Skip to main content
Shaping Europe’s digital future

Diretiva SRI 2: novas regras em matéria de cibersegurança das redes e dos sistemas de informação

A Diretiva SRI 2 estabelece um quadro jurídico unificado para defender a cibersegurança em 18 setores críticos em toda a UE. Apela igualmente aos Estados-Membros para que definam estratégias nacionais de cibersegurança e colaborem com a UE na reação e aplicação transfronteiriças.

A cibersegurança envolve a proteção das redes e dos sistemas de informação (SRI), dos seus utilizadores e de outras pessoas afetadas contra ciberincidentes e ameaças. Para dar resposta ao aumento da exposição da Europa às ciberameaças, a Diretiva 2022/2555, também conhecida por SRI 2, substituiu a sua antecessora, a Diretiva 2016/1148 ou SRI 1. A SRI 2 aumenta o nível comum de ambição da UE em matéria de cibersegurança, através de um âmbito de aplicação mais vasto, de regras mais claras e de instrumentos de supervisão mais sólidos. Exige que os Estados-Membros reforcem as suas capacidades de cibersegurança, introduzindo simultaneamente medidas de gestão dos riscos e requisitos de comunicação de informações a entidades de mais setores e estabelecendo regras para a cooperação, a partilha de informações, a supervisão e a aplicação de medidas de cibersegurança.

A diretiva exige que cada Estado-Membro adote uma estratégia nacional de cibersegurança, que inclua políticas para a segurança da cadeia de abastecimento, a gestão da vulnerabilidade e a educação e sensibilização para a cibersegurança. Os Estados-Membros devem também estabelecer e atualizar regularmente uma lista de operadores de serviços essenciais, assegurando que estas entidades cumprem os requisitos da diretiva. 

Para além dos setores já abrangidos pela Diretiva SRI 1, como a energia, os transportes, os cuidados de saúde, as finanças, a gestão da água e as infraestruturas digitais, estas regras aplicam-se aos prestadores de serviços públicos de comunicações eletrónicas, mais serviços digitais, como as plataformas sociais, a gestão das águas residuais e dos resíduos, o fabrico de produtos críticos, os serviços postais e de correio rápido, a administração pública, tanto a nível central como regional, ou o espaço. Regra geral, as entidades de média e grande dimensão nestes setores críticos terão de tomar medidas adequadas de gestão dos riscos de cibersegurança e notificar as autoridades nacionais competentes de incidentes significativos. Trata-se de incidentes que podem causar perturbações ou danos significativos. 

A diretiva inclui igualmente disposições em matéria de supervisão, execução e avaliações voluntárias pelos pares, a fim de reforçar a confiança mútua e as capacidades de cibersegurança em toda a UE. Introduz igualmente a responsabilização dos quadros superiores em caso de incumprimento das medidas de gestão dos riscos de cibersegurança, chamando assim a atenção dos conselhos de administração para a cibersegurança.

A diretiva cria uma rede de equipas de resposta a incidentes de segurança informática (CSIRT) para trocar informações sobre ciberameaças e responder a incidentes. Estas equipas são cruciais para manter o conhecimento situacional e oferecer assistência. Para gerir incidentes ou crises de cibersegurança em grande escala, a diretiva cria a Rede Europeia de Organizações de Coordenação de Cibercrises (UE-CyCLONe). Esta rede apoia a gestão coordenada e assegura o intercâmbio regular de informações entre os Estados-Membros e as instituições da UE em caso de incidentes e crises em grande escala. 

Paralelamente, o grupo de cooperação SRI é uma plataforma criada pela Diretiva SRI para facilitar a cooperação estratégica e o intercâmbio de informações entre os Estados-Membros da UE, a Comissão Europeia e a Agência da União Europeia para a Cibersegurança (ENISA). O grupo publica orientações e recomendações não vinculativas para apoiar a aplicação da Diretiva SRI.

Antecedentes

A Diretiva SRI 1 (Diretiva 2016/1148) foi a primeira legislação abrangente da UE destinada a reforçar a cibersegurança das redes e dos sistemas de informação, a fim de salvaguardar serviços vitais para a economia e a sociedade da UE. Em dezembro de 2020, a Comissão propôs a revisão da Diretiva SRI 1, que resultou na adoção da Diretiva SRI 2, que entrou em vigor em janeiro de 2023. Os Estados-Membros tinham até 17 de outubro de 2024 para transpor a Diretiva SRI 2 para o direito nacional. A Diretiva SRI 2 revogou a Diretiva SRI 1 a partir de 18 de outubro de 2024.

A Comissão deu início a procedimentos de infração, enviando cartas de notificação para cumprir a 23 Estados-Membros por não terem transposto integralmente a Diretiva SRI 2 para o direito nacional até 17 de outubro de 2024. Os Estados-Membros têm de responder e concluir a transposição da diretiva. Se não o fizerem, a Comissão pode emitir um parecer fundamentado, que constitui um pedido formal para dar cumprimento ao direito da UE. O incumprimento continuado poderá eventualmente levar à instauração de uma ação no Tribunal de Justiça da União Europeia, que pode impor sanções financeiras.

Últimas notícias

DIGIBYTE |
Cyber: EU and UK hold Second Cyber Dialogue

On 5 and 6 December, the European Union (EU) and the United Kingdom (UK) held their second cyber dialogue in London, as set out under the EU-UK Trade and Cooperation Agreement.

Conteúdo relacionado

Visão geral

The European Union works on various fronts to promote cyber resilience, safeguarding our communication and data and keeping online society and economy secure.

Em pormenor

  • A Comissão, juntamente com a Agência da União Europeia para a Segurança das Redes e da Informação, trabalha em estreita colaboração com os Estados-Membros para assegurar a transposição da Diretiva SRI para a legislação nacional.

  • O grupo de cooperação em matéria de redes e sistemas de informação foi criado pela Diretiva SRI para assegurar a cooperação e o intercâmbio de informações entre os Estados-Membros.