Regulamento Cibersegurança da UE

Um novo mandato para a ENISA

A ENISA, a Agência da UE para a Cibersegurança, está agora mais forte. O Regulamento Cibersegurança da UE confere um mandato permanente à agência e confere-lhe mais recursos e novas tarefas.

A ENISA tem um papel fundamental na criação e manutenção do Quadro Europeu de Certificação da Cibersegurança, preparando o terreno técnico para sistemas de certificação específicos. É responsável por informar o público sobre os sistemas de certificação e os certificados emitidos através de um sítio Web específico. 

A ENISA está mandatada para aumentar a cooperação operacional a nível da UE, ajudando os Estados-Membros da UE que pretendam solicitar-lhe que trate os seus incidentes de cibersegurança e apoiando a coordenação da UE em caso de ciberataques e crises transfronteiriças em grande escala.

Esta tarefa baseia-se no papel da ENISA enquanto secretariado da rede nacional de equipas de resposta a incidentes de segurança informática (CSIRT), criada pela Diretiva Segurança das Redes e da Informação (Diretiva SRI).

Em janeiro de 2026, a Comissão propôs um novo Regulamento Cibersegurança para reforçar ainda mais a resiliência e as capacidades da UE em matéria de cibersegurança. Ao abrigo da proposta, a ENISA continuará a apoiar as empresas e as partes interessadas que operam na UE através da emissão de alertas precoces de ciberameaças e incidentes. 

Em cooperação com a Europol e as equipas de resposta a incidentes de segurança informática (CSIRT), apoiará as empresas na resposta e recuperação de ataques de software de sequestro.

A ENISA desenvolverá igualmente uma capacidade comum da União em matéria de serviços de gestão de vulnerabilidades e prestará serviços de gestão de vulnerabilidades às partes interessadas. Operará o ponto de entrada única para a comunicação de incidentes proposto no Omnibus Digital.

O Regulamento Cibersegurança revisto visa igualmente reduzir os riscos na cadeia de abastecimento das TIC da UE decorrentes de fornecedores de países terceiros com preocupações em matéria de cibersegurança. Estabelece um quadro fiável de segurança da cadeia de abastecimento das TIC, utilizando uma abordagem harmonizada, proporcionada e baseada no risco. Os recentes incidentes de cibersegurança evidenciaram os principais riscos de vulnerabilidades nas cadeias de abastecimento de TIC, que são essenciais para serviços e infraestruturas críticos.

Um quadro europeu de certificação da cibersegurança

O Regulamento Cibersegurança da UE introduz um quadro de certificação da cibersegurança à escala da UE para os produtos, serviços e processos de TIC. As empresas que operam na UE beneficiarão de ter de certificar os seus produtos, processos e serviços de TIC apenas uma vez e ver os seus certificados reconhecidos em toda a União Europeia.

Com a proposta de revisão do Regulamento Cibersegurança, o quadro europeu de certificação da cibersegurança renovado proporcionará maior clareza e procedimentos mais simples para o desenvolvimento de sistemas no prazo de 12 meses por defeito. 

Alterações específicas

Em 18 de abril de 2023, a Comissão propôs uma alteração específica do Regulamento Cibersegurança da UE. Esta alteração específica foi adotada em 15 de janeiro de 2025 e visa permitir a futura adoção de sistemas europeus de certificação para «serviços de segurança geridos», abrangendo domínios como a resposta a incidentes, os testes de penetração, as auditorias de segurança e a consultoria. A certificação é fundamental para garantir um elevado nível de qualidade e fiabilidade destes serviços de cibersegurança altamente críticos e sensíveis, que ajudam as empresas e as organizações a prevenir, detetar, responder ou recuperar de incidentes.

Em 20 de janeiro de 2026, a Comissão propôs igualmente alterações específicas à Diretiva SRI 2, a fim de aumentar a clareza jurídica. As alterações simplificarão o cumprimento das regras da UE em matéria de cibersegurança e dos requisitos de gestão dos riscos para as empresas que operam na UE. Facilitarão a conformidade para 28 700 empresas, incluindo 6 200 micro e pequenas empresas.