A Diretiva SRI 2 estabelece um quadro jurídico unificado para defender a cibersegurança em 18 setores críticos em toda a UE. Apela igualmente aos Estados-Membros para que definam estratégias nacionais de cibersegurança e colaborem com a UE em matéria de reação e execução transfronteiras.
A cibersegurança envolve a proteção de ⁇ redes e sistemas de informação ⁇ (SRI), dos seus utilizadores e de outras pessoas afetadas contra ciberincidentes e ameaças. Para dar resposta ao aumento da exposição da Europa às ciberameaças, a ⁇ Diretiva 2022/2555, também conhecida por SRI2 ⁇ , substituiu a sua antecessora, a Diretiva 2016/1148 ou SRI1. A SRI 2 aumenta o nível comum de ambição da UE em matéria de cibersegurança, através de um âmbito mais vasto, de regras mais claras e de instrumentos de supervisão mais sólidos. Exige que os Estados-Membros ⁇ reforcem as suas capacidades de cibersegurança ⁇ , introduzindo simultaneamente medidas de gestão dos riscos e requisitos de comunicação de informações às entidades de mais setores e estabelecendo regras para a cooperação, a partilha de informações, a supervisão e a aplicação de medidas de cibersegurança.
A diretiva exige que cada Estado-Membro adote uma estratégia nacional de cibersegurança, que inclua políticas em matéria de segurança da cadeia de abastecimento, gestão da vulnerabilidade e educação e sensibilização para a cibersegurança. Os Estados-Membros devem também estabelecer e atualizar regularmente uma lista de operadores de serviços essenciais, assegurando que estas entidades cumprem os requisitos da diretiva.
Para além dos setores já abrangidos pela SRI 1, como a energia, os transportes, os cuidados de saúde, as finanças, a gestão da água e as infraestruturas digitais, estas regras aplicam-se aos prestadores de serviços públicos de comunicações eletrónicas, a mais serviços digitais, como as plataformas sociais, à gestão das águas residuais e dos resíduos, ao fabrico de produtos críticos, aos serviços postais e de correio rápido, à administração pública, tanto a nível central como regional ou espacial. Regra geral, as entidades de média e grande dimensão nestes setores críticos terão de tomar medidas adequadas de gestão dos riscos de cibersegurança e notificar as autoridades nacionais competentes de incidentes significativos. Trata-se de incidentes que podem causar perturbações ou danos significativos.
A diretiva inclui igualmente disposições em matéria de supervisão, execução e avaliações voluntárias pelos pares, a fim de reforçar a confiança mútua e as capacidades de cibersegurança em toda a UE. Introduz igualmente a responsabilização da gestão de topo pelo incumprimento das medidas de gestão dos riscos de cibersegurança, chamando assim a atenção dos conselhos de administração para a cibersegurança.
A diretiva cria uma rede de equipas de resposta a incidentes de segurança informática (CSIRT) para trocar informações sobre ciberameaças e responder a incidentes. Estas equipas são cruciais para manter o conhecimento situacional e oferecer assistência. Para gerir incidentes ou crises de cibersegurança em grande escala, a diretiva cria a ⁇ Rede Europeia de Organizações de Coordenação de Cibercrises (EU-CyCLONe) ⁇ . Esta rede apoia a gestão coordenada e assegura o intercâmbio regular de informações entre os Estados-Membros e as instituições da UE em caso de incidentes e crises em grande escala.
Paralelamente, o ⁇ Grupo de Cooperação SRI ⁇ é uma plataforma criada pela Diretiva SRI para facilitar a cooperação estratégica e o intercâmbio de informações entre os Estados-Membros da UE, a Comissão Europeia e a Agência da UE para a Cibersegurança (ENISA). O grupo publica orientações e recomendações não vinculativas para apoiar a aplicação da Diretiva SRI.
Antecedentes
A ⁇ Diretiva SRI 1 (Diretiva 2016/1148) ⁇ foi a primeira legislação abrangente da UE destinada a reforçar a cibersegurança das redes e dos sistemas de informação, a fim de salvaguardar serviços vitais para a economia e a sociedade da UE. Em dezembro de 2020, a Comissão propôs a revisão da SRI 1, que resultou na adoção da SRI 2, que entrou em vigor em janeiro de 2023. Os Estados-Membros tinham até 17 de outubro de 2024 para transpor a Diretiva SRI 2 para o direito nacional. A Diretiva SRI 2 revogou a Diretiva SRI 1 a partir de 18 de outubro de 2024.
Últimas notícias
Conteúdo relacionado
Visão geral
Em pormenor
-
O grupo de cooperação sobre redes e sistemas de informação foi criado pela Diretiva SRI para...
-
A Comissão, juntamente com a Agência da União Europeia para a Segurança das Redes e da Informação...