O DHS e a DG CONNECT anunciam iniciativa que compara a comunicação de ciberincidentes para alinhar melhor as abordagens transatlânticas

A Direção-Geral das Comunicações, Redes, Conteúdos e Tecnologias da Comissão Europeia (DG CONNECT) e o Departamento de Segurança Interna dos EUA (DHS) anunciaram hoje uma iniciativa para comparar os elementos de notificação de ciberincidentes que irão informar os requisitos de comunicação de ciberincidentes por parte dos EUA e da União Europeia (UE) ao abrigo da Diretiva SRI 2. Esta colaboração transatlântica entre a UE e os EUA baseia-se nos seus esforços para proteger os seus cidadãos, as suas infraestruturas críticas e as empresas contra as ciberatividades prejudiciais. 

O relatório conjunto elaborado pela DG CONNECT e pelo DHS, com o apoio das respetivas agências de cibersegurança, da Agência Europeia para a Cibersegurança (ENISA) e da Agência para a Segurança da Cibersegurança e das Infraestruturas (CISA), fornece uma avaliação comparativa e uma panorâmica factual das recomendações do Conselho de Informação sobre Ciberincidentes dos EUA e do relatório do DHS de 2023 sobre a harmonização da comunicação de informações sobre ciberincidentes ao Governo Federal e a Diretiva 2022/2555 da UE relativa a medidas para um elevado nível de cibersegurança em toda a União (Diretiva SRI2), identificando as principais semelhanças e divergências. As conclusões do presente relatório ajudarão a informar a abordagem da DG CONNECT e do DHS para avaliar os processos de notificação de ciberincidentes no futuro. O relatório identifica seis áreas principais para análise comparativa entre o relatório do DHS e a Diretiva da UE, incluindo: I) definições e limiares de comunicação, ii) prazos, fatores de desencadeamento e tipos de comunicação de ciberincidentes, iii) conteúdo das notificações de ciberincidentes, iv) mecanismos de comunicação de informações, v) agregação de dados relativos a incidentes e vi) divulgação pública de informações sobre ciberincidentes. 

Os incidentes cibernéticos não reconhecem fronteiras e as empresas multinacionais são frequentemente obrigadas a relatar incidentes em várias jurisdições. Estamos empenhados em harmonizar as regras em matéria de comunicação de incidentes a nível nacional e com parceiros que partilham as mesmas ideias, como a União Europeia, sempre que possível. A nossa abordagem permitirá que as autoridades governamentais obtenham as informações de que necessitam para fornecer a defesa cibernética, ao mesmo tempo que simplificam o processo para as organizações vítimas.

Robert Silvers, subsecretário de Política do DHS e presidente do Conselho de Informação de Incidentes Cibernéticos. 

Em todo o Atlântico, procuramos trabalhar em conjunto para comparar os requisitos de comunicação de informações pertinentes, incluindo a forma ou o formato das informações solicitadas, procurando formas de minimizar os encargos administrativos para as entidades que comunicam informações,

Roberto Viola, Diretor-Geral das Redes de Comunicação, Conteúdos e Tecnologias da CE 

Esta iniciativa — que está em consonância com a Declaração Conjunta de 2024 entre o Secretário da Segurança Interna, Alejandro N. Mayorkas, e o Comissário Europeu responsável pelo Mercado Interno, Thierry Breton — marca o início de um processo para alinhar a comunicação de ciberincidentes transatlânticos, sempre que possível. O DHS e a DG CONNECT convidam a indústria dos EUA e da UE a partilhar os seus contributos e reações à nossa colaboração e abordagem conjuntas na avaliação dos processos de notificação de ciberincidentes. 

Este domínio é crítico, uma vez que as autoridades governamentais competentes devem ter acesso a informações sobre incidentes cibernéticos que afetem os seus cidadãos ou que, de outra forma, suscitem preocupações em matéria de segurança. Além disso, reconhecemos que, nos próximos meses, tanto os Estados Unidos como a União Europeia continuarão a trabalhar para pôr em prática os regimes de comunicação obrigatória, nomeadamente através da aplicação de disposições mais precisas sobre o processo de comunicação de incidentes, o conteúdo dos relatórios e os prazos. É importante manter-se ligado a estas questões e alinhar-se sempre que possível.

Lorena Boix Alonso, diretora da Comissão Europeia para a Sociedade Digital, a Confiança e a Cibersegurança

Ao longo do próximo ano, as nossas equipas planeiam continuar a nossa cooperação a um nível mais técnico, nomeadamente através do mapeamento de elementos como taxonomias de incidentes de cibersegurança, modelos de relatórios e o conteúdo dos relatórios e formatos. Realizaremos um cruzamento aprofundado do Modelo de Formulário de Relatórios desenvolvido pelo DHS contra o NIS 2 requerido conteúdo dos relatórios para identificar onde há sobreposição e disparidades nos tipos de dados solicitados. À medida que continuamos estes esforços a avançar, temos de permanecer ágeis e adaptar-nos ao cenário de ciberameaças em rápida evolução, uma vez que nada permanece estático no nosso mundo digital durante muito tempo.

Iranga Kahangama, secretária-adjunta do DHS para Cibersegurança, Infraestrutura, Risco e Resiliência.

O Cyber Incident Reporting for Critical Infrastructure Act (Circia), assinado em lei pelo presidente Biden em 2022, estabeleceu o Cyber Incident Reporting Council (CIRC), liderado pelo DHS para «coordenar, desconfiar e harmonizar os requisitos federais de comunicação de incidentes, incluindo os emitidos através de regulamentos». O CIRC, que é presidido pelo DHS e inclui representação de mais de 30 agências, delineou uma série de recomendações acionáveis sobre como o governo dos EUA pode simplificar e harmonizar a comunicação de incidentes cibernéticos para proteger melhor a infraestrutura crítica do país. Em 2023, o DHS apresentou ao Congresso um relatório que incluía recomendações do Conselho intitulada Harmonization of Cyber Incident Reporting to the Federal Government.

Em janeiro de 2023, a Diretiva SRI2 entrou em vigor, concedendo aos Estados-Membros da UE 21 meses para a transporem para o direito nacional. A Diretiva SRI2 baseia-se nos requisitos da sua antecessora, a Diretiva (UE) 2016/1148, relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação em toda a União (Diretiva SRI), em vigor desde 2016, mas aumenta o nível comum de ambição da UE em matéria de cibersegurança, através de um âmbito mais vasto, de regras mais claras e de instrumentos de supervisão mais sólidos. A Diretiva SRI2 harmoniza, reforça e racionaliza os requisitos de segurança e de comunicação de incidentes para um maior número de entidades, que são fundamentais para a economia e a sociedade europeias.