Diretiva SRI2
A Diretiva SRI — a primeira legislação da UE em matéria de cibersegurança — é o primeiro instrumento horizontal do mercado interno destinado a melhorar a resiliência das redes e dos sistemas de informação na União contra os riscos de cibersegurança. Apesar das suas notáveis realizações, a Diretiva SRI revelou algumas limitações. A transformação digital da sociedade, intensificada pela crise da COVID-19, alargou o panorama das ameaças. Surgiram novos desafios, que exigem respostas adaptadas e inovadoras.
A fim de poder analisar o impacto e identificar as deficiências da Diretiva SRI, a Comissão procedeu a uma ampla consulta das partes interessadas. A Comissão identificou as seguintes questões principais:
- nível insuficiente de ciber-resiliência das empresas que operam na UE
- resiliência incoerente entre os Estados-Membros e os setores
- compreensão comum insuficiente das principais ameaças e desafios entre os Estados-Membros
- falta de resposta conjunta a situações de crise.
Consequentemente, e a fim de responder às crescentes ameaças decorrentes da digitalização e da interligação, a Comissão propôs, em dezembro de 2020, um conjunto revisto de regras preparadas para o futuro, destinadas a reforçar o nível de ciber-resiliência na União, sobre o qual os colegisladores chegaram a um acordo político em 13 de maio de 2022 e adotaram formalmente a nova diretiva no final de novembro de 2022.
Desde a crise da COVID-19, a economia europeia tornou-se mais dependente de soluções digitais do que nunca. Os setores e os serviços estão a tornar-se cada vez mais interligados e interdependentes. Tal resultou num cenário de ameaças à cibersegurança crescente e em rápida evolução: qualquer perturbação, mesmo que inicialmente confinada a uma entidade ou a um setor, pode ter efeitos em cascata de forma mais ampla, resultando potencialmente em impactos negativos de longo alcance e duradouros na prestação de serviços em todo o mercado interno.
A pandemia de COVID-19 demonstrou a vulnerabilidade das nossas sociedades cada vez mais interdependentes face a riscos inesperados. Intensificou as questões já emergentes na atual Diretiva SRI e serviu de catalisador para a sua revisão. Uma alteração concreta da Diretiva SRI face a esta crise consistiu em alargar o âmbito de aplicação da nova diretiva, abrangendo elementos mais específicos no setor da saúde, como as entidades que desenvolvem atividades de investigação e desenvolvimento de medicamentos.
A Diretiva SRI2 prevê medidas jurídicas para aumentar o nível global de cibersegurança na UE, a fim de contribuir para o funcionamento global do mercado interno. Baseia-se nos três principais pilares que estiveram na base da Diretiva SRI 1:
- Com base na estratégia SRI1 para a segurança das redes e dos sistemas de informação, a fim de alcançar um elevado nível de preparação dos Estados-Membros, a Diretiva SRI2 exige que os Estados-Membros adotem uma estratégia nacional de cibersegurança. Os Estados-Membros são igualmente obrigados a designar equipas nacionais de resposta a incidentes de segurança informática (CSIRT), responsáveis pelo tratamento de riscos e incidentes, uma autoridade nacional competente em matéria de cibersegurança e um ponto de contacto único (SPOC). O SPOC tem de exercer uma função de ligação para assegurar a cooperação transfronteiriça entre as autoridades dos Estados-Membros e as autoridades competentes de outros Estados-Membros e, se for caso disso, com a Comissão e a ENISA, bem como para assegurar a cooperação transetorial com outras autoridades competentes no seu Estado-Membro.
- A Diretiva SRI2 prossegue igualmente o quadro da SRI1 que cria o grupo de cooperação SRI para apoiar e facilitar a cooperação estratégica e o intercâmbio de informações entre os Estados-Membros, bem como a rede de CSIRT, que promove uma cooperação operacional rápida e eficaz entre as CSIRT nacionais.
- A Diretiva SRI1 garante que são tomadas medidas de cibersegurança em sete setores, que são vitais para a nossa economia e sociedade e que dependem fortemente das TIC, como a energia, os transportes, a banca, as infraestruturas do mercado financeiro, a água potável, os cuidados de saúde e as infraestruturas digitais.
As entidades públicas e privadas identificadas pelos Estados-Membros como operadores de serviços essenciais nestes setores são obrigadas a realizar uma avaliação dos riscos de cibersegurança e a adotar medidas de segurança adequadas e proporcionadas. São obrigados a notificar incidentes graves às autoridades competentes. Além disso, os prestadores de serviços digitais essenciais (prestadores de serviços digitais ou prestadores de serviços digitais), como motores de pesquisa, serviços de computação em nuvem e mercados em linha, têm também de cumprir os requisitos de segurança e notificação previstos na diretiva. Ao mesmo tempo, estas últimas estão sujeitas a um regime regulamentar denominado «light-touch», o que implica que essas entidades não estejam sujeitas a medidas de supervisão ex ante.
A Diretiva SRI2 alarga significativamente o âmbito de aplicação dos setores e introduz um limiar de dimensão para definir quais as entidades abrangidas pelo seu âmbito de aplicação e que seriam obrigadas a comunicar incidentes de cibersegurança significativos às autoridades nacionais competentes.
A Diretiva SRI2 visa colmatar as deficiências das regras anteriores, adaptá-la às necessidades atuais e torná-la preparada para o futuro.
Para o efeito, a diretiva alarga o âmbito de aplicação das regras anteriores, acrescentando novos setores com base no seu grau de digitalização e interligação e na sua importância para a economia e a sociedade, introduzindo uma regra de limiar de dimensão clara, o que significa que todas as médias e grandes empresas de setores selecionados serão incluídas no âmbito de aplicação. Ao mesmo tempo, deixa aos Estados-Membros uma certa margem de discricionariedade para identificar as entidades de menor dimensão com um perfil de risco elevado de segurança que também devem ser abrangidas pelas obrigações da nova diretiva.
A nova diretiva elimina igualmente a distinção entre operadores de serviços essenciais e prestadores de serviços digitais. As entidades seriam classificadas com base na sua importância e divididas em duas categorias: entidades essenciais e importantes, que estarão sujeitas a diferentes regimes de supervisão.
Reforça e racionaliza os requisitos de segurança e de comunicação de informações para as empresas, impondo uma abordagem de gestão de riscos, que fornece uma lista mínima de elementos básicos de segurança que têm de ser aplicados. A nova diretiva introduz disposições mais precisas sobre o processo de comunicação de incidentes, o conteúdo das notificações e os prazos.
Além disso, a SRI2 aborda a segurança das cadeias de abastecimento e das relações com os fornecedores, exigindo que as empresas abordem os riscos de cibersegurança nas cadeias de abastecimento e nas relações com os fornecedores. A nível europeu, a diretiva reforça a cibersegurança da cadeia de abastecimento das tecnologias essenciais da informação e da comunicação. Os Estados-Membros, em cooperação com a Comissão e a ENISA, podem realizar avaliações coordenadas dos riscos de segurança das cadeias de abastecimento críticas a nível da União, com base na abordagem bem-sucedida adotada no contexto da Recomendação da Comissão sobre a cibersegurança das redes 5G.
A diretiva introduz medidas de supervisão mais rigorosas para as autoridades nacionais, requisitos de execução mais rigorosos e visa harmonizar os regimes de sanções em todos os Estados-Membros.
Além disso, reforça o papel do grupo de cooperação na definição das decisões políticas estratégicas e aumenta a partilha de informações e a cooperação entre as autoridades dos Estados-Membros. Reforça igualmente a cooperação operacional no âmbito da rede CSIRT e cria a rede europeia de organizações de ligação para cibercrises (EU-CyCLONe) para apoiar a gestão coordenada de incidentes e crises de cibersegurança em grande escala.
A NIS2 também estabelece um quadro básico com intervenientes-chave responsáveis em matéria de divulgação coordenada de vulnerabilidades para vulnerabilidades recém-descobertas em toda a UE e cria uma base de dados de vulnerabilidades da UE para vulnerabilidades conhecidas publicamente em produtos e serviços de TIC, a ser operada e mantida pela Agência da UE para a Cibersegurança (ENISA).
A SRI2 abrange entidades dos seguintes setores:
Setores de elevada criticidade: energia (eletricidade, aquecimento e arrefecimento urbano, petróleo, gás e hidrogénio); transportes (aéreos, ferroviários, marítimos e rodoviários); serviços bancários; infraestruturas do mercado financeiro; saúde, incluindo o fabrico de produtos farmacêuticos, incluindo vacinas; água potável; águas residuais; infraestruturas digitais (pontos de troca de Internet; Prestadores de serviços de DNS; Registos de nomes de TLD; prestadores de serviços de computação em nuvem; prestadores de serviços de centros de dados; redes de distribuição de conteúdos; prestadores de serviços de confiança; fornecedores de redes públicas de comunicações eletrónicas e de serviços de comunicações eletrónicas acessíveis ao público); Gestão de serviços TIC (prestadores de serviços geridos e prestadores de serviços de segurança geridos), administração pública e espaço.
Outros setores críticos: serviços postais e de correio rápido; gestão de resíduos; produtos químicos; géneros alimentícios; fabrico de dispositivos médicos, computadores e eletrónica, máquinas e equipamentos, veículos a motor, reboques e semirreboques e outro equipamento de transporte; prestadores de serviços digitais (mercados em linha, motores de pesquisa em linha e plataformas de serviços de redes sociais) e organizações de investigação.
A avaliação das atuais regras em matéria de requisitos de segurança e de comunicação de incidentes revelou que, em alguns casos, os Estados-Membros aplicaram esses requisitos de formas significativamente diferentes. Esta situação criou um encargo adicional para as empresas que operam em mais do que um Estado-Membro.
Além disso, quando se trata de requisitos de cibersegurança, queremos ter a certeza de que todas as empresas abordam o conjunto essencial de elementos necessários nas suas políticas de gestão de riscos de cibersegurança.
Por esta razão, o NIS2 inclui uma lista de 10 elementos-chave que todas as empresas têm de abordar ou implementar como parte das medidas que tomam, incluindo o tratamento de incidentes, a segurança da cadeia de abastecimento, o tratamento e divulgação de vulnerabilidades, a utilização de criptografia e, se for caso disso, a encriptação.
Quando se trata de relatórios de incidentes, precisamos encontrar o equilíbrio certo entre a necessidade de uma comunicação rápida, a fim de evitar a potencial propagação de incidentes, e a necessidade de relatórios aprofundados para retirar ensinamentos valiosos retirados de incidentes individuais. A nova diretiva prevê uma abordagem em várias fases para a comunicação de incidentes. As empresas afetadas dispõem de 24 horas a contar da data em que tomam conhecimento de um incidente para apresentarem um alerta rápido à CSIRT ou à autoridade nacional competente, o que lhes permitirá igualmente procurar assistência (orientação ou aconselhamento operacional sobre a aplicação de eventuais medidas de atenuação) se assim o solicitarem. O alerta precoce deve ser seguido de uma notificação de incidente no prazo de 72 horas após ter tomado conhecimento do incidente e de um relatório final, o mais tardar, um mês depois.
A nova Diretiva SRI coloca a supervisão e a execução no centro das funções das autoridades competentes e estabelece um quadro coerente para todas as atividades de supervisão e execução em todos os Estados-Membros.
Afim de reforçar a supervisão que contribui para assegurar o cumprimento efetivo, a SRI2 estabelece uma lista mínima de meios de supervisão através dos quais as autoridades competentes podem supervisionar entidades essenciais e importantes. Estas incluem auditorias regulares e específicas, verificações no local e fora do local, pedidos de informações e acesso a documentos ou elementos de prova.
Além disso, a nova diretiva estabelece uma diferenciação dos regimes de supervisão entre entidades essenciais e importantes, com vista a assegurar um justo equilíbrio de obrigações tanto para as entidades como para as autoridades competentes.
No que diz respeito à execução, tem havido, até à data, uma relutância global entre os Estados-Membros em aplicar sanções às entidades que não apliquem medidas de segurança ou não comuniquem incidentes. Isto pode ter consequências negativas para a ciber-resiliência das entidades. A fim de tornar a execução eficaz, a nova diretiva estabelece um quadro coerente para as sanções em toda a União. Estabelece, por conseguinte, uma lista mínima de sanções administrativas em caso de violação das obrigações de gestão dos riscos de cibersegurança e de comunicação de informações estabelecidas na Diretiva SRI2. Estas sanções incluem instruções vinculativas, ordem para aplicar as recomendações de uma auditoria de segurança, ordem para alinhar as medidas de segurança com os requisitos em matéria de SRI e coimas. No que diz respeito às coimas, a nova Diretiva SRI estabelece uma distinção entre entidades essenciais e importantes. No que diz respeito às entidades essenciais, exige que os Estados-Membros prevejam um determinado nível de coimas, nomeadamente um máximo de, pelo menos, 10 000 000 EUR ou 2 % do volume de negócios anual total a nível mundial do exercício anterior, consoante o que for mais elevado. No que diz respeito às entidades importantes, a SRI2 exige que os Estados-Membros prevejam uma coima máxima de, pelo menos, 7 000 000 EUR ou, pelo menos, 1,4 % do volume de negócios anual total a nível mundial do exercício anterior, consoante o que for mais elevado.
Ao exercerem os seus poderes de execução, as autoridades competentes deverão ter devidamente em conta as circunstâncias específicas de cada caso, tais como a natureza, a gravidade e a duração da infração, os danos causados ou as perdas sofridas, o caráter intencional ou negligente da infração.
A fim de assegurar uma verdadeira responsabilização pelas medidas de cibersegurança a nível organizacional, a SRI2 introduz disposições sobre a responsabilidade das pessoas singulares que ocupam cargos de direção superiores nas entidades abrangidas pelo âmbito de aplicação da nova Diretiva SRI.
As novas regras melhoram a forma como a UE previne, trata e responde a incidentes e crises de cibersegurança em grande escala. Para o efeito, introduzem responsabilidades claras, um planeamento adequado e uma maior cooperação da UE. A SRI2 exige que os Estados-Membros nomeiem as autoridades nacionais responsáveis pela gestão de cibercrises, introduzam planos nacionais de resposta a incidentes e crises de cibersegurança em grande escala e criem a rede europeia de organizações de ligação a cibercrises (EU-CYCLONe) para apoiar a gestão coordenada de incidentes e crises de cibersegurança em grande escala a nível operacional. Esta rede é uma componente fundamental que contribui para a criação do quadro da UE para a gestão de cibercrises, delineado pela Comissão em 2017 com a Recomendação sobre a resposta coordenada a incidentes e crises em grande escala.
Em regra, considera-se que as entidades essenciais e importantes estão sob a jurisdição do Estado-Membro em que estão estabelecidas. Se a entidade estiver estabelecida em mais do que um Estado-Membro, deverá ser abrangida pela jurisdição de cada um desses Estados-Membros. As autoridades competentes de cada um destes Estados-Membros deverão cooperar, prestar assistência mútua entre si e, se for caso disso, realizar ações conjuntas de supervisão. Há várias exceções a esta regra:
- os fornecedores de redes ou fornecedores públicos de comunicações eletrónicas ou de serviços de comunicações eletrónicas acessíveis ao público seriam da jurisdição do Estado-Membro em que prestam os seus serviços.
- asentidades da administração pública seriam da competência do Estado-Membro que as estabeleceu.
- certos tipos de entidades estariam sob a jurisdição do Estado-Membro em que têm o seu estabelecimento principal na União. Estas entidades incluem prestadores de serviços de sistemas de nomes de domínio, registos de nomes de domínio de topo, entidades que prestam serviços de registo de nomes de domínio, prestadores de serviços de computação em nuvem, prestadores de serviços de centros de dados, fornecedores de redes de distribuição de conteúdos, prestadores de serviços geridos, prestadores de serviços de segurança geridos, bem como fornecedores de mercados em linha, de motores de pesquisa em linha e de plataformas de redes sociais. Trata-se de assegurar que essas entidades não enfrentam uma multiplicidade de requisitos legais diferentes, uma vez que prestam serviços além-fronteiras de forma particularmente elevada. Para efeitos de supervisão eficaz, os Estados-Membros exigirão que estes tipos de entidades notifiquem, nomeadamente, se o estabelecimento principal da entidade for o seu estabelecimento principal, bem como os seus outros estabelecimentos jurídicos na União ou, se não estiverem estabelecidos na União, o local onde o representante da entidade é designado. A ENISA deverá criar e manter um registo com as informações fornecidas nesta base pelos Estados-Membros.
A cooperação da UE é prosseguida, permitindo que os Estados-Membros atuem em conjunto e combatam os riscos de segurança emergentes decorrentes da transformação digital em curso.
Mais especificamente, os Estados-Membros poderão supervisionar conjuntamente a aplicação das regras da UE e prestar-se mutuamente assistência mútua em caso de práticas abusivas transfronteiras, estabelecer um diálogo mais estruturado com o setor privado e coordenar a divulgação das vulnerabilidades encontradas no software e no hardware vendidos em todo o mercado interno. Também poderão trabalhar de forma coordenada para avaliar os riscos de segurança e as ameaças relacionados com as novas tecnologias, como feito pela primeira vez com a tecnologia 5G.
Os Estados-Membros recorrerão à cooperação da UE para melhorar as capacidades nacionais através do intercâmbio de pessoal entre as autoridades e das avaliações pelos pares. Os grupos existentes, nomeadamente o Grupo de Cooperação que reúne as autoridades nacionais de cibersegurança e a Rede de Equipas de Resposta a Incidentes de Segurança Informática (CSIRT), contribuirão para promover a cooperação, respetivamente, a nível estratégico e técnico.
A Diretiva SRI2 está estreitamente ligada a duas outras iniciativas, a Diretiva Resiliência das Entidades Críticas (CER) e o Regulamento relativo à resiliência operacional digital do setor financeiro (Regulamento Resiliência Operacional Digital, DORA).
O âmbito de aplicação da SRI 2 e da Diretiva Resiliência das Entidades Críticas (Diretiva RCE) foi alinhado em grande medida para assegurar que a resiliência física e cibernética das entidades críticas é abordada de forma abrangente. As entidades identificadas como entidades críticas ao abrigo da Diretiva RCE passarão também a estar sujeitas às obrigações de cibersegurança da Diretiva SRI2. Além disso, as autoridades nacionais competentes ao abrigo das Diretivas RCE e SRI2 têm de cooperar e trocar regularmente informações pertinentes, nomeadamente sobre riscos, ciberameaças e incidentes, bem como sobre riscos, ameaças e incidentes não cibernéticos. O grupo de cooperação no âmbito da SRI2 terá de reunir-se regularmente e pelo menos uma vez por ano com o Grupo para a Resiliência das Entidades Críticas criado ao abrigo da Diretiva REC.
No que diz respeito ao setor financeiro, embora a nova Diretiva SRI inclua instituições de crédito, operadores de plataformas de negociação e contrapartes centrais abrangidas pelo seu âmbito de aplicação, o DORA aplicar-se-á a estas entidades no que diz respeito à gestão dos riscos de cibersegurança e às obrigações de comunicação de informações. Ao mesmo tempo, é importante manter uma relação forte para o intercâmbio de informações entre o setor financeiro e os outros setores abrangidos pela SRI 2. Para o efeito, no âmbito do DORA, as Autoridades Europeias de Supervisão (AES) do setor financeiro e as autoridades nacionais competentes do setor financeiro poderão participar nos debates do Grupo de Cooperação SRI. Além disso, as autoridades competentes do DORA poderão consultar e partilhar informações pertinentes com os pontos de contacto únicos (SPOC) e CSIRT estabelecidos no âmbito da SRI2. As autoridades competentes, os SPOC ou as CSIRT estabelecidas ao abrigo da NIS2 também receberiam das autoridades competentes ao abrigo do DORA informações pormenorizadas sobre incidentes graves relacionados com as TIC. Além disso, os Estados-Membros devem continuar a incluir o setor financeiro nas suas estratégias de cibersegurança e as CSIRT nacionais podem abranger o setor financeiro nas suas atividades.
Os Estados-Membros terão de transpor a diretiva até 17 de outubro de 2024 (21 meses a contar da entrada em vigor da SRI2). Em seguida, a Comissão tem de rever periodicamente o funcionamento da diretiva e apresentar um relatório sobre esta matéria ao Parlamento Europeu e ao Conselho, pela primeira vez até 17 de outubro de 2027.