Skip to main content
Shaping Europe’s digital future

Diretiva SRI 2: novas regras em matéria de cibersegurança das redes e dos sistemas de informação

A Diretiva SRI 2 estabelece um quadro jurídico unificado para defender a cibersegurança em 18 setores críticos em toda a UE. Apela igualmente aos Estados-Membros para que definam estratégias nacionais de cibersegurança e colaborem com a UE em matéria de reação e execução transfronteiras.

A cibersegurança envolve a proteção de ⁇ redes e sistemas de informação ⁇ (SRI), dos seus utilizadores e de outras pessoas afetadas contra ciberincidentes e ameaças. Para dar resposta ao aumento da exposição da Europa às ciberameaças, a ⁇ Diretiva 2022/2555, também conhecida por SRI2 ⁇ , substituiu a sua antecessora, a Diretiva 2016/1148 ou SRI1. A SRI 2 aumenta o nível comum de ambição da UE em matéria de cibersegurança, através de um âmbito mais vasto, de regras mais claras e de instrumentos de supervisão mais sólidos. Exige que os Estados-Membros ⁇ reforcem as suas capacidades de cibersegurança ⁇ , introduzindo simultaneamente medidas de gestão dos riscos e requisitos de comunicação de informações às entidades de mais setores e estabelecendo regras para a cooperação, a partilha de informações, a supervisão e a aplicação de medidas de cibersegurança.

A diretiva exige que cada Estado-Membro adote uma estratégia nacional de cibersegurança, que inclua políticas em matéria de segurança da cadeia de abastecimento, gestão da vulnerabilidade e educação e sensibilização para a cibersegurança. Os Estados-Membros devem também estabelecer e atualizar regularmente uma lista de operadores de serviços essenciais, assegurando que estas entidades cumprem os requisitos da diretiva. 

Para além dos setores já abrangidos pela SRI 1, como a energia, os transportes, os cuidados de saúde, as finanças, a gestão da água e as infraestruturas digitais, estas regras aplicam-se aos prestadores de serviços públicos de comunicações eletrónicas, a mais serviços digitais, como as plataformas sociais, à gestão das águas residuais e dos resíduos, ao fabrico de produtos críticos, aos serviços postais e de correio rápido, à administração pública, tanto a nível central como regional ou espacial. Regra geral, as entidades de média e grande dimensão nestes setores críticos terão de tomar medidas adequadas de gestão dos riscos de cibersegurança e notificar as autoridades nacionais competentes de incidentes significativos. Trata-se de incidentes que podem causar perturbações ou danos significativos. 

A diretiva inclui igualmente disposições em matéria de supervisão, execução e avaliações voluntárias pelos pares, a fim de reforçar a confiança mútua e as capacidades de cibersegurança em toda a UE. Introduz igualmente a responsabilização da gestão de topo pelo incumprimento das medidas de gestão dos riscos de cibersegurança, chamando assim a atenção dos conselhos de administração para a cibersegurança.

A diretiva cria uma rede de equipas de resposta a incidentes de segurança informática (CSIRT) para trocar informações sobre ciberameaças e responder a incidentes. Estas equipas são cruciais para manter o conhecimento situacional e oferecer assistência. Para gerir incidentes ou crises de cibersegurança em grande escala, a diretiva cria a ⁇ Rede Europeia de Organizações de Coordenação de Cibercrises (EU-CyCLONe) ⁇ . Esta rede apoia a gestão coordenada e assegura o intercâmbio regular de informações entre os Estados-Membros e as instituições da UE em caso de incidentes e crises em grande escala. 

Paralelamente, o ⁇ Grupo de Cooperação SRI ⁇ é uma plataforma criada pela Diretiva SRI para facilitar a cooperação estratégica e o intercâmbio de informações entre os Estados-Membros da UE, a Comissão Europeia e a Agência da UE para a Cibersegurança (ENISA). O grupo publica orientações e recomendações não vinculativas para apoiar a aplicação da Diretiva SRI.

Antecedentes

A ⁇ Diretiva SRI 1 (Diretiva 2016/1148) ⁇ foi a primeira legislação abrangente da UE destinada a reforçar a cibersegurança das redes e dos sistemas de informação, a fim de salvaguardar serviços vitais para a economia e a sociedade da UE. Em dezembro de 2020, a Comissão propôs a revisão da SRI 1, que resultou na adoção da SRI 2, que entrou em vigor em janeiro de 2023. Os Estados-Membros tinham até 17 de outubro de 2024 para transpor a Diretiva SRI 2 para o direito nacional. A Diretiva SRI 2 revogou a Diretiva SRI 1 a partir de 18 de outubro de 2024.


 

Últimas notícias

The EU flag next to the South Korean one.
  • Comunicado de imprensa
  • 20 Maio 2025

A UE e a República da Coreia trocaram pontos de vista sobre a evolução da política em matéria de ciberameaças e debateram o panorama das ciberameaças e os respetivos quadros para prevenir, dissuadir e responder a ciberameaças. Abordaram igualmente a cibersegurança e a resiliência.

Portrait image of Roberto Viola and Doina Nistor.
  • Digibyte
  • 20 Maio 2025

On 20 May, Roberto Viola, Director-General for DG CONNECT, and Doina Nistor, Deputy Prime Minister, Minister of Economic Development and Digitalisation of the Republic of Moldova, concluded an amendment to Moldova’s Digital Europe Programme association agreement.

A digital padlock with a circuit board design against a blue background with binary code. It is related to computer security, data security, and cyber security.
  • Comunicado de imprensa
  • 07 Maio 2025

A Comissão Europeia decidiu hoje enviar um parecer fundamentado a 19 Estados-Membros (Bulgária, Chéquia, Dinamarca, Alemanha, Estónia, Irlanda, Espanha, França, Chipre, Letónia, Luxemburgo, Hungria, Países Baixos, Áustria, Polónia, Portugal, Eslovénia, Finlândia e Suécia) por não terem notificado a transposição integral da Diretiva SRI 2 (Diretiva (UE) 2022/2555).

Conteúdo relacionado

Visão geral

A União Europeia trabalha em várias frentes para promover a ciber-resiliência, salvaguardar a nossa comunicação e os nossos dados e manter a sociedade e a economia em linha seguras.

Em pormenor