A Comissão propôs este mês novas regras para estabelecer medidas comuns em matéria de cibersegurança e segurança da informação em todas as instituições, órgãos e organismos da UE. A proposta visa reforçar a sua resiliência e capacidades de resposta contra ciberameaças e incidentes de cibersegurança, bem como assegurar uma administração pública da UE resiliente e segura, num contexto de ciberatividades maliciosas crescentes a nível global.
Johannes Hahn, comissário responsável pelo Orçamento e Administração, declarou: «Num ambiente conectado, um único incidente de cibersegurança pode afectar toda uma organização. É por esta razão que é fundamental criar um forte escudo protector contra ciberameaças e incidentes que possam perturbar a nossa capacidade de agir. Os regulamentos que propomos hoje constituem um marco no panorama da cibersegurança e da segurança da informação da UE. Baseiam-se numa cooperação reforçada e no apoio mútuo entre as instituições, órgãos e organismos da UE, bem como numa preparação e resposta coordenadas. Trata-se de um verdadeiro esforço colectivo da UE.»
No contexto da pandemia de COVID-19 e dos desafios geopolíticos crescentes, é imperativo adoptar uma abordagem conjunta relativamente à cibersegurança e à segurança da informação.
Assim, a Comissão propôs um regulamento relativo à cibersegurança e um regulamento relativo à segurança da informação. Ao estabelecer prioridades e quadros comuns, estas regras permitem intensificar a cooperação interinstitucional, minimizar a exposição aos riscos e reforçar ainda mais a cultura de segurança da UE.
Regulamento Cibersegurança
O Regulamento Cibersegurança proposto criará um quadro de governação, gestão dos riscos e controlo no domínio da cibersegurança. Conduzirá à criação de um novo Conselho de Cibersegurança interinstitucional, reforçará as capacidades de cibersegurança e incentivará avaliações regulares da maturidade e uma melhor ciber-higiene. Alargará igualmente o mandato da Equipa de Resposta a Emergências Informáticas para as instituições, órgãos e organismos da UE (CERT-UE), enquanto plataforma de informações sobre ameaças, intercâmbio de informações e coordenação da resposta a incidentes, um organismo consultivo central e um prestador de serviços.
Elementos essenciais da proposta de Regulamento Cibersegurança:
- Reforçar o mandato da CERT-UE e disponibilizar os recursos de que necessita para o cumprir;
- Exigir a todas as instituições, órgãos e organismos da UE que:
- disponham de um quadro de governação, gestão de riscos e controlo no domínio da cibersegurança;
- definam uma base de referência de medidas de cibersegurança para fazer face aos riscos identificados;
- realizem regularmente avaliações da maturidade;
- estabeleçam um plano para melhorar a sua cibersegurança, aprovado pela direção da entidade;
- partilhem sem demora injustificada, informações relacionadas com incidentes com a CERT-UE.
- Criar um novo Conselho de Cibersegurança interinstitucional para impulsionar e acompanhar a aplicação do regulamento e orientar a CERT-UE;
- Mudar o nome da CERT-UE de «Equipa de Resposta a Emergências Informáticas» para «Centro de Cibersegurança», em consonância com a evolução registada nos Estados-Membros e a nível mundial, mas manter o nome abreviado «CERT-UE» para o reconhecimento do nome.
Regulamento Segurança da Informação
O Regulamento Segurança da Informação proposto criará um conjunto mínimo de normas e regras em matéria de segurança da informação para todas as instituições, órgãos e organismos da UE, a fim de assegurar uma proteção reforçada e coerente contra a evolução das ameaças à sua informação.
Estas novas regras proporcionarão um terreno estável para um intercâmbio seguro de informações entre as instituições, órgãos e organismos da UE e com os Estados-Membros, com base em práticas e medidas normalizadas para proteger os fluxos de informações.
Elementos essenciais da proposta de Regulamento Segurança da Informação:
- Instaurar uma governação eficiente para promover a cooperação entre todas as instituições, órgãos e organismos da UE, nomeadamente um Grupo de Coordenação da Segurança da Informação a nível interinstitucional;
- Estabelecer uma abordagem comum para a categorização das informações com base no nível de confidencialidade;
- Modernizar as políticas de segurança da informação, incluindo plenamente a transformação digital e o trabalho à distância;
- Racionalizar as práticas atuais e aumentar a compatibilidade entre os sistemas e dispositivos pertinentes.
Contexto
Na sua resolução de Março de 2021, o Conselho da União Europeia salientou a importância de um quadro de segurança sólido e coerente para proteger o conjunto do pessoal, dos dados, das redes de comunicação, dos sistemas de informação e dos processos de tomada de decisão da UE. Este objectivo só pode ser alcançado mediante o reforço da resiliência e a melhoria da cultura de segurança das instituições, órgãos e organismos da UE.
No seguimento da Estratégia da UE para a União da Segurança e da Estratégia de Cibersegurança da UE, o Regulamento Cibersegurança proposto assegurará a coerência com as políticas existentes da UE em matéria de cibersegurança, em plena conformidade com a legislação europeia em vigor:
- A Diretiva relativa à segurança das redes e dos sistemas de informação (Diretiva SRI) e a futura diretiva relativa a medidas destinadas a garantir um elevado nível comum de cibersegurança na União («SRI 2»), que a Comissão propôs em dezembro de 2020;
- O Regulamento Cibersegurança;
- A Recomendação da Comissão relativa à criação de uma Ciberunidade Conjunta;
- A Recomendação da Comissão sobre a resposta coordenada da UE a incidentes e crises de cibersegurança de grande escala.
Tendo em conta o número crescente de informações sensíveis não classificadas e de informações classificadas da UE tratadas pelas instituições, órgãos e organismos da UE, o Regulamento relativo à Segurança da Informação proposto visa aumentar a protecção das informações, racionalizando os diferentes quadros jurídicos das instituições, órgãos e organismos da União neste domínio. A proposta está em consonância com:
- A Estratégia da UE para a União da Segurança, que inclui um compromisso global da UE no sentido de complementar os esforços dos Estados-Membros em todos os domínios da segurança;
- A principal característica da Agenda Estratégica para 2019-2024, adoptada pelo Conselho Europeu em junho de 2019, para proteger as nossas sociedades das ameaças em constante evolução que visam as informações tratadas pelas instituições, órgãos e organismos da UE;
- As conclusões do Conselho «Assuntos Gerais» de dezembro de 2019, que apelam às instituições, órgãos e organismos da UE, apoiados pelos Estados-Membros, para que elaborem e apliquem um conjunto abrangente de medidas para garantir a sua segurança.
Se gosta desta notícia, subscreva gratuitamente a newsletter da Security Magazine.