domésticas ou águas residuais industriais na aceção do artigo 2.o, pontos 1, 2 e 3, da Diretiva 91/271/CEE do Conselho (19), com exceção das empresas nas quais a recolha, eliminação ou tratamento de águas residuais urbanas, águas residuais domésticas e águas residuais industriais constitui uma parte não essencial da sua atividade geral

8.

Infraestruturas digitais

 

Fornecedores de pontos de troca de tráfego na aceção do artigo 6.o, ponto 18, da Diretiva (UE) 2022/2555

Prestadores de serviços de DNS na aceção do artigo 6.o, ponto 20, da Diretiva (UE) 2022/2555, com exceção dos operadores de servidores de nomes da zona raiz

Registos de nomes de domínio de topo na aceção do artigo 6.o, ponto 21, da Diretiva (UE) 2022/2555

Prestadores de serviços de computação em nuvem na aceção do artigo 6.o, ponto 30, da Diretiva (UE) 2022/2555

Prestadores de serviços de centro de dados na aceção do artigo 6.o, ponto 31, da Diretiva (UE) 2022/2555

 

 

Fornecedores de redes de distribuição de conteúdos na aceção do artigo 6.o, ponto 32, da Diretiva (UE) 2022/2555

Prestadores de serviços de confiança na aceção do artigo 3.o, ponto 19, do Regulamento (UE) n.o 910/2014 do Parlamento Europeu e do Conselho (20)

Fornecedores de redes públicas de comunicações eletrónicas na aceção do artigo 2.o, ponto 8, da Diretiva (UE) 2018/1972 do Parlamento Europeu e do Conselho (21)

Fornecedores de serviços de comunicações eletrónicas na aceção do artigo 2.o, ponto 4, da Diretiva (UE) 2018/1972, na medida em que os seus serviços sejam acessíveis ao público

9.

Administração pública

 

Entidades da administração pública a nível central tal como definidas pelos Estados-Membros em conformidade com o direito nacional

10.

Espaço

 

Operadores de infraestruturas terrestres detidas, geridas e operadas pelos Estados-Membros ou por entidades privadas que apoiam a oferta de serviços espaciais, excluindo os fornecedores de redes públicas de comunicações eletrónicas na aceção do artigo 2.o, ponto 8, da Diretiva (UE) 2018/1972

11.

Produção, transformação e distribuição de produtos alimentares

 

Empresas do setor alimentar na aceção do artigo 3.o, ponto 2, do Regulamento (CE) n.o 178/2002 do Parlamento Europeu e do Conselho (22), que estejam envolvidas exclusivamente na logística e na distribuição por grosso e produção e transformação industriais em grande escala


(1)  Diretiva (UE) 2019/944 do Parlamento Europeu e do Conselho, de 5 de junho de 2019, relativa a regras comuns para o mercado interno da eletricidade e que altera a Diretiva 2012/27/UE (JO L 158 de 14.6.2019, p. 125).

(2)  Regulamento (UE) 2019/943 do Parlamento Europeu e do Conselho, de 5 de junho de 2019, relativo ao mercado interno da eletricidade (JO L 158 de 14.6.2019, p. 54).

(3)  Diretiva (UE) 2018/2001 do Parlamento Europeu e do Conselho, de 11 de dezembro de 2018, relativa à promoção da utilização de energia de fontes renováveis (JO L 328 de 21.12.2018, p. 82).

(4)  Diretiva 2009/119/CE do Conselho, de 14 de setembro de 2009, que obriga os Estados-Membros a manterem um nível mínimo de reservas de petróleo bruto e/ou de produtos petrolíferos (JO L 265 de 9.10.2009, p. 9).

(5)  Diretiva 2009/73/CE do Parlamento Europeu e do Conselho, de 13 de julho de 2009, que estabelece regras comuns para o mercado interno do gás natural e que revoga a Diretiva 2003/55/CE (JO L 211 de 14.8.2009, p. 94).

(6)  Diretiva 2009/12/CE do Parlamento Europeu e do Conselho, de 11 de março de 2009, relativa às taxas aeroportuárias (JO L 70 de 14.3.2009, p. 11).

(7)  Regulamento (UE) n.o 1315/2013 do Parlamento Europeu e do Conselho, de 11 de dezembro de 2013, relativo às orientações da União para o desenvolvimento da rede transeuropeia de transportes e que revoga a Decisão n.o 661/2010/UE (JO L 348 de 20.12.2013, p. 1).

(8)  Regulamento (CE) n.o 549/2004 do Parlamento Europeu e do Conselho, de 10 de março de 2004, que estabelece o quadro para a realização do céu único europeu («regulamento-quadro») (JO L 96 de 31.3.2004, p. 1).

(9)  Diretiva 2012/34/UE do Parlamento Europeu e do Conselho, de 21 de novembro de 2012, que estabelece um espaço ferroviário europeu único (JO L 343 de 14.12.2012, p. 32).

(10)  Diretiva 2002/59/CE do Parlamento Europeu e do Conselho, de 27 de junho de 2002, relativa à instituição de um sistema comunitário de acompanhamento e de informação do tráfego de navios e que revoga a Diretiva 93/75/CEE do Conselho (JO L 208 de 5.8.2002, p. 10).

(11)  Regulamento Delegado (UE) 2015/962 da Comissão, de 18 de dezembro de 2014, que complementa a Diretiva 2010/40/UE do Parlamento Europeu e do Conselho no respeitante à prestação de serviços de informação de tráfego em tempo real à escala da UE (JO L 157 de 23.6.2015, p. 21).

(12)  Diretiva 2010/40/UE do Parlamento Europeu e do Conselho, de 7 de julho de 2010, que estabelece um quadro para a implantação de sistemas de transporte inteligentes no transporte rodoviário, inclusive nas interfaces com outros modos de transporte (JO L 207 de 6.8.2010, p. 1).

(13)  Regulamento (CE) n.o 1370/2007 do Parlamento Europeu e do Conselho, de 23 de outubro de 2007, relativo aos serviços públicos de transporte ferroviário e rodoviário de passageiros e que revoga os Regulamentos (CEE) n.o 1191/69 e (CEE) n.o 1107/70 do Conselho (JO L 315 de 3.12.2007, p. 1).

(14)  Diretiva 2011/24/UE do Parlamento Europeu e do Conselho, de 9 de março de 2011, relativa ao exercício dos direitos dos doentes em matéria de cuidados de saúde transfronteiriços (JO L 88 de 4.4.2011, p. 45).

(15)  Regulamento (UE) 2022/2371 do Parlamento Europeu e do Conselho, de 23 de novembro de 2022, relativo às ameaças transfronteiriças graves para a saúde e que revoga a Decisão n.o 1082/2013/UE (JO L 314 de 6.12.2022, p. 26),

(16)  Diretiva 2001/83/CE do Parlamento Europeu e do Conselho, de 6 de novembro de 2001, que estabelece um código comunitário relativo aos medicamentos para uso humano (JO L 311 de 28.11.2001, p. 67).

(17)  Regulamento (UE) 2022/123 do Parlamento Europeu e do Conselho, de 25 de janeiro de 2022, relativo ao reforço do papel da Agência Europeia de Medicamentos em matéria de preparação e gestão de crises no que diz respeito a medicamentos e dispositivos médicos (JO L 20 de 31.1.2022, p. 1).

(18)  Diretiva (UE) 2020/2184 do Parlamento Europeu e do Conselho, de 16 de dezembro de 2020, relativa à qualidade da água destinada ao consumo humano (JO L 435 de 23.12.2020, p. 1).

(19)  Diretiva 91/271/CEE do Conselho, de 21 de maio de 1991, relativa ao tratamento de águas residuais urbanas (JO L 135 de 30.5.1991, p. 40).

(20)  Regulamento (UE) n.o 910/2014 do Parlamento Europeu e do Conselho, de 23 de julho de 2014, relativo à identificação eletrónica e aos serviços de confiança para as transações eletrónicas no mercado interno e que revoga a Diretiva 1999/93/CE (JO L 257 de 28.8.2014, p. 73).

(21)  Diretiva (UE) 2018/1972 do Parlamento Europeu e do Conselho, de 11 de dezembro de 2018, que estabelece o Código Europeu das Comunicações Eletrónicas (JO L 321 de 17.12.2018, p. 36).

(22)  Regulamento (CE) n.o 178/2002 do Parlamento Europeu e do Conselho, de 28 de janeiro de 2002, que determina os princípios e normas gerais da legislação alimentar, cria a Autoridade Europeia para a Segurança dos Alimentos e estabelece procedimentos em matéria de segurança dos géneros alimentícios (JO L 31 de 1.2.2002, p. 1).


Top