Proposta de diretiva relativa a medidas destinadas a garantir um elevado nível comum de cibersegurança em toda a União

Apesar das suas notáveis realizações, a Diretiva relativa à segurança das redes e da informação (Diretiva SRI), que abriu caminho a uma mudança significativa da mentalidade, da abordagem institucional e regulamentar da cibersegurança em muitos Estados-Membros, também já provou as suas limitações. A transformação digital da sociedade (intensificada pela crise da COVID-19) alargou o panorama das ameaças e está a criar novos desafios, que exigem respostas adaptadas e inovadoras.
Agora, qualquer perturbação, mesmo que inicialmente confinada a uma entidade ou a um setor, pode ter efeitos em cascata de forma mais ampla, resultando potencialmente em impactos negativos de longo alcance e duradouros na prestação de serviços em todo o mercado interno.

Para fazer face a estes desafios, tal como anunciado na Comunicação intitulada «Construir o futuro digital da Europa», a Comissão acelerou a revisão da diretiva até ao final de 2020, realizou uma avaliação de impacto e apresentou uma nova proposta legislativa.

Principais elementos da proposta da Comissão

A nova proposta da Comissão visa colmatar as deficiências da anterior Diretiva SRI, adaptá-la às necessidades atuais e torná-la preparada para o futuro.

Para o efeito, a proposta da Comissão alarga o âmbito de aplicação da atual Diretiva SRI, acrescentando novos setores com base na sua importância crítica para a economia e a sociedade e introduzindo um limite de dimensão claro — o que significa que todas as médias e grandes empresas de setores selecionados serão incluídas no âmbito de aplicação. Ao mesmo tempo, deixa alguma flexibilidade aos Estados-Membros para identificarem entidades de menor dimensão com um perfil de risco elevado para a segurança.

A proposta elimina igualmente a distinção entre operadores de serviços essenciais e prestadores de serviços digitais. As entidades seriam classificadas com base na sua importância e divididas, respetivamente, em categorias essenciais e importantes, com a consequência de estarem sujeitas a diferentes regimes de supervisão.

A proposta reforça os requisitos de segurança para as empresas, impondo uma abordagem de gestão de riscos que forneça uma lista mínima de elementos básicos de segurança que devem ser aplicados. A proposta introduz disposições mais precisas sobre o processo de comunicação de incidentes, o conteúdo dos relatórios e os prazos.

Além disso, a Comissão propõe abordar a questão da segurança das cadeias de abastecimento e das relações com os fornecedores, exigindo que as empresas individuais abordem os riscos de cibersegurança nas cadeias de abastecimento e nas relações com os fornecedores. A nível europeu, a proposta reforça a cibersegurança da cadeia de abastecimento das tecnologias essenciais da informação e da comunicação. Os Estados-Membros, em cooperação com a Comissão e a ENISA, realizarão avaliações coordenadas dos riscos das cadeias de abastecimento críticas, com base na abordagem bem sucedida adotada no contexto da Recomendação da Comissão sobre a cibersegurança das redes 5G.

A proposta introduz medidas de supervisão mais rigorosas para as autoridades nacionais, requisitos de execução mais rigorosos e visa harmonizar os regimes de sanções em todos os Estados-Membros.

A proposta reforça igualmente o papel do grupo de cooperação na definição de decisões estratégicas em matéria de tecnologias emergentes e novas tendências e aumenta a partilha de informações e a cooperação entre as autoridades dos Estados-Membros. Reforça igualmente a cooperação operacional, nomeadamente em matéria de gestão de cibercrises.

A proposta da Comissão estabelece um quadro básico com intervenientes-chave responsáveis em matéria de divulgação coordenada de vulnerabilidades para vulnerabilidades recém-descobertas em toda a UE e de criação de um registo da UE sobre o funcionamento da Agência da União Europeia para a Cibersegurança (ENISA).
 

Próximos passos

As próximas etapas relevantes são as seguintes:

• A proposta será objeto de negociações entre os colegisladores, nomeadamente o Conselho da UE e o Parlamento Europeu.
• Uma vez aprovada a proposta e, consequentemente, adotada, os Estados-Membros terão de transpor a Diretiva SRI2 no prazo de 18 meses.
• A Comissão tem de rever periodicamente a Diretiva SRI2 e apresentar pela primeira vez um relatório sobre a revisão 54 meses após a entrada em vigor.
• A Comissão Europeia aguarda com expectativa a implementação da nova estratégia cibernética nos próximos meses.