Diretiva SRI 2: novas regras em matéria de cibersegurança das redes e dos sistemas de informação

A cibersegurança envolve a proteção das redes e dos sistemas de informação (SRI), dos seus utilizadores e de outras pessoas afetadas contra ciberincidentes e ameaças. Para dar resposta ao aumento da exposição da Europa às ciberameaças, a Diretiva 2022/2555, também conhecida por SRI 2, substituiu a sua antecessora, a Diretiva 2016/1148 ou SRI 1. A SRI 2 aumenta o nível comum de ambição da UE em matéria de cibersegurança, através de um âmbito de aplicação mais vasto, de regras mais claras e de instrumentos de supervisão mais sólidos. Exige que os Estados-Membros reforcem as suas capacidades de cibersegurança, introduzindo simultaneamente medidas de gestão dos riscos e requisitos de comunicação de informações a entidades de mais setores e estabelecendo regras para a cooperação, a partilha de informações, a supervisão e a aplicação de medidas de cibersegurança.

A diretiva exige que cada Estado-Membro adote uma estratégia nacional de cibersegurança, que inclua políticas para a segurança da cadeia de abastecimento, a gestão da vulnerabilidade e a educação e sensibilização para a cibersegurança. Os Estados-Membros devem também estabelecer e atualizar regularmente uma lista de operadores de serviços essenciais, assegurando que estas entidades cumprem os requisitos da diretiva. 

Para além dos setores já abrangidos pela Diretiva SRI 1, como a energia, os transportes, os cuidados de saúde, as finanças, a gestão da água e as infraestruturas digitais, estas regras aplicam-se aos prestadores de serviços públicos de comunicações eletrónicas, mais serviços digitais, como as plataformas sociais, a gestão das águas residuais e dos resíduos, o fabrico de produtos críticos, os serviços postais e de correio rápido, a administração pública, tanto a nível central como regional, ou o espaço. Regra geral, as entidades de média e grande dimensão nestes setores críticos terão de tomar medidas adequadas de gestão dos riscos de cibersegurança e notificar as autoridades nacionais competentes de incidentes significativos. Trata-se de incidentes que podem causar perturbações ou danos significativos. 

A diretiva inclui igualmente disposições em matéria de supervisão, execução e avaliações voluntárias pelos pares, a fim de reforçar a confiança mútua e as capacidades de cibersegurança em toda a UE. Introduz igualmente a responsabilização dos quadros superiores em caso de incumprimento das medidas de gestão dos riscos de cibersegurança, chamando assim a atenção dos conselhos de administração para a cibersegurança.

A diretiva cria uma rede de equipas de resposta a incidentes de segurança informática (CSIRT) para trocar informações sobre ciberameaças e responder a incidentes. Estas equipas são cruciais para manter o conhecimento situacional e oferecer assistência. Para gerir incidentes ou crises de cibersegurança em grande escala, a diretiva cria a Rede Europeia de Organizações de Coordenação de Cibercrises (UE-CyCLONe). Esta rede apoia a gestão coordenada e assegura o intercâmbio regular de informações entre os Estados-Membros e as instituições da UE em caso de incidentes e crises em grande escala. 

Paralelamente, o grupo de cooperação SRI é uma plataforma criada pela Diretiva SRI para facilitar a cooperação estratégica e o intercâmbio de informações entre os Estados-Membros da UE, a Comissão Europeia e a Agência da União Europeia para a Cibersegurança (ENISA). O grupo publica orientações e recomendações não vinculativas para apoiar a aplicação da Diretiva SRI.

Antecedentes

A Diretiva SRI 1 (Diretiva 2016/1148) foi a primeira legislação abrangente da UE destinada a reforçar a cibersegurança das redes e dos sistemas de informação, a fim de salvaguardar serviços vitais para a economia e a sociedade da UE. Em dezembro de 2020, a Comissão propôs a revisão da Diretiva SRI 1, que resultou na adoção da Diretiva SRI 2, que entrou em vigor em janeiro de 2023. Os Estados-Membros tinham até 17 de outubro de 2024 para transpor a Diretiva SRI 2 para o direito nacional. A Diretiva SRI 2 revogou a Diretiva SRI 1 a partir de 18 de outubro de 2024.

A Comissão deu início a procedimentos de infração, enviando cartas de notificação para cumprir a 23 Estados-Membros por não terem transposto integralmente a Diretiva SRI 2 para o direito nacional até 17 de outubro de 2024. Os Estados-Membros têm de responder e concluir a transposição da diretiva. Se não o fizerem, a Comissão pode emitir um parecer fundamentado, que constitui um pedido formal para dar cumprimento ao direito da UE. O incumprimento continuado poderá eventualmente levar à instauração de uma ação no Tribunal de Justiça da União Europeia, que pode impor sanções financeiras.