Novas regras para reforçar cibersegurança das instituições da UE entram em vigor
O novo regulamento estabelece medidas para a criação de um quadro interno de gestão, governação e controlo dos riscos de cibersegurança para cada entidade da União Europeia. Cria também um novo Conselho Interinstitucional no sector.
Entrou esta semana em vigor o novo Regulamento Cibersegurança, que estabelece medidas destinadas a garantir um nível elevado comum de cibersegurança nas instituições, órgãos e organismos da União Europeia.
O regulamento estabelece medidas para a criação de um quadro interno de gestão, governação e controlo dos riscos de cibersegurança para cada entidade da União e cria um novo Conselho Interinstitucional para a Cibersegurança (IICB) para acompanhar e apoiar a sua aplicação pelas entidades da União.
Prevê um mandato alargado da Equipa de Resposta a Emergências Informáticas para as instituições, órgãos, organismos e agências da UE (CERT-UE), enquanto plataforma de coordenação de informações sobre ameaças, intercâmbio de informações e resposta a incidentes, um órgão consultivo central e um prestador de serviços. Em conformidade com o seu mandato, a CERT-UE passa a designar-se Serviço de Cibersegurança para as instituições, órgãos e organismos da União, mas mantém o nome abreviado “CERT-EU”.
De acordo com o calendário definido no regulamento, as entidades da União estabelecerão processos internos de governação da cibersegurança e adotarão progressivamente as medidas específicas de gestão dos riscos de cibersegurança previstas no regulamento. O IICB será criado e estará operacional o mais rapidamente possível, com o objetivo de assegurar a orientação estratégica da CERT-UE no âmbito do seu mandato alargado, fornecer orientações e apoio às entidades da União e acompanhar a aplicação do regulamento.
Na sua resolução de março de 2021, o Conselho da União Europeia salientou a importância de um quadro de segurança sólido e coerente para proteger todo o pessoal, dados, redes de comunicação, sistemas de informação e processos de tomada de decisão da UE. Neste contexto, a Comissão anunciou a proposta de Regulamento Cibersegurança em março de 2022 e, em junho de 2023, o Parlamento Europeu e o Conselho chegaram a um acordo político.
O presente regulamento está em consonância com os objetivos políticos da Comissão e assegura a coerência com outras iniciativas legislativas neste domínio: a Diretiva relativa a medidas destinadas a garantir um elevado nível comum de cibersegurança na União (SRI 2), o Regulamento Cibersegurança e a Recomendação da Comissão sobre a resposta coordenada a incidentes e crises de cibersegurança em grande escala.
O Regulamento Cibersegurança foi apresentado em conjunto com uma proposta de regulamento relativo à segurança da informação, que estabelece regras e normas mínimas de segurança da informação para todas as instituições, órgãos, organismos e agências da UE.
A proposta visa um intercâmbio seguro de informações entre as instituições, órgãos, organismos e agências da UE e com os Estados-Membros, com base em práticas e medidas normalizadas para proteger os fluxos de informação. As negociações entre os colegisladores sobre esta proposta ainda não tiveram início.
