A UE está a tomar medidas para prevenir, detetar, responder e dissuadir incidentes de cibersegurança.
Hoje grande parte da nossa vida acontece online. Para garantir a nossa segurança, temos de investir na nossa cibersegurança: nas nossas competências, em peritos, em hardware e software seguros e na segurança de serviços críticos (como os transportes, a energia ou as finanças). Temos de assegurar uma partilha rápida de informações entre as autoridades e as agências que combatem os ciberincidentes e temos de reforçar a nossa ciber-resiliência.
Todos devem poder viver as suas vidas digitais de forma segura. Para o efeito, a Comissão Europeia contribui para:
1. Reforçar a segurança das entidades numa série de setores críticos e de produtos de hardware e software, como as coisas conectadas
2. Reforçar as capacidades coletivas de resposta a ciberataques de grande envergadura
3. Trabalhar com parceiros de todo o mundo para garantir a segurança e a estabilidade internacionais no ciberespaço
A abordagem da Comissão em matéria de cibersegurança assenta em quatro princípios:
1. Impedir
2. Detetar
3. Respond
4. Deter
1. Impedir
Diretiva SRI 2
A Diretiva SRI 2 contribui para reforçar o nível global de cibersegurança na UE.
Alarga o âmbito de aplicação da primeira Diretiva SRI a um leque mais vasto de operadores, melhorando a resiliência e as capacidades de resposta a incidentes das entidades públicas e privadas, das autoridades competentes e da UE no seu conjunto.
Destina-se a construir:
Uma cultura de segurança
Preparação dos Estados-Membros
Melhor cooperação entre os Estados-Membros
Os Estados-Membros têm de transpor a diretiva até 17 de outubro de 2024.
Regulamento Cibersegurança (certificação)
Cria um quadro europeu de certificação da cibersegurança
Reforça a ENISA, a agência da UE para a cibersegurança
Complementa a Diretiva relativa à segurança das redes e dos sistemas de informação (Diretiva SRI)
Sem um quadro comum para certificados de cibersegurança válidos à escala da UE, existe um risco crescente de fragmentação e de obstáculos entre os Estados-Membros.
O quadro de certificação proporcionará sistemas de certificação à escala da UE.
Os cidadãos ganham transparência sobre as características de segurança dos produtos e serviços
Os fornecedores e os prestadores beneficiam de uma vantagem competitiva para satisfazer a necessidade crescente de soluções digitais mais seguras
Regulamento Ciber-Resiliência
A cada 11 segundos há um ataque de ransomware
Os ataques com software de sequestro custaram ao mundo cerca de 20 mil milhões de euros em 2021
10 milhões de ataques DDoS lançados em 2021 em todo o mundo
A UE aborda esta questão introduzindo a primeira legislação deste tipo à escala da UE, o Regulamento Ciber-Resiliência.
A ciber-resiliência introduz requisitos obrigatórios de cibersegurança para os produtos de hardware e software, ao longo de todo o seu ciclo de vida.
Os fabricantes devem:
Garantir que a cibersegurança é tida em conta em todas as fases dos seus produtos
Fornecer instruções claras e compreensíveis para a utilização segura de produtos com elementos digitais
Assegurar que as vulnerabilidades são tratadas de forma eficaz durante o período de suporte, em particular através do fornecimento de atualizações de segurança aos utilizadores
Comunicar vulnerabilidades e incidentes ativamente explorados
O Regulamento Ciber-Resiliência deverá entrar em vigor no segundo semestre de 2024 e os fabricantes terão de colocar produtos conformes no mercado da União até 2027.
Preparação do Mecanismo de Ciberemergência e do Mecanismo de Análise de Incidentes de Cibersegurança
O mecanismo de análise de incidentes de cibersegurança faz parte do Regulamento Cibersolidariedade.
- Analisar e avaliar um incidente de cibersegurança significativo específico
- Forneça um relatório com os ensinamentos retirados e recomendações
Tal será realizado pela ENISA a pedido da Comissão ou da UE-CyCLONe
2. Detetar
Regulamento Cibersolidariedade
O Regulamento Cibersolidariedade da UE reforça a solidariedade da UE e as ações coordenadas para detetar, preparar e responder eficazmente às crescentes ameaças e incidentes de cibersegurança.
Como?
Sistema Europeu de Alerta para a Cibersegurança
- Rede de Centros Nacionais e Transfronteiriços de Operações de Segurança
- Detetar e analisar dados e informações sobre ciberameaças e ciberincidentes
- Fornecer alertas atempados além-fronteiras
3. Respond
Gestão de Cibercrises
UE-CyCLONe
A Rede Europeia de Organizações de Ligação em Cibercrises é uma rede de cooperação para as autoridades nacionais dos Estados-Membros responsáveis pela gestão de cibercrises. Apoia a colaboração e ajuda os Estados-Membros a desenvolver a partilha atempada de informações e o conhecimento da situação.
Rede de CSIRT
A rede de equipas de resposta a incidentes informáticos é composta por CSIRT e CERT-UE dos Estados-Membros. Criado em 2016, contribui para desenvolver a confiança e promover uma cooperação rápida e eficaz entre os Estados-Membros.
Mecanismos de ciberemergência
Parte do Regulamento Cibersolidariedade, Mecanismos de Ciberemergência:
- Reforçar o grau de preparação testando as entidades que operam em setores críticos
- Criar uma Reserva de Cibersegurança da UE com serviços de resposta a incidentes
- Prestar apoio financeiro à assistência mútua
4. Deter
Para além das ações previstas na legislação acima referida, a Comissão está a trabalhar arduamente para dissuadir a cibercriminalidade através da sua política de ciberdefesa e do conjunto de instrumentos de ciberdiplomacia.
Política de ciberdefesa
A política de ciberdefesa da UE assenta em quatro pilares que abrangem uma vasta gama de iniciativas que ajudarão a UE e os Estados-Membros:
- Agir em conjunto para reforçar a ciberdefesa da UE
- Garantir o ecossistema de defesa da UE
- Investir em capacidades de ciberdefesa
- Parceria para enfrentar desafios comuns
Conjunto de instrumentos de ciberdiplomacia
O conjunto de instrumentos de ciberdiplomacia foi adotado em 2017. Contém medidas no âmbito da política externa e de segurança comum da UE que podem ser utilizadas contra ciberoperações maliciosas dirigidas contra os Estados-Membros.
O conjunto de instrumentos foi complementado pela Estratégia de Cibersegurança da UE para 2020, que visa, nomeadamente, reforçar a liderança da UE no domínio da cibersegurança.
Em 2023, o Conselho adotou orientações revistas para o conjunto de instrumentos em resposta à crescente sofisticação dos ciberataques.
Apoio à cibersegurança
Financiamento
- Horizonte Europa
- Programa Europa Digital
- Mecanismo de Recuperação e Resiliência
Centro Europeu de Competências em Cibersegurança
O Centro Europeu de Competências em Cibersegurança (ECCC) está a ajudar a criar um ecossistema industrial e de investigação em matéria de cibersegurança à escala da UE. Mostrará as melhores formas de utilizar os recursos e os conhecimentos especializados existentes em toda a Europa.
Os seus cinco principais objetivos são os seguintes:
- Contribuir para a implantação da mais recente tecnologia de cibersegurança
- Prestar apoio financeiro e assistência técnica às empresas em fase de arranque no domínio da cibersegurança
- Apoiar a investigação e a inovação com base numa agenda abrangente
- Conduzir elevados padrões de cibersegurança em tecnologia, sistemas e competências
- Facilitar a cooperação entre as esferas civil e da defesa e reforçar as sinergias em relação ao Fundo Europeu de Defesa
Para o efeito, o ECCC:
COORDENAÇÃO
trabalhar com uma rede de centros nacionais de coordenação para criar uma comunidade de cibersegurança forte
INVESTIMENTO
tomar decisões estratégicas de investimento e congregar recursos
EXECUÇÃO
utilizando o apoio financeiro do Horizonte Europa e do Programa Europa Digital
Academia de Competências de Cibersegurança
76 % dos trabalhadores em funções relacionadas com a cibersegurança não têm quaisquer qualificações formais ou formações certificadas
56% das empresas não têm mulheres em cargos de cibersegurança
45% das empresas têm dificuldade em encontrar candidatos qualificados
A Academia de Competências de Cibersegurança visa abordar as questões acima referidas e mais, reunindo as iniciativas existentes em matéria de cibercompetências. A UE necessita urgentemente de profissionais com as aptidões e competências necessárias para prevenir, detetar, dissuadir e defender a UE contra os ciberataques.
A academia baseia-se em quatro áreas de atividades:
- Geração de conhecimentos e ações de formação
- Financiamento e projectos
- Participação das partes interessadas
- Medição dos progressos
A academia tem três objetivos principais:
- Colmatar o défice de talentos no domínio da cibersegurança
- Reforçar a mão de obra cibernética da UE
- Impulsionar a competitividade, o crescimento e a resiliência da UE
ENISA
A ENISA é a Agência da União Europeia para a Cibersegurança. Dedica-se à criação de um elevado nível de cibersegurança comum em toda a UE.
- Reforço das capacidades em matéria de cibersegurança
- Cooperação operacional e gestão de crises
- Divulgação coordenada de vulnerabilidades
- Tarefas relacionadas com o mercado
- Normalização e certificação da cibersegurança
- Elaboração e execução de políticas
Conteúdo relacionado
The EU has outlined a cybersecurity strategy to boost Europe’s ability to fight and recover from...