Políticas de cibersegurança

Estratégia de cibersegurança

A Comissão Europeia e a Alta Representante da União para os Negócios Estrangeiros e a Política de Segurança apresentaram uma nova Estratégia da UE para a Cibersegurança no final de 2020.

A estratégia abrange a segurança dos serviços essenciais, como hospitais, redes energéticas e caminhos de ferro. Cobre também a segurança do número cada vez maior de objetos conectados em nossas casas, escritórios e fábricas.

A estratégia centra-se na criação de capacidades coletivas para responder a ciberataques importantes e na colaboração com parceiros de todo o mundo para garantir a segurança e a estabilidade internacionais no ciberespaço. Descreve a forma como uma unidade cibernética conjunta pode assegurar a resposta mais eficaz às ciberameaças, utilizando os recursos coletivos e os conhecimentos especializados à disposição da UE e dos Estados-Membros.

Legislação e certificação

Diretiva relativa a medidas destinadas a garantir um elevado nível comum de cibersegurança em toda a União (Diretiva SRI2)

As ameaças à cibersegurança são quase sempre transfronteiras, e um ciberataque às instalações críticas de um país pode afetar a UE no seu conjunto. Os países da UE devem dispor de organismos governamentais fortes que supervisionem a cibersegurança no seu país e que trabalhem em conjunto com os seus homólogos de outros Estados-Membros através da partilha de informações. Isto é particularmente importante para os setores que são críticos para as nossas sociedades.

A diretiva relativa à segurança das redes e da informação (Diretiva SRI), que todos os países já aplicaram, assegura a criação e a cooperação desses organismos governamentais. Esta diretiva foi revista no final de 2020.

Em resultado do processo de revisão, a proposta de diretiva relativa a medidas destinadas a garantir um elevado nível comum de cibersegurança em toda a União (Diretiva SRI2) foi apresentada pela Comissão em 16 de dezembro de 2020. 

A diretiva foi publicada no Jornal Oficial da União Europeia em dezembro de 2022 e entrará em vigor em 16 de janeiro de 2023. Os Estados-Membros disporão de 21 meses a contar da data de entrada em vigor da diretiva para transpor as disposições para o seu direito nacional (data efetiva: 18 de outubro de 2024).

ENISA — Agência da UE para a Cibersegurança

A ENISA (Agência da União Europeia para a Cibersegurança) é a agência da UE responsável pela cibersegurança. Presta apoio aos Estados-Membros, às instituições da UE e às empresas em domínios fundamentais, incluindo a aplicação da Diretiva SRI.

Lei da cibersegurança

O Regulamento Cibersegurança reforça o papel da ENISA. A agência tem agora um mandato permanente e está habilitada a contribuir para reforçar a cooperação operacional e a gestão de crises em toda a UE. Além disso, dispõe de mais recursos financeiros e humanos do que antes.

Certificação

A nossa vida digital só pode funcionar bem se houver confiança do público na cibersegurança dos produtos e serviços informáticos. É importante que possamos ver que um produto foi verificado e certificado para estar em conformidade com elevados padrões de cibersegurança. Existem atualmente vários sistemas de certificação de segurança para produtos informáticos em toda a UE. Dispor de um único sistema comum de certificação seria mais fácil e mais claro para todos.

Por conseguinte, a Comissão está a trabalhar num quadro de certificação à escala da UE, com a ENISA no seu cerne. O Regulamento Cibersegurança define o processo para alcançar este quadro.

Investimento

Plano de recuperação

A cibersegurança é uma das prioridades da Comissão na sua resposta à crise do coronavírus, uma vez que houve um aumento dos ciberataques durante o confinamento. O Plano de Recuperação para a Europa inclui investimentos adicionais na cibersegurança.

Apoio à investigação e inovação: Horizonte 2020 e PPPc; Horizonte Europa

A investigação em matéria de segurança digital é essencial para a construção de soluções inovadoras que possam proteger-nos contra as mais recentes e mais avançadas ciberameaças. É por isso que a cibersegurança é uma parte importante do Horizonte 2020 e do seu sucessor Horizonte Europa. 

No Horizonte Europa, para o período 2021-2027, a cibersegurança faz parte do agregado «Segurança Civil para a Sociedade». O programa de trabalho para 2021-2022 está atualmente em preparação.

No âmbito do Programa-Quadro Horizonte 2020, a Comissão cofinanciou a investigação e a inovação em temas como a preparação para a cibersegurança através de ciberfaixas e simulação, a cibersegurança para as pequenas e médias empresas, a cibersegurança no sistema energético e de energia elétrica e a cibersegurança e a proteção de dados em setores críticos. Estes temas inserem-se no agregado «Sociedades seguras — Proteger a liberdade e a segurança da Europa e dos seus cidadãos».

Em 2016, foi criada entre a Comissão Europeia e a Organização Europeia da Cibersegurança ( ECSO), uma associação composta por membros da ciberindústria, do meio académico, das administrações públicas e muito mais.

Apoio às cibercapacidades e à implantação

As nossas infraestruturas físicas e digitais estão estreitamente interligadas. Por conseguinte, a Comissão também investiu na cibersegurança no âmbito do seu programa de financiamento do investimento em infraestruturas, o Mecanismo Interligar a Europa ( MIE), para o período 2014-2020.

O apoio do MIE foi dirigido a equipas de resposta a incidentes de segurança informática, operadores de serviços essenciais (OES), prestadores de serviços digitais (DSP), balcões únicos (SPOC) e autoridades nacionais competentes (ANC). Tal reforça as capacidades de cibersegurança e a colaboração transfronteiras na UE, apoiando a execução da estratégia da UE em matéria de cibersegurança.

O Programa Europa Digital, para o período 2021-2027, é um programa ambicioso que prevê investir 1,9 mil milhões de euros na capacidade de cibersegurança e na ampla implantação de infraestruturas e ferramentas de cibersegurança em toda a UE para as administrações públicas, as empresas e os cidadãos.

A cibersegurança também faz parte do InvestEU. O programa InvestEU é um programa geral que reúne muitos instrumentos financeiros e utiliza o investimento público para garantir um maior investimento do setor privado. O seu mecanismo de investimento estratégico apoiará as principais cadeias de valor no domínio da cibersegurança. Trata-se de uma parte importante do pacote de recuperação em resposta à crise do coronavírus.

Centro e Rede de Competências em Cibersegurança; Atlas

O centro europeu de competências industriais, tecnológicas e de investigação em matéria de cibersegurança reunirá conhecimentos especializados e alinhará o desenvolvimento e a implantação europeus de tecnologias de cibersegurança. Trabalhará com a indústria, a comunidade académica e outras entidades para criar uma agenda comum para os investimentos na cibersegurança e decidir sobre as prioridades de financiamento para a investigação, o desenvolvimento e a implantação de soluções de cibersegurança através dos programas Horizonte Europa e Europa Digital.

Atualmente, estão em curso quatro projetos-piloto para lançar as bases do Centro de Competências e da Rede. Envolvem mais de 170 parceiros.

Para uma melhor panorâmica dos conhecimentos especializados e das capacidades em matéria de cibersegurança em toda a UE, a Comissão desenvolveu uma plataforma abrangente denominada Atlas da Cibersegurança.

Orientações políticas

Plano para uma resposta coordenada aos grandes ciberataques

O plano de ação da Comissão para uma resposta rápida a emergências fornece um plano em caso de ciberincidente transfronteiriço em grande escala ou de crise. Define os objetivos e as modalidades de cooperação entre os Estados-Membros e as instituições da UE na resposta a tais incidentes e crises. Explica de que forma os mecanismos existentes de gestão de crises podem utilizar plenamente as entidades de cibersegurança existentes a nível da UE.

Unidade Conjunta Cibernética

Como seguimento, a presidente da Comissão, Ursula von der Leyen, anunciou uma proposta de criação de uma ciberunidade comum à escala da UE. A recomendação sobre a criação da unidade cibernética conjunta, anunciada pela Comissão em 23 de junho de 2021, constitui um passo importante para a conclusão do quadro europeu de gestão de crises de cibersegurança. Trata-se de um resultado concreto da Estratégia da UE para a Cibersegurança e da Estratégia da UE para a União da Segurança, contribuindo para uma economia e uma sociedade digitais seguras.

A Unidade Cibernética Conjunta funcionará como uma plataforma para assegurar uma resposta coordenada da UE a ciberincidentes e crises em grande escala, bem como para prestar assistência na recuperação desses ataques.

Implantação segura de redes 5G na UE

Prevê-se a implantação de redes 5G em toda a UE. Eles oferecerão enormes benefícios, mas também terão mais pontos de entrada potenciais para atacantes devido à natureza menos centralizada de sua arquitetura, maior número de antenas e maior dependência de software. O conjunto de instrumentos da UE em matéria de 5G estabelece medidas para reforçar os requisitos de segurança das redes 5G, aplicar restrições pertinentes aos fornecedores considerados de alto risco e assegurar a diversificação dos fornecedores.

Assegurar o processo eleitoral

As nossas democracias europeias tornaram-se cada vez mais digitais: as campanhas políticas são realizadas em linha e as eleições acontecem por via eletrónica em muitos países. 

A Comissão emitiu recomendações para a cibersegurança das eleições para o Parlamento Europeu, como parte de um pacote mais vasto de recomendações para apoiar eleições europeias livres e justas. Um mês antes das eleições europeias de 2019, o Parlamento Europeu, os países da UE, a Comissão e a ENISA realizaram um teste em direto da sua preparação.

Competências e sensibilização

Competências

Só podemos garantir a segurança digital se dispusermos de peritos com os conhecimentos e competências adequados e se, atualmente, não forem suficientes. É por isso que a Comissão está a tomar medidas para estimular o desenvolvimento de competências em matéria de cibersegurança.

A Comissão preparou um apelo à criação de um quadro coerente para o ensino das competências em matéria de cibersegurança no ensino universitário e profissional. Os quatro projetos-piloto que preparam o centro de competências e a rede em matéria de cibersegurança da ECSO estão atualmente a trabalhar neste domínio. Existem também iniciativas recorrentes destinadas diretamente aos estudantes, como o desafio anual europeu em matéria de cibersegurança.

As competências em matéria de cibersegurança são abrangidas pela agenda geral da Comissão em matéria de competências digitais. Fazem igualmente parte dos esforços de financiamento no âmbito do Horizonte 2020, Horizonte Europa e do Programa Europa Digital. Um exemplo é o financiamento de «cyber ranges», que são ambientes de simulação ao vivo de ciberameaças para treinamento.

Sensibilização

O fator humano é muitas vezes o elo fraco na cibersegurança: alguém clicando em um link de phishing pode ter consequências enormes. Por conseguinte, a Comissão sensibilizou para a cibersegurança e promove as melhores práticas junto do público em geral. Por exemplo, uma vez por ano, organiza o Mês Europeu da Cibersegurança juntamente com a ENISA.

Comunidade cibernética

ENISA — Agência da UE para a Cibersegurança

A ENISA é a agência da UE responsável pela cibersegurança. Presta apoio aos Estados-Membros, às instituições da UE e às empresas em domínios fundamentais, incluindo a aplicação da Diretiva SRI.

CCAA

Os Centros de Compartilhamento e Análise de Informações (ISAC) promovem a colaboração entre a comunidade de cibersegurança em diferentes setores da economia. Um maior desenvolvimento dos ISAC, tanto a nível da UE como a nível nacional, é uma prioridade para a Comissão. Em colaboração com a ENISA, a Comissão promove igualmente a criação de novos ISAC em setores não abrangidos. O «consórcio ISAC da UE», supervisionado pela Comissão, presta apoio jurídico, técnico e organizacional aos ISAC.

CCI

O Centro Comum de Investigação (CCI) da Comissão está a contribuir ativamente para a cibersegurança na UE. Por exemplo, o CCI desenvolveu uma taxonomia em matéria de cibersegurança. Tal alinha a terminologia utilizada no domínio da cibersegurança, para que possamos ter uma visão mais clara das capacidades de cibersegurança na UE.

O CCI também publicou recentemente um relatório que fornece informações sobre o atual cenário de cibersegurança da UE e a sua história, intitulado «Cybersecurity — our digital âncora».

CSIRT/CERT

Nos termos da Diretiva SRI, os Estados-Membros da UE devem assegurar o bom funcionamento das equipas de resposta a incidentes de segurança informática («CSIRT»), também conhecidas como equipas de resposta a emergências informáticas («CERT»). Estas equipas lidam com incidentes e riscos de cibersegurança na prática. Cooperam entre si a nível da UE e colaboram também com o setor privado. Todos os tipos de operadores de serviços essenciais e prestadores de serviços digitais têm de ser abrangidos por CSIRT designadas.

As principais tarefas das CSIRT são:

• monitorização de incidentes a nível nacional;
• prestar alertas precoces, alertas, anúncios e outras informações sobre riscos e incidentes às partes interessadas pertinentes;
• resposta a incidentes;
• disponibilização de análises dinâmicas de riscos e incidentes e de um conhecimento da situação;
• participação na rede CSIRT.

ECSO

A Organização Europeia da Cibersegurança (ECSO) foi criada em 2016 para atuar como contrapartida da Comissão numa parceria público-privada contratual que abrange o Horizonte 2020 nos anos de 2016 a 2020. A maioria dos 250 membros da ECSO pertence quer à indústria da cibersegurança quer a instituições de investigação e académicas neste domínio. Em menor grau, os membros da ECSO incluem também intervenientes do setor público e indústrias do lado da procura.

Para além de formular recomendações sobre o Horizonte 2020, a ECSO realiza várias atividades destinadas à construção de comunidades e ao desenvolvimento industrial a nível europeu.

Raparigas4Cyber

É importante destacar o papel das mulheres na comunidade da cibersegurança, que estão sub-representadas. É por isso que a Comissão criou o Registo Women4Cyber, em cooperação com a iniciativa Women4Cyber da ECSO. Torna mais fácil para os meios de comunicação social, organizadores de eventos e outros encontrar as muitas raparigas talentosas que trabalham na cibersegurança, para que essas raparigas se tornem mais visíveis e proeminentes na comunidade cibernética e no debate público.

Outros domínios políticos em matéria de cibersegurança

Cibercriminalidade

Os criminosos comuns recorrem a ciberataques que ameaçam os europeus. O Departamento da Migração e Assuntos Internos da Comissão acompanha e atualiza a legislação da UE em matéria de cibercriminalidade e apoia a capacidade de aplicação da lei. A Comissão também trabalha em conjunto com o Centro Europeu da Cibercriminalidade na Europol.

Ciberdiplomacia

A UE está a envidar esforços para se proteger contra as ciberameaças do exterior das suas fronteiras. Neste contexto, a Comissão trabalha em conjunto com o Serviço Europeu para a Ação Externa e os Estados-Membros na implementação de uma resposta diplomática conjunta a ciberatividades maliciosas (« caixa de instrumentos para a ciberdiplomacia»). Esta resposta inclui a cooperação diplomática e o diálogo, medidas preventivas contra os ciberataques e sanções contra os envolvidos em ciberataques que ameaçam a UE.

A Comissão presta assistência na tomada de decisões sobre a resposta a ciberameaças externas sempre que necessário. Financia também diretamente a atual Iniciativa de Apoio à Ciberdiplomacia da UE.

Ciberdefesa

Em 10 de novembro de 2022, a Comissão e a Alta Representante apresentaram uma comunicação conjunta sobre uma política de ciberdefesa da UE para fazer face à deterioração do ambiente de segurança na sequência da agressão da Rússia contra a Ucrânia e reforçar a capacidade da UE para proteger os seus cidadãos e as suas infraestruturas.  

A política da UE em matéria de ciberdefesa assenta em quatro pilares que abrangem uma vasta gama de iniciativas que ajudarão a UE e os Estados-Membros a serem mais capazes de detetar, dissuadir e defender contra ciberataques:

1. AGIR EM CONJUNTO PARA UMA CIBERDEFESA DA UE MAIS FORTE

2. PROTEGER O ECOSSISTEMA DE DEFESA

3. INVESTIR EM CAPACIDADES DE CIBERDEFESA

4. PARCEIRO PARA ENFRENTAR DESAFIOS COMUNS

A nova política exige investimentos em capacidades deciberdefesa de pleno espetro e reforçará a coordenação e a cooperação entre as cibercomunidades militares e civis da UE. Reforçará a cooperação com o setor privado e a gestão eficiente das cibercrises na União. A nova política contribuirá igualmente para reduzir as nossas dependências estratégicas das cibertecnologias críticas e reforçará a Base Industrial Tecnológica Europeia de Defesa (BITDE). Estimulará a formação, atraindo e retendo talentos cibernéticos.

A UE coopera em matéria de defesa no ciberespaço através das atividades da Comissão Europeia, do Serviço Europeu para a Ação Externa (SEAE), da Agência Europeia de Defesa, bem como da ENISA e da Agência da União Europeia para a Cooperação Policial (Europol).

Reforço das cibercapacidades em países terceiros

A UE coopera com outros países para ajudar a reforçar a sua capacidade de defesa contra as ameaças à cibersegurança. A Comissão apoia vários programas de cibersegurança nos Balcãs Ocidentais e nosseis países da Parceria Oriental da vizinhança imediata da UE, bem como noutros países do mundo através do seu departamento de Cooperação Internacional e Desenvolvimento.